學會合理阻止 筑牢安全防線

阻止運行指定程序

倘若讓重要計算機系統只能運行指定的一些應用程序，其他任何應用程序包括惡意程序都不能運行，那么就能實現保護本地系統安全的目的了。要做到這點，可以先依次單擊本地系統桌面中的“開始”、“運行”命令，在系統運行框中執行“gpedit.msc”命令，打開對應系統的組策略編輯窗口，依次展開該窗口左側顯示區域的“本地計算機策略”、“用戶配置”、“管理模板”、“系統”分支選項。

接著在對應“系統”分支選項的右側顯示區域中，找到目標組策略選項“只運行許可的Windows應用程序”，并用鼠標右鍵單擊該選項，從彈出的快捷菜單中執行“屬性”命令，打開設置對話框，選中其中的“已啟用”選項，同時單擊“顯示”按鈕，在其后的設置窗口中單擊“添加”按鈕，來將我們平時經常需要運行的應用程序依次添加進來，最后單擊“確定”按鈕，那樣一來沒有被添加進入的危險程序是沒有權限在本地計算機系統中運行的。

阻止使用移動設備

當將移動設備插入到計算機后，Windows系統會自動調用有關驅動文件，以便正常識別顯示該設備，同時為其分配合適分區符號，這樣用戶才能進入移動設備訪問其中的數據內容。為防止病毒通過移動設備感染系統，我們可以想辦法阻止系統為移動設備配置驅動程序，那么移動設備就無法被正常識別顯示。要做到這一點，可以進行如下設置操作：

首先打開系統資源管理器窗口，依次進入“Windows”、“system32”、“dllcache”文件夾窗口，找到以“usb”字符開頭的幾個文件，這些文件就是與移動設備相關的驅動文件，將其復制到其他位置后，再將原始位置的文件全部刪除，讓Windows系統調用不到相關的驅動文件，或者在調用驅動文件的時候發生錯誤故障。同樣，我們還需轉移并刪 除“Windows”、“System”、“drivers”文件夾中的上述驅動文件，因為Windows系統也會從這里調用移動設備的驅動程序文件。

接 著， 逐 一 打 開“Windows”、“driver”、“cache”、“i386”文 件 夾 窗口，找到并選中“sp3.cab”、“driver.cab”文件，將其也轉移到一個事先指定好的位置處，因為Windows系統在無法成功調用到移動設備驅動程序文件后，可能會利用上述壓縮包文件進行自動恢復操作。當然，上述所有文件都屬于系統隱藏文件，默認狀態下用戶無法查看到它們，并對它們執行相關操作。為了確保操作順利，我們可以事先在系統資源管理器窗口中的“文件夾選項”設置。

經過上述設置操作后，任何用戶的移動設備插入計算機，都將無法正常使用，系統僅會簡單地出現無法識別之類的提示，別人還以為自己的移動設備發生損壞，根本不會想到是有意為之，這樣也就達到“有禮”拒絕別人使用移動設備的目的。

當然上述方法非常極端，在拒絕別人的同時，也影響到了用戶自己。為了不讓自己受到上述限制的影響，我們可以使用記事本程序，創建一個名稱為“xxx.bat”的批處理文件，在該文件中輸入如下命令代碼：

@echo off

copy F:aaausb*.*C:WindowsSystem32drivers

這里的“F:aaa”文件夾為用戶事先創建的專門用于備份移動設備驅動文件的特定路徑，“usb*.* ”文件為所有與移動設備相關的驅動文件，這段代碼的含義表示將之前備份的移動設備驅動文件還原到原始位置處，執行該批處理文件時，可以恢復移動設備的正常使用。同樣地，再創建好“yyy.bat”批處理文件，在該文件中輸入下面的命令代碼：

@echo off

d e l C:W i n d o w sSystem32dllcacheusb*.*

d e l C:W i n d o w sSystem32driversusb*.*

這里的第二段代碼表示刪除位于“C:WindowsSystem32dllcache”位置處的移動設備驅動文件，第三段代碼表示刪除位于“C:WindowsSystem32drivers”位置處的移動設備驅動文件，執行該批處理文件時，能取消移動設備的安裝使用。

接著打開系統運行對話框，執 行“gpedit.msc”命令，開啟系統組策略編輯器運行狀態。將鼠標定位到該編輯窗口左側中的“本地計算機策略”、“計算機配置”、“Windows 設置”、“腳本（啟動/關閉）”分支上，找到該分支下的“啟動”選項，用鼠標雙擊，彈出對應選項設置對話框。點擊“添加”按鈕，導入“yyy.bat”批處理文件，確認后返回。同樣地，在“腳本（啟動/關閉）”分支下，打開關機選項設置對話框，導入“xxx.bat”批處理文件。日后，本地系統每次關機之前，會還原移動設備的驅動文件，下次啟動計算機系統時，USB接口的設備都能正常加載使用。而在系統啟動成功后，自動刪除系統的移動設備驅動文件，這時所有用戶都將無法使用移動設備。當用戶自己需要使用移動設備時，只要簡單地手工運行“xxx.bat”批處理文件即可。

阻止修改系統桌面

一些人在使用公共計算機時，有時會不經允許任意刪除系統桌面上有用的快捷圖標，或者在系統中任意安裝軟件，導致系統桌面上混亂不堪。那么怎樣才能保證系統桌面使用安全呢？

很簡單！只要對特定登錄賬號下的桌面文件夾訪問權限進行控制，取消其對該文件夾的編輯、修改權限即可。例如，特定登錄用戶帳號為“xxx”，那么在Windows XP系統下，該帳號對應的系統桌面文件夾 為“C:Documents and Settingsxxx桌面”，在控制該文件夾的訪問權限時，可以按照如下步驟來進行：

首先以超級用戶權限登錄計算機系統，進入系統資源管理器窗口，選中“C:Documents and Settingsxxx桌面”文件夾，用鼠標右鍵單擊該文件夾，點擊右鍵菜單中的“屬性”命令，展開特定文件夾屬性設置對話框。點選“安全”標簽，進入標簽設置頁面，按下“高級”按鈕，切換到高級設置對話框，將“包括可從該對象的父項集成的權限”取消選中，確認后取消系統桌面文件夾各種繼承權限。

其次在高級設置對話框中，按下“添加”按鈕，從彈出的帳號選擇對話框中，選擇并導入“aaa”用戶帳號名稱，確認后返回到對應帳號的桌面權限列表框中，將與讀取操作相關的權限都設置為“允許”，將其他權限都設置為“拒絕”，單擊“確定”按鈕保存設置操作。

除了進行上述設置外，還需要對“C:Documents and SettingsAll Users桌面”文件夾進行相同的權限設置操作。這樣，普通用戶以“xxx”帳號登錄系統后，就不能對系統桌面添加或刪除任意快捷圖標了。日后，當其嘗試在計算機系統中安裝程序時，倘若程序要往系統桌面添加快捷圖標時，該用戶將會看到“無法創建快捷方式”之類的警告提示，這就意味著該用戶帳號不具有系統桌面的文件創建權限。同樣地，當前用戶在試圖刪除桌面上的某個有效快捷圖標時，系統會出現“文件訪問被拒絕”的警告提示。很顯然，經過上述設置操作后，系統桌面的使用安全就能得到保證了。

阻止修改主頁地址

有時訪問一些不健康站點，或者安裝一些未經認證的程序時，IE瀏覽器的主頁地址可能會被病毒或陌生程序修改得面目全非。為了保證上網訪問安全，我們可以進行如下設置操作，不讓任何程序或病毒偷偷修改瀏覽器主頁地址：

首先依次單擊“開始”、“運行”命令，彈出系統運行對話框，輸入“regedit”命令并回車，開啟系統注冊表編輯器運行狀態。依次展開注冊表編輯界面左側區 域 中 的“HKEY_CURRENT_USERSoftwarePoliciesMicrosoft”注冊表節點，打開目標節點選項的右鍵菜單，依次點擊“新建”、“項”命令，將新創建的子項名稱取為“Internet Explorer”。

同 樣 地， 在“HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet Explorer”注冊表分支下，手工生成“Control Panel”子項，從該子項的右鍵菜單中，逐一選中“新建”、“Dword(32位)值”命令，生成一個名稱為“HomePage”的雙字節鍵值，打開該鍵值編輯對話框，輸入數字“1”，單擊“確定”按鈕保存設置操作，再刷新一下系統注冊表。

日后，當普通用戶進入Internet選項設置對話框，會發現常規選項設置頁面中的主頁設置已經處于灰色狀態，普通權限賬號將不能隨意調整該設置。如果我們自己想調整主頁地址時，只要將注冊表中“HomePage”雙字節鍵值恢復為“0”，再刷新系統注冊表即可。

阻止調整網絡屬性

隨意調整網絡連接參數易造成本地系統甚至整個局域網發生地址混亂。要想防止這類現象發生，常見的方法是在“網絡連接”上，打開“禁止訪問LAN連接的屬性”選項，在其后對話框中選中“已啟用”選項，以禁止普通用戶通過本地連接屬性自由調整IP地址參數。

除上述基本方法外，隱藏本地連接圖標，讓普通用戶不能找到IP地址調整入口。在運行對話框中執行“gpedit.msc”命令開啟組策略編輯器。逐一跳轉到“本地計算機策略”、“用戶配置”、“管理模板”、“桌面”節點上，雙擊“隱藏桌面上的網上鄰居圖標”組策略，選中“已啟用”選項，確認后保存設置，這樣普通用戶就不能通過系統桌面上網上鄰居圖標訪問本地連接屬性了。

為了防止用戶從控制面板訪問本地連接屬性，我們還要在系統組策略編輯窗口中依次展開“本地計算機策略”、“用戶配置”、“管理模板”、“控制面板”節點，打開指定節點下的“禁止訪問控制面板”對話框，選中“已啟用”選項，單擊“確定”按鈕。這樣，普通用戶不但無法通過控制面板的網絡與撥號連接進入本地連接窗口，而且還無法調整系統其他設置。

有時網絡和撥號連接圖標還會出現在系統“開始”菜單中，為了限制別人從這里訪問本地連接屬性，我們可以將鼠標定位到組策略編輯窗口中的“本地計算機策略”、“用戶配置”、“管理模板”、“網絡和撥號連接”節點上，將該節點下的“從開始菜單刪除網絡和撥號連接”組策略啟用起來。

一些人或許還會從IE瀏覽器的選項設置中找到本地連接或網絡連接圖標，為了隱藏這類訪問入口，我們可以啟用Windows中的“自動刪除已有連接”策略。在Windows XP下，將鼠標定位到組策略編輯窗口左側的“本地計算機策略”、“用戶配置”、“Windows 設置”、“Internet Explorer 維護”、“連接”節點上。雙擊該節點“連接設置”組策略，選中“刪除已有的撥號連接設置”選項，單擊“確定”保存即可。

阻止進行遠程復制

在管理維護服務器系統的時候，網絡運維人員經常要使用系統內置的剪貼板功能，來快速有效地處理諸如登錄帳號或密碼之類的重要信息。

而Windows 2003服務器系統在默認狀態下，會自動允許別人通過遠程訪問方式，來查看服務器系統剪貼板中的內容。這樣一來存儲在服務器剪貼板中的重要信息，或許會被惡意用戶偷偷獲得，從而會給服務器系統的安全運行帶來潛在威脅。

為了確保網絡信息安全，大家不妨進行下面的設置操作，讓Windows 2003服務器系統拒絕任何用戶通過遠程方式，來訪問本地剪貼板中的內容：

首先逐一點擊“開始”、“運行”選項，彈出系統運行文 本 框，輸 入“Services.msc”命令并回車，切換到系統服務列表界面。

從該界面中找到并選中“ClipBook”選項，用鼠標雙擊該選項，打開服務屬性對話框，服務器系統默認已經啟用了該服務。

這時，我們不妨單擊“停止”按鈕，暫時關閉該服務的運行狀態，再將其“啟動類型”參數選擇為“已禁用”，單擊“確定”按鈕保存設置操作，這樣能輕松預防遠程拷貝給服務器系統帶來的麻煩了。

阻止監控脫機共享

為了方便訪問共享內容，Windows 7系統為用戶提供了一種不錯的脫機共享訪問功能，該功能保證用戶在網絡掉線的情況下，也能輕易訪問到目標共享資源。

不過，這種訪問便利有時也會被惡意用戶利用，他們只要偷偷進入系統默認的脫機共享文件夾“C:WindowsCSCv2.0.6 amespacehost”窗口（host為共享文件夾所在主機名稱），就能輕松監控到用戶所有的共享內容。

為了防止系統的脫機共享內容被非法監控，我們可以對脫機共享文件夾進行加密，這樣非法用戶就無法監控其中的共享訪問內容了：

首先打開Windows 7系統“控制面板”窗口，用鼠標雙擊其中的“同步中心”圖標，在其后界面中單擊左側任務列表區域中的“管理脫機文件”按鈕，進入脫機共享文件屬性設置框。

其次單擊“加密”標簽，在彈出的對應標簽頁面中，點擊“加密”按鈕，Windows 7系統就會利用內置的EFS加密技術自動為目標脫機共享文件夾進行加密了。

當然，最安全的方法就是在自己臨時離開本地系統時，對共享文件夾取消脫機訪問功能，以達到徹底保護共享訪問安全的目的。

在取消系統脫機共享訪問功能時，只要先進入脫機共享文件夾屬性設置框，點擊“常規”標簽，再單擊對應標簽頁面中的“禁用脫機文件”按鈕，就可以達到目的了。