默认安装完Windows XP之后,我们的Windows XP并不很安全。因此,我们有必要对系统进行一些修修补补, 一般情况下我们都要动用到注册表。诚然,修改注册表是一种非常有效的方法,但是它需要一定的计算机知识,否则极有可能会引起系统崩溃。不过,如果我们注意使用Windows XP中的组策略,就可以轻松地打造一个安全的Windows XP,而无需我们动用注册表编辑器!
一、了解XP的组策略 大家还记得Windows 98时代,我们曾用过Windows 98安装光盘上的“策略编辑器”的软件,当时想必也为它的神奇功能而惊叹不已!“组策略”工具的原理与Windows 98中的“策略编辑器”原理相同。利用它可以把很多平时需要冒着危险修改注册表才能够完成的操作在更为直观的界面中操作完成。
因此,通俗地说,“组策略”就是一个另类的注册表编辑器,利用它就可以更改系统中的某些重要设置。不仅可以省去记忆键值的痛苦,还可以免受修改注册表不慎带来的危险。
小提示 组策略不等同于“注册表编辑器”,“注册表编辑器”理论上可以更改任意的键值,从而让它更满足我们的要求。但是组策略只是对某些项目进行控制,因此从某种意义上来说,组策略能够完成的任务,修改注册表一定能够完成。但反之,修改注册表能够完成的任务,通过组策略就不一定能够有效。
二、组策略的启动 单击“开始”→“运行”命令,在“运行”对话框的“打开”栏中输入“gpedit.msc”,然后单击“确定”按扭即可启动Windows XP组策略编辑器。
在打开的组策略窗口中(如图1所示),我们可以发现左侧窗格中是以树状结构给出的控制对象,右侧窗格中则是针对左边某一配置可以设置的具体策略。
小提示 “计算机配置”和“用户配置”的联系与区别 另外,您或许已经注意到,左侧窗格中的“本地计算机”策略是由“计算机配置”和“用户配置”两大子键构成,并且这两者中的部分项目是重复的,如两者下面都含有“软件设置”、“Windows设置”等。那么在不同子键下进行相同项目的设置有何区别呢?其实,这里的“计算机配置”是对整个计算机中的系统配置进行设置的,它对当前计算机中所有用户的运行环境都起作用;而“用户配置”则是对当前用户的系统配置进行设置的,它仅对当前用户起作用。例如,二者都提供了“停用自动播放”功能的设置,如果是在“计算机配置”中选择了该功能,那么所有用户的光盘自动运行功能都会失效;如果是在“用户配置”中选择了此项功能,那么仅仅是该用户的光盘自动运行功能失效,其他用户则不受影响。设置时需注意这一点。
三、用组策略打造完全XP
通过组策略工具,我们可以对系统进行一些设置,使它更加安全。下面就是非常实用的例子:
1.限制IE浏览器的保存功能
当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制使用,那么如何才能实现呢?具体方法为:选择“用户设置”→“管理模板”→“Windows组件”→“Internet Explorer”→“浏览器菜单”分支。双击右侧窗格中的“‘文件’菜单:禁用‘另存为…’菜单项”(如图2),在打开的设置窗口中选中“已启用”单选按钮(如图3)。
小提示
在图2窗格中,我们还可以对“‘文件’菜单:禁用另存为网页菜单项”、“‘查看’菜单:禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目进行修改,这样我们的IE将会安全一些。
2.禁止修改IE浏览器的主页
如果您不希望他人或网络上的一些恶意代码对自己设定的IE浏览器主页进行随意更改的话,我们可以选择“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”分支,然后在右侧窗格中,双击“禁用更改主页设置”策略启用即可(如图4)。
小提示
(1)在图4窗格中,还提供了更改历史记录设置、更改颜色设置和更改Internet临时文件设置等项目的禁用功能。如果启用了这个策略,在IE浏览器的“Internet 选项”对话框中,其“常规”选项卡的“主页”区域的设置将变灰。
(2)如果设置了位于“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”→“Internet 控制面板”中的“禁用常规页”策略,则无需设置该策略,因为“禁用常规页”策略将删除界面上的“常规”选项卡。
(3)逐级展开“用户设置”→“管理模板”→“Windows组件”→“Internet Explorer”分支,我们可以在其下发现“Internet控制面板”、“脱机页”、“浏览器菜单”、“工具栏”、“持续行为”和“管理员认可的控件”等策略选项。利用它可以充分打造一个极有个性和安全的IE。
3.给我们的IP添加安全策略
在“计算机配置”→“Windows设置”→“安全设置”→“IP 安全策略,在本地计算机”下与有与网络有关的几个设置项目。如果大家对Internet较为熟悉,那也可以通过它来添加或修改更多的网络安全设置,这样在Windows上运行网络程序或者畅游Internet时将会更加安全。
小提示
由于此项较为专业,其间会涉及到很多的专业概念,一般用户用不到,在这里只是给网络管理员们提个醒,因此在此略过。
4.禁用IE组件自动安装
选择“计算机配置”→“管理模板”→“Windows组件”→“Internet Explorer”项目,双击右边窗口中“禁用Internet Explorer组件的自动安装”项目,在打开的窗口中选择“已启用”单选按钮,将会禁止 Internet Explorer 自动安装组件。这样可以防止 Internet Explorer 在用户访问到需要某个组件的网站时下载该组件,篡改IE的行为也会得到遏制!相对来说IE也会安全许多!
小提示
如果禁用该策略或不对其进行配置,则用户在访问需要某个组件的网站时,将会收到一则消息,提示用户下载并安装该组件。有时用户看也不看就选择“安装”则往往会出问题。网上的很多恶意代码往往都是这样工作的。
5.把用户的行动都记录下来
可能很多人都使用Windows XP作为局域网的域控制器,这样登录的用户必然较多。同时,Windows XP也是一个运行多用户的操作平台,因此,我们有必要对每个用户的行为进行一定的记录,以便到时对它们的行为进行监控,并进行记录,以供系统管理员查看和分析。所有的这些几乎全部集中在“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”下。如图5,我们可以看到有很多与审核有关的项目:如审核策略更改、审核登录事件、审核对象访问、审核过程追踪、审核目录服务访问、审核特权使用、审核系统事件、审核账户登录事件和审核账户管理等等。双击某一个项目后,会出现如图6所示窗口,勾选成功和失败前复选框。
小提示
(1)审核(Audit)是Microsoft从Windows NT起开始使用的一项技术,所有被审核的对象会在系统的日志中创建出相应的项目,并会被记录下操作的时间、审核类别及相应的结果。
(2)所有的审核记录结果,可以通过选择“开始”→“控制面板”→“管理工具”→“管理工具”→“系统工具”→“事件查看器”来查看。如果双击其中的某个审核项目,还可以看到它的详细资料,包括审核项目的日期、来源、时间、类别、类型、信息 、事件、用户、计算机、描述和数据等项目(如图7)。相信通过它,对于我们更加方便、安全地管理计算机是相当有用的。
当然,Windows XP中的组策略功能非常强大。有很多有用的设置可供我们修改,只是限于篇幅,笔者不能在这里一一说明了。