用活组策略 暑期安全不放假

大家知道组策略是Win7自带的强大安全组件，用好组策略可以很好的保护系统的安全。可是并非人人都能用好组策略，因为很多预装Win7的品牌机使用的是家庭高级版，这个系统并没有组策略；很多使用旗舰版用户则不会使用组策略。其实对于组策略，我们还有另类方法来解决上述难题。

先天不足后天补

实现功能：

使用注册表实现组策略功能

适用用户：

没有组策略的家庭版用户

小张公司电脑使用的是旗舰版，可是家里的则是家庭高级版。因为组策略的很多设置都是通过修改（或者添加）注册表定键值实现的，因此小张只要在公司电脑上执行相应的组策略，然后找出其对应的注册表键值变化并导出，最后导入到家里电脑上即可。下面以在家庭版电脑上实现限制指定程序的运行设置为例。

实际案例：

阻止暑期串门的亲戚小孩在自己电脑上运行游戏

第1步：在公司电脑上到download.省略/files/ProcessMonitor.zip下载Process Motitor并启动，依次点击面板监控图标，设置只监控系统注册表键值的变化。然后启动组策略启用“不要运行指定windows程序”策略，添加限制运行游戏的名称，假设为Cfan.exe。返回Process Monitor窗口，根据创建键值时间提示查找MMC.exe成功创造的键值，可以知道启用程序限制后，在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{EFF601E2-FFE3-43BC-BC8B-8E4F44A6EEF1}User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun增加了一个键值。

第2步：在Process Motitor窗口右击上述创建的键值选择Jump to，跳转到注册表编辑器，按提示导出上述的键值为cfan.reg。这样在家里的家庭版电脑上导入cfan.reg（重启后生效），别人试图运行受限制的程序时，系统就会弹出阻止运行的提示（图1）。

水平不行高手补

实现功能：

移植组策略到其他电脑上

适用用户：

电脑水平较低的菜鸟用户（需要内置组策略组件的Win7系统）

使用上述方法小张轻松地实现了家庭版电脑的程序限制功能，不过表妹家的电脑暑期安全却让他还有些纠结。因为她的电脑水平实在菜，虽然安装的是Win7旗舰版，可是根本不知道怎么设置组策略，小张又没空到她家去帮她设置，怎么办？其实Win7的组策略设置保存在几个文件中，复制这些文件即可移植组策略。

实际案例：

在新手电脑上快速部署设置好的组策略，保障暑期电脑安全

第1步：在公司电脑上先设置文件夹查看方式为显示“系统文件”和“隐藏文件”，接着复制C:\Windows\system32\GroupPolicy文件夹到桌面并压缩保存。

第2步：启动QQ将上述压缩好的文件传输给表妹，接着叫她将文件解压并释放到C:\Windows\system32替换同名文件，这样表妹在电脑上启动组策略编辑器后就可以看到我已经设置好的各个策略了。

小提示

上述文件包含ADM、Machine、User三个子文件夹（分别用于保存组策略模板、计算机配置、用户配置）以及 GPT.INI 文件（用于保存组策略设置的相关配置信息）。根据组策略设置对象类型的差别，不同类型的组策略分别以不同形式保存在GroupPolicy文件夹下（图2）。

限制不同玩个性

实现功能：

组策略因人而异

适用用户：

需要对本机不同账户实现组策略限制的用户

组策略默认的设置是对所有用户生效的，比如组策略可以设置用户“阻止访问命令提示符”，以保证暑期串门的亲戚无法使用Cmd.exe以免破坏系统设置，但是这也同时限制了自己使用。不过我们只要结合用户启动设置即可实现组策略限制因人而异。

实际案例：

暑期串门亲戚无法使用命令提示符，自己登录则无此限制

第1步：在本机创建一个名为cfan的用户作为暑期串门亲戚专用账户，同上在本机启用“阻止访问命令提示符”策略。通过Process Monitor监控可以知道该策略是在HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System添加DisableCMD键值，同上导出上述键值为cfan1.reg放置在C盘（图4）。

第2步：同上，将DisableCMD的值更改为0（16进制，表示不限制），也导出为cfan2.reg放置在C:\。这样不同用户导入不同的reg文件就可以实现组策略因人而异。启动记事本建立一个批处理stop.bat放置在C:\Users\cfan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup下，代码如下：

regedit.exe /s c:\cfan1.reg

第3步：同上，建立一个regedit.exe /s c:\cfan2.reg批处理保存在C:\Users\当前用户\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup下，这样自己登录电脑时会导入cfan2.reg取消限制，当串门亲戚使用cfan账户登录后就会阻止命令提示符的访问（图5）。

由于组策略的很多设置都是通过注册表键值实现的，因此除了将指定注册表文件和不同用户启动结合外，我们还可以借助糸统任务计划实现指定时间段组策略生效。

比如需要使用组策略设置午休时间不许玩游戏，只要先设置用户不允许运行指定游戏程序策略，同上导出后，使用任务计划设置每天中午下班前2分钟导入该策略，这样午休时间就无法玩指定游戏了。接着再设置一个上班时间前导入无限制的注册表文件，这样就实现了组策略的定时限制。

写在最后

组策略是糸统自带的功能强大的安全组件，不过默认限制和使用缺乏个性化。通过结合其'他组件，则可以实现组策略个性化定制和使用，大家可以举一反三定制更多的应用，为暑期安全提供更好的保障。