電腦組策略設(shè)置

【踏上攻防的征途】一一第九十六課一策略簡(jiǎn)介：組策略(GroupPolicy)是管理員為用戶(hù)和計(jì)算機(jī)定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具。通過(guò)使用組策略可以設(shè)置各種軟件、計(jì)算機(jī)和用戶(hù)策略。打開(kāi)方式：開(kāi)始菜單一運(yùn)行一輸入“gpedit.msc”一點(diǎn)擊確定，即可打開(kāi)！所謂組策略，就是基于組的策略。它以Windows中的一個(gè)MMC管理單元的形式存在，可以幫助系統(tǒng)管理員針對(duì)整個(gè)計(jì)算機(jī)或是特定組策略界面圖用戶(hù)來(lái)設(shè)置多種配置，包括桌面配置和安全配置。譬如，可以為特定用戶(hù)或用戶(hù)組定制可用的程序、桌面上的內(nèi)容，以及“開(kāi)始”菜單選項(xiàng)等，也可以在整個(gè)計(jì)算機(jī)范圍內(nèi)創(chuàng)建特殊的桌面配置。簡(jiǎn)而言之，組策略是Windows中的一套系統(tǒng)更改和配置管理工具的集合。注冊(cè)表是Windows系統(tǒng)中保存系統(tǒng)軟件和應(yīng)用軟件配置的數(shù)據(jù)庫(kù)，而隨著Windows功能越來(lái)越豐富，注冊(cè)表里的配置項(xiàng)目也越來(lái)越多，很多配置都可以自定義設(shè)置，但這些配置分布在注冊(cè)表的各個(gè)角落，如果是手工配置，可以想像是多么困難和煩雜。而組策略則將系統(tǒng)重要的配置功能匯集成各種配置模塊，供用戶(hù)直接使用，從而達(dá)到方便管理計(jì)算機(jī)的目的。其實(shí)簡(jiǎn)單地說(shuō)，組策略設(shè)置就是在修改注冊(cè)表中的配置。當(dāng)然，組策略使用了更完善的管理組織方法，可以對(duì)各種對(duì)象中的設(shè)置進(jìn)行管理和配置，遠(yuǎn)比手工修改注冊(cè)表方便、靈活，功能也更加強(qiáng)大。組策略的用途：組策略是管理員為用戶(hù)和計(jì)算機(jī)定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具。通過(guò)使用組策略可以設(shè)置各種軟件、計(jì)算機(jī)和用戶(hù)策略?？紤]到安全方面的原因，Windows7已經(jīng)開(kāi)發(fā)了許多新的和增強(qiáng)的組策略功能和服務(wù)，幫助您更好地保護(hù)計(jì)算機(jī)上駐留的數(shù)據(jù)、功能和服務(wù)。這些功能的配置取決于您的具體要求和使用環(huán)境，本文將主要介紹Windows7組策略的安全使用技巧，介紹如何配置組策略功能和服務(wù)來(lái)更好地滿足您的系統(tǒng)安全、網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)及個(gè)性化需求。具體用途：禁止運(yùn)行指定程序系統(tǒng)啟動(dòng)時(shí)一些程序會(huì)在后臺(tái)啟動(dòng)，這些程序通過(guò)“系統(tǒng)配置實(shí)用程序”（msconfig）的啟動(dòng)項(xiàng)無(wú)法阻止，操作起來(lái)非常不便，通過(guò)組策略則非常方便，這對(duì)減少系統(tǒng)資源占用非常有效。通過(guò)啟用該策略并添加相應(yīng)的應(yīng)用程序，就可以限制用戶(hù)運(yùn)行這些應(yīng)用程序。具體步驟如下:（1） 打開(kāi)「開(kāi)始」菜單，在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車(chē)，打開(kāi)組策略對(duì)象編輯器。（2） 在左邊的窗格依次單擊“用戶(hù)配置一管理模板一系統(tǒng)”，然后在右邊的窗格雙擊“不要運(yùn)行指定的Windows應(yīng)用程序”（如圖1所示）。圖1雙擊“不要運(yùn)行指定的Windows應(yīng)用程序”⑶選中“已啟用”，單擊“顯示”按鈕（如圖2所示），添加要阻止的程序如“Wgatray.exe”即可。圖2添加要阻止的程序當(dāng)用戶(hù)試圖運(yùn)行包含在不允許運(yùn)行程序列表中的應(yīng)用程序時(shí)，系統(tǒng)會(huì)提示警告信息。把不允許運(yùn)行的應(yīng)用程序復(fù)制到其他的目錄和分區(qū)中，仍然是不能運(yùn)行的。要恢復(fù)指定的受限程序的運(yùn)行能力，可以將“不要運(yùn)行指定的Windows應(yīng)用程序”策略設(shè)置為“未配置”或“已禁用”，或者將指定的應(yīng)用程序從不允許運(yùn)行列表中刪除（這要求刪除后列表不會(huì)成為空白的）。這種方式只阻止用戶(hù)運(yùn)行從Windows資源管理器中啟動(dòng)的程序，對(duì)于由系統(tǒng)過(guò)程或其他過(guò)程啟動(dòng)的程序并不能禁止其運(yùn)行。該方式禁止應(yīng)用程序的運(yùn)行，其用戶(hù)對(duì)象的作用范圍是所有的用戶(hù)，不僅僅是受限用戶(hù)，Administrators組中的賬戶(hù)甚至是內(nèi)建的administrator帳戶(hù)都將受到限制，因此給管理員帶來(lái)了一定的不便。當(dāng)管理員需要執(zhí)行一個(gè)包含在不允許運(yùn)行列表中的應(yīng)用程序時(shí)，需要先通過(guò)組策略編輯器將該應(yīng)用程序從不運(yùn)行運(yùn)行列表中刪除，在程序運(yùn)行完成后，再將該程序添加到不允許運(yùn)行程序列表中。需要注意的是，不要將組策略編輯器(gpedit.msc)添加到禁止運(yùn)行程序列表中，否則會(huì)造成組策略的自鎖，任何用戶(hù)都將不能啟動(dòng)組策略編輯器，也就不能對(duì)設(shè)置的策略進(jìn)行更改。提示：如果沒(méi)有禁止運(yùn)行“命令提示符”程序的話，用戶(hù)可以通過(guò)Cmd命令，從“命令提示符”運(yùn)行被禁止的程序，例如，將記事本程序(notepad.exe)添加不運(yùn)行列表中，通過(guò)桌面和菜單運(yùn)行該程序是被限制的，但是在“命令提示符”下運(yùn)行notepad命令，可以順利的啟動(dòng)記事本程序。因此，要徹底的禁止某個(gè)程序的運(yùn)行，首先要將cmd.exe添加到不允許運(yùn)行列表中。如果禁止程序后組策略無(wú)法使用可以通過(guò)以下方法來(lái)恢復(fù)設(shè)置：重新啟動(dòng)計(jì)算機(jī)，在啟動(dòng)菜單出現(xiàn)時(shí)按F8鍵，在Windows高級(jí)選項(xiàng)菜單中選擇“帶命令行提示的安全模式”選項(xiàng)，然后在命令提示符下運(yùn)行mmc.exe。在打開(kāi)的“控制臺(tái)”窗口中，依次點(diǎn)擊“文件f添加/刪除管理單元f添加f組策略f添加f完成f關(guān)閉f確定”，添加一個(gè)組策略控制臺(tái)，接下來(lái)把原來(lái)的設(shè)置改回來(lái)，然后重新進(jìn)入Windows即可。鎖定注冊(cè)表編輯器注冊(cè)表編輯器是系統(tǒng)設(shè)置的重要工具，為了保證系統(tǒng)安全，防止非法用戶(hù)利用注冊(cè)表編輯器來(lái)篡改系統(tǒng)設(shè)置，首先必須將注冊(cè)表編輯器予以禁用。具體操作步驟如下：打開(kāi)「開(kāi)始」菜單，在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車(chē)，打開(kāi)組策略對(duì)象編輯器。(2)依次展開(kāi)“用戶(hù)配置f管理模板f系統(tǒng)”。在右側(cè)窗格中雙擊“阻止訪問(wèn)注冊(cè)表編輯工具”策略(如圖3所示)。圖3阻止訪問(wèn)注冊(cè)表編輯工具在彈出的對(duì)話框中，選擇“啟用”，將“是否禁用無(wú)提丞egedit?”選擇“是”(如圖4所示)，按“確定”即可。圖4雙擊“阻止訪問(wèn)注冊(cè)表編輯工具”此策略被啟用后，用戶(hù)試圖啟動(dòng)注冊(cè)表編輯器(Regedit.exe及Regedt32.exe)的時(shí)候，系統(tǒng)會(huì)禁止這類(lèi)操作并彈出警告消息。若要防止用戶(hù)使用其他管理工具，請(qǐng)使用“只運(yùn)行指定的Windows應(yīng)用程序”設(shè)置。提示：解除注冊(cè)表鎖定與禁用注冊(cè)表編輯器方法步驟相同，雙擊右側(cè)窗格中的“阻止訪問(wèn)注冊(cè)表編輯器”，在彈出的窗口中選擇“已禁用”或“未配置”，點(diǎn)擊“確定”按鈕后退出組策略編輯器，即可為注冊(cè)表解鎖。這項(xiàng)設(shè)置是一把雙刃劍：如果設(shè)為“已禁用”，則有一些正常軟件(大部分軟件需要與注冊(cè)表打交道)有可能不能使用，甚至無(wú)法安裝；如果設(shè)置為“已啟用”，則在殺毒軟件的監(jiān)護(hù)之外，為惡意程序留下隱患。阻止訪問(wèn)命令提示符命令提示符下有許多危險(xiǎn)的操作，要阻止非法用戶(hù)使用命令提示符窗口(Cmd.exe)，遠(yuǎn)離各種不可預(yù)料的風(fēng)險(xiǎn)，具體步驟如下：打開(kāi)「開(kāi)始」菜單，在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車(chē)，打開(kāi)組策略對(duì)象編輯器。在組策略對(duì)象編輯器窗格左側(cè)的樹(shù)形圖中依次展開(kāi)“用戶(hù)配置一管理模板一系統(tǒng)”，在右側(cè)窗格中雙擊“阻止訪問(wèn)命令提示符”(如圖5所示)，打開(kāi)目標(biāo)策略屬性設(shè)置對(duì)話框。圖5雙擊“阻止訪問(wèn)命令提示符”在“阻止訪問(wèn)命令提示符”屬性對(duì)話框中勾選已啟用(如圖6所示)，按“確定”即可。圖6 “阻止訪問(wèn)命令提示符”屬性對(duì)話框如果啟用這個(gè)設(shè)置，用戶(hù)試圖打開(kāi)命令窗口，系統(tǒng)會(huì)顯示一個(gè)消息，解釋設(shè)置阻止這種操作。這個(gè)設(shè)置還決定批處理文件(.cmd和.bat)是否可以在計(jì)算機(jī)上運(yùn)行。提示：如果計(jì)算機(jī)使用登錄、注銷(xiāo)、啟動(dòng)或關(guān)閉批文件腳本，不能防止計(jì)算機(jī)運(yùn)行批處理文件；也不能防止使用終端服務(wù)的用戶(hù)運(yùn)行批處理文件。禁止修改系統(tǒng)還原“系統(tǒng)還原”是Windows7的一項(xiàng)很重要的功能，如果您對(duì)計(jì)算機(jī)的安全性要求很高，或是計(jì)算機(jī)是一臺(tái)公用的計(jì)算機(jī)，有很多人會(huì)去使用，那么為了保證系統(tǒng)的可操作性，將“系統(tǒng)還原”所占用的磁盤(pán)空間設(shè)置得大一些很有必要。但是如果這個(gè)設(shè)置被人更改，就會(huì)造成以前創(chuàng)建的還原點(diǎn)中信息的丟失。您可以在“組策略”中禁止對(duì)“系統(tǒng)還原”的配置進(jìn)行修改。具體操作步驟如下：打開(kāi)「開(kāi)始」菜單，在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車(chē)，打開(kāi)組策略對(duì)象編輯器。在組策略對(duì)象編輯器窗格左側(cè)的樹(shù)形圖中依次展開(kāi)“計(jì)算機(jī)配置一管理模板一系統(tǒng)f系統(tǒng)還原”，在右側(cè)窗格中雙擊“關(guān)閉配置”(如圖7所示)，打開(kāi)目標(biāo)策略屬性設(shè)置對(duì)話框。圖7雙擊“關(guān)閉配置”(3)在“關(guān)閉配置”屬性對(duì)話框中勾選“已啟用”，按“確定”。“系統(tǒng)還原”配置界面上配置系統(tǒng)還原的選項(xiàng)就會(huì)消失。如果選擇“已禁用”(如圖8所示)，則仍可看見(jiàn)配置界面，但是，所有系統(tǒng)還原配置默認(rèn)值都有效。圖8“關(guān)閉配置”屬性對(duì)話框注意：該配置必須重新啟動(dòng)計(jì)算機(jī)才會(huì)生效。設(shè)置虛擬內(nèi)存頁(yè)面對(duì)于重要文件，您可以通過(guò)加密和設(shè)置權(quán)限以禁止其他無(wú)關(guān)人員訪問(wèn)，不過(guò)您可知道，如果真的有必要，他人完全可以通過(guò)其他途徑獲得您的機(jī)密信息，那就是虛擬內(nèi)存頁(yè)面文件。虛擬內(nèi)存頁(yè)面文件作為物理內(nèi)存的補(bǔ)充，用途是在硬盤(pán)和內(nèi)存之間交換數(shù)據(jù)，而虛擬內(nèi)存頁(yè)面文件本身就是硬盤(pán)上的一個(gè)文件，它位于系統(tǒng)所在硬盤(pán)分區(qū)的根目錄中，文件名為pagefile.sys。一般情況下，當(dāng)您運(yùn)行程序時(shí)，這些程序的一部分內(nèi)容可能會(huì)被臨時(shí)保存到分頁(yè)文件上，而如果您編輯完這個(gè)文件后立刻就關(guān)閉了系統(tǒng)，那么文件的一些內(nèi)容仍然有可能被保存在虛擬內(nèi)存頁(yè)面文件中。在這種情況下，如果有人得到了這臺(tái)電腦的硬盤(pán)，那么只要把硬盤(pán)拆出來(lái)，利用特殊的軟件，就可以將虛擬內(nèi)存頁(yè)面文件中的機(jī)密信息讀取出來(lái)。通過(guò)配置組策略，您可以避免這種潛在的危險(xiǎn)。打開(kāi)「開(kāi)始」菜單，在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車(chē)，打開(kāi)組策略對(duì)象編輯器。(2)在組策略對(duì)象編輯器窗格左側(cè)的樹(shù)形圖中依次展開(kāi)“計(jì)算機(jī)配置-Windows設(shè)置一安全設(shè)置f本地策略f安全選項(xiàng)”，在右側(cè)窗格中雙擊“關(guān)機(jī)：清除虛擬內(nèi)存頁(yè)面文件”(如圖9所示)，打開(kāi)目標(biāo)策略屬性設(shè)置對(duì)話框。圖9雙擊“關(guān)機(jī)：清除虛擬內(nèi)存頁(yè)面文件”在“關(guān)機(jī)：清除虛擬內(nèi)存頁(yè)面文件”屬性對(duì)話框中勾選“已啟用”(如圖10所示)，按“確定”即可。圖10“關(guān)機(jī)：清除虛擬內(nèi)存頁(yè)面文件”屬性對(duì)話框啟用這個(gè)策略后，關(guān)機(jī)的時(shí)候系統(tǒng)會(huì)將分頁(yè)文件中的所有內(nèi)容都用“0”或者“1”寫(xiě)滿，這樣所有的信息自然也都會(huì)消失。提示：這樣做會(huì)減慢系統(tǒng)的關(guān)閉速度，如果不是非常必要，不建議您啟用這個(gè)策略。防止菜單泄漏隱私在「開(kāi)始」菜單中有一個(gè)“我最近的文檔”菜單項(xiàng)，可以記錄您曾經(jīng)訪問(wèn)過(guò)的文件。這個(gè)功能可以方便用戶(hù)再次打開(kāi)該文件，但別人也可通過(guò)此菜單訪問(wèn)您最近打開(kāi)的文檔，為安全起見(jiàn)，可屏蔽此項(xiàng)功能。具體操作步驟如下：打開(kāi)「開(kāi)始」菜單，在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車(chē)，打開(kāi)組策略對(duì)象編輯器。在組策略對(duì)象編輯器窗格左側(cè)的樹(shù)形圖中依次展開(kāi)“用戶(hù)配置一管理模板一「開(kāi)始」菜單和任務(wù)欄”，分別在右側(cè)窗格中雙擊“不要保留最近打開(kāi)文檔的歷史”和“退出時(shí)清除最近打開(kāi)的文檔的歷史”(如圖11所示)，打開(kāi)目標(biāo)策略屬性設(shè)置對(duì)話框。圖11雙擊“退出時(shí)清除最近打開(kāi)的文檔的歷史”分別在“不要保留最近打開(kāi)文檔的歷史”和“退出時(shí)清除最近打開(kāi)的文檔的歷史”屬性對(duì)話框中勾選“已啟用”，按“確定”即可。如果啟用“退出時(shí)清除最近打開(kāi)的文檔的歷史”設(shè)置，系統(tǒng)就會(huì)在用戶(hù)注銷(xiāo)時(shí)刪除最近使用的文檔文件的快捷方式。因此，用戶(hù)登錄時(shí)，「開(kāi)始」菜單上的“最近的項(xiàng)目”菜單總是空的。如果禁用或不配置此設(shè)置，系統(tǒng)就會(huì)保留文檔快捷方式，這樣用戶(hù)登錄時(shí)，“最近的項(xiàng)目”菜單中的內(nèi)容與用戶(hù)注銷(xiāo)時(shí)一樣。提示：系統(tǒng)在“系統(tǒng)驅(qū)動(dòng)器\DocumentsandSettings\用戶(hù)名'我最近的文檔”文件夾中的用戶(hù)配置文件中保存文檔快捷方式。當(dāng)沒(méi)有選擇“從開(kāi)始菜單刪除最近的項(xiàng)目菜單”和“不要保留最近打開(kāi)的文檔的歷史”策略任何一個(gè)相關(guān)設(shè)置時(shí)，此項(xiàng)設(shè)置才能使用。別讓搜索泄露隱私快捷搜索框是Windows7的一大特色，尤其在執(zhí)行文件夾搜索時(shí)非常方便。不過(guò)這一功能有時(shí)也特別令人尷尬，那就是會(huì)自動(dòng)保存下所有歷史搜索，而且并沒(méi)有提供清除功能，其中一些隱私內(nèi)容就會(huì)揮之不去。使用組策略隨時(shí)清空搜索歷史是一個(gè)很好的補(bǔ)救措施，具體步驟如下：打開(kāi)「開(kāi)始」菜單，在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車(chē)，打開(kāi)組策略對(duì)象編輯器。(2)在組策略對(duì)象編輯器窗格左側(cè)的樹(shù)形圖中依次展開(kāi)“用戶(hù)配置一管理模板-Windows組件-Windows資源管理器”，在右側(cè)窗格中雙擊“在Windows資源管理器搜索框中關(guān)閉最近搜索條目的顯示”(如圖12所示)，打開(kāi)目標(biāo)策略屬性設(shè)置對(duì)話框。圖12雙擊"在Windows資源管理器搜索框”(3)選擇“已啟用”(如圖13所示)，按“確定”之后搜索歷史即被清空，當(dāng)然以后也就不會(huì)自動(dòng)保存了。圖13選擇“已啟用”設(shè)置桌面小工具現(xiàn)在的病毒和木馬真是十分的狡猾，竟然能夠利用桌面小工具WindowsVista中稱(chēng)邊欄小工具)入侵系統(tǒng)，雖然系統(tǒng)能夠檢測(cè)到如：“天氣與生活”這款小工具沒(méi)有得到微軟認(rèn)可的有效數(shù)字簽名，但用戶(hù)只要單擊“安裝”按鈕，即可順利完成安裝進(jìn)程。如何防止這些沒(méi)有簽證的桌面小工具給系統(tǒng)可能帶來(lái)的潛在危險(xiǎn)呢？通過(guò)組策略可以拒絕使用沒(méi)有簽證的桌面小工具，具體操作步驟如下：打開(kāi)「開(kāi)始」菜單，在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車(chē)，打開(kāi)組策略對(duì)象編輯器。在組策略對(duì)象編輯器窗格左側(cè)的樹(shù)形圖中依次展開(kāi)“計(jì)算機(jī)配置一管理模塊-windows組件一桌面小工具”，在右側(cè)窗格中雙擊“限制未經(jīng)數(shù)字簽名的小工具的解包和安裝”(如圖14所示)，打開(kāi)目標(biāo)策略屬性設(shè)置對(duì)話框。圖14雙擊“限制未經(jīng)數(shù)字簽名的小工具的解包和安裝”⑶在“限制未經(jīng)數(shù)字簽名的小工具的解包和安裝”屬性對(duì)話框中勾選“已啟用”例圖15所示)，按“確定”，則Windows桌面小工具不會(huì)提取未經(jīng)數(shù)字簽名的任何小工具。圖15“限制未經(jīng)數(shù)字簽名的小工具的解包和安裝”提示：默認(rèn)情況下，Windows桌面小工具是可以安裝未簽名的工具軟件，但是如果啟用上述設(shè)置，Windows桌面小工具將不會(huì)再允許用戶(hù)安裝未經(jīng)簽名的軟件，包括一些壓縮文件。這將給用戶(hù)的系統(tǒng)帶來(lái)一定的安全保障。9.完全禁止使用U盤(pán)現(xiàn)在U盤(pán)已經(jīng)相當(dāng)普及，電腦里面的資料很容易被復(fù)制，這對(duì)電腦中的資料無(wú)疑是一種威脅。如果您的電腦中有一些重要的資料，那就要小心了。難道要把USB端口給拆下來(lái)嗎？當(dāng)然不是。其實(shí)運(yùn)用Windows7系統(tǒng)本身的禁止使用USB設(shè)備的功能，就能徹底解決這一問(wèn)題。具體操作步驟如下：打開(kāi)「開(kāi)始」菜單，在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車(chē)，打開(kāi)組策略對(duì)象編輯器。在組策略對(duì)象編輯器窗格左側(cè)的樹(shù)形圖中依次展開(kāi)“計(jì)算機(jī)配置…管理模板…系統(tǒng)f可移動(dòng)存儲(chǔ)訪問(wèn)”，在右側(cè)窗格中雙擊“所有可移動(dòng)存儲(chǔ)類(lèi)：拒絕所有權(quán)限”，打開(kāi)目標(biāo)策略屬性設(shè)置對(duì)話框(如圖16所示)。圖16打開(kāi)“所有可移動(dòng)存儲(chǔ)類(lèi)：拒絕所有權(quán)限”在“所有可移動(dòng)存儲(chǔ)類(lèi)：拒絕所有權(quán)限”屬性對(duì)話框中勾選“已啟用”(如圖17所示)，按“確定”按鈕就可以完全禁止USB存儲(chǔ)類(lèi)設(shè)備了。圖17“所有可移動(dòng)存儲(chǔ)類(lèi)：拒絕所有權(quán)限”屬性框如果您不準(zhǔn)備完全禁止USB設(shè)備，希望能讀取U盤(pán)的內(nèi)容，只是禁止數(shù)據(jù)寫(xiě)入U(xiǎn)盤(pán)。具體操作步驟如下：打開(kāi)「開(kāi)始」菜單，在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車(chē)，打開(kāi)組策略對(duì)象編輯器。在組策略對(duì)象編輯器窗格左側(cè)的樹(shù)形圖中依次展開(kāi)“計(jì)算機(jī)配置一管理模板一系統(tǒng)f可移動(dòng)存儲(chǔ)訪問(wèn)”，在右側(cè)窗格中雙擊“可移動(dòng)磁盤(pán)：拒絕寫(xiě)入權(quán)限”(如圖18所示)，打開(kāi)目標(biāo)策略屬性設(shè)置對(duì)話框。圖18雙擊“可移動(dòng)磁盤(pán)：拒絕寫(xiě)入權(quán)限”在“可移動(dòng)磁盤(pán)：拒絕讀取權(quán)限”屬性對(duì)話框中勾選“已啟用”(如圖19所示)，按“確定”按鈕即可。圖19“可移動(dòng)磁盤(pán)：拒絕讀取權(quán)限”屬性對(duì)話框提示：以上對(duì)U盤(pán)進(jìn)行了禁止寫(xiě)入設(shè)置。如果要U盤(pán)禁止讀取，而允許寫(xiě)入數(shù)據(jù)，那可以啟用“可移動(dòng)磁盤(pán)：拒絕讀取權(quán)限”來(lái)實(shí)現(xiàn)。允許識(shí)別指定U盤(pán)以上“禁止使用U盤(pán)”和“禁止數(shù)據(jù)寫(xiě)入U(xiǎn)盤(pán)”兩項(xiàng)設(shè)置，在保護(hù)自己電腦資料的同時(shí)也給自己帶來(lái)了很大的不便，如何讓系統(tǒng)只能使用指定的U盤(pán)或者移動(dòng)硬盤(pán)呢？通過(guò)組策略“允許識(shí)別指定U盤(pán)”可能解決這一問(wèn)題。操作步驟如下：把U盤(pán)插入到Windows7系統(tǒng)的USB接口中，讓系統(tǒng)可以正常使用U盤(pán)，接著進(jìn)入“控制面板”，雙擊“硬件和聲音”、“設(shè)備管理器”(如圖20所示)。圖20雙擊“硬件和聲音”、“設(shè)備管理器”展開(kāi)“便攜設(shè)備”，可以看見(jiàn)里面有您剛剛插入的。盤(pán)，在上面點(diǎn)擊鼠標(biāo)右鍵來(lái)選擇“屬性”(如圖21所示)。圖21展開(kāi)“便攜設(shè)備”在彈出的“屬性”窗口中點(diǎn)擊“詳細(xì)信息”標(biāo)簽，然后在設(shè)備“屬性”下拉框中選擇“硬件ID”，下面的“值”中會(huì)出現(xiàn)字符串，這個(gè)就是您的U盤(pán)的硬件ID，把它復(fù)制出來(lái)保存好。復(fù)制“通用串行總線控制器”中“USB大容量存儲(chǔ)設(shè)備”的硬件ID，在“設(shè)備管理器”中展開(kāi)“通用串行總線控制器”列表，找到“USB大容量存儲(chǔ)設(shè)備”(如圖22所示)。圖22找到“USB大容量存儲(chǔ)設(shè)備”在它的“屬性”窗口中點(diǎn)擊“詳細(xì)信息”標(biāo)簽，復(fù)制出它的硬件ID(如圖23所示)。圖23復(fù)制出U盤(pán)硬件ID打開(kāi)「開(kāi)始」菜單，在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車(chē)，打開(kāi)組策略對(duì)象編輯器。依次展開(kāi)“計(jì)算機(jī)配置f管理模板f系統(tǒng)f設(shè)備安裝f設(shè)備安裝限制”(如圖24所示)。圖24雙擊“禁止安裝未由其他策略設(shè)置描述的設(shè)備”雙擊右側(cè)的“禁止安裝未由其他策略設(shè)置描述的設(shè)備”，在彈出的窗口中選擇“已啟用”，再點(diǎn)擊“確定”按鈕，設(shè)置它可以來(lái)禁止策略沒(méi)描述的USB設(shè)備(如圖25所示)。圖25禁止安裝未由其他策略設(shè)置描述的設(shè)備(8)雙擊右側(cè)的“允許安裝與下列設(shè)備ID相匹配的設(shè)備”(如圖26所示)，在彈出的窗口中選擇“已啟用”，單擊“顯示”按鈕，將允許安裝的U盤(pán)的硬件ID粘貼到其中，再點(diǎn)擊“確定”按鈕。圖26允許安裝與下列設(shè)備ID相匹配的設(shè)備禁止光盤(pán)自動(dòng)播放光盤(pán)自動(dòng)播放雖然能給您帶來(lái)了許多便利，但有些時(shí)候也會(huì)帶來(lái)不少麻煩。默認(rèn)狀態(tài)下，當(dāng)您將光盤(pán)插入光驅(qū)時(shí)，系統(tǒng)就會(huì)自動(dòng)讀取光驅(qū)，并啟動(dòng)autorun.inf指定的應(yīng)用程序。這一默認(rèn)狀態(tài)對(duì)系統(tǒng)來(lái)說(shuō)是極不安全的，說(shuō)不定自動(dòng)運(yùn)行的是一個(gè)木馬程序。有時(shí)插入光盤(pán)僅僅是想查看一下光盤(pán)中的內(nèi)容，自動(dòng)播放功能會(huì)使您這一簡(jiǎn)單想法的實(shí)現(xiàn)變得復(fù)雜。關(guān)閉光盤(pán)自動(dòng)播放實(shí)屬明智之舉。用組策略可以關(guān)閉光盤(pán)自動(dòng)播放功能，具體操作步驟如下：(1)打開(kāi)「開(kāi)始」菜單，在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車(chē)，打開(kāi)組策略對(duì)象編輯器。(2)在組策略對(duì)象編輯器窗格左側(cè)的樹(shù)形圖中依次展開(kāi)“用戶(hù)配置一管理模板-windows組件一自動(dòng)播放策略”，在右側(cè)窗格中雙擊“關(guān)閉自動(dòng)播放”(如圖27所示)，打開(kāi)目標(biāo)策略屬性設(shè)置對(duì)話框。圖27雙擊“關(guān)閉自動(dòng)播放”在“關(guān)閉自動(dòng)播放”屬性對(duì)話框中勾選“已啟用”(如圖28所示)，在“關(guān)閉自動(dòng)播放”框中選擇“CD-ROM啟動(dòng)器”或“所有驅(qū)動(dòng)器”項(xiàng)按“確定”即可。圖28 “關(guān)閉自動(dòng)播放”對(duì)話框注意：插入光盤(pán)時(shí)按住shift鍵可禁止光盤(pán)自動(dòng)播放。這種方式最好能成為使用陌生光盤(pán)時(shí)的一種操作習(xí)慣。此設(shè)置不阻止自動(dòng)播放音樂(lè)CD。禁止安裝移動(dòng)設(shè)備如果不希望其他人在您的電腦上隨便使用移動(dòng)設(shè)備，則可以通過(guò)組策略禁止安裝可移動(dòng)設(shè)備。具體操作步驟如下：打開(kāi)「開(kāi)始」菜單，在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車(chē)，打開(kāi)組策略對(duì)象編輯器。在組策略對(duì)象編輯器窗格左側(cè)的樹(shù)形圖中依次展開(kāi)“計(jì)算機(jī)配置一管理模塊一系統(tǒng)一設(shè)備安裝一設(shè)備安裝限制”，在右側(cè)窗格中雙擊“禁止安裝可移動(dòng)設(shè)備”(如圖29所示)，打開(kāi)目標(biāo)策略屬性設(shè)置對(duì)話框。圖29雙擊“禁止安裝可移動(dòng)設(shè)備”在屬性對(duì)話框中勾選“已啟用”并按“確定”。如果啟用了此設(shè)置，則不會(huì)安裝可移動(dòng)設(shè)備，而且無(wú)法更新現(xiàn)有可移動(dòng)設(shè)備的驅(qū)動(dòng)程序。如果未配置或禁用了此設(shè)置，那么，只要其他策略設(shè)置允許安裝設(shè)備，就可以安裝可移動(dòng)設(shè)備和更新現(xiàn)有的可移動(dòng)設(shè)備。提示：此策略設(shè)置比允許安裝設(shè)備的任何其他策略設(shè)置的優(yōu)先級(jí)都高。如果此策略設(shè)置禁止安裝某個(gè)設(shè)備，那么，即使該設(shè)備與允許安裝它的其他策略設(shè)置相匹配，也將無(wú)法安裝或更新該設(shè)備。對(duì)于此策略，當(dāng)設(shè)備所連接到的設(shè)備驅(qū)動(dòng)程序該設(shè)備可移動(dòng)時(shí)，設(shè)備被認(rèn)為是可移動(dòng)設(shè)備。例如，設(shè)備連接到的USB集線器的驅(qū)動(dòng)程序報(bào)告某個(gè)通用串行總線(USB)設(shè)備是可移動(dòng)設(shè)備。如果此計(jì)算機(jī)是一臺(tái)終端服務(wù)器，則啟用此策略還會(huì)影響指定的設(shè)備從終端服務(wù)客戶(hù)端重定向到此計(jì)算機(jī)。注意：禁止安裝可移動(dòng)設(shè)備對(duì)提高系統(tǒng)安裝性能非常有效，使用此設(shè)置可防止可移動(dòng)設(shè)備如U盤(pán)的使用。限制使用驅(qū)動(dòng)器若要防止用戶(hù)使用“我的電腦”訪問(wèn)所選驅(qū)動(dòng)器的內(nèi)容，可按以下步驟操作：(1)打開(kāi)「開(kāi)始」菜單，在“搜索程序和文件”搜索框中輸入“gpedit.msc”并回車(chē)，打開(kāi)組策略對(duì)象編輯器。(2)在組策略對(duì)象編輯器窗格左側(cè)的樹(shù)形圖中依次展開(kāi)“用戶(hù)配置一管理模板-Windows組件-Windows資源管理器”，在右側(cè)窗格中雙擊“防止用戶(hù)使用'我的電腦'訪問(wèn)所選驅(qū)動(dòng)器的內(nèi)容”，打開(kāi)目標(biāo)策略屬性設(shè)置對(duì)話框。(3)在“防止用戶(hù)使用‘我的電腦’訪問(wèn)所選驅(qū)動(dòng)器的內(nèi)容”屬性對(duì)話框中勾選“已啟用”，并在下面列表框中選擇一個(gè)驅(qū)動(dòng)器或幾個(gè)驅(qū)動(dòng)器，按“確定”即可。如果啟用此設(shè)置，則用戶(hù)可以瀏覽“我的電腦”或Windows資源管理器中所選驅(qū)動(dòng)器的目錄結(jié)構(gòu)，但是無(wú)法打開(kāi)文件夾或訪問(wèn)其中的內(nèi)容。此外，他們也無(wú)法使用“運(yùn)行”對(duì)話框或“映射網(wǎng)絡(luò)驅(qū)動(dòng)器”對(duì)話框來(lái)查看這些驅(qū)動(dòng)器上的目錄。若要使用此設(shè)置，請(qǐng)從下拉列表中選擇一個(gè)驅(qū)動(dòng)器或多個(gè)驅(qū)動(dòng)器的組合。若要允許訪問(wèn)所有驅(qū)動(dòng)器目錄，請(qǐng)禁用此設(shè)置或從下拉列表中