Uso de la directiva de grupo para mejorar la seguridad del sistema de Windows 7

El método de optimización para Windows 7 (en lo sucesivo, Win7) también es infinito, los usuarios a menudo son patchwork, sin pistas, y estos métodos son más difíciles de distinguir, el efecto no se conoce. De hecho, al utilizar la función de política de grupo del sistema de Win7, puede lograr la optimización del sistema de Win7. Este artículo explica cómo usar la directiva de grupo para hacer que Win7 sea más seguro.
Nota: la función Política de grupo solo está disponible en las versiones Win7 Professional, Ultimate y Enterprise.

Confidencialidad del archivo Ponga ropa invisible en el disco

Los discos incluyen principalmente discos duros, unidades ópticas y dispositivos móviles, principalmente para almacenar datos. Por lo tanto, limitar el uso de la unidad puede prevenir eficazmente la filtración de información importante y confidencial, y es necesario bloquear la invasión de virus y troyanos. Los diferentes controladores tienen diferentes métodos de limitación, y la misma unidad tiene diferentes niveles de restricciones. Simplemente diga disco duro, generalmente hay dos niveles de acceso oculto y prohibido. El nivel oculto es relativamente primitivo, solo para hacer que la unidad sea invisible, generalmente se utiliza para proteger a los niños y usuarios primarios, y se prohíbe el acceso para bloquear completamente el acceso a la unidad. Para los dispositivos móviles, puede optar por establecer permisos de lectura, escritura y ejecución, pero los virus y los troyanos generalmente se propagan mediante la ejecución de programas maliciosos, por lo que la desactivación de los permisos de ejecución es más efectiva.

Defensa principal Los usuarios comunes no pueden ver

Hay algunos archivos importantes en el disco duro de la computadora del hogar y no quiere que otros lo vean. La forma más sencilla es ocultar la unidad donde se encuentra el archivo. Haga clic en "Inicio", ingrese "gpedit.msc" en el cuadro de búsqueda, confirme el editor de políticas del grupo y luego expanda "Configuración de usuario → Plantillas administrativas → Componentes de Windows → Explorador de Windows", en la ventana de configuración derecha, Vaya a "Ocultar estas unidades especificadas en Mi PC", seleccione "Activado", seleccione la unidad que desea ocultar en la lista desplegable a continuación, y luego Aceptar. Luego ingrese la "computadora", el icono de la unidad que acaba de seleccionar desaparece. Consejo

: este método simplemente oculta el icono de la unidad, los usuarios aún pueden usar otros métodos para acceder al contenido de la unidad, como escribir directamente la ruta del directorio en la unidad en la barra de direcciones. Además, esta configuración no impide que los usuarios accedan a estas unidades o a sus contenidos mediante el programa.

Los usuarios de Advanced Defense Privilege pueden usar el disco de sistema

para tener archivos importantes del sistema, y ​​otros usuarios no pueden modificarlos ni moverlos. En particular, cuando algunas particiones tienen archivos importantes, si solo ocultas la unidad, otras pueden seguir accediendo a ella. Por supuesto, este no es el caso. La forma más segura es proteger la unidad relevante y prohibir el acceso a usuarios no autorizados.

Del mismo modo, en el Administrador de políticas de grupo, expanda "Configuración de usuario → Plantillas administrativas → Componentes de Windows → Explorador de Windows", ingrese "Evitar el acceso a la unidad desde 'Mi computadora'", seleccione "Habilitado" En la lista desplegable a continuación, seleccione la unidad que desea deshabilitar, y tendrá efecto después de la confirmación (como se muestra en la Figura 1). Cuando alguien quiera acceder de nuevo al disco correspondiente, aparecerá una ventana de "restringido". Cuando necesite verlo, simplemente cambie la configuración de política relevante de "Habilitado" a "No configurado".

Sugerencia: ¿Cómo puedo evitar que otras personas utilicen la edición de la Política de grupo? Muy simple, al crear usuarios con diferentes permisos, permita que otros usen el tipo de cuenta de Usuario normal (sin permiso para abrir el Editor de políticas de grupo).

Deshabilitar el permiso de ejecución de dispositivos móviles El virus troyano roto

Los dispositivos móviles (como memorias flash, discos duros móviles, etc.) se han convertido en la configuración estándar de muchos usuarios, y la más utilizada. Debido a esto, también se ha convertido en la ruta principal para la propagación de virus y troyanos. Las restricciones normales en los permisos de lectura y escritura no evitan que los virus y los troyanos invadan, ya que la propagación del virus se logra mediante la ejecución de virus y troyanos, por lo que la desactivación de los permisos de ejecución puede cortar la ruta de transmisión del virus.

Expanda Configuración del equipo → Plantillas administrativas → Sistema → Acceso de almacenamiento extraíble, ingrese “Disco extraíble: Rechazar permiso de ejecución”, seleccione “Activado”, y la configuración tendrá efecto después de la confirmación. El ejecutable en el dispositivo móvil no se ejecutará y la computadora ya no estará infectada por el virus. Y si necesita hacerlo, simplemente cópielo en el disco duro.

Navegar por Internet para usar una camisa de tela para el navegador

Uno de los usos más importantes de la computadora es conectarse a Internet, pero, para ser honesto, Internet no está para nada preocupado, virus, troyanos y software malicioso. Directamente, incluso se colgarán muchos sitios web grandes, los usuarios son realmente difíciles de evitar. Y una gran cantidad de malware manipulará la página de inicio del navegador u otras configuraciones del navegador. Una vez que abra el navegador, se abrirá una página desordenada o incluso un sitio web de troyano, lo que hará que los usuarios se quejen. Además, algunos usuarios usan el navegador para descargar archivos sin ningún problema. La regularidad a menudo conduce a la confusión de archivos, y es difícil eliminar los archivos de virus una vez que se descargan. Entonces, cómo mejorar la "inmunidad" del navegador es particularmente importante.

Bloquear la página de inicio

La página de inicio ha sido alterada, es la más común y, con el Bloqueo de la directiva de grupo, puede resolver completamente este problema. No solo no abrirá una página desordenada, sino que también reducirá la posibilidad de envenenamiento y troyanos nuevamente. Expanda Configuración de usuario → Plantillas administrativas → Componentes de Windows → Internet Explorer, vaya a “Deshabilitar cambiar la configuración de la página de inicio”, seleccione “Activado”, ingrese la página de inicio predeterminada bajo “Opciones” y luego la configuración tendrá efecto (como se muestra en la Figura 2). .

Sugerencia: cuando esta configuración de directiva está habilitada, los usuarios no podrán establecer la página de inicio predeterminada, por lo que, si es necesario, el usuario debe especificar una página de inicio predeterminada antes de modificar la configuración.

Configuración de Ice IE

Como se mencionó anteriormente, una vez que el sistema está envenenado o tiene un troyano, la página de inicio de IE se modificará y otras configuraciones de IE se alterarán. Por lo tanto, es muy necesario agregar una cubierta protectora al IE. En particular, una vez que se establezca la configuración de IE, es posible que no cambien durante mucho tiempo, por lo que es mejor congelarlas por completo.

Expandir "Configuración de usuario → Plantillas administrativas → Componentes de Windows → Internet Explorer → Panel de control de Internet", ventana derecha La cuadrícula tiene "Deshabilitar página avanzada", "Deshabilitar página de conexión", "Deshabilitar página de contenido", "Deshabilitar página general", "Deshabilitar página de privacidad", "Deshabilitar página de programa" y "Deshabilitar página de seguridad", respectivamente correspondientes a "Internet" en IE Siete pestañas en Opciones "(como se muestra en la Figura 3). Si todos están habilitados, al abrir las "Opciones de Internet" aparecerá el cuadro de diálogo de error "Limitado", que elimina completamente la modificación de la configuración del navegador IE.

Sugerencia: al iniciar "Deshabilitar páginas generales" se eliminará la pestaña "General" en "Opciones de Internet". Si esta política está habilitada, los usuarios no pueden ver ni cambiar la configuración de la página de inicio, caché, historial, apariencia de la página y accesibilidad. Debido a que esta política elimina la pestaña General, si establece esta política, no necesita configurar las siguientes políticas de Internet Explorer: "Deshabilitar la configuración de cambio de la página de inicio", "Deshabilitar los cambios en la configuración temporal de archivos de Internet", "Deshabilitar la configuración del historial de cambios", "Deshabilitar la configuración de cambio de color", "Deshabilitar la configuración de cambio de color de enlace", "Deshabilitar la configuración de cambio de fuente", "Deshabilitar la configuración de cambio de idioma" y "Deshabilitar la configuración de cambio de accesibilidad".

La gestión de permisos para que el sistema coincida con los ojos llamativos

Algunos de los programas realmente están fluyendo ahora, por ejemplo, muchos softwares son famosos por su comodidad, pero se incluirán maliciosamente durante el empaquetado o ecologización del software. El programa o bien empaqueta algunas páginas web en él. El método generalmente es de bajo nivel, y se implementa mediante archivos por lotes e inyección manual de información de registro, por lo que podemos usar la Política de grupo para prohibir la ejecución de algunos tipos peligrosos de archivos. Además, en algunos lugares públicos (como oficinas), muchos software no están permitidos (como el software de chat, etc.), luego los administradores también pueden usar la Política de grupo para lograr una administración efectiva.

No permitir que se ejecuten archivos peligrosos

Algunos tipos de archivos (como los archivos de registro ".reg" y los archivos por lotes ".bat") rara vez son utilizados por los usuarios comunes y son fáciles de usar. Es usado por virus o troyanos, por lo que prohibir que se ejecuten estos tipos de archivos puede garantizar la seguridad de las computadoras hasta cierto punto.

Expandiendo "Configuración del equipo → Configuración de Windows → Configuración de seguridad → Política de restricción de software", y luego seleccionando "Crear política de restricción de software" en el menú del botón derecho que aparece automáticamente generará "Nivel de seguridad" y "Otras reglas". Cinco elementos de "forzado", "tipo de archivo especificado" y "editor de confianza". Vaya a la ventana Propiedades del "Tipo de archivo especificado" y deje solo los tipos de archivo que deben prohibirse, como "archivo de lote de bateadores", y elimine todos los demás tipos de archivos. Si el tipo no está en la lista, simplemente ingrese el tipo de archivo que desea deshabilitar en el cuadro de texto "Extensión de archivo" a continuación, y agréguelo. Vaya a "Nivel de seguridad → No permitido" y haga clic en el botón "Establecer como predeterminado". Esta política entrará en vigencia. Cuando vuelva a ejecutar cualquier archivo por lotes, se bloqueará.

Desactivar el programa. También te conozco cuando me pongo el chaleco.

Además, muchas empresas no permiten el software de chat. Tome QQ como ejemplo. Si desinstala QQ directamente, el usuario puede instalarlo nuevamente o instalar el software en otra ubicación. En este punto, puede utilizar la directiva de grupo para obtenerla fácilmente.

Expanda Configuración del equipo → Configuración de Windows → Configuración de seguridad → Políticas de restricción de software → Otras reglas, y seleccione Nueva regla de hash (como se muestra en la Figura 4). Haga clic en "Examinar" para seleccionar el archivo ejecutable de QQ "QQ.exe". La primera línea debajo de "Información del archivo" es el valor hash generado. Este valor es único. La información básica del archivo también se muestra a continuación. "Nivel de seguridad" Seleccione "No permitido". Después de confirmar y cerrar sesión, vuelva a iniciar sesión y la configuración entrará en vigencia.

Sugerencia: la ventaja de utilizar una regla de hash es que, independientemente de si se cambia el nombre del programa o si se mueve, o de cualquier otra operación, siempre que se verifique que el valor del hash sea consistente, ¡el límite no expirará! Algún software se está ejecutando.