組策略中的多項安全設置

組策略在系統(tǒng)中各項配置非常重要，多項設置涉及系統(tǒng)安全。通過組策略編輯就可打開組策略，其配置非常豐富，其涉及安全設置內(nèi)容主要分布在“Computer Configuration/Administrative Templates/Windows Components” 內(nèi)。筆者結(jié)合實例給出常用設置。

禁止其他用戶訪問控制面板

打開組策略，找到“用戶配置”后雙擊右側(cè)“管理模板”，之后打開“控制面板”，選擇“禁止訪問控制面板”屬性，選擇設置選項卡下的“已禁用”，并點擊“確定”按鈕即可。

關閉LM哈希密碼存儲方式

當用戶帳戶的密碼設置或更改為包含少于15位字符的密碼時，Windows會為此密碼同時生成LAN Manager哈希（LM哈希）和Windows NT哈希（NT哈希）。這些哈希存儲在本地安全帳戶管理器(SAM)數(shù)據(jù)庫或Active Directory中。LM哈希比NT哈希較弱，易遭破解。因此，管理員希望阻止Windows采用LM哈希方式存儲密碼。為此，在“組策略”中依次展開“計算機配置”、“Windows設置”、“安全設置”、“本 地 策略”，然后單擊“安全選項”，在可用策略列表中雙擊“網(wǎng)絡安全:不要在下次更改密碼時存儲LAN Manager的哈希值”后，單擊“啟用”即可。

禁用命令提示符

命令提示符是系統(tǒng)管理員喜歡的方式，但同時也是黑客慣用的隱蔽性較強的作案手段，所以在必要時應當禁用。為此在組策略窗口中選擇用戶配置下的管理模板-系統(tǒng)，在右側(cè)框中雙擊“阻止訪問命令提示符”后確定，然后在彈出的屬性框中選擇“已啟用”。這樣當再次試圖使用命令提示符窗口時就會遇到提示信息：命令提示符已被系統(tǒng)管理員停用！

禁用系統(tǒng)重啟功能及禁止用戶安裝軟件

很多系統(tǒng)在正常運行時特別忌諱系統(tǒng)被他人故意重啟，此時有必要取消系統(tǒng)重啟功能。為此在組策略編中定位到“用戶配置”、“管理模板”、“開始菜單和任務欄”，點擊“開始菜單和任務欄”，在右側(cè)窗格中找到“刪除并阻止訪問‘關機’、‘重新啟動’、‘睡眠’和‘休眠’命令”后打開。在窗口左上角有3個選項，選擇“已啟用”后確認退出，再次打開開始菜單即看不到上述幾個按鈕了。

為了禁止用戶安裝軟件，在組策略中點擊“計算機配置”、“管理模板”展開；在管理模板的展開項中找到Windows Installer，點擊選擇“禁用”即可。

禁用OneDrive及移動存儲設備

從Windows 8系統(tǒng)開始，有一項旨在方便用戶隨時隨地進行數(shù)據(jù)存儲的應用，這就是OneDrive，但在很多單位出于安全原因希望禁掉OneDrive。在組策略中打開“本地計算機策略”、“計算機配置”、“管理模板”、“Windows組件”、“OneDrive”，可看到“禁止使用OneDrive進行文件存儲”選項，雙擊打開該選項；將未配置修改為“已啟用”即可禁用OneDrive。

無論出于系統(tǒng)安全還是為防止單位資產(chǎn)和機密外泄，禁用USB存儲設備非常必要。為此，在組策略中定位到“計算機配置”、“管理模板”、“系統(tǒng)”、“可移動存儲訪問”后，在右側(cè)找到“可移動磁盤拒絕寫入權限”，將它改為“已啟用”即可。之后，如果用戶再用U盤寫入文件時，就會遇到出錯提示。另外，我們還可以設置為“拒絕讀取權限”和“拒絕運行權限”，分別設置成“已啟用”，就可以禁止讀取USB設備和禁止USB設備中程序的運行了。

禁止Windows 10系統(tǒng)和驅(qū)動自動更新

為禁止Windows 10系統(tǒng)自動更新，在組策略中依次展開“計算機配置”、“管理 模 板”、“Windows組 件”、“Windows更新”，在右欄中找到“配置自動更新”；雙擊打開“配置自動更新”窗口，在左上方選中“已禁用”后點擊“確定”即可。

Windows 10還會自動更新系統(tǒng)驅(qū)動，但是有時驅(qū)動中的BUG會導致系統(tǒng)奔潰。如何禁止呢？在組策略中依次找到 ：“計算機配置”、“管理模版”、“系統(tǒng)”、“Internet通信管理”、“Internet通信設置”，然后在右側(cè)窗口找到“關閉Windows更新設備驅(qū)動程序搜索”，雙擊后選擇“已啟用”即可生效。

如何禁用Windows Defender

Windows系統(tǒng)出于安全理由提供了內(nèi)置的安全工具Defender，但是在很多單位系統(tǒng)中配有專門的防御工具， 功能要強大很多，此時Defender不僅冗余，而且會白白消耗系統(tǒng)資源，此時沒必要將其刪除，只要禁用即可。為此，在組策略中依次定位到“計算機配置”、“管理模板”、“Windows組件”后，找到 Windows Defender，在其右側(cè)有若干設置，找到“關閉Windows Defender”雙擊選擇“已啟用”即可。