捷波魔力孖仔是实现电脑一拖二的高科技解决方案。应用该方案, 两个用户只需配备各自的键盘、鼠标和显示器,而其他电脑硬件设备共享,即可实现一台电脑供两个用户同时使用,每个用户都可独立执行各种程序的功能。对于企业用户来说,捷波魔力孖仔还能达到降低企业固定成本和日常维护费用,以及提高设备的使用效率的目的。
现在的大多数企业都有内部的网络系统,虽然网络安全并不是企业的核心竞争力,但作为一个信息化的企业,在日常的在线商务过程中,网络安全却是不容忽视的。我们知道组策略是自Windows9X/NT以来,操作系统自带的设置管理工具之一,通过它,可以让我们更容易的管理计算机,充分发挥捷波魔力孖仔高效能的同时,保证企业网络系统的数据安全。
组策略就是修改注册表中的配置。注册表是Windows系统中保存系统、应用软件配置的数据库,随着Windows功能的越来越丰富,注册表里的配置项目也越来越多。很多配置都是可以自定义设置的,但这些配置发布在注册表的各个角落,如果是手工配置,可想是多么困难和烦杂。组策略使用自己独特的管理组织方法,对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。
在Windows 2000/XP中,系统默认已经安装了组策略程序,在“开始”菜单中,单击“运行”命令项,输入gpedit.msc并确定,即可运行程序。
使用上面的方法,打开的组策略对象就是当前的计算机,而如果需要配置其他的计算机组策略对象的话,则需要将组策略作为独立的控制台管理程序来打开,具体步骤如下:
1) 打开 Microsoft 管理控制台(可在“开始”菜单的“运行”对话框中直接输入MMC并回车,运行控制台程序)。
2) 在“文件”菜单上,单击“添加/删除管理单元”。
3) 在“独立”选项卡上,单击“添加”。
4) 在“可用的独立管理单元”对话框中,单击“组策略”,然后单击“添加”。
5) 在“选择组策略对象”对话框中,单击“本地计算机”编辑本地计算机对象,或通过单击“浏览”查找所需的组策略对象。
6) 单击“完成”,单击“关闭”,然后单击“确定”。组策略管理单元即打开要编辑的组策略对象。
以下介绍几个具体的组策略设置方法:
1. 禁止“注销”和“关机”:
当计算机启动以后,如果你不希望这个用户再进行“关机”和“注销”操作,打开“组策略控制台→用户配置→管理模板→任务栏和开始菜单”,将组策略控制台右侧窗格中的“删除开始菜单上的‘注销’”和“删除和阻止访问‘关机’命令”两个策略启用,如图1。
这个设置会从开始菜单删除“关机”选项,并禁用“Windows 任务管理器”对话框按“Ctrl+Alt+Del”会出现这个对话框中的“关机”选项 。另外需要注意的是,此设置虽然可防止用户用 Windows界面来关机,但无法防止用户用其他第三方工具程序来将 Windows 关闭。
2. 利用组策略保护个人文档隐私:
Windows有个高级智能功能,即可以记录你曾经访问过的文件。虽然这个功能可以方便用户再次打开该文件,但出于安全和性能的考虑(例如不想让人知道自己浏览过哪些网页和打开过哪些文件),有时需要屏蔽此功能。利用组策略,只要在“组策略控制台→用户配置→管理模板→任务栏和开始菜单”中将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启用即可,如图2所示。
另外需要注意的是,如果启用此策略设置但不启用“从开始菜单中删除文档菜单”策略设置,“文档”菜单还会出现在“开始”菜单上,但是该菜单为空菜单。如果启用此策略设置,后来又禁用它并将它设置为“未配置”,则启用策略设置之前保存的文档快捷方式会重新出现在“文档”菜单和应用程序的“文件”菜单中。
3. 隐藏“我的电脑”中指定的驱动器:
此组策略可以从“我的电脑”和“Windows 资源管理器”上删除代表所选硬件驱动器的图标。并且驱动器号代表的所有驱动器不出现在标准的打开对话框上。打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“隐藏‘我的电脑’中的这些指定的驱动器”并启用此策略如图3所示,并在下面列表框中选择一个驱动器或几个驱动器。
这项策略只删除驱动器图标。用户仍可通过使用其它方式继续访问驱动器的内容。同时这项策略不会防止用户使用程序访问这些驱动器或其内容。并且也不会防止用户使用磁盘管理即插即用来查看并更改驱动器特性。
4. 防止从“我的电脑”访问驱动器:
此策略让用户无法查看在“我的电脑”或“Windows 资源管理器”中所选驱动器的内容。同时它也禁止使用运行对话框、镜像网络驱动器对话框或Dir命令查看在这些驱动器上的目录。打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“防止从‘我的电脑’访问驱动器”并启用此策略,并在下面列表框中选择一个驱动器或几个驱动器,如图4所示。
这些代表指定驱动器的图标仍旧会出现在“我的电脑”中,但是如果用户双击图标,会出现一条消息解释设置防止这一操作。同时这些设置不会防止用户使用其它程序访问本地和网络驱动器。并且不防止他们使用磁盘管理即插即用查看和更改驱动器特性。
5. 禁止使用命令提示符:
在Windows 2000/XP/2003下,我们可以运行cmd.exe进入命令提示符状态,并可以继续运行一些DOS命令和其他命令行程序。出于对安全的考虑,有些系统应该屏蔽此功能。打开“组策略控制台→用户配置→管理模板→系统”中的“阻止访问命令提示符”并启用此策略,如图5所示,并在下面列表框中选择是否“也停用命令提示符脚本处理”,这个设置还决定批处理文件.cmd和.bat是否可以在计算机上运行。
如果启用这个设置,在用户试图打开命令窗口时,系统会显示一条消息,解释设置阻止这一操作。
6. 禁用注册表编辑器:
为了防止他人进入电脑后对注册表文件进行修改,可以在组策略中对注册表编辑器做禁止访问设置。打开“组策略控制台→用户配置→系统”中的“阻止访问注册表编辑工具”并启用此策略。如图6所示。
此策略被启用后,用户试图启动注册表编辑器(Regedit.exe 及 Regedt32.exe)的时候,系统会禁止这类操作并弹出警告消息。
7. 彻底禁止访问“控制面板”:
如果不希望其他用户访问计算机的“控制面板”,同样可以使用组策略来实现。打开“组策略控制台→用户配置→管理模板→扩展面板”中的“禁止访问控制面板”并启用此策略。如图7所示。
此策略启用后可以防止“控制面板”程序文件(Control.exe)的启动。他人将无法启动“控制面板”(或运行任何“控制面板”项目)。另外,这个设置将从“开始”菜单中删除“控制面板”。同时这个设置还从“Windows资源管理器”中删除“控制面板”文件夹。
8. 限制使用应用程序:
如果你的电脑设置了多个用户,有些程序我们可能不希望其他用户随意运行,也能在组策略中设置。打开“组策略控制台→用户配置→管理模板→系统”中的“只运行许可的Windows应用程序”并启用此策略,然后点击下面的“允许的应用程序列表”边的“显示”按钮,弹出一个“显示内容”对话框,在此单击“添加”按钮来添加允许运行的应用程序即可。以后一般用户只能运行“允许的应用程序列表”中的程序。如图8所示。
事实上组策略有100多个与安全有关的设置和450多个基于注册表的设置,为管理用户计算机环境提供了众多的选项,以上只是举了几个捷波魔力孖仔比较常用的安全设置的例子,其它的组策略配置用户可以根据实际需要具体进行设置。