发新话题
打印

[TIPS]组策略(gpedit.msc)应用专题文章集锦

[TIPS]组策略(gpedit.msc)应用专题文章集锦

信息来源:邪恶八进制信息安全团队(www.eviloctal.com
原始出处:http://www.chinaitlab.com/

专题制作:xiaofei

  先给初学的扫扫盲:说到组策略,就不得不提注册表。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是 可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块,供管理人员直接使用,从而达到方便管理计算机的目的。
  
  简单点说,组策略就是修改注册表中的配置。当然,组策略使用自己更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。

  运行组策略的方法:在“开始”菜单中,单击“运行”命令项,输入gpedit.msc并确定,即可运行组策略。先看看组策略的全貌,如图。

OK,现在你已经知道组策略大概能做的事情以及如何运行组策略,具体组策略各个功能如何?请点击右边我们仿照组策略制作的菜单进行学习。

邪恶八进制友情提示:
并非所有的Windows系统都有组策略,比如Windows Home Edition就没有。
曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

  在Windows Server 2003系统的“帐户和本地策略”中包括“帐户策略”和“本地策略”两个方面,而其中的“帐户策略”又包括:密码策略、帐户锁定策略和Kerberos策略三个方面;另外的“本地策略”也包括:审核策略、用户权限分配和安全选项三部分。下面分别予以介绍。
  
  一、密码策略的设置
  密码策略作用于域帐户或本地帐户,其中就包含以下几个方面:
  强制密码历史
  密码最长使用期限
  密码最短使用期限
  密码长度最小值
  密码必须符合复杂性要求
  用可还原的加密来存储密码
  
  以上各项的配置方法均需根据当前用户帐户类型来选择。默认情况下,成员计算机的配置与其域控制器的配置相同。下面分别根据几种不同用户类型介绍相应的密码策略配置方法。
  
  1. 对于本地计算机
  
  对于本地计算机的用户帐户,其密码策略设置是在“本地安全设置”管理工个中进行的。下面是具体的配置方法。
  
  第1步,执行〖开始〗→〖管理工具〗→〖本地安全策略〗菜单操作,打开如图所示的“本地安全设置”界面。对于本地计算机中用户“帐户和本地策略”都查在此管理工具中进行配置的。
  
 

  第2步,因密码策略是属于用户策略范畴,所以先需在如上图所示界面中单击选择“用户策略”选项,然后再选择“密码策略”选项,在右边详细信息窗口中将显示可配置的密码策略选项的当前配置。
  
  因为各策略选项的配置方法基本一样,所以在此仅以一个选项的配置进行介绍,其它只对各选项的具体作用进行简单介绍。
  
  如配置“密码必须符合复杂性要求”选项,可设置确定密码是否符合复杂性要求。启用该策略,则密码必须符合以下最低要求:
  (1)不包含全部或部分的用户帐户名
  (2)长度至少为六个字符
  (3)包含来自以下四个类别中的三个的字符:
  英文大写字母(从A到Z)
  英文小写字母(从a到z)
  10个基本数字(从0到9)
  非字母字符(例如,!、$、#、%)
  
  如果启用了此安全策略,而您所配置的用户密码不符合此配置要求时系统会提示错误。有时您可能百思不得其解,认为自己所设的密码已经够长,而且也是属于随机的,不全都是数字或字母,可系统为什么还是老说错误呢?一般来说是由于您所设的密码所包括的字符类型不足以上四个中的三个。通常只各个领域其中的两种,即数字和字母,而没有考虑到字母的大小写或者非字母字符,所以达不到复杂性要求。更改或创建密码时,会强制执行复杂性要求。
  
  默认情况下,在域控制器上默认是已启用了这一策略的;而在独立服务器上则默认是禁用的。
  
  这个安全选项的配置方法是在如上图所示界面的右边信息窗口中双击“密码必须符合复杂性要求”选项,打开如图所示对话框。在这个对话框中就可随意启用或者禁用这个安全策略选项,配置好后单击“确定”按钮使配置更改生效。
  
 

  其它选项的配置方法都一样,都是通过双击或者单击右键,然后选择“属性”选项,打开类似如图2所示对话框,在这些对话框中进行配置即可。不过为了便于工作于大家理解和配置,下面简单介绍其它密码策略选项的含义。
  
  强制密码历史
  重新使用旧密码之前,该安全设置确定某个用户帐户所使用的新密码必须不能与该帐户所使用的最近多少旧密码一样。该值必须为0到24之间的一个数值。该策略通过确保旧密码不能在某段时间内重复使用,使用户帐户更安全。
  
  在域控制器上的默认值为24;而在独立服务器上为0。
  
  【注意】要维持密码历史记录的有效性,则在通过启用密码最短使用期限安全策略设置更改密码之后,不允许立即更改密码。
  
  密码最长使用期限
  该安全设置确定系统要求用户更改密码之前可以使用该密码的时间(单位为天)。可将密码的过期天数设置在1至999天之间;如果将天数设置为0,则指定密码永不过期。如果密码最长使用期限在1至999天之间,那么“密码最短使用期限”(下面将介绍)必须小于密码最长使用期限。如果密码最长使用期限设置为0,则密码最短使用期限可以是1至998天之间的任何值。
  默认值:42。
  
  【技巧】使密码每隔30至90天过期一次是一种安全最佳操作,取决于您的环境。通过这种方式,攻击者只能够在有限的时间内破解用户密码并访问您的网络资源。
  
  第三步,密码最短使用期限。该安全策略设置确定用户可以更改密码之前必须使用该密码的时间(单位为天)。可以设置1到998天之间的某个值,或者通过将天数设置为0,允许立即更改密码。密码最短使用期限必须小于上面设置的“密码最长使用期限”,除非密码最长使用期限设置为0(表明密码永不过期)。如果密码最长使用期限设置为0,那么密码最短使用期限可设置为0到998天之间的任意值。
  
  如果希望上面设置的“强制密码历史”安全策略选项设置有效,请将密码最短有效期限配置为大于0。如果没有密码最短有效期限,则用户可以重复循环通过密码,直到获得喜欢的旧密码。默认设置不遵从这种推荐方法,因此管理员可以为用户指定密码,然后要求当用户登录时更改管理员定义的密码。如果将该密码的历史记录设置为0,则用户不必选择新密码。因此,默认情况下将密码历史记录设置为1。在域控制器上的默认值为1;而在独立服务器上为0。
  
  第四步,密码长度最小值。该安全设置确定用户帐户的密码可以包含的最少字符个数。可以设置为1到14个字符之间的某个值,或者通过将字符数设置为0,可设置不需要密码。在域控制器上的默认值为7;而在独立服务器上为0。
  
  第五步,用可还原的加密来存储密码。该安全设置确定操作系统是否使用可还原的加密来存储密码。如果应用程序使用了要求知道用户密码才能进行身份验证的协议,则该策略可对它提供支持。使用可还原的加密存储密码和存储明文版本密码本质上是相同的。因此,除非应用程序有比保护密码信息更重要的要求,否则不必启用该策略。
  
  当使用质询握手身份验证协议(CHAP)通过远程访问或Internet身份验证服务(IAS)进行身份验证时,该策略是必需的。在Internet信息服务(IIS)中使用摘要式验证时也要求该策略。系统默认值为禁用。
  
  上面介绍的是在本地计算机上配置以上密码安全策略选项的方法,下面继续介绍在其它两种情形中这些密码策略选项的配置方法。
  
  2. 在域环境中,并且您位于已加入到域中的成员服务器或工作站
  
  对于这种情形,用户的本地密码策略配置方法如下:
  
  第1步,执行〖开始〗→〖运行〗菜单操作,在对话框的“打开”文本框中输入“mmc”命令,打开Microsoft管理控制台(MMC),如图所示。
  
 

  第2步,执行〖文件〗→〖添加/删除管理单元〗菜单操作,打开如图所示对话框。在这个对话框中可以添加在控制台管理的管理单元。
  
 

  第3步,单击“添加”按钮,打开如下图所示对话框。在这个对话框中找到“组策略对象编辑器”选项,然后双击,或单击选择它后按“添加”按钮,打开如图所示对话框。在这个对话框中要求选择所添加的“组策略对象编辑器”所作用的对象。
  


  因此处介绍的是成员服务器或工作站(非本地计算机),所以需单击“浏览”按钮,在打开的对话框中选中“计算机”选项卡(对话框如下图所示)。在对话框中选择“另一计算机”单选项,然后直接在下面的文本框中输入或再次通过单击“浏览”按钮,打开对话框查找。
  
 

  第4步,输入或者选择好计算机名后,单击“确定”按钮即可返回到如上图所示对话框。单击“完成”按钮,如果所选择的成员服务器或工作站与当前服务器的网络连接正常的话,即可把它们指派到组策略对象编辑器中。
  
  第5步,单击对话框中的“关闭”按钮,返回到如图所示对话框。单击“确定”按钮返回到控制台界面,不过此时已是添加了“组策略对象编辑器”管理单元的控制台,如图所示。
  
 

  第6步,依次单击展开〖计算机配置〗→〖Windows设置〗→〖安全设置〗→〖帐户策略〗→〖密码策略〗选项,然后在右边详细信息窗口中选择相应的密码策略选项配置即可。配置方法也是在相应选项上单击右键,然后再选择“属性”选项,打开的对话框与前图一样,参照即可。
  
  3. 您位于域控制器,或已安装 Windows Server 2003 管理工具包的工作站
  
  对于这种情形,密码策略的配置方法如下:
  第1步,执行〖开始〗→〖管理工具〗→〖Active Directory用户和计算机〗菜单操作,打开如图所示的“Active Directory用户和计算机”管理工具界面。
  
 

  第2步,在控制台树中要设置组策略的域或组织单位上(本例以域grfwgz.com为例)单击右键,然后选择“属性”选项,在打开的对话框中选择“组策略”选项卡,对话框如图所示。
  
 

  第3步,选择对话框“组策略对象链接”列表中的项目以选择。
曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

  帐户锁定策略用于域帐户或本地用户帐户,它们确定某个帐户被系统锁定的情况和时间长短。这部分包含以下三个方面:
  
  帐户锁定时间
  帐户锁定阈值
  复位帐户锁定计数器
  
  1. 帐户锁定时间
  
  该安全设置确定锁定的帐户在自动解锁前保持锁定状态的分钟数。有效范围从0到99,999分钟。如果将帐户锁定时间设置为0,那么在管理员明确将其解锁前,该帐户将被锁定。如果定义了帐户锁定阈值,则帐户锁定时间必须大于或等于重置时间。
  
  默认值:无。因为只有当指定了帐户锁定阈值时,该策略设置才有意义。
  
  2. 帐户锁定阈值
  
  该安全设置确定造成用户帐户被锁定的登录失败尝试的次数。无法使用锁定的帐户,除非管理员进行了重新设置或该帐户的锁定时间已过期。登录尝试失败的范围可设置为0至999之间。如果将此值设为0,则将无法锁定帐户。
  
  对于使用Ctrl+Alt+Delete组合键或带有密码保护的屏幕保护程序锁定的工作站或成员服务器计算机上,失败的密码尝试计入失败的登录尝试次数中。默认值:0。
  
  3.复位帐户锁定计数器
  
  该安全设置确定在登录尝试失败计数器被复位为0(即0次失败登录尝试)之前,尝试登录失败之后所需的分钟数。有效范围为1到99,999分钟之间。
  如果定义了帐户锁定阈值,则该复位时间必须小于或等于帐户锁定时间。
  默认值:无,因为只有当指定了“帐户锁定阈值”时,该策略设置才有意义。
  它们的配置也要因当前用户所在的网络环境而定。对于本地计算机用户帐户,在如图1所示界面中配置;对于域中的成员服务器或工作站则在如图8所示对话框中配置;而对于域控制器用户则在如图11所示界面中配置。
  
  配置方法也是通过双击,或单击选择某帐户锁定策略选项,然后再单击右键,选择“属性”选项,都可打开类似如图所示对话框,在其中进行配置即可。
  
 

  Kerberos V5身份验证协议是用于确认用户或主机身份的身份验证机制,也是Windows 2000和Windows Server 2003系统默认的身份验证服务。Internet协议安全性(IPSec)可以使用Kerberos协议进行身份验证。
  
  对于在安装过程中所有加入到Windows Server 2003或Windows 2000域的计算机都默认启用Kerberos V5身份验证协议。Kerberos可对域内的资源和驻留在受信任的域中的资源提供单一登录。
  可通过那些作为帐户策略一部分的Kerberos安全设置来控制Kerberos配置的某些方面。例如,可设置用户的Kerberos 5票证生存周期。作为管理员,可以使用默认的kerberos策略,也可以更改它以适应环境的需要。使用Kerberos V5进行成功的身份验证需要两个客户端系统都必须运行Windows 2000、Windows Server 2003家族或Windows XP Professional操作系统。
  
  如果客户端系统尝试向运行其他操作系统的服务器进行身份验证,则使用NTLM协议作为身份验证机制。NTLM身份验证协议是用来处理两台计算机(其中至少有一台计算机运行Windows NT 4.0或更早版本)之间事务的协议。
  
  使用Kerberos进行身份验证的计算机必须使其时间设置在5分钟内与常规时间服务同步,否则身份验证将失败。运行Windows Server 2003家族成员、Windows XP Professional或Windows 2000的计算机将自动更新当前时间,并将域控制器用作网络时间服务。
  
  Kerberos策略用于域用户帐户,确定与Kerberos相关的设置,例如票证的有效期限和强制执行。
  Kerberos策略不存在于本地计算机策略中。这部分包含以下几个方面:
  强制用户登录限制
  服务票证最长寿命
  用户票证最长寿命
  用户票证续订最长寿命
  计算机时钟同步的最大容差
  
  1. 强制用户登录限制
  本安全设置确定Kerberos V5密钥分发中心(KDC)是否要根据用户帐户的用户权限来验证每一个会话票证请求。验证每一个会话票证请求是可选的,因为额外的步骤需要花费时间,并可能降低服务的网络访问速度。默认值:已启用。
  
  2. 服务票证最长寿命
  该安全设置确定使用所授予的会话票证可访问特定服务的最长时间(以分钟为单位)。该设置必须大于10分钟并且小于或等于下面将要介绍的“用户票证最长寿命”选项中的设置。
  【说明】票证是用于安全原则的标识数据集,是为了进行用户身份验证而由域控制器发行的。
  Windows中的两种票证形式是票证授予式票证(TGT)和服务票证。
  票证授予式票证(TGT)是用户登录时,Kerberos密钥分发中心(KDC)颁发给用户的凭据。当服务要求会话票证时,用户必须向KDC递交TGT。因为TGT对于用户的登录会话活动通常是有效的,它有时称为“用户票证”。
  
  服务票证是由允许用户验证域中指定服务的KerberosV5票证授予服务(TGS)颁发的票证。如果客户端请求服务器连接时出示的会话票证已过期,服务器将返回错误消息。客户端必须从Kerberos V5密钥分发中心(KDC)请求新的会话票证。然而一旦连接通过了身份验证,该会话票证是否仍然有效就无关紧要了。会话票证仅用于验证和服务器的新建连接。如果用于验证连接的会话票证在连接时过期,则当前的操作不会中断。默认值:600分钟(10小时)。
  
  3. 用户票证最长寿命
  该安全设置确定用户票证授予票证(TGT)的最长使用时间(单位为小时)。用户TGT期满后,必须请求新的或“续订”现有的用户票证。默认值:10小时。
  
  4. 用户票证续订最长寿命
  该安全设置确定可以续订用户票证授予票证(TGT)的期限(以天为单位)。默认值:7天。
  
  5. 计算机时钟同步的最大容差
  本安全设置确定Kerberos V5所允许的客户端时钟和提供Kerberos身份验证的Windows Server 2003域控制器上的时间的最大差值(以分钟为单位)。
  为防止“轮番攻击”,Kerberos V5在其协议定义中使用了时间戳。为使时间戳正常工作,客户端和域控制器的时钟应尽可能的保持同步。换言之,应该将这两台计算机设置成相同的时间和日期。因为两台计算机的时钟常常不同步,所以管理员可使用该策略来设置Kerberos V5所能接受的客户端时钟和域控制器时钟间的最大差值。如果客户端时钟和域控制器时钟间的差值小于该策略中指定的最大时间差,那么在这两台计算机的会话中使用的任何时间戳都将被认为是可信的。默认值:5分钟。
  【注意】该设置并不是永久性的。如果配置该设置后重新启动计算机,那么该设置将被还原为默认值。
  
  以上各Kerberos策略安全选项的配置方法如下:
  第1步,在组策略界面中,依次单击展开下列选项〖计算机设置〗→〖Windows设置〗→〖安全设置〗→〖用户策略〗→〖Kerberos策略〗,在右边详细信息窗口中将列出当前所有的Kerberos策略选项,如图所示。
  
 

  第2步,在详细信息窗口中显示了各Kerberos策略安全选项的当前配置,如果要重新配置某选项,可直接双击,也可在相应选项上单击右键,然后选择“属性”选项,都可打开类似如图所示的配置对话框。在这个对话框中可以选择是否启用或者重新配置该安全选项的参数值。
  
 

  选择好后单击“确定”按钮即可生效。对 Kerberos 策略的任何修改都将影响域中的所有计算机。
  
  Windows Server 2003系统审核策略的配置方法也要根据以下四种具体的情形而选择不同的配置方法。
  
  1. 对于本地计算机
  在这个情况下,审核策略的配置也是在 “本地安全设置”界面中进行的,只是此时要选择“本地策略”下的“审核策略”选项,如图所示。
  
 

  双击详细信息窗格中要更改审核策略设置的事件类别,或在相应审核策略事件上单击右键,然后选择“属性”选项,都可打开如图所示对话框(本例选择的是“审核登录事件”选项)。执行以下一个或两个操作,然后单击“确定”按钮使配置生效。
  
  要审核成功的尝试,请选中“成功”复选项。
  要审核未成功的尝试,请选中“失败”复选项。
  
 

  2. 您在一台域控制器上或已安装了Windows Server 2003管理工具包的工作站上
  
  这种情形下审核策略的配置方法如下:
  第1步,执行〖开始〗→〖管理工具〗→〖域控制器安全策略〗菜单操作,打开如图所示的“域控制器安全策略”管理工具界面。
  
 

  第2步,在控制台树中,按〖Windows设置〗→〖安全设置〗→〖本地策略〗→〖审核策略〗顺序依次单击,展开各选项,直到“审核策略”选项。
  
  第3步,双击详细信息窗格中要更改审核策略设置的事件类别,或者在相应事件上单击右键,然后选择“属性”选项,同样会打开如图5所示的对话框。配置方法与前一种情形“本地计算机”中介绍的方法一样,参照即可。
  
  3. 您是在一台域控制器上或已安装了“管理工具包”的工作站上
  
  在这种应用情形中,审核配置的配置方法是在“Active Directory用户和计算机”管理工具中打开组策略进行的。不同的此时选择的是“本地策略”下的“审核策略”选项,如图所示。
  
 

  审核策略的配置方法与前两种情形中介绍的一样,不再赘述。
  
  4. 对于域或组织单位,您是在一台成员服务器上或已加入
曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

  在本篇技术指南中,将概要介绍你如何修改最重要的组策略安全设置。
  
  你可以在采用Windows XP、2000和Server 2003操作系统的本地计算机上使用这些方法,或者在Server 2003和2000中的OU域名级上使用这些方法。为了简明扼要和提供最新的信息,我准备介绍一下如何设置基于Windows Server 2003的域名。请记住,这些只是你在你的域名中能够设置的组策略对象中最有可能出现问题的。按照我的观点,这些设置可以保持或者破坏Windows的安全。而且由于设置的不同,你的进展也不同。因此,我鼓励你在使用每一个设置之前都进行深入的研究,以确保这些设置能够兼容你的网络。如果有可能的话,对这些设置进行试验(如果你很幸运有一个测试环境的话)。
  
  如果你没有进行测试,我建议你下载和安装微软的组策略管理控制台(GPMC)来做这些改变。这个程序能够把组策略管理任务集中到一个单一的界面让你更全面地查看你的域名。要开始这个编辑流程,你就上载GPMC,扩展你的域名,用鼠标右键点击“缺省域名策略”,然后选择“编辑”。这样就装载了组策略对象编辑器。如果你要以更快的速度或者“次企业级”的方式编辑你的域名组策略对象,你可以在“开始”菜单中运行“gpedit.msc”。
  
  1.确定一个缺省的口令策略,使你的机构设置位于“计算机配置/Windows设置/安全设置/账号策略/口令策略”之下。
  
  2.为了防止自动口令破解,在“计算机配置/Windows设置/安全设置/账号策略/账号关闭策略”中进行如下设置:
  
  ·账号关闭持续时间(确定至少5-10分钟)
  
  ·账号关闭极限(确定最多允许5至10次非法登录)
  
  ·随后重新启动关闭的账号(确定至少10-15分钟以后)
  
  3.在“计算机配置/Windows设置/安全设置/本地策略/检查策略”中启用如下功能:
  
  ·检查账号管理
  
  ·检查登录事件
  
  ·检查策略改变
  
  ·检查权限使用
  
  ·检查系统事件
  
  理想的情况是,你要启用记录成功和失败的登录。但是,这取决于你要保留什么类型的记录以及你是否能够管理这些记录。Roberta Bragg在这里介绍了一些普通的检查记录设置。要记住,启用每一种类型的记录都需要你的系统处理器和硬盘提供更多的资源。
  
  4.作为增强Windows安全的最佳做法和为攻击者设置更多的障碍以减少对Windows的攻击,你可以在“计算机配置/Windows设置/安全设置/本地策略/安全选项”中进行如下设置:
  
  ·账号:重新命名管理员账号--不是要求更有效而是增加一个安全层(确定一个新名字)
  
  ·账号:重新命名客户账号(确定一个新名字)
  
  ·交互式登录:不要显示最后一个用户的名字(设置为启用)
  
  ·交互式登录:不需要最后一个用户的名字(设置为关闭)
  
  ·交互式登录: 为企图登录的用户提供一个消息文本(确定为让用户阅读banner text(旗帜文本),内容大致为“这是专用和受控的系统。
  
  如果你滥用本系统,你将受到制裁。--首先让你的律师运行这个程序)
  
  ·交互式登录: 为企图登录的用户提供的消息题目--在警告!!!后面写的东西
  
  ·网络接入:不允许SAM账号和共享目录(设置为“启用”)
  
  ·网络接入:将“允许每一个人申请匿名用户”设置为关闭
  
  ·网络安全:“不得存储局域网管理员关于下一个口令变化的散列值”设置为“启用”
  
  ·关机:“允许系统在没有登录的情况下关闭”设置为“关闭”
  
  ·关机:“清除虚拟内存的页面文件”设置为“启用”
  
  如果你没有Windows Server 2003域名控制器,你在这里可以找到有哪些Windows XP本地安全设置的细节,以及这里有哪些详细的Windows 2000 Server组策略的设置。要了解更多的有关Windows Server 2003组策略的信息,请查看微软的专门网页。
曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

 EFS(Encrypting File System,加密文件系统)是从Windows 2000开始就提出的一种基于NTFS文件系统的核心文件加密技术,主要是用于保护本地数据。在使用EFS加密文件的同时,也产生了诸多麻烦,比如重装系统后无法打开EFS加密过的文件夹等等,那么我们该如何解密?现在让我们先来看看大家的讨论。
  
  备份及导入密钥来解密
  
  为了防止在重装系统后无法打开加密文件夹,我们可以通过下面的方法来备份及导入密钥:点击“开始→运行”,输入“certmgr.msc”,回车后打开证书管理器。展开“证书/个人/证书”,右键单击在右侧窗口中以用户名为名称的证书,在“所有任务”中选择“导出”打开证书导出向导。单击“下一步”之后选择“是,导出私钥”,单击“下一步”,选择默认导出文件格式,再单击“下一步”,输入保护密码和确认密码,单击“下一步”后指定文件名,最后单击“完成”即可。
  
  这样在重装系统之后,右键单击导出的私钥文件,选择“安装PFX”之后就可以一步一步导入私钥。导入完成后,就可以顺利地打开EFS加密的文件夹。
  
  软件的方法不可靠
  
  在没有备份密钥的情况下,要对EFS解密几乎是不可能的,虽然网上流行很多种方法,但是可行性微乎其微,劝大家放弃。因为某些EFS使用的是公钥证书对文件加密,而且在Windows 2000/XP中,每一个用户都使用了惟一的SID(安全标志)。第一次加密文件夹时,系统会根据加密者的SID生成该用户的密钥,并且会将公钥和密钥分开保存。如果在重装系统之前没有对当前的密钥进行备份,那就意味着无论如何都不可能生成此前的用户密钥,而解密文件不仅需要公钥,还需要密码,所以也就根本不能打开此前EFS加密过的文件夹。
  
  编者按:通过各位大虾的谈论,至少应该得出这样一个结论,在进行EFS加密后一定要进行证书备份。否则遇到特殊情况,那被加密过的文件夹就无法打开了。
曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

  什么是EFS
  从Windows 2000开始,微软对NTFS文件系统进行了升级,将在Windows NT中使用的4.0升级为5.0,其最大的特点就是安全特性更加强大,特别是增加了加密文件系统EFS,用来在使用NTFS文件系统的卷上直接加密数据,能让用户在系统上使用公钥加密去保护私有的数据。
  
  你可以为某个隐私的文件或文件夹加密,以防止他人使用。没有正确权限的人即使能访问到硬盘,若试图操作加密的文件或文件夹,则会收到一条“拒绝访问”错误消息。
  
  另外,用户验证过程是在登录Windows时进行的,这就保证了EFS加密系统对计算机用户来说是透明的。通俗地说,只要具有权限的账户登录到Windows,就可以像打开任何一个普通文件一样使用自己加密的文件,而不像通常的加密软件会弹出一个对话框,让你输入密码,这就大大方便了使用者。
  
  用ESF加密文件
  当你使用了Windows 2000/XP/2003系统(注意Windows XP家庭版不支持EFS加密文件系统),且格式化磁盘为NTFS文件系统,你就具有了应用EFS的条件。
  
  要使用EFS加密,只须打开资源管理器,在需要加密的文件(夹)上点鼠标右键,选“属性”,在“属性” 对话框中点“高级”打开“高级属性”对话框,勾选“加密内容以便保护数据”((取消该选项前的钩即可解密文件)。
  
  “确定”后点击“应用”,如果加密的是文件夹,则会弹出图2所示对话框,你可以根据需要选择是仅加密此文件夹还是将此文件夹下的子文件夹和文件也一起
  
  最后点击“确定”后,在默认情况下,一般你会发现文件(夹)在资源管理器中显示的颜色变为彩色,表示已经被加密(或压缩)了。
  
  提示:你也可以不使文件(夹)变色,在资源管理器中,点“工具→文件夹选项→查看”,将“用彩色显示加密或压缩的NTFS文件”取消即可。
  
  EFS加密解密技巧
  在实际应用中,我们还可以通过各种技巧来完成EFS加密的相关操作。
  
  1.添加“加密”右键菜单
  
  如果觉得上述加密方法还是太烦琐,可以在“运行”中输入“regedit”,打开注册表编辑器,找到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced,在右边窗口中点击鼠标右键,选择“新建→Dword值”,取键名为“EncryptionContextMenu”,并设置键值为“1”。
  
  退出注册表编辑器,打开资源管理器,任意选中一个NTFS分区上的文件(夹),点鼠标右键,菜单中多出了一个“加(解)密”的选项。你可以直接点击此菜单,即可完成加密解密操作。
  
  2.禁止加密某个文件夹
  
  如果你想设置禁止加密某个文件夹,可以在这个文件夹中创建一个名为“Desktop.ini”的文件,然后用记事本编辑内容为:
  
  Encryption
  Disable=1
  
  但是这个方法不能禁止已加密文件夹的文件以及子文件夹。
  
  3.彻底禁止EFS加密
  
  要在机器上彻底禁用EFS加密,可以通过修改注册表实现。点击“开始→运行”,输入“Regedit”回车,打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS,在“编辑”菜单上点击“新建→Dword值”,输入“EfsConfiguration”作为键名,并设置键值为“1”,这样本机的EFS加密就被禁用了。如果想重新使用EFS加密时,只要把键值改为“0”即可。
  
  备份加密证书
  
  重新安装系统后要打开加密文件的解决办法
  
  EFS加密原理
  让我们来简单了解一下EFS是如何工作的。在EFS中,数据靠FEK(文件加密钥匙)加密,而FEK跟用户的公钥一起加密保存;解密的时候顺序刚好相反,首先用私钥解密出FEK,然后用FEK解密数据。简言之,系统是靠你的公钥/私钥(统称密钥)来加解密的。
  
  那么密钥从何而来呢?密钥是通过用户的SID产生的。在Windows 2000/XP中,每一个用户都有一个SID(安全标示符),首次使用EFS时,系统会根据SID首先生成密钥。SID都是惟一的,如同人的指纹,因而用户的密钥也绝不会相同,这就保证了EFS加密的可靠。目前,据官方消息说EFS还未证实被破解过。
  
  需要注意的是,如果重新安装了系统,就会产生一个新的SID,即使你安装系统的时候采用的是原来的用户名和密码,也无法直接打开原来被加密的文件(夹)了,很多朋友经常由于忽略了这一点而导致数据损失。
  
  备份密钥
  既然EFS采用加密密钥来进行加解密,那么只要加密密钥存在,我们就能恢复数据。因此,将密钥备份下来以作不时之需是最好的办法。
  
  点击“开始→运行”,在“运行”对话框中输入“certmgr.msc”打开证书管理器,打开“证书→当前用户”下的“个人→证书”,只要你做过加密操作,右边窗口就会有与用户名同名的(如果有多份证书,选“预期目的”为“加密文件系统”)证书。
  
  选中证书后点鼠标右键,选“所有任务→导出”,在弹出的“证书导出向导”中,选择“导出私钥”,并按照向导的要求输入密码来保护导出的私钥,最后存储为一个PFX后缀的文件。
  
  当加密文件的账户出现问题或重新安装了系统后需要访问或解密以前加密的文件时,只要使用鼠标右键单击备份的证书,选择“安装PFX”,系统将弹出“证书导入向导”,键入当初导出证书时输入用于保护备份证书的密码,然后选择让向导“根据证书类型,自动选择证书存储区”即可。完成后就可以访问以前的加密文件了。
  
  提示:需要注意的是,任何其他用户只要获得了你备份的证书,都可以对你的加密文件进行解密,因此一定要确保备份证书的安全性。
  
  小知识
  1.把未加密的文件复制到已经加密的文件夹中,这些文件会被自动加密。
  
  2.若是将加密文件移动到NTFS分区上,数据会保留加密属性;如果移动到FAT(FAT32)区上,这些数据将会被自动解密。另外,NTFS分区上保存的文件不能同时被压缩和加密。
  
  3.Windows的系统文件和系统文件夹不能被加密。
  
  用恢复代理解密文件
  删除用户后打开加密文件的解决办法
  
  EFS加密是安全可靠的,那么,一旦用户账户被删除,就像开头提到的那位,重新创建一个相同的用户可以打开吗?答案当然是否定的,重新创建的用户虽然与以前用户同名,但是系统却不会分配相同的SID(记住,不可能存在相同SID!除非是克隆系统),因此密钥也不同,加密的文件自然就无法打开了。
  
  当然,这种情况也不是完全没有解决的办法,因为用EFS加密过的文件,除了加密者本人之外还有“恢复代理”可以打开。恢复代理是一种特殊的用户,作用是解开用EFS加密的文件。
  
  对于Windows 2000来说,在单机和工作组环境下,默认的恢复代理是 Administrator ;Windows XP在单机和工作组环境下没有默认的恢复代理。而在域环境中就完全不同了,所有加入域的Windows 2000/XP计算机,默认的恢复代理全部是域管理员。所以我说那位网友是幸运的,因为他用的是Windows 2000,可以用Administrator这个用户登录系统,然后就能直接打开或者解密文件。
  
  大量使用Windows XP的朋友就没有那么幸运了,由于没有默认的恢复代理,事先又没有设置恢复代理,一旦用户被删除,你面临的将是数据的丢失。因此如果你使用的是Windows XP用户,请事先设置恢复代理。
  
  设置Windows XP恢复代理
  1.首先确定用哪个用户作为恢复代理,可以设置任何用户,比如你想让USER成为恢复代理,就用USER账户登录系统(一般建议使用Administrator作为恢复代理)。
  
  2.在“运行”中输入“cipher /rc:\test”(test可以是任何其它名字),回车后系统会提示询问是否用密码把证书保护起来,你可以自己设置一个密码,也可不需要密码保护就直接按回车。完成后我们在C盘的根目录下可以发现test.cer和test.pfx两个文件(在资源管理器中点“工具→文件夹选项→查看”,取消“隐藏已知文件类型的扩展名”才能看到文件后缀名)。
  
  3.先使用鼠标右键单击PFX文件,选择“安装PFX”,将弹出“证书导入向导”,如果提示输入密码,就输入步骤2中设置的密码,选中“标示此私钥为可导出的”,下一步选择“根据证书类型,自动选择证书存储区”导入证书。
  
  4.在“运行”中输入“gpedit.msc”并回车,打开组策略编辑器。在“计算机配置→Windows设置→安全设置→公钥策略→正在加密文件系统”下,点击鼠标右键,并选择“添加数据恢复代理”,按“添加故障恢复代理向导”打开test.cer,完成后即成功将USER用户设置为指定恢复代理
  
  现在,登录USER用户,就可以解密所有在指定恢复代理后被加密的文件(夹)了。注意,在设置恢复代理前已经加密的文件是不能解密的,所以必须未雨绸缪,事先设置恢复代理。
  
  EFS加密疑难解答
  1.重装系统后默认的恢复代理是否能恢复以前的加密数据?
  
  不能,假设Administrator用户是默认恢复代理,重装系统后,这个Administrator的SID已经发生了变化,所以不能作为以前用户的恢复代理了,只有将备份的证书导入才能打开文件。
  
  2.被EFS加密过的数据是否绝对安全?
  
  不是,安全永远是相对的。EFS加密过的文件,如果不是用户本人或恢复代理,虽然无法打开加密文件,但是仍然可以删除,所以对于重要文件,最佳的做法是NTFS权限和EFS加密配合使用。只有同时具有NTFS权限以及密钥,才能操作文件。
  
  3.我用的是Windows 2000系统,在局域网中且加入了域,我用Administrator为何不能解密文件?
  
  由于加入域中,默认的恢复代理是域管理员。
曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

  随着稳定性和可靠性的逐步提高,Windows 2000/XP已经被越来越多的人使用,很多人还用Windows 2000/XP自带的EFS加密功能把自己的一些重要数据加密保存。虽然EFS易用性不错,不过发生问题后就难解决了,例如不做任何准备就重装了操作系统,那很可能导致以前的加密数据无法解密。最近一段时间我们已经可以在越来越多的论坛和新闻组中看到网友的求救,都是类似这样的问题而导致重要数据无法打开,损失惨重。为了避免更多人受到损失,这里我把使用EFS加密的注事项写出来,希望对大家有所帮助。
  
  注意,下文中的Windows XP皆指Professional版,Windows XP Home版并不支持EFS加密。
  
  什么是EFS加密
  EFS(Encrypting File System,加密文件系统)是Windows 2000/XP所特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接被操作系统加密保存,在很大程度上提高了数据的安全性。
  
  EFS加密是基于公钥策略的。在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK (File Encryption Key,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。随后系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。如果你登录到了域环境中,密钥的生成依赖于域控制器,否则它就依赖于本地机器。
  
  EFS加密有什么好处
  首先,EFS加密机制和操作系统紧密结合,因此我们不必为了加密数据安装额外的软件,这节约了我们的使用成本。
  
  其次,EFS加密系统对用户是透明的。这也就是说,如果你加密了一些数据,那么你对这些数据的访问将是完全允许的,并不会受到任何限制。而其他非授权用户试图访问加密过的数据时,就会收到“访问拒绝”的错误提示。EFS加密的用户验证过程是在登录Windows时进行的,只要登录到Windows,就可以打开任何一个被授权的加密文件。
  
  如何使用EFS加密
  要使用EFS加密,首先要保证你的操作系统符合要求。目前支持EFS加密的Windows操作系统主要有Windows 2000全部版本和Windows XP Professional。至于还未正式发行的Windows Server 2003和传闻中的开发代号为Longhorn的新一带操作系统,目前看来也支持这种加密机制。其次,EFS加密只对NTFS5分区上的数据有效(注意,这里我们提到了NTFS5分区,这是指由Windows 2000/XP格式化过的NTFS分区;而由Windows NT4格式化的NTFS分区是NTFS4格式的,虽然同样是NTFS文件系统,但它不支持EFS加密),你无法加密保存在FAT和FAT32分区上的数据。
  
  对于想加密的文件或文件夹,只需要用鼠标右键点击,然后选择“属性”,在常规选项卡下点击“高级”按钮,之后在弹出的窗口中选中“加密内容以保护数据”,然后点击确定,等待片刻数据就加密好了。如果你加密的是一个文件夹,系统还会询问你,是把这个加密属性应用到文件夹上还是文件夹以及内部的所有子文件夹。按照你的实际情况来操作即可。解密数据也是很简单的,同样是按照上面的方法,把“加密内容以保护数据”前的钩消除,然后确定。
  


  如果你不喜欢图形界面的操作,还可以在命令行模式下用“cipher”命令完成对数据的加密和解密操作,至于“cipher”命令更详细的使用方法则可以通过在命令符后输入“cipher/?”并回车获得。
  
  注意事项:如果把未加密的文件复制到具有加密属性的文件夹中,这些文件将会被自动加密。若是将加密数据移出来,如果移动到NTFS分区上,数据依旧保持加密属性;如果移动到FAT分区上,这些数据将会被自动解密。被EFS加密过的数据不能在Windows中直接共享。如果通过网络传输经EFS加密过的数据,这些数据在网络上将会以明文的形式传输。NTFS分区上保存的数据还可以被压缩,不过一个文件不能同时被压缩和加密。最后一点,Windows的系统文件和系统文件夹无法被加密。
  
  这里还有个窍门,用传统的方法加密文件,必须打开层层菜单并依次确认,非常麻烦,不过只要修改一下注册表,就可以给鼠标的右键菜单中增添“加密”和“解密”的选项。
  在运行中输入“regedit”并回车,打开注册表编辑器,定位到:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion /Explorer/Advanced ,在“编辑”菜单上点击“新建-Dword值”,输入“EncryptionContextMenu”作为键名,并设置键值为“1”。现在退出注册表编辑器,打开资源管理器,任意选中一个NTFS分区上的文件或者文件夹,然后点击鼠标右键,就可以在右键菜单中找到相应的选项,直接点击就可以完成加密解密的操作。
  
  如果你想设置禁止加密某个文件夹,可以在这个文件夹中创建一个名为“Desktop.ini”的文件,然后用记事本打开,并添加如下内容:
  
  [Encryption]
  
  Disable=1
  
  之后保存并关闭这个文件。这样,以后要加密这个文件夹的时候就会收到错误信息,除非这个文件被删除。
  
  而如果你想在本机上彻底禁用EFS加密,则可以通过修改注册表实现。在运行中输入“Regedit”并回车,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS,在“编辑”菜单上点击“新建-Dword值”,输入“EfsConfiguration”作为键名,并设置键值为“1”,这样本机的EFS加密就被禁用了。而以后如果又想使用时只需把键值改为“0”。
  
  如何保证EFS加密的安全和可靠
  前面我们已经了解到,在EFS加密体系中,数据是靠FEK加密的,而FEK又会跟用户的公钥一起加密保存;解密的时候顺序刚好相反,首先用私钥解密出FEK,然后用FEK解密数据。可见,用户的密钥在EFS加密中起了很大作用。
  
  密钥又是怎么来的呢?在Windows 2000/XP中,每一个用户都有一个SID(Security Identifier,安全标示符)以区分各自的身份,每个人的SID都是不相同的,并且有唯一性。可以这样理解:把SID想象成人的指纹,虽然世界上已经有几十亿人(同名同姓的也有很多),可是理论上还没有哪两个人的指纹是完全相同的。因此,这具有唯一性的SID就保证了EFS加密的绝对安全和可靠。因为理论上没有SID相同的用户,因而用户的密钥也就绝不会相同。在第一次加密数据的时候,操作系统就会根据加密者的SID生成该用户的密钥,并把公钥和私钥分开保存起来,供用户加密和解密数据。
  
  这一切,都保证了EFS机制的可靠
  其次,EFS机制在设计的时候就考虑到了多种突发情况的产生,因此在EFS加密系统中,还有恢复代理(Recovery Agent)这一概念。
  
  举例来说,公司财务部的一个职工加密了财务数据的报表,某天这位职工辞职了,安全起见你直接删除了这位职工的账户。直到有一天需要用到这位职工创建的财务报表时才发现这些报表是被加密的,而用户账户已经删除,这些文件无法打开了。不过恢复代理的存在就解决了这些问题。因为被EFS加密过的文件,除了加密者本人之外还有恢复代理可以打开。
  
  对于Windows 2000来说,在单机和工作组环境下,默认的恢复代理是 Administrator ;Windows XP在单机和工作组环境下没有默认的恢复代理。而在域环境中就完全不同了,所有加入域的Windows 2000/XP计算机,默认的恢复代理全部是域管理员。
  
  这一切,都保证了被加密数据的安全。
  
  如何避免不慎使用EFS加密带来的损失
  如果你也和我一样,由于对EFS加密不了解致使重要数据丢失,那么也别气馁,就当买了个教训。毕竟通过这事情你还是能学会很多东西的。那就是:备份密钥!设置有效的恢复代理!
  
  对于上面讲到的情况1,备份密钥可以避免这种悲剧的发生。在运行中输入“certmgr.msc”然后回车,打开证书管理器。密钥的导出和导入工作都将在这里进行。
  
  在你加密过文件或文件夹后,打开证书管理器,在“当前用户”-“个人”-“证书”路径下,应该可以看见一个以你的用户名为名称的证书(如果你还没有加密任何数据,这里是不会有证书的)。右键点击这个证书,在“所有任务”中点击“导出”。之后会弹出一个证书导出向导,在向导中有一步会询问你是否导出私钥,在这里要选择“导出私钥”,其它选项按照默认设置,连续点击继续,最后输入该用户的密码和想要保存的路径并确认,导出工作就完成了。导出的证书将是一个pfx为后缀的文件。
  
 

  重装操作系统之后找到之前导出的pfx文件,鼠标右键点击,并选择“安装PFX”,之后会出现一个导入向导,按照导入向导的提示完成操作(注意,如果你之前在导出证书时选择了用密码保护证书,那么在这里导入这个证书时就需要提供正确的密码,否则将不能继续),而之前加密的数据也就全部可以正确打开。
  对于情况2,我们对Windows XP和Windows 2000两种情况分别加以说明。
  
  由于Windows XP没有默认的恢复代理,因此我们加密数据之前最好能先指定一个默认的恢复代理(建议设置Administrator为恢复代理,虽然这个账户没有显示在欢迎屏幕上,不过确实是存在的)。这样设置:
  
  首先要获得可以导入作为恢复代理的用户密钥,如果你想让Administrator成为恢复代理,首先就要用Administrator账户登录系统。在欢迎屏幕上连续按Ctrl+Alt+Del两次,打开登录对话框,在用户名处输入Administrator,密码框中输入你安装系统时设置的Administrato
曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

  单位的网络管理员肯定都遇到过这种困扰,老板不希望员工在工作的时间聊QQ或者玩游戏,而总有员工会私下里安装被禁止的软件。怎样避免这种情况?虽然有监控软件可以用,不过这样显得有些侵犯隐私。同时还有一种很麻烦的情况,现在越来越多的病毒通过电子邮件传播,很多人都是无意中运行了电子邮件的附件而中毒的,有没有什么好的手段 可以避免员工运行来历不明的文件?现在好了,如果你的客户端是Windows XP Professional,那么就可以使用其中的软件限制策略。
  
  简单来说,软件限制策略是一种技术,通过这种技术,管理员可以决定哪些程序(虽然这里用了“程序”这个字眼,不过不单指exe文件,我们可以通过该技术限制任何类型扩展名的文件被执行)是可信赖的,而哪些是不可信赖的,对于不可信赖的程序,则系统会拒绝执行。通常,管理员可以让系统使用以下几种方式鉴别软件是否可信赖:文件的路径、文件的哈希(Hash)值、文件的证书、文件被下载的网站在Internet选项中的区域、文件的发行商、特定扩展名的所有文件,以及其他强制属性。
  
  软件限制策略不仅可以在单机的Windows XP操作系统中设置,可以设置仅影响当前用户或用户组,或者影响所有本地登录到这台计算机上的所有用户;也可以通过域对所有加入该域的客户端计算机进行设置,同样可以设置影响某个特定的用户或用户组,或者所有用户。我们这里会以单机的形式进行说明,并设置影响 所有用户。单机和工作组环境下的设置和这个是类似的。另一方面,有时我们可能因为错误的设置而导致某些系统组件无法运行(例如禁止运行所有msc后缀的文件而无法打开组策略编辑器),这种情况下我们只要重新启动系统到安全模式,然后使用Administrator账号登录并删除或修改这一策略即可。因为安全模式下使用Administrator账号登录是不受这些策略影响的。
  
  在本例中,我们假设了这样的应用:员工的计算机仅可运行操作系统自带的所有程序(C盘),以及工作所必须的Word、Excel、PowerPoint和Outlook,其版本号皆为2003,并假设Office程序安装在D盘,员工电脑的操作系统为Windows XP Professional。
  
  运行Gpedit.msc打开组策略编辑器,仔细看就可以发现,在“计算机配置”和“用户设置”下都各有一个软件限制策略的条目,到底使用哪个?如果你希望这个策略仅对某个特定用户或用户组生效,则使用“用户配置”下的策略;如果你希望对本地登录到计算机的所有用户生效,则使用“ 计算机配置”下的策略。这里我们需要对所有用户生效,因此选择使用“计算机配置”下的策略。
  
  在开始配置之前我们还需要考虑一个问题,我们所允许的软件都有哪些特征,而禁用的软件又有哪些特征,我们要想出一种最佳的策略,能使所有需要的软件正确运行,而所有不必要的软件一个都无法运行。在本例中,我们允许的大部分程序都位于系统盘(C盘)的Program Files以及Windows文件夹下,因此我们在这里可以通过文件所在路径的方法决定哪些程序是被信任的。而对于安装在D盘的Office程序,也可任意通过路径或者文件哈希的方法来决定。
  
  点击打开“计算机配置”下的软件限制策略条目,接着在“操作”菜单下点击“创建新的策略”(目前在安装SP1的XP上,这里默认是没有任何策略的,但是对于安装SP2的系统,这里已经有了建好的默认策略),系统将会创建两个新的条目:“安全级别”和“其它规则”。其中在安全级别条目下有两条规则,“不允许的”和“不受限的”,其中前者的意思是,默认情况下,所有软件都不允许运行,只有特别配置过的少数软件才可以运行; 而后者的意思是,默认情况下,所有软件都可以运行,只有特别配置过的少数软件才被禁止运行。因为我们本例中需要运行的软件都已经定下来了,因此我们需要使用“不允许的”作为默认规则。双击这条规则,然后点击“设为默认”按钮,并在同意警告信息后继续。
  
  接着打开“其他规则”条目,可以看到,默认情况下这里已经有四个规则,都是根据注册表路径设置的,而且默认都设置为“不受限的”。强烈提醒你,千万不要修改这四个规则,否则你的系统运行将会遇到很大麻烦,因为这四个路径都涉及到了重要系统程序及文件所在的 位置。同时,我们前面说过的,位于系统盘下Program Files文件夹以及Windows文件夹下的文件是允许运行的,而这四条默认的规则已经包含了这个路径,因此我们后面要做的只是为Office程序添加一个规则。在右侧面板的空白处点击鼠标右键,选择“新建哈希规则”,然后可以看到下图的界面。在这里点击“浏览”按钮,然后定位所有允许使用的Office程序的可执行文件(还记得分别是什么吗?winword.exe、excel.exe、powerpnt.exe、outlook.exe),并双击加入。接着在“安全级别”下拉菜单下选择“不受限的”,然后点击确定退出。重复以上步骤,把这四个软件的可执行文件都添加进来,并设置为不受限的。
  
  到这里大家可以考虑一个问题,为什么我们选择为每个程序的可执行文件建立哈希规则?统一为Office应用程序建立一个路径规则不是更简单?其实这样才可以避免可执行文件被替换,或者用户把一些不需要安装的绿色软件复制到这个目录下运行。因为如果建立的是目录规则,那么所有保存在允许目录下的文件都将可以被执行,包括允许程序本身的文件,也包括用户复制进 来的任何其他文件。而哈希规则就不同了,一个特定文件的哈希值是固定的,只要文件内容不发生变化,那么它的哈希值就永远不会变。这样也就避免了造假的可能。不过同时也存在一个问题,虽然文件的哈希值可以不变化,但是文件本身可能会需要某些改变。例如你安装 了一个Word的补丁程序,那么winword.exe文件的哈希值可能就会变化。因此如果你选择创建这种规则,每当软件更新后你也需要看情况同步更新一下相应的规则。否则正常程序的运行也会被影响。
  
  除此之外,这里还有几条策略可以被我们利用:强制,可以限定软件限制策略应用到哪些文件以及是否应用到Administrator账户;指派的文件类型,用于指定具有哪些扩展名的文件可以被系统认为是可执行文件,我们可以添加或删除某种类型扩展名的文件;收信任的出版商,则可以用来决定哪些用户可以选择收信任的出版商,以及信任之前还需要采取的其他操作。这三个策略可以根据自己的实 际情况作出选择。
  
  当软件显示策略设置好之后,一旦被限制的用户试图运行被禁止的程序,那么系统将会立刻发出警告并拒绝执行。
曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

对于在本地计算机上存储的重要数据,我们可以利用很多途径来对它进行一系列的保护
  。但是,当数据在网络上传输时,不会被加密。这时候怎么办?Windows 2000的IP安全特性
  解决了这个问题。
  
  IP安全性(Internet Protocol Security)是Windows 2000中提供的一种安全技术,它是
  一种基于点到点的安全模型,可以实现更高层次局域网数据的安全性。
  
  
  创建IP安全策略
  
  
  在网络上传输数据的时候,通过创建IP安全策略,利用点到点的安全模型,能够安全有
  效地把源计算机的数据传输到目标计算机。下面是创建IP安全策略的方法:
  
  1.选“开始→运行”,在“运行”对话框窗口的“打开”编辑框中输入“mmc”,单击“
  确定”按钮,启动“控制台”对话框窗口。
  
  2.单击“控制台”菜单中的“添加/删除管理单元”选项,启动“添加/删除管理单元”
  对话框,单击“独立”选项卡中的“添加”按钮,启动“添加独立管理单元”对话框窗口。
  
  
  3.在“可用的独立管理单元”列表中选定“IP安全策略管理”。
  
  4.单击“添加”按钮,启动“选择计算机”对话框窗口,并利用各个单选按钮确定当前
  IP安全策略待管理的计算机,可以将管理范围设置为:本地计算机、管理此计算机所在域的
  域策略、管理另一域或另外一台计算机(如图1所示)。
  
  5.逐一单击“完成”按钮与“关闭”按钮即可。
  
  
  设置IP过滤器
  
  
  IP安全属性的每一个组成部分都称为安全策略,而IP过滤器又是安全策略中的重要组成
  部分,因此设置IP过滤器对保护网络数据的传输有着极为重要的作用。
  
  1.添加新IP过滤器
  
  (1)选“开始→运行”在“运行”对话框窗口的“打开”编辑框中输入“mmc”,单击“
  确定”按钮,启动“控制台”对话框窗口。
  
  (2)在“控制台”对话框窗口左侧“控制台根节点”下的“IP安全策略”上单击鼠标右键
  ,然后单击相应快捷菜单中的“管理IP筛选器表和筛选器操作”菜单项,出现“管理IP筛选
  器表和筛选器操作”对话框(如图2所示)。
  
  (3)单击“管理IP筛选器列表”选项卡中的“添加”按钮,启动“IP筛选器列表”对话框
  ,在“名称”编辑框中键入新创建IP过滤器的名称(如“我的IP地址”)并单击“添加”按钮
  ,然后单击“下一步”按钮。
   
  
  
  
  (4)在出现的窗口的“源地址”中输入服务器的IP地址和子网掩码,单击“下一步”按钮
  。
  
  (5)在出现的窗口的“目标地址”中输入客户端的IP地址和子网掩码,单击“下一步”按
  钮。
  
  (6)在窗口的“IP协议类型”中一般选择“TCP/IP”协议。最后单击“完成”按钮即可。
  
  2.编辑已有IP过滤器
  
  (1)在图2所示的窗口中单击“编辑”按钮,启动“IP筛选器列表”对话框窗口。
  
   
  
  
  (2)在“IP筛选器列表”对话框窗口中单击“编辑”菜单选项,启动“筛选器属性”对话
  框窗口,利用对话框中的“寻址”、“协议”、“描述”选项卡更改指定筛选器列表的属性
  设置。例如:利用“寻址”可以更改IP通信的源地址和目标地址设置。
  
  3.编辑指定筛选器
  
  (1)窗口中选择“管理筛选器操作”选项卡的“筛选器操作”列表中选定待编辑其属性设
  置的筛选器操作,如“所有IP通讯”。
  
  (2)单击“编辑”菜单项,启动“*(筛选器操作名称)属性”(如“所有IP通讯”)对话框
  窗口。
  
  
  
  
  (3)利用对话框中定义的单选按钮、安全措施首选顺序列表以及复选框组设置筛选器操作
  ,用户可以根据自己的需要合理设置筛选器,单击“确定”按钮即可(如图3所示)。
  
  这样,通过创建IP安全策略和合理设置IP过滤器,能有效地保证数据在网络传输过程中
  的安全性。
曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

  利用EFS可以对数据进行一定程度的保护,但是,EFS仅负责本地计算机存储数据的安全保护,当数据在网络上传输时,数据不会被加密。这时候怎么办?Windows 2000的IP安全特性解决了这个问题。
  IP安全性(Internet Protocol Security)是Windows 2000中新提供的一种安全技术,它是一种基于点到点的安全模型,可以实现更高层次的局域网数据安全性。   
  创建IP安全策略  
  在网络上传输数据的时候,通过创建IP安全策略,利用点到点的安全模型,能够安全有效地把源计算机的数据传输到目标计算机。下面是创建IP安全策略的方法:
  1、选“开始→运行”,在“运行”对话框窗口的“打开”编辑框中输入“mmc”,单击[确定]按钮,启动“控制台”对话框窗口。   
  2、单击“控制台”菜单中的“添加/删除管理单元”选项,启动“添加/删除管理单元”对话框,单击“独立”选项卡中的[添加]按钮,启动“添加独立管理单元”对话框窗口。   
  3、在“可用的独立管理单元”列表中选定“IP安全策略管理”。   
  4、单击[添加]按钮,启动“选择计算机”对话框窗口,并利用各个单选按钮确定当前IP安全策略待管理的计算机,可以将管理范围设置为:本地计算机、管理此计算机所在域的域策略、管理另一域或另外一台计算机(如图1所示)。
   
  5、逐一单击[完成]按钮与[关闭]按钮即可。   
  设置IP过滤器   
  IP安全属性的每一个组成部分都称为安全策略,而IP过滤器又是安全策略中的重要组成部分,因此设置IP过滤器对保护网络数据的传输有着极为重要的作用。   
  1、添加新IP过滤器  
  (1)选“开始→运行”在“运行”对话框窗口的“打开”编辑框中输入“mmc”,单击[确定]按钮,启动“控制台”对话框窗口。 
  (2)在“控制台”对话框窗口左侧“控制台根节点”下的“IP安全策略”上单击鼠标右键,然后单击相应快捷菜单中的“管理IP筛选器表和筛选器操作”菜单项,出现“管理IP筛选器表和筛选器操作”对话框(如图2所示)。
   
  (3)单击“管理IP筛选器列表”选项卡中的[添加]按钮,启动“IP筛选器列表”对话框,在“名称”编辑框中键入新创建IP过滤器的名称(如“我的IP地址”)并单击[添加]按钮,然后单击[下一步]按钮。
  (4)在出现的窗口的“源地址”中输入服务器的IP地址和子网掩码,单击[下一步]按钮。   
  (5)在出现的窗口的“目标地址”中输入客户端的IP地址和子网掩码,单击[下一步]按钮,出现如图3所示的窗口。
   
  (6)在图3所示窗口的“IP协议类型”中一般选择“TCP/IP”协议。最后单击[完成]按钮即可。   
  2、编辑已有IP过滤器   
  (1)在图2所示的窗口中单击[编辑]按钮,启动“IP筛选器列表”对话框窗口。   
  (2)在“IP筛选器列表”对话框窗口中单击“编辑”菜单选项,启动“筛选器属性”对话框窗口(如图4所示),利用对话框中的“寻址”、“协议”、“描述”选项卡更改指定筛选器列表的属性设置。例如:利用“寻址”可以更改IP通信的源地址和目标地址设置。
   
  3、编辑指定筛选器   
  (1)在图3所示窗口中选择“管理筛选器操作”选项卡的“筛选器操作”列表中选定待编辑其属性设置的筛选器操作,如“所有IP通讯”。
  (2)单击“编辑”菜单项,启动“*(筛选器操作名称)属性”(如“所有IP通讯”)对话框窗口。
  (3)利用对话框中定义的单选按钮、安全措施首选顺序列表以及复选框组设置筛选器操作,用户可以根据自己的需要合理设置筛选器,单击[确定]按钮即可(如图5所示)。
  
  这样,通过创建IP安全策略和合理设置IP过滤器,能有效地保证数据在网络传输过程中的安全性。
曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

  配置 TCP/IP 安全:
  
  1. 单击开始,指向设置,单击控制面板,然后双击网络和拨号连接。
  
  2. 右键单击要在其上配置入站访问控制的接口,然后单击属性。
  
  3. 在选定的组件被这个连接所使用框中,单击 Internet 协议 (TCP/IP),然后单击属性。
  
  4. 在 Internet 协议 (TCP/IP) 属性对话框中,单击高级。
  
  5. 单击选项选项卡。
  
  6. 单击 TCP/IP 筛选,然后单击属性。
  
  7. 选中启用 TCP/IP 筛选(所有适配器)复选框。选中此复选框后,将对所有适配器启用筛选,但您要逐个为适配器配置筛选器。同一筛选器并不适用于所有适配器。
  
  8. 该窗口中一共有三列,分别标记为:
  
  TCP 端口
  
  UDP 端口
  
  IP 协议在每一列中,都必须选择下面的某个选项:
  
  全部允许。如果要允许 TCP 或 UDP 通信的所有数据包,请保留全部允许处于选中状态。
  
  仅允许。如果只允许选定的 TCP 或 UDP 通信,请单击仅允许,再单击添加,然后在添加筛选器对话框中键入相应的端口。
  
  如果要阻止所有 UDP 或 TCP 流量,请单击仅允许,但不要在 UDP 端口或 TCP 端口列中添加任何端口号。如果您为 IP 协议选中了仅允许并排除了 IP 协议 6 和 17,并不能阻止 UDP 或 TCP 通信。
  
  请注意,即使在 IP 协议列中选择了仅允许而且不添加 IP 协议 1,也无法阻止 ICMP 消息。
  
  “TCP/IP 筛选”只能筛选入站流量。此功能不影响出站流量,也不影响为接受来自出站请求的响应而创建的响应端口。如果需要更好地控制出站访问,请使用 IPSec 策略或数据包筛选。
  
  以下是关于IPSec 策略的官方说明
  
  Internet 协议安全 (IPSec) 循序渐进指南
  
  在进行IPSec完整性配置时,有两个选项 :Message Digest 5 (MD5)和安全散列算法1(Secure Hash Algorithm 1 ,简称SHA1)。后者的安全度更高,但需要更多的 CPU资源,MD5使用128位散列算法,而SHA1使用的160位算法。
  
  IPSec 认证协议
  
  当两个系统互相交换加密数据之前,需要相互对加密的数据包进行安全认定。这个安全认定成为安全协定(security association,简称SA)。在相互通信之前,两个系统必须认定对同一SA。
  
  因特网密钥交换协议(Internet Key Exchange,简称IKE)管理着用于IPSec连接的 SA协议过程。IKE是因特网工程任务组(Internet Engineering Task Force,简称IETF)制定的关于安全协议和密钥交换的标准方法。IKE的操作分两阶段:第一阶段确保通信信道的安全,第二阶段约定SA的操作。
  
  为了建立IPSec通信,两台主机在SA协定之前必须互相认证,有三种认证方法:
  
  Kerberos - Kerberos v5常用于Windows Server 2003,是其缺省认证方式。 Kerberos能在域内进行安全协议认证,使用时,它既对用户的身份也对网络服务进行验证。Kerberos的优点是可以在用户和服务器之间相互认证,也具有互操作性。Kerberos可以在 Server 2003的域和使用Kerberos 认证的UNix环境系统之间提供认证服务。
  
  公钥证书 (PKI) - PKI用来对非受信域的成员,非Windows客户,或者没有运行Kerberos v5 认证协议的计算机进行认证,认证证书由一个作为证书机关(CA)系统签署。
  
  预先共享密钥 -在预先共享密钥认证中,计算机系统必须认同在IPSec策略中使用的一个共享密钥 ,使用预先共享密钥仅当证书和Kerberos无法配置的场合。
  
  IPSec加密协议
  
  IPSec提供三种主要加密方法,如下
  
  数据加密标准 (DES 40位) - 该加密方法性能最好,但安全性较低。该 40位数据加密标准(Data Encryption Standard,简称DES)通常被称为 安全套接字层(Secure Sockets Layer,简称SSL)。适用于数据安全性要求较低的场合。
  
  数据加密标准 (DES 56位) - 通过IPSec策略,可以使用56位 DES的加密方法。1977年美国国家标准局公布了DES算法,它可以在通信过程中经常生成密钥。该功能可防止因为一个DES密钥被破译而整个数据集的安全受到影响。但是在商业中被认为过时了,仅用于传统的应用支持,有专门的硬件可以破译标准的 56位密钥。
  
  3DES - IPSec策略可以选择一个强大的加密算法3DES,其安全性比DES更高。3DES也使用了56位密钥,但使用了三个。结果3DES成为 168位加密算法,用于诸如美国G0vernment这样的高机密的环境中。采用该策略的所有计算机将都遵守这样的机制。
  
  IPSec传输模式
  
  IPSec可以在两种不同的模式下运作:传输模式和隧道模式。这些模式指的是数据在网络中是如何发送和加密的。在传输模式下,IPSec的保护贯穿全程:从源头到目的地,被称为提供终端到终端的传输安全性 。
  
  隧道模式仅仅在隧道点或者网关之间加密数据。隧道模式提供了网关到网关的传输安全性。当数据在客户和服务器之间传输时,仅当数据到达网关时才得到加密,其余路径不受保护。一旦到达网关,就采用IPSec进行加密,等到达目的网关之后,数据包被解密和验证,之后数据发送到不受保护的目的主机。隧道模式通常适用于数据必须离开安全的LAN或者WAN的范围,且在诸如互联网这样的公共网络中传输的场合。
  
  我看了几个朋友的服务器配置,每一个人都使用的是TCP/IP筛选对网站的访问端口进行设定,这到没什么关系,但对IPSec 策略最多也只设定封一下ICMP,别的都没设定,出于安全考虑,这样做不是很好,因为...
  
  我来做个比较
  
  TCP/IP筛选只可只设定客户端通过几个固定的TCP或UDP端口进行对服务器的访问,或限定IP访问,每增加一次就要重启服务器一次,只能适合比较小型访问,原来我为了让Serv_u能进行正常访问,加了N个端口,累的要死(因为FTP软件连接到FTP服务器的话,会随机使用一些端口,因为设定问题,就看不到目录了)...现在想起来也好笑.
  
  IPSec 策略可设定即时生效,不用重启服务器,可对端口或IP进行封锁或访问,可拒绝一些不安全端口的访问,也可像TCP/IP筛选一样只设定客户端通过几个固定的TCP或UDP端口进行对服务器的访问,可选择性要大很多,其中的许可比拒绝优先,这样就可以设定优先通过某一些特定的IP,也可设定某个IP只能访问某个端口之类的,只要你有想像力,哈哈,就很简单了,这里我写的都是一些知识,没有写操作步骤,因为操作很简单,只要说一下原理,懂原理比操作更快
  
  如安全方面的话,TCP/IP筛选会在注册表中的
  
  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters
  
  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters
  
  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters
  
  中的EnableSecurityFilters值上设定,当为"EnableSecurityFilters"=dword:00000001,即TCP/IP筛选生效,当为"EnableSecurityFilters"=dword:00000000,即TCP/IP筛选失效,这样就给我们一个漏洞了,用regedit -e导出以上三个键值,把EnableSecurityFilters值改成dword:00000000,regedit -s,嘻嘻,你设的再多也等于零
  
  IPSec 策略就没有这个安全隐患,上面还有IPSec 策略的一些加密说明,安全吧??!!而且IP策略可以备份为文件方便在不同的电脑上使用,不过2K和XP或2K3使用的不同,这点到是要注意一下
  
  我给出两个IPSec的策略
  
  windows安全策略包v2.24plus
  
  windows安全策略包服务器版
  
  说明一下,这些设定只是针对端口或IP进行管理的,没什么很高深的东西,而且有一些功能是无法进行设定的(如果什么都能设定的话,那还需要防火墙做什么),但这是WEB服务器的第一道关口,如果不设置好的话,后面很容易出问题的,我刚给出的只是一个例子,破TCP/IP筛选有几种方法,这里就不好说明了,总结一下,TCP/IP筛选只是开胃菜,IPSec 策略是红酒,防火墙是面包,防火墙是主菜(硬件级的),一样也不能少,都要做好设定,那就这样!
曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

  众所周知,Ping命令是一个非常有用的网络命令,大家常用它来测试网络连通情况。但同时它也是把“双刃剑”,特别是在网络高速发展的今天,一些“不怀好意”的人在互联网中使用它来探测别人的机器,以此来达到不可告人的目的。为了保证机器在网络中的安全,现在很多人都非常重视“防Ping”,当然“防Ping”的方法和手段也非常多,如利用IPSec安全策略、Windows内置的防火墙、第三方防火墙工具、路由和远程访问组件等,到底这些“防Ping”方法的效果如何,是不是适合你使用,下面笔者带着你一起来看吧!
  
  IPSec安全策略“防Ping”,还是要慎用
  
  使用IPSec安全策略“防Ping”,是大家常用的一种方法,经过对IPSec安全策略简单的几步配置,就可以实现防Ping的效果。该方法配置比较简单,并且IPSec安全策略是Windows系统内置的一个功能组件,不需要额外安装,因此得到不少用户的喜爱。但这里笔者还是要提醒大家,使用IPSec安全策略“防Ping”,还是要慎用。
  
  为什么这么说呢?首先我们看看IPSec安全策略是如何“防Ping”的,其原理是通过新建一个IPSec策略来过滤掉本机所有的ICMP数据包实现的。这样确实是可以有效的“防Ping”,但同时也会留下后遗症。
  
  因为Ping命令和ICMP协议(Internet Control and Message Protocal)有着密切的关系,在ICMP协议的应用中包含有11种报文格式,其中Ping命令就是利用ICMP协议中的“Echo Request”报文进行工作的。但IPSec安全策略防Ping时采用格杀勿论的方法,把所有的ICMP报文全部过滤掉,特别是很多有用的其它格式的报文也同时被过滤掉了。因此在某些有特殊应用的局域网环境中,容易出现数据包丢失的现象,影响用户正常办公,因此笔者建议大家还是要慎用IPSec安全策略“防Ping”。
  
  使用第三方防火墙工具
  
  大家已经知道了IPSec安全策略“防Ping”的不足之处,为了保证本地机器发出的数据包通过网络被正确的传送给目标主机,大家可以采用别的更加有效的方法,如使用网络防火墙“防Ping”。
  
  对于一般的上网用户来说,使用个人网络防火墙“防Ping”是最简单的一种方法。应用此方法“防Ping”不需要进行复杂的设置,只要你正确配置好防火墙内置的“防Ping”规则,就可以轻松实现“防Ping”的目的。个人网络防火墙的种类较多,几乎都可以有效实现“防Ping”,如天网个人防火墙、瑞星个人网络防火墙、Windows防火墙(或ICF)等,下面笔者以瑞星个人网络防火墙为例,介绍如何配置防火墙实现“防Ping”目的。
  
  运行瑞星个人网络防火墙主程序后,在主窗口中点击“设置→设置规则”选项,弹出“瑞星个人网络防火墙规则设置”窗口,在规则列表中一定要选中“缺省的ICMP入站”规则,接着双击此规则,弹出“规则属性”对话框(如图1),在这里大家可以进行详细参数设置,在“类别”框中选中“系统”选项,“方向”框中选择“接收”选项,“协议”框中一定要选中Ping命令使用的“ICMP”协议了,操作框中选择“禁止”选项。这里要注意ICMP报文类型的选择,切换到“ICMP类型”标签页中,在“类型”下拉列表框中一定要选择“Echo Request”项,最后点击“修改”按钮,保存设置。这样瑞星个人网络防火墙就可以过滤掉,Ping命令所使用的名为“Echo Request”的ICMP报文了,而别的有用的ICMP报文则可以安全通过。完成以上设置后,就实现了利用个人网络防火墙有效“防Ping”的目的。
  
  使用“路由与远程访问”组件
  
  对于局域网用户来说,个人网络防火墙就很难满足他们的需要了,这时你就要使用企业级的网络防火墙“防Ping”,如ISA 2004等,但对于一些小型局域网来说,这些企业级防火墙过于昂贵,难以接受,其实利用Windows 2000/Server 2003服务器操作系统的“路由和远程访问”组件就能解决这个问题,并且该组件是Windows系统内置的,不需要额外购买。
  
  下面笔者以Windows Server 2003系统为例,介绍如何利用“路由和远程访问”组件“防Ping”。大家都知道,“路由和远程访问”组件内置了路由表管理、VPN服务、IP报文过滤等功能,默认情况下,Windows Server 2003系统并没有启用路由和远程访问服务,所以要首先手工启用它。在Windows Server 2003网关服务器中,进入到“控制面板→管理工具”窗口,运行“路由和远程访问”工具,在“路由和远程访问”主窗口中,右键点击“本地”服务器,在弹出的菜单中选择“配置并启用路由及远程访问”选项,接着在“路由及远程访问服务器安装向导”对话框中点击“下一步”按钮,选择“自定义配置”选项,然后点击“下一步”,在接下来的窗口中选择“LAN路由器”选项,最后点击“完成”按钮。
  
  在“路由和远程访问”主窗口中依次展开“IP路由选择→常规”选项,接着在“常规”框体中右键点击接入互联网的那块网卡(如图2),选择“属性”选项,然后在属性对话框中点击“入站筛选器”按钮,弹出“入站筛选器”对话框后,选择“接收所有除符合下列条件以外的数据包”选项,下面点击“新建”按钮,弹出“添加IP筛选器”对话框(如图3),在协议下拉列表框中选择“ICMP”协议,接着在“ICMP类型”和“ICMP代码”栏中分别输入“8和0”,最后点击“确定”按钮。其中ICMP类型为“8”、ICMP代码为“0”的报文就是Ping命令所使用的“Echo Request”报文,最后点击“确定”按钮,完成“防Ping”设置。
  
  以上笔者介绍了几种不同的“防Ping”方法,分别适用于不同的网络环境,如果你感兴趣的话,不妨试试。


曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

  IPSec本身没有为策略定义标准,策略的定义和表示由具体实施方案解决,以下对IPSec策略的介绍以Windows 2000为例。
  
  在Windows 2000中,IPSec策略包括一系列规则(规则规定哪些数据流可以接受,哪些数据流不能接受)和过滤器(过滤器规定数据流的源和目标地址),以便提供一定程度的安全级别。在Windows 2000的IPSec实现中,既有多种预置策略可供用户选择,也可以让用户根据企业安全需求自行创建策略。IPSec策略的实施有两种基本方法,一是在本地计算机上指定策略,二是使用Windows 2000 "组策略"对象,由其来实施策略。IPSec策略可适用于单机、域、路由器、网站或各种自定义组织单元等多种场合。
  
  一、规则
  
  规则规定IPSec策略何时以及如何保护IP通信。根据IP数据流的类型、源和目的地址,规则应该具有触发和控制安全通信的能力。每一条规则包含一张IP过滤器列表和与之相匹配的安全设置,这些安全设置有:1)过滤器动作 2)认证方法 3)IP隧道设置 4)连接类型。
  
  一个IPSec策略包含一至多条规则,这些规则可以同时处于激活状态。例如,用户为某网站路由器指定安全策略,但对经过该路由器的Intranet和Internet通信有不同的安全要求,那么,这个策略就可以包含多条规则,分别对应于Intranet和Internet的不同场景。IPSec实现中针对各种基于客户机和服务器的通信提供了许多预置规则,用户可根据实际需求使用或修改。
  
  二、过滤器和过滤器动作
  
  规则具有根据IP数据流的类型以及源和目的地址为通信触发安全协商的能力,这一过程也称为IP包过滤。应用包过滤技术,可以精确地定义哪些IP数据流需要受保护,哪些数据流需要被拦截,哪些则可以绕过IPSec应用(即无须受保护)。
  
  一个过滤器由以下几个参数决定:IP包的源和目的地址;包所使用的传输协议类型;TCP和UDP协议的源和目的端口号。一个过滤器对应于一种特定类型的数据流。 过滤器动作为需要受保护的IP通信设置安全需求,这些安全需求包括安全算法,安全协议和使用的密钥属性等等。
  
  除了为需要受保护的IP通信设置过滤器动作外,还可以将过滤器动作配置成:
  
  ·绕过策略,即某些IP通信可以绕过IPSec,不受其安全保护。这类通信主要有以下三种情况:1)远程主机无法启用IPSec,2)非敏感数据流无须受保护,3)数据流本身自带安全措施(例如使用Kerberos v5、SSL或 PPTP协议)。
  ·拦截策略,用于拦截来自特定地址的通信。
  
  三、连接类型
  
  每一条规则都需要指明连接类型,用以规定IPSec策略的适用范围:如拨号适配器或网卡等。规则的连接属性决定该规则将应用于单种连接还是多种连接。例如,用户可以指明某条安全需求特别高的规则,只应用于拨号连接,而不应用于LAN连接。
  
  四、认证
  
  一条规则可以指定多种认证方法。IPSec支持的认证方法主要有:
  
  ·Kerberos v5:Windows 2000的缺省认证协议。该认证方法适用于任何运行Kerberos v5协议的客户机(无论该客户机是否基于Windows)。
  ·公钥证书认证:该认证方法适用于Internet访问、远程访问、基于L2TP的通信或不运行Kerberos v5协议的主机,要求至少配置一个受信赖的认证中心CA。 Windows 2000的IKE可以和Microsoft、Entrust和VeriSign等多家公司提供的认证系统相兼容,但不推荐使用预置共享密钥认证,因为该认证方法不受IPSec策略保护,为避免使用预置共享密钥认证可能带来的风险,一般建议使用Kerberos v5认证或公钥证书认证。
曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

   通过组策略我们还可以自定义IE工具栏,打造属于我们自己的IE。 方法如下:打开“组策略控制台→用户配置→Windows设置→Internet Explorer维护→浏览器用户界面”下的“浏览器工具栏按钮自定义”策略配置项目,在这里,我们可以自定义浏览器工具栏的背景图片,点击“浏览”选择一个BMP的位图文件即可。另外我们还可以在IE的工具栏上添加自己的快捷方式,比如添加“我的QQ”,在这里也可以很轻松地完成。,打开组策略的“用户配置→Windows设置→Internet Explorer维护→浏览器工具栏自定义”对话框,点击“添加”按钮,弹出“浏览器工具栏按钮信息”对话框,在这里就可对QQ按钮进行详细设置了,输入按钮的标题,找到QQ安装执行程序路径,并将制作好的QQ两个明暗头像,分别输入到颜色图标栏和灰色图标栏中,点击“确定”,再次打开IE后就可以看到修改的效果了。
曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

   每次冲浪过后,系统都会“自做主张”地记录下上网的痕迹,其他人很容易通过这些痕迹,偷窥到自己的上网隐私。为了避免自己的隐私不被外人非法偷窥到,你或许会在每次冲浪结束后,用手工清除的方法将各种上网痕迹逐一抹除掉,很显然这种方法不但烦琐,而且也不大容易记住。其实,你可以通过下面的方法,让系统在注销的那一刻自动抹除所有的上网痕迹:
   首先创建一个批处理文件,确保在执行完该文件后,能自动将所有的上网痕迹全部清除掉。在创建这样的批处理文件时,可以先打开记事本之类的文本编辑工具,然后在编辑界面中输入下面的命令代码:
   @echo off
   cd c:\windows\local settings\temporary internet files
   c:\windows\command\deltree .\*.* /y
   之后,依次执行文本编辑界面中的“文件”/“保存”命令,将前面的命令代码保存成扩展名为“bat”的批处理文件,例如这里笔者将它保存为 “autodel.bat”文件,当然该文件只对Win98或WinMe系统有效,如果要想自动清除Win2000以上版本系统中的上网痕迹时,就必须在文本编辑界面中输入下面的命令代码:
   @echo off
   cd c:\ documents ad settings\administrator\local settings\temporary internet files
   c:\winnt\system32\deltree .\*.* /y
   而且要想让上面的批处理文件执行成功的话,还需要事先将Win98系统下的“Deltree.exe”命令,直接复制到Win2000以上版本系统的“c:\winnt\system32”目录下;当然如果Windows系统并没有按照默认设置来安装时,还需要将批处理文件中的系统安装路径,设置成实际的安装路径。
   其次,依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入组策略编辑命令“Gpedit.msc”,单击“确定”按钮后,再依次展开组策略编辑窗口中的“用户配置”、“Windows设置”、“脚本(登录/注销)”分支;
   然后在弹出的图1界面中,双击“注销”选项,在接着打开的注销属性设置窗口中,单击一下“添加”按钮,在弹出的文件选择对话框中导入 “autodel.bat”文件,最后单击“确定”按钮,这样的话你以后每次在退出计算机系统时,“autodel.bat”文件就会被自动执行,以便让冲浪痕迹自动抹除。

曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

 1、给“开始”菜单减肥(Windows 2000/XP/2003)
  
   如果觉得Windows的“开始”菜单项太多,可以通过组策略将不需要的菜单项从“开始”菜单中删除。在组策略右侧窗格中,提供了“从开始菜单删除用户文件夹”、“删除到‘Windows Update’的访问和链接”、“从开始菜单删除公用程序组”、“从开始菜单中删除‘我的文档’图标”等多种组策略配置项目。你只要将不需要的菜单项所对应的策略启用即可。

  
   2、禁止随意修改任务栏和“开始”菜单 (Windows 2000/XP/2003)
  
   为保护自己好不容易设置好的任务栏和“开始”菜单,你只要将组策略控制台右侧窗格中的“阻止更改‘任务栏和开始菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启用即可。这样,当你用鼠标右键单击任务栏并单击“属性”时,系统会出现一个错误消息,且当鼠标右键单击任务栏及任务栏上的项目时,例如“开始”按钮、时钟和“任务栏”按钮,弹出菜单会隐藏。
  
   3.禁止“注销”和“关机”(Windows 2000/XP/2003)
  
   如果你不想让他人再进行“关机”和“注销”操作的话,可将组策略控制台右侧窗格中的“删除开始菜单上的‘注销’”和“删除和阻止访问‘关机’命令”两个策略启用。 这个设置会从开始菜单删除“关机”选项,并禁用“Windows 任务管理器”对话框 按“Ctrl+Alt+Del”会出现这个对话框 中的“关机”选项 。应注意的是,该设置虽然可防止用户用 Windows界面来关机,但无法防止用户用其他第三方工具程序来将 Windows 关闭。
  
   4、防止隐私泄漏 (Windows 2000/XP/2003)
  
   在开始菜单中有一个“我最近的文档”菜单项,可以记录你曾经访问过的文件。这个功能可以方便用户再次打开该文件,但别人也可通过此菜单访问你最近打开的文档,为安全起见,有时需要屏蔽此功能。利用组策略,只要在右侧窗格中将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启用即可。同时要注意如果启用此策略设置但不启用“从开始菜单中删除文档菜单”策略设置,“文档”菜单还会出现在“开始”菜单上,但是该菜单为空菜单。如果启用此策略设置,后来又禁用它并将它设置为“未配置”,则启用策略设置之前保存的文档快捷方式会重新出现在“文档”菜单和应用程序的“文件”菜单中。
  
   5、去掉Windows XP“开始”菜单中的图形化设置
  
   Windows XP的“开始”菜单增添了许多图形化设置,其实可在组策略中将这些功能关闭。“关闭个性化菜单”:Windows XP会自动将最近使用的菜单项移动到开始菜单顶部,并且隐藏最近没有使用的菜单项,以此实现个性化菜单,启用此设置将关闭个性化菜单。“强制典型菜单”:启用此设置,开始菜单就以Windows 2000样式显示典型的开始菜单,并且显示标准桌面图标。
曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

  Windows的桌面就像我们的办公桌一样,需要经常进行整理和清洁,而组策略就如同我们的贴身秘书,让桌面管理工作变得易如反掌。下面就让我们来看看几个实用的配置实例:
  
  位置:“组策略控制台→用户配置→管理模板→桌面”
  
  1.隐藏桌面的系统图标(Windows 2000/XP/2003)
  
  虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能,但这样比较麻烦,也有一定的风险。而采用组策略配置的方法,可以方便快捷地达到此目的。
  
  比如要隐藏桌面上的“网上邻居”和“Internet Explorer”图标,只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可;如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可;当启用了“删除桌面上的‘我的文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失;同样如果要让“回收站”图标消失,只须将“从桌面删除回收站”策略项启用即可。


  2.退出时不保存桌面设置(Windows 2000/XP/2003)
  
  此策略可以防止用户保存对桌面的某些更改。如果你启用这个策略,用户仍然可以对桌面做更改,但有些更改,如图标的位置、任务栏的位置及大小,在用户注销后都无法保存,不过任务栏上的快捷方式总可以被保存。
  
  在右侧窗格中将“退出时不保存设置”这个策略选项启用即可。
  
  3.屏蔽“清理桌面向导”功能(Windows XP/2003)
  
  “清理桌面向导”会每隔 60 天自动在用户的电脑上运行,以清除那些用户不经常使用或者从不使用的桌面图标。如果启用此策略设置,则可以屏蔽“清理桌面向导”,如果你禁用或不配置此设置,“清理桌面向导”会按照默认设置每隔60天运行一次。
  
  打开右侧窗格中的“删除清理桌面向导”,根据需要设置策略选项即可。
  
  4.启用/禁用“活动桌面”(Windows 2000/XP/2003)
  
  “活动桌面”是Windows 98(及以后版本)或安装了IE 4.0的系统中自带的高级功能,最大的特点是可以设置各种图片格式的墙纸,甚至可以将网页作为墙纸显示。但出于对安全和性能的考虑,有时候我们需要禁用这一功能(并且禁止用户启用它),通过策略设置可以轻松达到这一要求。具体操作方法:打开右侧窗格中的“禁用活动桌面”并启用此策略。
  
  提示:如果同时启用“启用 Active Desktop”设置和“禁用 Active Desktop”设置,则“禁用 Active Desktop”设置会被忽略。如果 “禁用 Active Desktop 和 Web 视图”设置(在“用户配置→管理模板→Windows组件→Windows资源管理器”中)被启用,Active Desktop 就会被禁用,并且这两个策略都会被忽略。
  
  以上介绍了几个关于桌面的组策略配置项目,在“组策略控制台→用户配置→管理模板→桌面”下还有其他若干组策略配置项目,读者可根据需要进行配置,这里不再赘述。
曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

禁止更改显示属性(Windows 2000/XP/2003)
  
  选择“控制面板”中的“显示”或在Windows桌面的空白处单击右键选择“属性”,可进入“显示设置”对话框,可以对桌面主题、桌面背景、屏保程序、显示设置等各项进行设置,如果你不想让别人随意更改各项设置,可以通过组策略将它隐藏起来。
  
  打开“组策略控制台→用户配置→管理模板→控制面板→显示”,然后可以看到隐藏桌面选项卡、隐藏主题选项卡、隐藏保护程序选项卡、隐藏设置选项卡等策略配置,可根据需要对这些项目进行配置。比如启用了“隐藏‘桌面’选项卡”策略后,再打开“显示属性”对话框,就看不到“桌面”标签了,这样自然就无法再对桌面属性进行更改了。


彻底禁止访问“控制面板”(Windows 2000/XP/2003)
  
  如果不希望其他用户访问计算机的“控制面板”,同样可以使用组策略来实现。打开“组策略控制台→用户配置→管理模板→控制面板”中的“禁止访问控制面板”并启用此策略。
  
  此策略启用后可以防止“控制面板”程序文件(Control.exe)的启动。他人将无法启动“控制面板”(或运行任何“控制面板”项目)。另外,这个设置将从“开始”菜单中删除“控制面板”。同时这个设置还从“Windows资源管理器”中删除“控制面板”文件夹。


禁用“添加/删除程序”(Windows 2000/XP/2003)
  
  “控制面板”中“添加或删除程序”项目允许你安装、卸载、修复并添加和删除 Windows 的功能和组件以及种类很多的 Windows 程序。如果你想阻止其他用户安装或卸载程序,可利用组策略来实现。
  
  打开“组策略控制台→用户配置→管理模板→控制面板→添加→删除程序”中的“删除‘添加/删除程序’程序”并启用此策略,当我们再打开“控制面板”中“添加/删除程序”模块的时候,会自动弹出警告窗口,而“添加/删除程序”则无法运行。
  
  此外,在“添加/删除程序”分支中还可以对Windows“添加/删除程序”项中的“添加新程序”、“从CD-ROM或软盘添加程序”、“从Microsoft添加程序”、“从网络添加程序”等项进行隐藏,通过这些策略项目的设置,起到了保护计算机中系统文件及应用程序的作用。
曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

禁止建立新的拨号连接(Windows 2000/XP/2003)
  
  如果不想让别人在计算机中建立新连接来拨号上网的话,组策略也可以做到。打开“组策略控制台→用户配置→管理模板→网络→网络连接”中的“禁止访问新建连接向导”并启用此策略。
  
  启用此策略后,在“网络连接”文件夹和“开始菜单”中就不会出现“建立新连接”。
  
  提示:此设置无法阻止用户使用诸如 Internet Explorer 这样的其它程序来绕过此设置。另外此设置必须重新启动计算机后才能生效。
曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

禁止使用命令提示符(Windows 2000/XP/2003)
  
   在Windows 2000/XP/2003下,我们可以运行cmd.exe进入命令提示符状态,并可以继续运行一些DOS命令和其他命令行程序。出于对安全的考虑,有些系统应该屏蔽此功能。
  
   打开“组策略控制台→用户配置→管理模板→系统”中的“阻止访问命令提示符”并启用此策略,并在下面列表框中选择是否“也停用命令提示符脚本处理”,这个设置还决定批处理文件 .cmd和.bat 是否可以在计算机上运行。
  
   如果启用这个设置,在用户试图打开命令窗口时,系统会显示一条消息,解释设置阻止这一操作。


禁用注册表编辑器(Windows 2000/XP/2003)
  
  为了防止他人进入电脑后对注册表文件进行修改,可以在组策略中对注册表编辑器做禁止访问设置。具体操作方法:打开“组策略控制台→用户配置→系统”中的“阻止访问注册表编辑工具”并启用此策略。
  
  此策略被启用后,用户试图启动注册表编辑器(Regedit.exe 及 Regedt32.exe)的时候,系统会禁止这类操作并弹出警告消息。

限制使用应用程序(Windows 2000/XP/2003)
  
  如果你的电脑设置了多个用户,有些程序我们可能不希望其他用户随意运行,也能在组策略中设置。
  
  打开“组策略控制台→用户配置→管理模板→系统”中的“只运行许可的Windows应用程序”并启用此策略,然后点击下面的“允许的应用程序列表”边的“显示”按钮,弹出一个“显示内容”对话框,在此单击“添加”按钮来添加允许运行的应用程序即可。以后一般用户只能运行“允许的应用程序列表”中的程序。
曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

关闭缩略图的缓存(Windows XP/2003)
  
   Windows XP/20003系统系统具有缩略图的功能,为加快那些被频繁浏览的缩略图显示速度,系统还会将这些显示过的图片置于缓存中,以便下次打开时直接读取缓存中的信息,从而达到快速显示的目的。若你不希望系统进行缓存的话,则可利用组策略轻松地关闭缓存功能。由于不进行缓存处理,反而会大大加快第一次浏览的速度。方法如下:打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“关闭缩略图的缓存”并启用此策略。 提示:若你的电脑是一个网络中的共享工作站,为了数据安全,建议你启用该设置以关闭缩略图视图缓存,因为缩略图视图缓存可以被任何人读取。


屏蔽系统自带的CD刻录功能(Windows XP/2003)
  
   Windows XP/2003系统自带CD刻录功能,若你有刻录机连接在电脑上,在Windows 资源管理器中可以直接将数据犹如复制一样写到CD-R上。这样虽然方便,但是会影响系统性能和资源管理器的执行速度,再加之大部分用户都习惯了运用专用刻录软件进行刻录,所以我们建议无论电脑上有无刻录机,都可以利用组策略来屏蔽此功。方法如下:打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“删除CD刻录功能”并启用此策略。 提示:该设置不会阻止用户使用第三方应用程序来刻录或修改CD-R。

限制IE浏览器的保存功能(Windows 2000/XP/2003)
  
   当多人共用一台计算机时,为了保持硬盘的整洁,对浏览器的保存功能进行限制使用是很有必要。那么怎样才能实现呢?具体步骤如下:打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→浏览器菜单”,然后将右侧窗格中的“‘文件’菜单:禁用‘另存为...’菜单项”、“‘文件’菜单:禁用另存为网页菜单项”、“‘查看’菜单:禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目全部启用即可。如果不希望别人对IE浏览器的设置随意更改,可以将“‘工具’菜单:禁用‘Internet选项...’”策略启用。此外,如果个人需要的话,还可以在该窗格中禁用其他项目。


禁止修改IE浏览器的主页(Windows 2000/XP/2003)
  
   在IE浏览器中可以设置默认主页,如果不希望他人对自己设定的IE浏览器主页进行随意更改的话,可以打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→工具栏”,然后选择“禁用更改主页设置”组策略并启用即可。另外在这个窗格中,还提供了“更改历史记录设置”、“更改颜色设置”和“更改Internet临时文件设置”等项目的禁用功能。 启用此策略后,在IE浏览器的“Internet 选项”对话框中,其“常规”选项卡的“主页”区域的设置将变灰,即不可修改。
  
   提示:如果您已经设置了位于“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→Internet Explorer控制面板”中的“禁用常规页”策略,则无须再设置该策略。


禁用“Internet 选项”控制面板(Windows 2000/XP/2003)
  
   如果你对“控制面板”中的选项禁用得较多,不如一步到位——干脆禁止访问“控制面板”,通过下面的组策略设置方法即可实现这一要求:打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→Internet 控制面板”,在右边窗格中我们可以看到“禁用常规页”、“禁用安全页”等组策略项目。下面以“禁用常规页”为例进行说明:打开右边窗格中的“禁用常规页”并设置为“启用”。然后我们再打开Internet选项控制面板,会发现“常规”项目已经没有了,这样一来用户将无法看到和更改主页、缓存、历史记录、网页外观以及辅助功能的设置,因为该策略将删除界面上的“常规”选项卡,所以如果设置了该策略,则无须设置位于 “用户配置→管理模板→Windows 组件→Internet Explorer”中的诸如“禁用更改主页设置”、“禁用更改颜色设置”等策略。


IE设置手到擒来
  
  微软的Internet Explorer让我们可以轻松地在互联网上遨游,但要想用好Internet Explorer,则必须将它配置好。在IE浏览器的“Internet选项”窗口中,提供了比较全面的设置选项(例如:“首页”、“临时文件夹”、“安全级别”和“分级审查”等项目),但部分高级功能没有提供,而通过组策略即可轻松实现这些功能。下面来看具体实例:
  
  位置:“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer(需添加inetres.adm模板文件)”
  
禁用“在新窗口中打开”菜单项(Windows 2000/XP/2003)
  
  出于对安全的考虑,有时候我们有必要屏蔽IE的一些功能菜单,组策略提供了丰富的设置项目,比如禁用“另存为...”、“文件”、“新建”等。下面以“禁用‘在新窗口中打开’菜单项”为例介绍具体的设置方法。
  
  打开“组策略控制台→用户配置→管理模板→Windows 组件→Internet Explorer→浏览器菜单”,然后打开“禁用‘在新窗口中打开’菜单项”并设置为“启用”。启用该策略后,用户在某个链接上单击鼠标右键,然后单击“在新窗口中打开”时,该命令将不起作用。该策略可与“‘文件’菜单禁用‘新建’菜单项”一起使用,后者禁止用户通过单击“文件”菜单,指向“新建”,然后单击“窗口”在新窗口中打开浏览器(“新建→窗口”项目已经无法使用)。
  
  提示:启用该策略后,单击“在新窗口中打开”命令,将无法在新窗口中打开链接,系统会提示用户该命令无效,网页自动打开的窗口也全部被禁止,其实这样也可达到屏蔽弹出广告窗口的效果。

  
限制IE浏览器的保存功能(Windows 2000/XP/2003)
  
  在使用IE浏览网页过程中,当遇到好的图片、文章等资源时可以使用“另存为”功能将它保存到本地硬盘中,当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制。那么如何才能实现呢?可以这样操作:打开“组策略控制台→用户配置→管理模板→Windows组件→Internet Explorer→浏览器菜单”,然后将右侧窗格中的“‘文件’菜单:禁用‘另存为...’菜单项”、“‘文件’菜单:禁用另存为网页菜单项”、“‘查看’菜单:禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目全部启用即可。
  
  如果不希望别人对IE浏览器的设置随意更改,可以将“‘工具’菜单:禁用‘Internet选项...’”策略启用。另外,根据个人的需要,在该窗格中还可以禁用其他项目。
  
  
自定义IE工具栏(Windows 2000/XP/2003)
  
  IE工具栏的背景和上面的按钮都是可以自定义的,以前我们大多使用手动修改注册表的方法,不过并不直观,现在我们用“组策略”可以更方便地达到效果,打造属于我们自己的IE。
  
  打开“组策略控制台→用户配置→Windows设置→Internet Explorer维护→浏览器用户界面”下的“浏览器工具栏按钮自定义”策略配置项目,在这里,可以自定义浏览器工具栏的背景图片,点击“浏览”选择一个BMP的位图文件即可(注意:工具栏背景应该与工具栏大小相同,而亮度应该足以显示黑色文字,否则实际效果并不理想)。
  
  接下来,我们要在IE的工具栏上添加自己的快捷方式,比如添加“我的QQ”,在这里也可以很轻松地完成。
  
  点击“添加”,在“工具栏标题”中输人“我的QQ”,在“工具栏操作”中选择QQ程序的路径,最后再选择好“颜色图标”和“灰度图标”的路径(如果你不知道怎么提取这两个图标,可以请EXeScope这个软件来帮忙,在各大站点都可以下载)。设置完成后点“确定”,再次打开IE后就可以看到修改的效果了。

   
设置并锁定Windows Media Player外观(Windows 2000/XP/2003)
  
  Windows Media Player是目前最流行的多媒体播放器之一,如果不希望其他用户随意更改其界面外观的话,利用组策略可以轻松实现。打开“组策略控制台→用户配置→管理模板→Windows 组件→Windows Media Player→用户界面中的设置并锁定外观”启用此策略。
  
  启用此策略后,将使 Windows Media Player 只以指定的外观模式显示,具体可以使用在“策略”选项卡上的“外观”框中指定的外观。你必须为外观使用完整的文件名例如miniplayer.wmz 。如果外观文件在用户的计算机上没有安装,播放器将以Windows Media Player外观打开。
  
  提示:本策略设置软件版本至少为Windows Media Player v8.00,ADM文件为wmplayer.adm。

   
禁止Windows Media Player播放时运行屏保(Windows 2000/XP/2003)
  
  屏幕保护程序可以有效地保护我们的显示器,但是当我们使用播放器观看精彩影片时,经常会出现屏幕保护程序突然运行而中断观看的尴尬局面。现在我们可以通过组策略来解决屏幕保护程序使Windows Media Player播放中断的麻烦问题了。打开“组策略控制台→用户配置→管理模板→Windows组件→Windows Media Player→播放中的允许运行屏幕保护程序”并将它设置为“已禁用”状态。
   
优化配置Windows Media Player网络缓冲(Windows 2000/XP/2003)
  
  当我们使用Windows Media Player播放流式媒体时,播放器会在播放前对流式媒体进行缓冲处理,以便可以流畅地进行播放。在实际应用中,根据网络带宽和服务器的连接速度,缓存的时间长短并不一样,但Windows Media Player却是在使用同一设置,这无疑与实际网络情况不匹配,因此我们可以根据具体的网络带宽情况自己优化配置网络缓冲。打开“组策略控制台→用户配置→管理模板→Windows组件→Windows Media Player→网络中的配置网络缓冲”并设置为启用状态,在出现的缓冲时间(秒数)配置选项中,根据网络的带宽情况进行自定义(最多 60 秒)。
  
  提示:如果此策略已启用,那么Windows Media Player“性能”选项卡上的缓存选项将不能再配置。

屏蔽使用所有 Windows Update 功能的访问(Windows 2000/XP/2003)
  
  Windows Update可以自动连接Microsoft网站并下载更新内容,这对大部分用户来说是比较实用的,但对于不需要更新或者带宽紧张的电脑用户来说,此功能就显得多余了,而且经常传闻Windows Update会将计算机用户信息“秘密”发往Microsoft,因此也可以屏蔽这一“智能”高级功能。打开“组策略控制台→用户配置→管理模板→Windows 组件→Windows Update”中的“删除使用所有 Windows Update 功能的访问”组策略并启用此策略。
  
   提示:如果你启用此设置,所有 Windows Update功能(其中包括阻止访问Windows Update网站http//windowsupdate.microsoft.com、开始菜单上的 Windows Update的超链接和Internet资源管理器上的工具菜单)将被删除。Windows自动更新也被禁用,你将不会收到有关更新的通知,也不会接到Windows Update的重要更新。此设置还会阻止设备管理器自动从Windows Update网站下载安装驱动程序的更新。


隐藏“我的电脑”中指定的驱动器(Windows XP/2003)
  
   此组策略可以从“我的电脑”和“Windows 资源管理器”上删除代表所选硬件驱动器的图标。并且驱动器号代表的所有驱动器不出现在标准的打开对话框上。
  
   打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“隐藏‘我的电脑’中的这些指定的驱动器”并启用此策略,并在下面列表框中选择一个驱动器或几个驱动器。
  
   提示:这项策略只删除驱动器图标。用户仍可通过使用其它方式继续访问驱动器的内容。同时这项策略不会防止用户使用程序访问这些驱动器或其内容。并且也不会防止用户使用磁盘管理即插即用来查看并更改驱动器特性。

  
防止从“我的电脑”访问驱动器(Windows 2000/XP/2003)
  
   此策略让用户无法查看在“我的电脑”或“Windows 资源管理器”中所选驱动器的内容。同时它也禁止使用运行对话框、镜像网络驱动器对话框或Dir命令查看在这些驱动器上的目录。
  
   打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“防止从‘我的电脑’访问驱动器”并启用此策略,并在下面列表框中选择一个驱动器或几个驱动器。
  
   提示:这些代表指定驱动器的图标仍旧会出现在“我的电脑”中,但是如果用户双击图标,会出现一条消息解释设置防止这一操作。同时这些设置不会防止用户使用其它程序访问本地和网络驱动器。并且不防止他们使用磁盘管理即插即用查看和更改驱动器特性。
曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

发新话题