Windows操作体系中组战略的运用无处不在，怎么让体系更安全，也是一个常论不休的论题，下面就让咱们一起来看看经过组战略怎么给Windows体系练就一身金钟罩。

一、给咱们的IP增加安全战略

在“核算机装备”→“Windows设置”→“安全设置”→“IP 安全战略，在本地核算机”下与有与网络有关的几个设置项目（如图1）。假如咱们对Internet较为了解，那也能够经过它来增加或修正更多的网络安全设置，这样在Windows上运转网络程序或许畅游Internet时将会愈加安全。 　　

图 1 小提示 由于此项较为专业，其间会涉及到许多的专业概念，一般用户用不到，在这儿仅仅给网络办理员们提个醒，因而在此略过。

二、躲藏驱动器平常咱们躲藏文件夹后，别人只需在文件夹选项里显现一切文件，就能够看见了，咱们能够在组战略里删去这个选项：挑选“用户装备→办理模板→Windows组件→Windows资源办理器”（如图2）。 　　

图 2

三、禁用指定的文件类型

在“组战略”中，咱们能够禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型，并且不影响体系的正常运转。这儿假定咱们要禁用注册表的REG文件，不让体系运转REG文件，具体操作方法如下：

1. 翻开组战略，点击“核算机装备→Windows设置→安全设置→软件约束战略”，在弹出的右键菜单上挑选“创立软件约束战略”，即生成“安全级别”、“其他规矩”及“强制”、“指使的文件类型”、“受信赖的出版商”项(图3)。

图 3

2. 双击“指使的文件类型”翻开“指使的文件类型特点”窗口，只留下REG文件类型，将其他的文件悉数删去，假如还有其他的文件类型要禁用，能够再次翻开这个窗口，在“文件扩展名”空白栏里输入要禁用的文件类型，将它增加上去。

3. 双击“安全级别→不允许的”项，点击“设为默许”按钮。然后刊出体系或许重新发动体系，此战略即收效，运转REG文件时，会提示“由于一个软件约束战略的阻挠，Windows无法翻开此程序”。

4.要撤销此软件约束战略的话，双击“安全级别→不受限的”，翻开“不受限的 特点”窗口，按“设为默许值”即可。

假如你鼠标右键点击“核算机装备→Windows设置→安全设置→软件约束战略→其他规 则”，你会看到它能够树立哈希规矩、Internet 区域规矩、途径规矩等战略，运用这些规矩咱们能够让体系愈加安全，比方运用“途径规矩”能够为电子邮件程序用来运转附件的文件夹创立途径规矩，并将安全级 别设置为“不允许的”，以防止电子邮件病毒。

提示：为了防止“软件约束战略”将体系办理员也约束，咱们能够双击“强制”，挑选“除本地办理员以外的一切用户”。假如用你的是文件类型约束战略，此选项能够保证办理员有权运转被约束的文件类型，而其他用户无权运转。

四、未经许可，不得在本机登录

运用电脑时，咱们有时要脱离座位一段时间。假如有许多正在翻开的文档还没有处理完结或许 正在下载东西、挂POPO等等，为了防止有人动用电脑，咱们一般会把电脑确定。但是在局域网中，为了便利网络登录，咱们有时候会树立一些宾客账户，假如对 方运用这些账户来刊出当时账户登录到其他账户，那就麻烦了。已然咱们不能删去或禁用这些账户，那么咱们能够经过“组战略”来制止一些账户在本机上登录，让 对方只能经过网络登录。

在“组战略”窗口中顺次翻开“核算机装备→Windows设置→安全设置→本地战略→用户权限分配”，然后双击右侧窗格的“回绝本地登录”项，在弹出的窗口中增加要制止的用户或组即可完成(图4)。

图 4

假如咱们想反其道而行之，制止用户从网络登录，只能从本地登录，能够双击“回绝从网络拜访这台核算机”项将用户加上去。

五、给“休眠”和“待机”加个暗码

只需“屏幕维护”有暗码是远远不够安全的，咱们还要给“休眠”和“待机”加上暗码，这样 才会更安全。让咱们来给“休眠”和“待机”加上暗码吧。在“组战略”窗口中翻开“用户装备→办理模板→体系→电源办理”，在右边的窗格中双击“从休眠/挂 起康复时提示输入暗码”，将其设置为“已启用”(图5)，那么当咱们从“待机”或“休眠”状况回来时将会要求你输入用户暗码。

图 5

六、主动给操作做个记载

在“核算机装备→Windows设置→安全设置→本地战略→审阅战略”上，咱们能够看到 它能够审阅战略更改、登录事情、目标拜访、进程追寻、目录服务拜访、特权运用等(图6)。这些审阅能够记载下你某年某月某日某时某分某秒做过了什么操作： 何时登录、关闭体系或更改正哪些战略等等。

图 6

咱们应该养成经常在“控制面板→办理工具→事情检查器”里检查事情的好习惯。比方，当你 修正过“组战略”后，体系就发生了问题，此刻“事情检查器”就会及时告知你改了哪些战略。在“登录事情”里，你能够检查到具体的登录事情，知道有人曾测验 运用禁用的账户登录、谁的账户暗码已过期……而要启用哪些审阅，只需双击相应的项目，选中“成功”和“失利”两个选项即可。

留意：Windows XP Home Edition没有“组战略”，只需Windows XP Professional版别才有“组战略”，这一点留意。

七、约束IE浏览器的保存功用

当多人共用一台核算机时，为了坚持硬盘的整齐，需求对浏览器的保存功用进行约束运用，那 么怎么才干完成呢?具体方法为：挑选“用户设置”→“办理模板” →“Windows组件”→“Internet Explorer”→“浏览器菜单”分支。双击右侧窗格中的“‘文件’菜单：禁用‘另存为…’菜单项”，在翻开的设置窗口中选中“已启用”单选按钮(如图 7)。

图 7

提示

咱们还能够对“‘文件’菜单：禁用另存为网页菜单项”、“‘检查’菜单：禁用‘源文件’菜单项”和“禁用上下文菜单”等战略项目进行修正，这样咱们的IE将会安全一些。

八、制止修正IE浏览器的主页

假如您不期望别人或网络上的一些歹意代码对自己设定的IE浏览器主页进行随意更改的话， 咱们能够挑选“用户装备”→“办理模板”→“Windows 组件”→“Internet Explorer”分支，然后在右侧窗格中，双击“禁用更改主页设置”战略启用即可(如图8)。

图 8

小提示

(1)在图8，还供给了更改历史记载设置、更改色彩设置和更改Internet临时文件设置等项目的禁用功用。假如启用了这个战略，在IE浏览器的“Internet 选项”对话框中，其“惯例”选项卡的“主页”区域的设置将变灰。

(2)假如设置了坐落“用户装备”→“办理模板”→“Windows 组件”→“Internet Explorer”→“Internet 控制面板”中的“禁用惯例页”战略，则无需设置该战略，由于“禁用惯例页”战略将删去界面上的“惯例”选项卡。

(3)逐级翻开“用户设置”→“办理模板”→“Windows组件 ”→“Internet Explorer”分支，咱们能够在其下发现 “Internet控制面板”、“脱机页”、“浏览器菜单”、“工具栏”、“继续行为”和“办理员认可的控件”等战略选项。运用它能够充沛打造一个极有个 性和安全的IE。

九、把Administrator藏起来

Windows体系默许的体系办理员账户名是Administrator。因而，为了避 免有人歹意破解体系办理员Administrator账户的暗码，咱们能够将Administrator改为其他姓名以加强安全。点击“开端→运转”，输 入gpedit.msc，翻开“组战略”，如图9所示，挑选 “核算机装备→Windows设置→安全设置→本地战略→安全选项”，在右边窗格里双击“账户：重命名体系办理员账户”项，在上面输入你想要的用户名。重 新发动核算机后，输入的新用户名立刻收效。假如再新建一个Guest用户，用户名为Administrator，然后再加上十分复杂的暗码就更安全。

图 9

提示：为了防止让人在Windows的登录框中看到从前登录过的用户名，就要双击“交互式登录：不显现前次的用户名”子项，挑选“已启用”将该战略启用。这样前次登录到核算机的用户名就不会显现在Windows的登录画面中。

十.禁用IE组件主动装置

挑选“核算机装备”→“办理模板”→“Windows组件”→“Internet Explorer”项目，双击右边窗口中“禁用 Internet Explorer组件的主动装置”项目，在翻开的窗口中挑选“已启用”单选按钮(如图10)，将会制止 Internet Explorer 主动装置组件。这样能够防止 Internet Explorer 在用户拜访到需求某个组件的网站时下载该组件，篡改IE的行为也会得到遏止!相对来说IE也会安全许多!

图 10

小提示

假如禁用该战略或不对其进行装备，则用户在拜访需求某个组件的网站时，将会收到一则音讯，提示用户下载并装置该组件。有时用户看也不看就挑选“装置”则往往会出问题。网上的许多歹意代码往往都是这样作业的。

【修改引荐】

1. Window 7实战技巧防止硬件安全问题
2. Windows 7为体系安全办理员带来什么
3. Windows 7平台上10大国外杀毒软件