Windows系統下組策略打造系統銅牆鐵壁的方法

　　第一、防止從“我的電腦”訪問磁碟機(Windows 2000/XP/2003)

　　此策略讓使用者無法查看在“我的電腦”或“Windows 資源管理員”中所選磁碟機的內容。同時它也禁止使用運行對話方塊、鏡像網路磁碟機對話方塊或Dir命令查看在這些磁碟機上的目錄。

　　開啟“組策略控制台→使用者配置→系統管理範本→Windows組件→Windows資源管理員”中的“防止從‘我的電腦’訪問磁碟機”並啟用此策略，並在下面列表框中選擇一個磁碟機或幾個磁碟機。

　　提示：這些代表指定磁碟機的表徵圖仍舊會出現在“我的電腦”中，但是如果使用者雙擊表徵圖，會出現一條訊息解釋設定防止這一操作。同時這些設定不會防止使用者使用其它程式訪問本地和網路磁碟機。並且不防止他們使用磁碟管理隨插即用查看和更改磁碟機特性。

　　第二、隱藏“我的電腦”中指定的磁碟機(Windows XP/2003)

　　此組策略可以從“我的電腦”和“Windows 資源管理員”上刪除代表所選硬體磁碟機的表徵圖。並且磁碟機代號代表的所有磁碟機不出現在標準的開啟對話方塊上。

　　開啟“組策略控制台→使用者配置→系統管理範本→Windows組件→Windows資源管理員”中的“隱藏‘我的電腦’中的這些指定的磁碟機”並啟用此策略，並在下面列表框中選擇一個磁碟機或幾個磁碟機。

　　提示：這項策略只刪除磁碟機表徵圖。使用者仍可通過使用其它方式繼續訪問磁碟機的內容。同時這項策略不會防止使用者使用程式訪問這些磁碟機或其內容。並且也不會防止使用者使用磁碟管理隨插即用來查看並更改磁碟機特性。

　　第三、禁止使用命令提示字元

　　(Windows 2000/XP/2003)

　　在Windows 2000/XP/2003下，我們可以運行cmd.exe進入命令提示字元狀態，並可以繼續運行一些DOS命令和其他命令列程式。出於對安全的考慮，有些系統應該屏蔽此功能。

　　開啟“組策略控制台→使用者配置→系統管理範本→系統”中的“阻止訪問命令提示字元”並啟用此策略，並在下面列表框中選擇是否“也停用命令提示字元指令碼處理”，這個設定還決定批次檔 .cmd和.bat　是否可以在電腦上運行。

　　如果啟用這個設定，在使用者試圖開啟命令視窗時，系統會顯示一條訊息，解釋設定阻止這一操作。

　　第四、徹底禁止訪問“控制台”

　　(Windows 2000/XP/2003)

　　如果不希望其他使用者訪問電腦的“控制台”，同樣可以使用組策略來實現。開啟“組策略控制台→使用者配置→系統管理範本→擴充面板”中的“禁止存取控制面板”並啟用此策略。

　　第五、禁止更改顯示內容

　　(Windows 2000/XP/2003)

　　選擇“控制台”中的“顯示”或在Windows案頭的空白處單擊右鍵選擇“屬性”，可進入“顯示設定”對話方塊，可以對桌面主題、案頭背景、屏保程式、顯示設定等各項進行設定，如果你不想讓別人隨意更改各項設定，可以通過組策略將它隱藏起來。

　　開啟“組策略控制台→使用者配置→系統管理範本→控制台→顯示”，然後可以看到隱藏案頭選項卡、隱藏主題選項卡、隱藏保護程式選項卡、隱藏設定選項卡等策略配置，可根據需要對這些項目進行配置。比如啟用了“隱藏‘案頭’選項卡”策略後，再開啟“顯示內容”對話方塊，就看不到“案頭”標籤了，這樣自然就無法再對案頭屬性變更了。

　　第六、禁用登錄編輯程式

　　(Windows 2000/XP/2003)

　　為了防止他人進入電腦後對註冊表檔案進行修改，可以在組策略中對登錄編輯程式做禁止訪問設定。具體操作方法：開啟“組策略控制台→使用者配置→系統”中的“阻止訪問註冊表編輯工具”並啟用此策略。

　　此策略被啟用後，使用者試圖啟動登錄編輯程式(Regedit.exe 及 Regedt32.exe)的時候，系統會禁止這類操作並彈出警告訊息。

　　此策略啟用後可以防止“控制台”程式檔案(Control.exe)的啟動。他人將無法啟動“控制台”(或運行任何“控制台”項目)。另外，這個設定將從“開始”菜單中刪除“控制台”。同時這個設定還從“Windows資源管理員”中刪除“控制台”檔案夾。

　　第七、禁止建立新的撥號連線

　　(Windows 2000/XP/2003)

　　如果不想讓別人在電腦中建立新串連來撥接的話，組策略也可以做到。開啟“組策略控制台→使用者配置→系統管理範本→網路→網路連接”中的“禁止訪問新增連線精靈 (NCW)”並啟用此策略。

　　啟用此策略後，在“網路連接”檔案夾和“開始菜單”中就不會出現“建立新串連”。

　　提示：此設定無法阻止使用者使用諸如 Internet Explorer 這樣的其它程式來繞過此設定。另外此設定必須重新啟動電腦後才會生效。

　　第八、限制使用應用程式

　　(Windows 2000/XP/2003)

　　如果你的電腦設定了多個使用者，有些程式我們可能不希望其他使用者隨意運行，也能在組策略中設定。

　　開啟“組策略控制台→使用者配置→系統管理範本→系統”中的“只運行許可的Windows應用程式”並啟用此策略，然後點擊下面的“允許的應用程式列表”邊的“顯示”按鈕，彈出一個“顯示內容”對話方塊，在此單擊“添加”按鈕來添加允許啟動並執行應用程式即可。以後一般使用者只能運行“允許的應用程式列表”中的程式。

　　第九、禁用“添加/刪除程式”

　　(Windows 2000/XP/2003)

　　“控制台”中“添加或刪除程式”項目允許你安裝、卸載、修複並添加和刪除 Windows 的功能和組件以及種類很多的 Windows 程式。如果你想阻止其他使用者安裝或卸載程式，可利用組策略來實現。

　　開啟“組策略控制台→使用者配置→系統管理範本→控制台→添加→刪除程式”中的“刪除‘添加/刪除程式’程式”並啟用此策略，當我們再開啟“控制台”中“添加/刪除程式”模組的時候，會自動彈出警告視窗，而“添加/刪除程式”則無法運行。

　　此外，在“添加/刪除程式”分支中還可以對Windows“添加/刪除程式”項中的“添加新程式”、“從CD-ROM或磁碟片添加程式”、 “從Microsoft添加程式”、“從網路添加程式”等項進行隱藏，通過這些策略項目的設定，起到了保護電腦中系統檔案及應用程式的作用。.

        注：更多請關注電腦教程欄目，三聯電腦辦公群:189034526歡迎你的加入