为我的电脑打造最强护甲

为了让电脑安全、稳定、干净运行，我定了以下几个目标：第一，他不能安装任何软件，特别是那些乱七八糟的游戏和流氓软件；第二，他不能运行任何未指定的程序，免得又中毒；第三，他不能打开任何未指定的文件类型(我电脑里有些源代码文件是要保密的)。工具嘛，就用系统自带的“组策略编辑器”来完成吧。

点击“开始”“运行”，输入“gpedit.msc”回车打开组策略编辑器，我们会发现，在“计算机配置”和“用户设置”下都各有一个软件限制策略的条目。简单地说，“计算机配置”下的设置会对所有登录到本地计算机的用户生效，“用户配置”下的设置则只会对某个特定用户或用户组生效。为了防止夜长梦多，我选择了“计算机配置”下的策略。

启用安全护甲

WinXP操作系统，默认一般用户就可以运行任何应用程序，所以我们必须先用组策略关闭这个安全大漏洞。

Step1开启软件运行限制

在组策略编辑器窗口中，依次展开“计算机配置”“Windows设置”“安全设置”“软件限制策略”。初次打开右边窗口会显示“没有定义软件限制策略”，只需右键单击“软件限制策略”，选择“创建新的策略”即可。

创建好新的策略后，就可以看到“软件限制策略”下增加了“安全级别”和“其它规则”以及三条属性。

Step2默认不准通行

即使启用了软件限制策略，由于策略的默认安全级别为“不受限的”，仍不能满足我的要求，必须将默认安全级别设为“不允许的”，让未经授权的任何程序都无法运行。设置方法是打开“安全级别”，右键点击“不允许的”，在弹出菜单中选择“设置为默认”项。

Step3给自己留条后路

不过，这种限制方法会在限制小孩的同时，将自己也限制了，得留条后路。

我的做法是：首先双击右边窗口中的“强制”属性项目，勾选“除去库文件之外的所有软件文件”和“除本地管理员以外的所有用户”两个选项并“确定”，

然后给小孩创建了一个属于Power User组的账号。这样他受限制，而作为管理员的我却并没有受到任何限制。

想如何限制，就如何限制

组策略可以通过不同的方式，让使用者运行执行相应的程序，下面我就来为他开通QQ以及其他程序的使用权限。

1．指定地方程序才准执行

软件限制策略启用之后，非管理员账号就只能执行系统目录(\Windows和\Window\System32)和\ProgramFiles\下的软件。如果你的常用软件安装在其他目录中，比如QQ安装在D:\Tools\Tencent，就需要额外为该目录开通运行权限才行。

右键点击“软件限制策略”下的“其它规则”，选择“新路径规则”。路径设置为D:\Tools(由于D:\Tools下还安装有其他常用软件，所以小要只指定QQ安装目录)，在安全级别中选择“不受限的”，这样Tencent目录的QQ程序就能执行了。

2．开通开始菜单中程序的访问权限

上述限制还有不合理的地方，比如默认配置下非管理员账号访问开始菜单中的任何程序，都会得到“由于一个软件限制策略的阻止，Windows无法打开此程序”的错误提示。这是因为开始菜单中的程序都是快捷方式(LNK文件)受到限制，另外，URL是lE收藏夹中的网址，SHS则是Office的片段文件也受到限制，为了不影响开始菜单、IE收藏夹、Office的正常使用，还是取消限制为好。

展开“软件限制策略”，双击右侧的“指派的文件类型”，分别选中LNK、URL、SHS文件并删除(如图5)。

3．防止运行特定程序

以上设置还有漏洞，比如按照默认配置，\ProgramFiles\目录下的程序都可以运行，可实际情况是，我的很多软件都安装在该目录下，要是系统管理软件也可以执行，我们做的这些限制估计很快就被攻破了……

我们可以为不允许执行程序的目录加上数字签名，这个签名微软称之为“散列规则”。散列规则的优先级大于路径规则，只要用散列规则规定Program Files目录下的哪些程序文件不允许执行，那么用户就无法执行它们了。

散列规则是以哈希值为依据的，程序升级后，文件的哈希值也会改变了，这时就必须修改散列规则。这样虽然比较麻烦，但也有好处，比如程序文件被病毒感染了的话，它的哈希值也会改变，那么散列规则就会阻止用户执行这些带病

至于如何防止他误删我编写的源程序、如何防止他访问我的私人隐私资料，虽然可以通过组策略来实现(设置不允许访问的路径规则)，但对于所有分区都是NTFS格式的我来说，采用NTFS权限限制更方便一些。比如我在“源代码”目录上单击右键，选择“安全和共享”，然后设置只允许管理员访问就可以了.

在WinXP下，默认文件夹右键菜单是没有“安全和共享”选项的，我们必须在菜单中选择“工具”“文件夹选项”，然后切换到“查看”页面，找到“使用简单文件夹共享”一项，把它前面的勾去掉。

最终效果大检查

经过这番设置，我的电脑最终达到了什么效果呢?

简单地说，亲戚家的小孩使用我给他创建的账号登录系统后，没法打开存放源代码和隐私文件的文件夹；他上网时那些恶意的ActiveX控件也不能安装，流氓软件来不了；另外他下载了游戏或软件也无法安装，这样他就没法使用第三方的注册表编辑器来破解组策略限制。总之，软件限制策略是给你的组策略加了把锁，让组策略更安全。

未雨绸缪补漏洞

这样设置后，我的系统还有漏洞吗?答案是肯定的。

因为软件限制策略作为组策略的一部分，各种配置对应的都是注册表的一些键值，虽然软件限制策略可以限制用户无法使用任何未经允许的注册表编辑工具，但是如果用户能想办法编辑注册表，那么软件限制策略也就会被攻破。比如SWF文件默认是不受限制的，如果有人用Flash做了个注册表编辑器，那就惨了，除非我把SWF文件也加入受限制的行列。

另外一些默认受限制的文件格式，比如OCX、BAT、CMD、REG等等，如果用户一时头脑发热，让这些文件格式都不受限制了，那么用户就可以使用基于ActiveX控件的在线注册表编辑器，或者使用批处理文件以及注册表文件来修改注册表了。

还有，路径规则也是软件限制策略可以被破解的一大漏洞，如果没有对用户隐藏系统盘，那么用户把程序拷贝到\Program Files目录下，就能执行了，当然，通过设置文件夹权限，也能让其他用户对\Program Files目录没有写入权限。

当然，还有更绝的一招，就是干脆用深山红叶之类的维护光盘，启动光盘上的Windows PE操作系统，使用里面带的注册表编辑器去搞破坏，那样软件限制策略是根本拦不住的。或者用Windows PE里的软件清空了管理员的口令，然后用管理员身份登录，在组策略编辑器里把软件限制策略都取消掉也行。

另外有些软件在一些环境下也能产生漏洞，比如我们可以利用Office 2000打开被组策略设置为隐藏和禁止访问的驱动器，在没打SPl补丁的Windows Server 2003系统中还可以利用McAfee杀毒软件的查看日志文件存放位置的功能打开被隐藏的驱动器，甚至还可以往里面拷贝文件。

总之，把软件限制策略、组策略和NTFS权限都用到，并且把事情考虑周到，就能让系统的安全性上一个台阶。如果把软件限制策略用到企业的无盘终端服务器上，也能让终端服务器的系统更加安全可靠。当然，漏洞总会存在的，这就需要仔细观察，仔细考虑，通过实践来解决了。