如果對上網安全性要求很高,管理員希望用戶使用事先指定的專用連接上網。如何限制終端用戶隨意創(chuàng)建連接上網訪問呢?只要關閉網絡連接創(chuàng)建向導即可。
在系統(tǒng)運行對話框,輸入字符串命令“gpedit.msc”并回車,開啟系統(tǒng)組策略編輯器運行狀態(tài)。在該編輯窗口左側列表中,將鼠標定位到“本地計算機策略→用戶配置→管理模板→網絡→網絡連接”節(jié)點上,找到指定節(jié)點下的“禁止訪問‘新建連接向導’”組策略選項,并用鼠標雙擊之,彈出如圖1所示的組策略選項設置對話框。
接著選中該選項設置對話框中的“已啟用”選項,確認后退出設置對話框。這樣一來,普通用戶日后自行創(chuàng)建網絡連接時,就會看到網絡連接不能創(chuàng)建成功。
用戶私自調整自己IP地址,在單位局域網環(huán)境中十分常見,這里介紹一種方法,讓終端用戶不能私自調整自己計算機的IP地址,即使擁有系統(tǒng)管理員權限也不行。
打開記事本,創(chuàng)建好文件名稱為“aaa.bat”的批處理文件,在該文件編輯窗口中,輸入如下命令行代碼:
上面的這段代碼作用主要是卸載與本地連接圖標有關的系統(tǒng)DLL文件,讓對應圖標隱藏顯示,以阻止終端用戶通過本地連接“入口”修改上網IP地址。
同樣地,創(chuàng)建好文件名稱為“bbb.bat”的批處理文件,在該文件編輯窗口中,輸入如下命令行代碼:
這段代碼的作用主要是重新注冊與本地連接圖標有關的系統(tǒng)DLL文件,讓對應圖標恢復顯示,以便于終端用戶能夠正常通過本地連接“入口”修改上網IP地址。
日后,當管理員不希望用戶隨意調整計算機系統(tǒng)的IP地址時,就在他的計算機中啟動運行“aaa.bat”批處理文件,讓終端用戶找不到本地連接“入口”,他就不能調整系統(tǒng)的上網地址了。如果想恢復到以前狀態(tài),再在用戶的計算機中啟動運行“bbb.bat”批處理文件,這時就能從網絡連接列表中找到本地連接圖標,通過該圖標調整IP地址了。
使用過Windows 2008系統(tǒng)的用戶都知道,該系統(tǒng)默認會使用較高的安全等級進行上網訪問,不過,用戶會感覺到上網不順暢,為此私自降低安全訪問等級。為了避免這種現象的發(fā)生,我們可以禁止用戶自由調整上網安全等級。
以超級用戶權限登錄 Windows 2008,開 啟 組策略編輯器運行狀態(tài),在界面左側列表中,將鼠標定位到“本地計算機策略→用戶配置→管理模板→Windows組件→Internet Explorer→Internet控制面板”節(jié)點,找到“禁用安全頁”組策略選項。
接著用鼠標雙擊該組策略,彈出組策略屬性對話框,選中“已啟用”選項,確認后保存設置操作。這樣,普通用戶日后就不能進入Internet Explorer的“安全”選項設置頁面,調整安全訪問等級配置了。
圖1 選項設置對話框
圖2 新建路徑規(guī)則界面
在安裝了Windows XP之類低版本系統(tǒng)的終端中,用戶可以通過默認的來賓共享訪問模式,跳過共享身份認證。為了防止惡意用戶通過共享訪問方式,向局域網傳播病毒,我們可以修改Windows系統(tǒng)默認的共享訪問模式,不讓終端用戶私自跳過共享認證。
以超級用戶權限登錄共享資源所在主機系統(tǒng),在運行對話框中執(zhí)行“gpedit.msc”命令,開啟組策略編輯器。在該界面左側列表中,將鼠標定位到“本地計算機策略→計算機配置→Windows設置→安全設置→本地策略→安全選項”節(jié)點上,“網絡訪問:本地賬戶的共享和安全模型”組策略。
其次,用鼠標雙擊目標組策略選項,彈出如圖1所示的選項設置對話框,選中“經典—對本地用戶進行身份驗證,不改變其本來身份”選項,單擊“確定”按鈕退出設置對話框。這樣,Windows系統(tǒng)日后就會不允許用戶私自跳過共享訪問驗證了。
如果讓終端用戶私自進行BT下載操作時,局域網的上網出口帶寬資源很容易被過度消耗掉。為了限制終端用戶私自進行BT下載,我們可以進行設置。
開啟組策略編輯器運行狀態(tài),在窗口左側列表中,將鼠標定位到“本地計算機策略→計算機配置→Windows設置→安全設置→軟件限制策略”節(jié)點上,用鼠標右鍵單擊“軟件限制策略”選項,執(zhí)行快捷菜單中的“創(chuàng)建軟件限制策略”命令。
下面依次選中“軟件限制策略→強制”選項,并用鼠標雙擊目標選項,選中“所有用戶”選項,確認后保存設置操作。再打開“其他規(guī)則”選項的右鍵菜單,單擊“新建路徑規(guī)則”命令,按下“瀏覽”按鈕,將迅雷下載、網際快車之類的BT工具選中并添加進來,同時將“安全級別”參數設置為“不允許”(如圖2),確認后退出設置對話框即可。