电脑组策略设置

【踏上攻防的征途】——第九十六课——组策略

简介：组策略（Group Policy）是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。

打开方式：开始菜单→运行→输入“gpedit.msc”→点击确定，即可打开！

所谓组策略，就是基于组的策略。它以Windows中的一个MMC管理单元的形式存在，可以帮助系统管

理员针对整个计算机或是特定组策略界面图用户来设置多种配置，包括桌面配置和安全配置。譬

如，可以为特定用户或用户组定制可用的程序、桌面上的内容，以及“开始”菜单选项等，也可以

在整个计算机范围内创建特殊的桌面配置。简而言之，组策略是Windows中的一套系统更改和配置

管理工具的集合。

注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，

注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个

角落，如果是手工配置，可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇

集成

各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。

其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织

方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加

强大。

组策略的用途：组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。考虑到安全方面的原因，Windows 7已经开发了许多新的和增强的组策略功能和服务，帮助您更好地保护计算机上驻留的数据、功能和服务。这些功能的配置取决于您的具体要求和使用环境，本文将主要介绍Windows 7组策略的安全使用技巧，介绍如何配置组策略功能和服务来更好地满足您的系统安全、网络安全、数据保护及个性化需求。

具体用途：

1. 禁止运行指定程序

系统启动时一些程序会在后台启动，这些程序通过“系统配置实用程序”(msconfig)的启动项

无法阻止，操作起来非常不便，通过组策略则非常方便，这对减少系统资源占用非常有效。通过

启用该策略并添加相应的应用程序，就可以限制用户运行这些应用程序。具体步骤如下：(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略

对象编辑器。

(2)在左边的窗格依次单击“用户配置→管理模板→系统”，然后在右边的窗格双击“不要运行指

定的Windows应用程序”(如图1所示)。

图1 双击“不要运行指定的Windows应用程序”

(3)选中“已启用”，单击“显示”按钮(如图2所示)，添加要阻止的程序如“Wgatray.ex e”即可。

图2 添加要阻止的程序

当用户试图运行包含在不允许运行程序列表中的应用程序时，系统会提示警告信息。把不允许运行的应用程序复制到其他的目录和分区中，仍然是不能运行的。要恢复指定的受限程序的运行能力，可以将“不要运行指定的Windows应用程序”策略设置为“未配置”或“已禁用”，或者将指定的应用程序从不允许运行列表中删除（这要求删除后列表不会成为空白的）。

这种方式只阻止用户运行从Windows资源管理器中启动的程序，对于由系统过程或其他过程启动的程序并不能禁止其运行。该方式禁止应用程序的运行，其用户对象的作用范围是所有的用户，不仅仅是受限用户，Administrators组中的账户甚至是内建的administrato r帐户都将受到限制，因此给管理员带来了一定的不便。当管理员需要执行一个包含在不允许运行列表中的应用程序时，需要先通过组策略编辑器将该应用程序从不运行运行列表中删除，在程序运行完成后，再将该程序添加到不允许运行程序列表中。需要注意的是，不要将

组策略编辑器（gpedit.msc）添加到禁止运行程序列表中，否则会造成组策略的自锁，任何用户都将不能启动组策略编辑器，也就不能对设置的策略进行更改。

提示：如果没有禁止运行“命令提示符”程序的话，用户可以通过cmd命令，从“命令提示符”运行被禁止的程序，例如，将记事本程序(notepad.exe)添加不运行列表中，通过桌面和菜单运行该程序是被限制的，但是在“命令提示符”下运行notepad命令，可以顺利的启动记事本程序。因此，要彻底的禁止某个程序的运行，首先要将cmd.exe添加到不允许运行列表中。

如果禁止程序后组策略无法使用可以通过以下方法来恢复设置：重新启动计算机，在启动菜单出现时按F8键，在Windows高级选项菜单中选择“带命令行提示的安全模式”选项，然后在命令提示符下运行mmc.exe。

在打开的“控制台”窗口中，依次点击“文件→添加/删除管理单元→添加→组策略→添加→完成→关闭→确定”，添加一个组策略控制台，接下来把原来的设置改回来，然后重新进入Windows即可。

2. 锁定注册表编辑器

注册表编辑器是系统设置的重要工具，为了保证系统安全，防止非法用户利用注册表编辑器来篡改系统设置，首先必须将注册表编辑器予以禁用。具体操作步骤如下：

(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。

(2)依次展开“用户配置→管理模板→系统”。

(3)在右侧窗格中双击“阻止访问注册表编辑工具”策略(如图3所示)。

图3 阻止访问注册表编辑工具

(4)在弹出的对话框中，选择“启用”，将“是否禁用无提示regedit?”选择“是”(如

图4所示)，按“确定”即可。

图4 双击“阻止访问注册表编辑工具”

此策略被启用后，用户试图启动注册表编辑器(Regedit.exe 及 Regedt32.exe)的时候，系统会禁止这类操作并弹出警告消息。

若要防止用户使用其他管理工具，请使用“只运行指定的 Windows 应用程序”设置。

提示：解除注册表锁定与禁用注册表编辑器方法步骤相同，双击右侧窗格中的“阻止访问注册表编辑器”，在弹出的窗口中选择“已禁用”或“未配置”，点击“确定”按钮后退出组策略编辑器，即可为注册表解锁。

这项设置是一把双刃剑：如果设为“已禁用”，则有一些正常软件（大部分软件需要与注册表打交道）有可能不能使用，甚至无法安装；如果设置为“已启用”，则在杀毒软件的监护之外，为恶意程序留下隐患。

3. 阻止访问命令提示符

命令提示符下有许多危险的操作，要阻止非法用户使用命令提示符窗口(Cmd.exe)，远离各种不可预料的风险，具体步骤如下：

(1)打开「开始」菜单，在“搜索程序和文件”搜索框中输入“gpedit.msc”并回车，打开组策略对象编辑器。

(2)在组策略对象编辑器窗格左侧的树形图中依次展开“用户配置→管理模板→系统”，在右侧窗格中双击“阻止访问命令提示符”(如图5所示)，打开目标策略属性设置对话框。

图5 双击“阻止访问命令提示符”

(3)在“阻止访问命令提示符”属性对话框中勾选已启用(如图6所示)，按“确定”即可。

图6 “阻止访问命令提示符”属性对话框