用组策略筑起Windows的安全长城

Windows 7的安全性虽然有了很大的提高，不过系统仍然存在很多的安全问题。其实很多安全问题并非Windows 7的防护功能不足，而是我们没有对系统进行合理的设置所致。Windows 7组策略就是系统自带的最佳安全防护组件，只要用好组策略就可以大大加强Windows 7的安全性!

初级防护――简单开启策略设置

操作难度：

安全效果：

组策略的很；设置并不要复杂的操作，一般只要简单对默认设置稍加修改即可，比如将原来设置删除，或者将“未被配置”状态启用即可大大增强系统的安全性能

实例：关闭黑客入侵通道

在我们遭遇的网络攻击中，黑客经常通过扫描工具侦测被攻击系统远程操作权限，从而通过远程操作来控制我们的电脑。比如Windows 7系统默认开启“远程访问注册表路径”权限，这样黑窖们入侵后就可以远程修改我们的注册表键值从而实现木马、病毒等进程自启动，或者让这些文件隐身，给系统安全带来极大隐患。

现在只要启动组策略编辑器(单击“开始”徽标，在搜索框输入“gpedit.msc”，然后在搜索结果列表中单击“gpedit msc”即可)。

高级防护――自定义策略防护

操作难度：

安全效果：

由于初级防护只是对策略设置进行简单的修改，对于一些安全性要求更高的操作，我们还可以自行定义限制策略，以满足各种特定的安全需要。

进入组策略设置窗口后，依次展开“计算机配置――Windows设置，安全设置，本地策略，安全选项”，双击右侧窗格的“网络访问：可远程访问的注册表路径”，打开组策略属性设置框，删除其中的所有注册表路径信息，单击“确定”退出即可(见图1)。

操作同上，继续将“网络访问：可远程访问的注册表路径和子路径”策略设置中默认路径信息也删除。这样网络病毒或木马就无法通过远程访问注册表路径，对Windows 7系统进行远程攻击了。

设置――应用程序控制策略――RDpLocker――可执行规则，右击“可执行规则”选择“创建默认规则”。

第2步：创建默认规则后，继续右击“可执行规则”选择“创建新规则”，在打开的创建向导中选择默认“Evefyone”账户执行权限为“拒绝”，然后茌“条件”选项选择“路径”，选择系统目录“C:＼windows”作为限制规则目录(见图2)。

第3步：继续单击“下一步”，添加例外下选择“者”，然后单击“浏览”选择任意一个系统自带程序如“C＼proqram　Files＼DCD makerr＼dvdmo rke r exe”(只是从该程序提取例外签名信息)，在例外设置中拉动滑块到“者”，也就是微软的程序是可以运行的(见图3)。

第4步：剩下的操作按屏幕提示完成规则的创建即可，最后返回“ADDLocker”界面，单击左侧窗格“配置规则强制”，在打开的窗口中勾选“可执行规则”下的“已配置”，选择“强制规则”，重启后限制规则就开始生效了(见图4)。

第5步：创建上述限制规则后，以后在“C＼windows”下运行的程序如果者不是微软公司，那么就无法运行，系统会提示该程序已经被系统组策略限制，木马病毒当然会被活活饿死了(见图5)。

策略安全，轻松检测

通过组策略的设置，我们可以让系统变得更加安全，但是组策略成百上千的选项设置，如何诊断它的安全性。在“运行”框输入“rsop.mSC”，系统会自动对所有策略进行检测，在打开的“策略的结果集”依次右击“计算机配置”和“用户配置”，然后选择“腾性”，在打开属性窗口切换到“错误信息”，这里可以看到诊断结果，如果显示有错误，则要对设置的策略进行修改(见图6)。

家庭版怎么添加组策略

大家知道，Wndows家庭版系列是不支持组策略的，不过我们可以将旗舰版中的组策略移植到家庭版中。 　 首先将旗舰版系统中“C：／windows＼system32“文件夹中的“qpedit mis”、“fde.dll”、“qpedit.dll、“qptext.dil’、“wsecedit.dil文件复制到家庭版同名文件夹中。接着将“Windowsinf”，文件夹中的所有“odm”文件复制替换到家庭版同名文件夹中。最后以管理员身份启动命令提示符，依次执行下列的命令注册DLL文件即可：

regsvr 32 fde.d 　 regsvr 32 qpedit.dii 　 reqsv 32 qptext.dil 　 regsvr 32 wsece.dil 　 警告：对系统的操作有一定风险，尝试以上方法之前，最好先将相应文件做好备份，并对系统进行设置还原点等防护措施，一旦有问题也好恢复。

组织策略常见问题QR

1.如果错误设置某项策略影响自己使用，该怎么取消7R如果还可以运行“mmcexe”，只要启动它后添加“gpedit msc”，然后取消原来设置即可。如果策略阻止“mmC.exe”运行，可以重启后按F8进入安全模式运行。

2.自己设置好了各项策略，重装前如何备份？

只要复制“C＼windos＼Sgstem32＼G roupPolicu”目录到其他位置，重装后用备份疆盖替换即可。清空上述目录也可以初始化组策略所有设置。

3.在网上下载到了一些其他用户设置好的策略模板，怎么导入本机？

R：展开“计算机配置”或“用户配置”，右击“管理模顿”选择“添加／删除模板”，然后单击“添加”，导入下载到的，adm模板文件即可。如果下载的是其他用户制作的“GroupPolicu”目录，那只要将这个目录复制到“C＼Window s＼System32＼G roupPolicy替换即可。