动动心思,用组策略“强壮”网络(组图)
日期:2007-07-16 荐:
相信不少“菜鸟”朋友都会认为Windows系统的组策略很“神秘”,因此他们一般不敢轻易去“碰”它;其实,如果你和系统组策略有过一次“亲密接触”的话,你或许会为系统组策略的强大功能所吃惊,因为只要简单地动动系统组策略,你的系统网络功能将得到进一步“强壮”。不信的话,就请各位一起来看看吧! 让冲浪痕迹自动抹除 每次冲浪过后,系统都会“自做主张”地记录下上网的痕迹,其他人很容易通过这些痕迹,偷窥到自己的上网隐私。为了避免自己的隐私不被外人非法偷窥到,你或许会在每次冲浪结束后,用手工清除的方法将各种上网痕迹逐一抹除掉,很显然这种方法不但烦琐,而且也不大容易记住。其实,你可以通过下面的方法,让系统在注销的那一刻自动抹除所有的上网痕迹: 首先创建一个批处理文件,确保在执行完该文件后,能自动将所有的上网痕迹全部清除掉。在创建这样的批处理文件时,可以先打开记事本之类的文本编辑工具,然后在编辑界面中输入下面的命令代码: @echo off cd c:\windows\local settings\temporary internet files c:\windows\command\deltree .\*.* /y 之后,依次执行文本编辑界面中的“文件”/“保存”命令,将前面的命令代码保存成扩展名为“bat”的批处理文件,例如这里笔者将它保存为“autodel.bat”文件,当然该文件只对Win98或WinMe系统有效,如果要想自动清除Win2000以上版本系统中的上网痕迹时,就必须在文本编辑界面中输入下面的命令代码: @echo off cd c:\ documents ad settings\administrator\local settings\temporary internet files c:\winnt\system32\deltree .\*.* /y 而且要想让上面的批处理文件执行成功的话,还需要事先将Win98系统下的“Deltree.exe”命令,直接复制到Win2000以上版本系统的“c:\winnt\system32”目录下;当然如果Windows系统并没有按照默认设置来安装时,还需要将批处理文件中的系统安装路径,设置成实际的安装路径。 图一 其次,依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入组策略编辑命令“Gpedit.msc”,单击“确定”按钮后,再依次展开组策略编辑窗口中的“用户配置”、“Windows设置”、“脚本(登录/注销)”分支; 然后在弹出的图1界面中,双击“注销”选项,在接着打开的注销属性设置窗口中,单击一下“添加”按钮,在弹出的文件选择对话框中导入“autodel.bat”文件,最后单击“确定”按钮,这样的话你以后每次在退出计算机系统时,“autodel.bat”文件就会被自动执行,以便让冲浪痕迹自动抹除。 让WinXP被随意共享 倘若在Win98工作站中通过“网上邻居”窗口,来访问WinXP操作系统的话,你会发现WinXP工作站会拒绝你的共享请求,这是怎么回事呢?原来WinXP系统在默认状态下是不允许以guest方式登录系统的,那么是不是将WinXP系统下的guest帐号“激活”,就能让WinXP工作站被随意共享了呢?其实不然,除了要将guest帐号启用起来,还需要指定guest帐号可以通过网络访问WinXP工作站的共享资源;下面就是让WinXP被随意共享的具体实现步骤: 首先在WinXP工作站中,依次单击“开始”/“程序”/“管理工具”/“计算机管理”命令,在弹出的计算机管理界面中,再逐步展开“系统工具”、“本地用户和组”、“用户”分支,在对应“用户”分支的右边子窗口中,再双击“guest”选项,在弹出的帐号属性设置界面中,取消“帐号已停用”选项,再单击“确定”按钮,“guest”帐号就能被重新启用了; 接着打开系统的组策略编辑窗口,再用鼠标逐步展开其中的“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“用户权利指派”分支,在弹出的图2界面中,双击右侧子窗口中的“拒绝从网络访问这台计算机”项目,在接着出现的界面中,将guest帐号选中并删除掉,然后再单击一下“确定”按钮,那么WinXP工作站中的共享资源就能被随意访问了。 图二 让135端口自行关闭 大家知道,一旦将服务器中的135网络端口开通时,黑客或非法攻击者可能会通过一种专业的远程控制工具,偷窥到服务器中的重要内容以及上网帐号等,严重的话还能远程执行服务器中的重要程序,从而给服务器带来安全威胁。为了避免服务器遭受到这样的攻击,你必须想办法将服务器中的135网络端口屏蔽掉。为此,本文特意通过修改组策略的方法,帮助各位轻松关闭135网络端口。 考虑到黑客在攻击服务器时,都需要先与服务器建立网络连接,然后才能通过135网络端口对服务器进行破坏,因此只要我们能“拒绝”其他客户端通过网络来访问服务器,就能达到间接关闭135网络端口的目的,从而确保服务器不受远程攻击了。要“拒绝”其他客户端与服务器建立网络连接时,可以按如下步骤来实现: 首先进入到组策略编辑窗口,用鼠标逐步展开其中“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“用户权利指派”项目,再双击“用户权利指派”项目下面的“拒绝从网络访问这台计算机”选项; 在接着打开的图3界面中,单击“添加”按钮,在随后出现的帐号列表界面中,选中“everyone”帐号,并单击“添加”按钮,将该帐号导入到“指派给”列表中,最后单击“确定”按钮,这样的话任何一位客户端用户都无权通过网络访问到服务器,这样黑客或其他攻击者自然也就无法使用135网络端口,对服务器进行远程攻击了。
网络“收藏”躲起来 为了提高上网冲浪的效率,不少人都喜欢用IE中的网络“收藏”功能,将自己频繁需要访问的站点保存起来,以便下次能直达目的地;为了防止其他人浏览到自己的“收藏”隐私,你可以轻松地设置一下系统组策略,来让IE中的网络“收藏”功能躲起来: 在组策略编辑界面中,将鼠标定位于“用户配置”/“管理模板”/“Windows组件”/“Internet Explorer”/“浏览器菜单”分支; 在弹出的图4界面中,选中右侧子窗口中的“隐藏收藏菜单”选项,然后用鼠标左键双击该选项,在接着出现的属性设置窗口中,选中“启用”选项,然后单击“确定”按钮,就可以让网络“收藏”功能躲起来了。 图4 拒绝网络打印被非法共享 为了提高打印效率,相信不少单位都将打印机设置成共享了,这样一来许多非法用户也能趁机通过“网上邻居”窗口,来轻易使用局域网中的共享打印机了,时间一长就容易造成打印成本不断上升。很明显,将网络打印机“发布”在网上邻居窗口中,容易造成打印机被非法共享。为了拒绝网络打印被非法共享,你可以按如下方法来设置系统组策略: 按同样方法打开系统的组策略编辑界面,在该界面中用鼠标逐步双击“本地计算机策略”、“计算机配置”、“管理模板”、“打印机”分支; 在“打印机”分支的右侧子窗口中,双击“打印机浏览”选项,在接着出现的图5设置对话框中,选中“禁用”选项,再单击一下“确定”按钮,共享打印机的“身影”就不会出现在网上邻居窗口中了,这样非法用户自然无法在网上邻居窗口中使用共享打印机了。 阻止弹出上网插件提示 在网上冲浪时,愉快的心情常常会被各式各样的插件安装弹出窗口所干扰,那有没有办法限制这些插件安装窗口自动弹出来呢?答案是肯定的,你只要按照如下方法,对系统组策略进行一下简单设置就可以了: 依次单击“开始”/“运行”命令,在打开的运行对话框中,执行组策略编辑命令,在其后的窗口中逐步单击“用户配置”/“管理模板”/“Windows组件”/“Internet Explorer”分支; 在弹出的图6界面中,双击右侧子窗口中的“管理员认可的控件”目录,在接着打开的窗口中,选中那些频繁自动弹出的插件选项,并用鼠标双击它们,打开对应的设置对话框,选中其中的“禁用”选项,然后单击一下“确定”按钮,日后上网遇到对应的插件时就不会再弹出安装窗口了。 图六 让IE也能加密系统 在管理服务器时,常常会碰到暂时要离开服务器一段时间,并且很快又返回的现象;为了确保在离开服务器的这一段时间内,禁止非法用户随意进入服务器系统,许多人都为服务器设置了开机密码,不过该方法需要将服务器关闭掉,那么当你重新回来时就需要重新启动服务器,很明显这会浪费时间;也有人为服务器设置了屏幕保护程序,并为屏保设置密码了,一旦暂时离开服务器时就能启用加密屏保来限制其他人进入到服务器中,不过该方法并不能立即生效,至少需要等1分钟屏保才能启动。如此说来,难道就没有其他好的办法,来保证自己离开服务器时可以对系统立即加密吗?其实你可以通过下面的方法,来迅速为服务器系统“加密”,而且还能将该“加密”功能集成到IE工具栏中,以便日后快速调用: 首先打开记事本编辑界面,并在其中输入下面的命令代码: @echo off X:\WinNT\System32\rundll32.exe user32.dll,lockworkstation 之后,再将上述的代码文件保存为批处理文件,比方说将它保存为“security.bat”,其中“X”指的是服务器系统所在的分区,这样一旦执行了这个批处理文件的话,服务器的桌面就会立即进入到系统登录界面,此时其他人要是没有系统登录帐号的话,就无法进入到服务器中; 其次要为“security.bat”文件定制好命令图标。为了可以将“加密”功能内置到IE工具栏中,你必须事先准备两个“加密系统”的图标,以便作为工作栏中的有效按钮图标和无效按钮图标,并且确保每一个图标的文件都用“ICO”作为扩展名; 下面就需要通过组策略,来将“加密系统”系统内置到IE界面中了。打开组策略编辑界面,将鼠标定位于“用户配置”/“Windows设置”/“Internet Explorer维护”/“浏览器用户界面”分支; 接着双击“浏览器用户界面”分支下面的“浏览器工具栏按钮”选项,在其后打开的界面中,单击“添加”按钮,打开如图7所示的窗口;在“工具栏标题”处输入“加密系统”,接着单击“工具栏操作”处的“浏览”按钮,导入批处理文件“security.bat”,再将前面准备好的两种图标文件导入到对应的设置项处,再单击“确定”按钮退出工具栏按钮自定义窗口; 结束所有设置操作后,将系统重新启动一下,然后再打开IE浏览器窗口时,你就会发现“加密系统”按钮已经出现在IE工具栏中了,以后你可以随时单击该按钮,来为服务器进行即时加密! 另类方式登录服务器 每次进入到Win2000服务器系统中时,都需要先按下“Ctrl Alt Del”组合键,才可以输入登录帐号和登录密码。倘若上面的组合键中有一个按键失效的话,我们是不是就无法登录到服务器系统了呢?其实每次登录服务器,不需要上面的组合键,你同样也能轻松进入到服务器系统中。这不,下面笔者就对系统组策略进行一下设置,让登录服务器时自动跳过按“Ctrl Alt Del”组合键的提示界面,从而实现快速登录:
首先执行组策略编辑命令“Gpedit.msc”,在打开的编辑窗口中,再将鼠标定位于“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“安全选项”分支; 在“安全选项”分支下面,双击“禁用按Ctrl Alt Del进行登录”项目,在接着出现的图8窗口中,将“已启用”选项选中,再单击一下“确定”按钮,日后再次登录服务器系统时,你就看不到按“Ctrl Alt Del”组合键的提示了。 拒绝扫描注册表路径 倘若你的服务器安装的是Windows 2003 Server系统的话,那么在默认状态下,黑客很容易通过比较专业的扫描工具,来轻松扫描到远程注册表中的一些路径信息,通过这些路径信息黑客说不定能轻易入侵服务器系统,从而给服务器带来安全威胁。为了确保服务器不受外来攻击,你可以按如下方法,对组策略进行合理设置,以便拒绝黑客可以扫描到远程注册表的路径信息: 在打开的组策略编辑界面中,将鼠标定位于“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“安全选项”分支; 在“安全选项”分支下面双击“网络访问:可远程访问的注册表路径”项目,在接着弹出的设置窗口中,你可以将所有显示出来的远程注册表的路径信息都选中,然后将它们全部删除掉,这样一来黑客就扫描不到远程注册表的路径信息了。 消除共享痕迹 当你打开WinXP系统中的网上邻居窗口时,你会发现以前访问的所有共享文件夹,仍然还在该窗口中;很显然,其他人也能在网上邻居窗口中看到自己的访问隐私,为了避免自己的访问活动被其他人偷窥到,你可以按如下设置,来消除出现在网上邻居窗口中的共享痕迹: 首先在系统运行对话框中执行“gpedit.msc”命令,在打开的组策略编辑窗口中,逐步单击“本地计算机策略”/“用户配置”/“管理模板”/“桌面”分支; 接着双击“桌面”分支下面的“不要将最近打开的文档共享添加到网上邻居”项目,在其后弹出的设置界面中,将“已启用”选项选中,最后单击“确定”按钮就可以了。
标签: