巧用组策略 提高Windows 7系统安全性

提示：启动“禁用常规页”将会删除“Internet选项”中的“常规”选项卡。如果启用此策略，则用户无法查看和更改主页、缓存、历史记录、网页外观以及辅助功能的设置。因为此策略会删除“常规”选项卡，所以如果设置此策略，则无须设置以下 Internet Explorer策略——“禁用更改主页设置”、“禁用更改Internet临时文件设置”、“禁用更改历史记录设置”、“禁用更改颜色设置”、“禁用更改链接颜色设置”、“禁用更改字体设置”、“禁用更改语言设置”和“禁用更改辅助功能设置”。

权限管理 给系统配上火眼金睛

现在有些软件真流氓，例如很多软件美其名曰为了方便别人使用，却会在软件打包或者绿化的过程中恶意捆绑一些程序或者将一些网页也打包进去。方法一般很低级，无非是通过批处理文件和手动注入注册表信息来实现，因此我们可以利用组策略来禁止一些危险类型的文件运行。此外一些公共场所(如办公室等)，很多软件都是不允许使用的(如聊天软件等)，那么管理人员也可以利用组策略来实现有效地管理。

禁止危险文件运行

有些类型的文件(如“.reg”注册表文件和“.bat”批处理文件)一般用户很少用得上，而且又很容易被病毒或木马利用，因此禁止这些类型的文件运行就可以在一定程度上保障计算机的安全。

依次展开“计算机配置→Windows设置→安全设置→软件限制策略”，在弹出的右键菜单上选择“创建软件限制策略”，会自动生成“安全级别”、“其他规则”、“强制”、“指定的文件类型”和“受信任的发布者”五项。进入“指定的文件类型”的属性窗口，只留下需要禁止的文件类型，例如“bat批处理文件”，将其他的文件类型全部删除。如果类型不在列表中，就直接在下面的“文件扩展名”文本框中输入要禁用的文件类型，添加进去即可。再进入“安全级别→不允许”，点击“设为默认”按钮，此策略即生效。再运行任何批处理文件时，就会被阻止执行。

禁用程序 穿上马甲我也认识你

除此之外，很多公司都不允许使用聊天软件。以QQ为例，如果直接卸载QQ，使用者还可能再安装，或者把软件安装到其他位置。此时不妨利用组策略来轻松搞定。

依次展开“计算机配置→Windows设置→安全设置→软件限制策略→其他规则”，选择“新建哈希规则”。点击“浏览”选择QQ的执行文件 “QQ.exe”，“文件信息”下面第一行就是生成的哈希值，这个值是唯一的，下面还会显示出文件的基本信息，“安全级别”选择“不允许”。确认、注销后，再次登录，设置即可生效。

提示：采用哈希规则的好处是不管程序被改名或是移动位置或其他任何操作，只要哈希值被验证一致，那么限制就不会失效!因此可以有效限制某些软件的运行。