瘋狂“組策略”（下）

讓IE更安全

IE 是目前用戶群最廣的瀏覽器，可它的安全性也最為大家所詬病。君不見，網絡上流傳的不少攻擊方法，都是以IE 為目標的。所以，要讓系統安全，首先必須讓IE 安全。

提示

在“開始”→“運行”框中，輸入“Gpedit.msc”就可以打開“組策略”編輯器。

禁止修改IE 主頁

為了不讓華仔、阿進或網絡上的那些惡意網站更改自己的IE 主頁，我在“組策略”中，依次展開“用戶配置”→“管理模板”→“Windows 組件”→“Internet Explorer”分支，此時可以在右側窗口中，看到眾多的IE設置選項，雙擊“禁用更改主頁設置”策略并選擇“啟用”就可以了。

在“組策略”中啟用“禁用更改主頁設置”項后，再次打開I E ，在“工具”→“Internet 選項”→“常規”選項頁下，我們可以發現，用來設置主頁的按鈕都呈灰色不可修改狀態(如圖1)。

禁用I E 組件自動安裝

為了防止I E 在用戶訪問到需要某個組件的網站時自動下載、安裝組件，攻擊IE，我們需要禁用IE組件的自動安裝。

在“組策略”中，依次展開“計算機配置”→“管理模板”→“Windows組件”→“InternetExplorer”項目，雙擊右邊窗口中“禁用Internet Explorer組件的自動安裝”，并在打開窗口中選擇“已啟用”。

經過這樣的設置，IE 是不是安全多了？

提示

如果禁用了該策略，用戶在訪問要安裝組件的網站時，將會收到一則消息，提示用戶下載并安裝該組件。有時用戶看也不看就選擇“安裝”則往往會出問題。網上的惡意代碼，很多都是這樣工作的。

沖浪痕跡一掃清

上網沖浪時，系統往往會“自作主張”地記錄下上網的痕跡，歷史記錄、Cookie、Internet臨時文件。殊不知，其他人很容易通過這些痕跡，看到屬于你的隱私。

為了避免自己的隱私被外人非法窺視，我們需要利用“組策略”能夠在用戶登錄、注銷時運行批處理命令的特性，進行自動清理工作。

打開記事本，或者其他的文本編輯器，新建一個名為DelTemp.cmd文件，然后輸入以下內容。

將上面創建的DelTemp.cmd 拷貝到\\WINDOWS\\system32\\GroupPolicy\\User\\Scripts\\Logoff下(如圖2)。

打開“組策略”編輯器，依次展開“用戶配置”→“Windows設置”→“腳本- (登錄/注銷)”，雙擊右側的“注銷”項，點擊“添加”將制作的DelTemp.cmd添加進來(如圖3)。

將用戶的操作記錄在案

當很多人都在使用同一臺計算機的時候( 比如我和華仔、阿進這種情況) ，管理員還可以將每個用戶的行為進行記錄，以便管理員進行查看和分析( 這個動作的官方名稱叫做“審核(Audit)”。

提示

打開“組策略”編輯器，依次展開“計算機配置”→“Windows設置”→“安全設置”→“本地策略”→“審核策略”，此時，在右側窗口我們看到，可以針對登錄、系統事件、賬戶登錄、賬戶管理、目錄服務訪問等進行審核。針對每種審核，還可以設置只記錄成功、失敗操作，還是二者都記錄(如圖4)。

提示

“組策略”也可以讓我們在計算機開始/關機，用戶登錄時執行相應的命令，這特別適合于在比較大的網絡環境中完成軟件的自動部署，防病毒軟件的自動更新等工作。在本地使用“組策略”時，腳本應該放在\\WIN DOWS\\system32\\GroupPolicy的相應目錄中。其中，用戶相關的腳本在Use r下的相應目錄中，計算機相關的腳本在Machine 下的相應目錄中。

保護個人文檔隱私

Windows 有個智能化設計，即自動記錄你曾經訪問過的文件。雖然該功能可以方便用戶再次打開該文件，但如果你不想其他人看到自己看過哪些電影，聽過哪些歌曲，編輯過哪些文件，還是關閉這個功能為妙。

提示

所有的審核記錄，可以通過“開始”→“控制面板”→“管理工具”→“事件查看器”中看到。雙擊某條信息，可以看到更詳細的信息，比如日期、類別、用戶進行的操作等等。

打開“組策略”編輯器，只要將“用戶配置”→“管理模板”→“任務欄和[開始]菜單”中的“不要保留最近打開文檔的記錄”和“退出時清除最近打開的文檔的記錄”兩個策略啟用即可。

Windows 的組策略是一個強大的系統集中管理平臺，限于篇幅，這里不能一一詳述其功能。如果你在日常的使用過程中，有什么心得體會，想和其他讀者分享，請給我們來信(pcd-os@cniti.com)。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。