强化Windows系统安全性的三个技巧组策略是系统策略的高级扩展,是管理员为用户和计算机控制程序、网络资源、系统、Windows组件的主要工具,可对系统的各种特殊属性进行设置。简单地解释就是:组策略是调整注册表的一个所见即所得编辑器。 系统高手们往往不仅精通注册表,还经常通过组策略完成一些系统的高级调整与修改。下面就介绍三招,如何利用组策略提升系统安全性。
!b1F%g#H�e�w�J..
�B.M6{�O�j7Z8T�j..
第一招:清理IE上网痕迹
:j+v�M y,\3m�E..
/y%R/F�R%?�]..
在Windows XP系统中,关于组策略“Internet Explorer维护”的技巧有很多,我们可以进行个性化设置。其中,可以通过添加脚本的方法,实现在退出IE时对上网痕迹进行自动清理。具体步骤是找一台Windows 2000操作系统,将Deltree.exe文件复制到Windows XP系统的system32目录下。用记事本编写一个如下内容的文本文件:
�?$t�k�_2X..
�[�~ F,W2x*A e..
@echo off
%G0S�F�l�p�N..
*R+k5M0C+}8b�u�|�g�[..
cd c:\documents ad
�b�`�I*c�E�K;t�^..
�Y�_'{0i�u�V�f,R..
settings\administrator\local
�t�A/U6o&J#^�_..
#B
x3B/O�\�A�^..
settings\temporary internet files
4P�p�`.z$Z;g�P..
.K"y%J r�~�j.{3J�u�h..
c:\winnt\system32\deltree .\*.* /y
�D�P�C�l�j1O�l2v..
-z�m�p�`4h�N7s..
将文本保存为.bat批处理文件。在“开始” “运行”中输入“gpedit.msc”打开组策略对话框,依次进入“用户配置” “Windows设置” “脚本(登录/注销)”,双击右边窗口中的“注销”,在“添加”项目中导入这个脚本文件即可。
7W4S [-a�[9o�z-S�{�]..
�s�p*x1x-b..
常见的端口号对应的协议及用途
�w�f'o�V
l,`..
+H'h;j�x-p�{+W..
21:FTP(文件传输)
8E/T)m�s�W..
�[-w�D�E5M7E�J-f-W..
23:TELNET(远程登录)
,Z�r*a;H-m..
�]/h�Y�G�r�b�\�W�Y�E..
25:SMTP(发送E-mail)
�G�a3p�k
Z-z6g..
�h�f�y�r�O�p3G�r..
80:HTTP(WWW服务)
�G�u�t.H1[(b
U$B"\4{..
�S
e�?�V�\�O..
110:POP3(接收e-mail)
�}6Y,?�x
G�V�P7i#z..
i C9d�g�^�Z$y�A�k..
119:NNTP(新闻服务)
'^�?�~�Y�T5i�t..
$g�Y�G�k&u�V..
常见木马的入侵端口号
�i�g;?
Z0P)K�E..
:p�i6f�P,h�V�w'Y A..
灰鸽子:3389
,D�Z8G-?�e..
�L�C W�W"_![�[3h�t..
黑洞:2000
�U�P1e$H#P�d*N..
�c�z6S�U%O"R.i)@�i�G..
冰河:7626
-\0r�v:m.x�d,h�K2e�j..
�K�d d�b
d�v�W'F..
广外女生:6267
#~:S4t#s0M&O�u�S..
,Z2x0E!b*l6p�y�@..
�t+\�d�v;n8[�F..
第二招:禁用指定软件程序
7M k�p-P7_�J�d..
9a+B�t$W�G5z�I�j..
在组策略中,可以采取禁用注册表或光驱、隐藏磁盘分区等一系列设置。这些功能在Windows 2000中就能实现。在Windows XP系统中还增加了对软件的限制策略。在此以常用即时通讯软件QQ为例进行实例说明。
�K7v�]"m�V&o5_�O..
�J2T S
f$`%W2_..
*D�I'R-O�{6D K%K..
打开组策略对话框,依次进入“计算机配置” “Windows设置” “安全设置” “软件限制策略” “其它规则” “新路径规则”,点击“浏览”,找到QQ安装目录下的“QQ.exe”文件,在“安全级别”下选择“不允许”。重启计算机后,就无法用QQ了。若要重新使用QQ,把安全级别选为“不受限的”即可。
I8J4U�|�J4@!c
k�{�V..
L-?#a�y Y�U,m..
第三招:打造系统防火墙
,L$o8p"~&V(]�Y�I"J..
�o�H$L�^ E�t;I..
在“组策略”中还可以打造系统防火墙。在默认设置下,Windows有很多端口是开放的,网络病毒和黑客可以通过这些端口接入你的电脑。为了资料的安全,应该把不必要的端口封闭,减少居心不良者入侵的机会。以封闭80端口为例:先在“计算机配置”的“IP安全策略”中单击右键,创建一个新的IP安全策略,在“属性”中添加“筛选器列表”,在“编辑规则属性”中选择“新IP筛选器列表”对话框并点击“添加”。
/B6N!o�u�]0L�|..
%Z,i/_3z�R7M2_�G..
现在用三个步骤屏蔽80端口。第一步寻址,源地址选“任何IP地址”,目标地址选“我的IP地址”;第二步选协议,选择“TCP”,在“到此端口”下的文本框中输入“80”;第三步创建,返回后进入“编辑规则属性”的“筛选器操作”,选择“请求安全(可选)”,确定后返回,再对“创建IP安全策略”选择“指派”。这样就对TCP的80端口的服务进行了屏蔽,因为端口80是HTFP的协议,提供WWW服务,因而屏蔽之后HTFP协议网站也将无法打开(要重新开放可对以上各项进行修改和删除)。同理我们也可对一些易被木马入侵的端口进行屏蔽,让木马靠边站。 其他组策略安全技巧
*F�d�{�|-c3G&l%~..
*S�u�N#g1b-d#e/g
o..
1、隐藏电脑的驱动器
"c4[�R4w�D�n�o�s..
�f)X�G2c!`0m..
位置:用户配置\管理模板\Windows组件\Windows资源管理器
9G�E7K�f�~0C,q&W..
9Y+D*H3K�g�Y5F�p:I�\..
将“隐藏‘我的电脑’中的这些指定驱动器”和“防止从‘我的电脑’访问驱动器”设置为“已启用”并设置欲阻止访问的驱动器
�\1X�X:I#X�W9^�[�N..
}�[&a6T�^5h�d..
2、禁用注册表
�G
@�h4z1?2i�H�h2q�|�^..
+n�u:i�e�k�[�O..
位置:用户配置\管理模板\系统将“组织访问注册表编辑工具”设置为“已启用。
+r�J�x�o�i2]�Z p..
�]$\�`
d;w�a
f..
3、禁用控制面板
�b�c ?�p�[..
�c�P6a�k�N�o3I�g.?�x�Y�{�R..
位置:用户配置\管理模板\控制面板
�l,W
b4Z!}�I,O%K..
8S"p7L�~�W�a..
将“禁止访问控制面板“设置为“已启用”;或启用“隐藏指定的控制面板程序”并设定隐藏的项目,如想在控制面板中隐藏Internet选项,则在隐藏控制面板程序里添加Inetcpl.cpl,具体名称可查看Windows\System32里以cpl结尾的文件。
&L/H9o#^�g.]�G�x!V�a..
�})Z�R
S'U3a!M:B..
4、隐藏文件夹
�h+Y�t�s.}5J�L..
�f"l#}:w�M1f�L�S..
位置:用户配置\管理模板\Windows组件\Windows资源管理器将“从‘工具’菜单删除‘文件夹选项’菜单”设置为“已启用”。
�b�\ s:u5x0D�P..
�L�_
i&_*_�G�^"b..
5、关闭缩略图缓存位置:用户配置\管理模板\Windows组件\Windows资源管理器将“关闭缩略图的缓存”项设置为“已启用”