浅析组策略的应用

摘 要：随着计算机安全问题的备受关注，越来越多的数据安全方法被用来研究。除了那些简单的文件隐藏、加密，设置访问权限，还有没有其它的保证计算机数据安全的方法了呢？今天我们就来探讨这个问题。

关键词：组策略、数据安全、计算机

计算机作为一种人们日常生活中离不开的重要数据存储设置，它的安全问题也逐渐被人们所重视。今天我们就来了解一下组策略的相关概念。

首先，我们先来了解一下组策略的相关概念。组策略（Group Policy）是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。所谓组策略，就是基于组的策略。它以Windows中的一个MMC管理单元的形式存在，可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置，包括桌面配置和安全配置。譬如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及“开始”菜单选项等，也可以在整个计算机范围内创建特殊的桌面配置。简而言之，组策略是Windows中的一套系统更改和配置管理工具的集合。

注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。

其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

接下来，我们再来了解下如何使用组策略。在Windows 2000/XP/2003系统中，系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”选项，输入“gpedit.msc”并确定，即可运行组策略，或者把“gpedit.msc”复制到新建的一个TXT文档，最后改扩展名为.bat，以后直接双击就可以进入。使用上面的方法，打开的组策略对象是当前的计算机，而如果需要配置其他的计算机组策略对象，则需要将组策略作为独立的MMC管理单元打开。

打开了组策略之后，就是设置的问题。那么使用组策略可以进行哪些安全性设置呢？下面我们来具体谈一下。

1、禁止运行指定程序

系统启动时一些程序会在后台启动，这些程序通过“系统配置实用程序”（msconfig）的启动项无法阻止，操作起来非常不便，通过组策略则非常方便，这对减少系统资源占用非常有效。通过启用该策略并添加相应的应用程序，就可以限制用户运行这些应用程序。具体步骤如下：「开始菜单，在“运行”框中输入“gpedit.msc”并回车，打开组策略对象编辑器。配置管理模板系统”，然后在右边的窗格双击“不要运行指定的Windows应用程序”，双击“不要运行指定的Windows应用程序”程序如“Wgatray.exe”即可。添加要阻止的程序当用户试图运行包含在不允许运行程序列表中的应用程序时，系统会提示警告信息。把不允许运行的应用程序复制到其他的目录和分区中，仍然是不能运行的。要恢复指定的受限程序的运行能力，可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”，或者将指定的应用程序从不允许运行列表中删除（这要求删除后列表不会成为空白的）。

注册表编辑器是系统设置的重要工具，为了保证系统安全，防止非法用户利用注册表编辑器来篡改系统设置，首先必须将注册表编辑器予以禁用。具体操作步骤如下：配置管理模板系统”。注册表编辑工具”策略，阻止访问注册表编辑工具，双击“阻止访问注册表编辑工具”此策略被启用后，用户试图启动注册表编辑器（Regedit.exe 及 Regedt32.exe）的时候，系统会禁止这类操作并弹出警告消息。

3、阻止访问命令提示符

命令提示符下有许多危险的操作，要阻止非法用户使用命令提示符窗口（Cmd.exe），远离各种不可预料的风险，具体步骤如下：组策略对象编辑器。

组策略对象编辑器窗格左侧的树形图中依次展开“用户配置管理模板系统”，在右侧窗格中双击“阻止访问命令提示符”，打开目标策略属性设置对话框。双击“阻止访问命令提示符”命令提示符”属性对话框中勾选已启用，按“确定”即可。“阻止访问命令提示符”属性对话框

4、完全禁止使用U盘

现在U盘已经相当普及，电脑里面的资料很容易被复制，这对电脑中的资料无疑是一种威胁。如果您的电脑中有一些重要的资料，那就要小心了。难道要把USB端口给拆下来吗？当然不是。其实运用Windows 7系统本身的禁止使用USB设备的功能，就能彻底解决这一问题。具体操作步骤如下：打开“所有可移动存储类：拒绝所有权限”，“所有可移动存储类：拒绝所有权限”属性框，禁止数据写入U盘。如果您不准备完全禁止USB设备，希望能读取U盘的内容，只是禁止数据写入U盘。具体操作步骤如下：可移动磁盘：拒绝写入权限”，打开目标策略属性设置对话框。双击“可移动磁盘：拒绝写入权限”，可移动磁盘：拒绝读取权限”属性对话框中勾选“已启用”（如图19所示），按“确定”按钮即可。“可移动磁盘：拒绝读取权限”属性对话框。

5、允许识别指定U盘

以上“禁止使用U盘”和 “禁止数据写入U盘”两项设置，在保护自己电脑资料的同时也给自己带来了很大的不便，如何让系统只能使用指定的U盘或者移动硬盘呢？通过组策略“允许识别指定U盘”可能解决这一问题。操作步骤如下：控制面板”，双击“硬件和声音”、“设备管理器”。双击“硬件和声音”、“设备管理器”，展开“便携设备”，通用串行总线控制器”中“USB大容量存储设备”的硬件ID，在“设备管理器”中展开“通用串行总线控制器”列表，找到“USB大容量存储设备”。找到“USB大容量存储设备”，复制出U盘硬件ID。在「开始菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。依次展开“计算机配置管理模板系统设备安装设备安装限制”双击“禁止安装未由其他策略设置描述的设备”，策略设置描述的设备”，在弹出的窗口中选择“已启用”，再点击“确定”按钮，设置它可以来禁止策略没描述的USB设备。

6、限制使用驱动器

若要防止用户使用“我的电脑”访问所选驱动器的内容，可按以下步骤操作：我的电脑’访问所选驱动器的内容”，打开目标策略属性设置对话框。“我的电脑”访问所选驱动器的内容”属性对话框中勾选“已启用”，并在下面列表框中选择一个驱动器或几个驱动器，按“确定”即可。

总之，通过以上的设置，可以将数据保证的更为安全一些。当然只靠这些，远不能保证数据的安全。只是希望通过以上的设置，让我们增加一些可以做到的数据安生防护。■

参考文献

[1] 夏梅娟. IIS安全配置研究[J]. 科技创新导报. 2011（14）

[2] 秦，劳翠金. 组策略在机房管理中的应用[J]. 中国信息界. 2011（08）

[3] 李建平. 小议组策略的应用技巧[J]. 科教文汇（下旬刊）. 2010（07）

[4] 吴昭. AD活动目录在网络中的典型应用[J]. 网络财富. 2010（19）

[5] 张光建. 利用组策略保护计算机系统安全[J]. 中国西部科技. 2006（35）

[6] 蝴蝶. 用组策略从10大方面保护Windows安全[J]. 网络与信息. 2008（08）