‘壹’ 如何绕过组策略访问本地硬盘
打开组策略解除限制。
另在网页上输入访问盘符试下看。
‘贰’ 怎样用组策略优化电脑
用组策略优化你的电脑
一、给我们的IP添加安全策略
在“计算机配置”→“Windows设置”→“安全设置”→“IP 安全策略,在本地计算机”下与有与网络有关的几个设置项目(如图1)。如果大家对 Internet较为熟悉,那也可以通过它来添加或修改更多的网络安全设置,这样在Windows上运行网络程序或者畅游Internet时将会更加安全。
小提示
由于此项较为专业,其间会涉及到很多的专业概念,一般用户用不到,在这里只是给网络管理员们提个醒,因此在此略过。
二、隐藏驱动器
平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项:选择“用户配置→管理模板→Windows组件→Windows资源管理器”
三、禁用指定的文件类型
在“组策略”中,我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型,而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件,不让系统运行REG文件,具体操作方法如下:
1. 打开组策略,点击“计算机配置→Windows设置→安全设置→软件限制策略”,在弹出的右键菜单上选择“创建软件限制策略”,即生成“安全级别”、“其他规则”及“强制”、“指派的文件类型”、“受信任的出版商”项
2. 双击“指派的文件类型”打开“指派的文件类型属性”窗口,只留下REG文件类型,将其他的文件全部删除,如果还有其他的文件类型要禁用,可以再次打开这个窗口,在“文件扩展名”空白栏里输入要禁用的文件类型,将它添加上去。
3. 双击“安全级别→不允许的”项,点击“设为默认”按钮。然后注销系统或者重新启动系统,此策略即生效,运行REG文件时,会提示“由于一个软件限制策略的阻止,Windows无法打开此程序”。
4.要取消此软件限制策略的话,双击“安全级别→不受限的”,打开“不受限的 属性”窗口,按“设为默认值”即可。
小提示
如果你鼠标右键点击“计算机配置→Windows设置→安全设置→软件限制策略→其他规则”,你会看到它可以建立哈希规则、Internet 区域规则、路径规则等策略,利用这些规则我们可以让系统更加安全,比如利用“路径规则”可以为电子邮件程序用来运行附件的文件夹创建路径规则,并将安全级别设置为“不允许的”,以防止电子邮件病毒。
提示:为了避免“软件限制策略”将系统管理员也限制,我们可以双击“强制”,选择“除本地管理员以外的所有用户”。如果用你的是文件类型限制策略,此选项可以确保管理员有权运行被限制的文件类型,而其他用户无权运行。
四、未经许可,不得在本机登录
使用电脑时,我们有时要离开座位一段时间。如果有很多正在打开的文档还没有处理完成或者正在下载东西、挂POPO等等,为了避免有人动用电脑,我们一般会把电脑锁定。但是在局域网中,为了方便网络登录,我们有时候会建立一些来宾账户,如果对方利用这些账户来注销当前账户登录到别的账户,那就麻烦了。既然我们不能删除或禁用这些账户,那么我们可以通过“组策略”来禁止一些账户在本机上登录,让对方只能通过网络登录。
在“组策略”窗口中依次打开“计算机配置→Windows设置→安全设置→本地策略→用户权限分配”,然后双击右侧窗格的“拒绝本地登录”项,在弹出的窗口中添加要禁止的用户或组即可实现
小提示
如果我们想反其道而行之,禁止用户从网络登录,只能从本地登录,可以双击“拒绝从网络访问这台计算机”项将用户加上去。
五、给“休眠”和“待机”加个密码
只有“屏幕保护”有密码是远远不够安全的,我们还要给“休眠”和“待机”加上密码,这样才会更安全。让我们来给“休眠”和“待机”加上密码吧。在“组策略”窗口中展开“用户配置→管理模板→系统→电源管理”,在右边的窗格中双击“从休眠/挂起恢复时提示输入密码”,将其设置为“已启用”,那么当我们从“待机”或“休眠”状态返回时将会要求你输入用户密码。
六、自动给操作做个记录
在“计算机配置→Windows设置→安全设置→本地策略→审核策略”上,我们可以看到它可以审核策略更改、登录事件、对象访问、过程追踪、目录服务访问、特权使用等(图6)。这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作:几时登录、关闭系统或更改过哪些策略等等。
我们应该养成经常在“控制面板→管理工具→事件查看器”里查看事件的好习惯。比如,当你修改过“组策略”后,系统就发生了问题,此时“事件查看器”就会及时告诉你改了哪些策略。在“登录事件”里,你可以查看到详细的登录事件,知道有人曾尝试使用禁用的账户登录、谁的账户密码已过期„„而要启用哪些审核,只要双击相应的项目,选中“成功”和“失败”两个选项即可。
注意:Windows XP Home Edition没有“组策略”,只有Windows XP Professional版本才有“组策略”,这一点注意。
七、限制IE浏览器的保存功能
当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制使用,那么如何才能实现呢?具体方法为:选择“用户设置”→“管理模板” →“Windows组件”→“Internet Explorer”→“浏览器菜单”分支。双击右侧窗格中的“‘文件’菜单:禁用‘另存为„’菜单项”,在打开的设置窗口中选中“已启用”单选按钮
小提示
我们还可以对“‘文件’菜单:禁用另存为网页菜单项”、“‘查看’菜单:禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目进行修改,这样我们的IE将会安全一些。 八、禁止修改IE浏览器的主页 小提示
如果您不希望他人或网络上的一些恶意代码对自己设定的IE浏览器主页进行随意更改的话,我们可以选择“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”分支,然后在右侧窗格中,双击“禁用更改主页设置”策略启用即可
小提示
(1)还提供了更改历史记录设置、更改颜色设置和更改Internet临时文件设置等项目的禁用功能。如果启用了这个策略,在IE浏览器的“Internet 选项”对话框中,其“常规”选项卡的“主页”区域的设置将变灰。
(2)如果设置了位于“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”→“Internet 控制面板”中的“禁用常规页”策略,则无需设置该策略,因为“禁用常规页”策略将删除界面上的“常规”选项卡。
(3)逐级展开“用户设置”→“管理模板”→“Windows组件”→“Internet Explorer”分支,我们可以在其下发现 “Internet控制面板”、“脱机页”、“浏览器菜单”、“工具栏”、“持续行为”和“管理员认可的控件”等策略选项。利用它可以充分打造一个极有个性和安全的IE。
九、把Administrator藏起来
Windows系统默认的系统管理员账户名是Administrator。因此,为了避免有人恶意破解系统管理员Administrator账户的密码,我们可以将Administrator改为其他名字以加强安全。点击“开始→运行”,输入gpedit.msc,打开“组策略”,如图9所示,选择 “计算机配置→Windows设置→安全设置→本地策略→安全选项”,在右边窗格里双击“账户:重命名系统管理员账户”项,在上面输入你想要的用户名。重新启动计算机后,输入的新用户名即刻生效。如果再新建一个Guest用户,用户名为Administrator,然后再加上十分复杂的密码就更安全。
提示:为了避免让人在Windows的登录框中看到曾经登录过的用户名,就要双击“交互式登录:不显示上次的用户名”子项,选择“已启用”将该策略启用。这样上次登录到计算机的用户名就不会显示在Windows的登录画面中。
十.禁用IE组件自动安装
选择“计算机配置”→“管理模板”→“Windows组件”→“Internet Explorer”项目,双击右边窗口中“禁用 Internet Explorer组件的自动安装”项目,在打开的窗口中选择“已启用”单选按钮,将会禁止??Internet Explorer 自动安装组件。这样可以防止 Internet Explorer 在用户访问到需要某个组件的网站时下载该组件,篡改IE的行为也会得到遏制!相对来说IE也会安全许多!
小提示
如果禁用该策略或不对其进行配置,则用户在访问需要某个组件的网站时,将会收到一则消息,提示用户下载并安装该组件。有时用户看也不看就选择“安装”则往往会出问题。网上的很多恶意代码往往都是这样工作的
‘叁’ 进入组策略的方法有多少
建立一个批处理文件 建个一文本文档 输入gpedit.msc保存为bat文件 然后点这个后生成的bat文件就可以打开了 讨论组策略 电脑限制类的 请加以下QQ群
QQ群欢迎大家加入
36256303 电脑爱好者
40982639 网络攻防
40320766 网络技术区
‘肆’ win7如何使用组策略限制本地磁盘访问
方法如下:
1、首先在桌面按“Win + R”打开“运行”窗口,输入“gpedit.msc”并点击“确定”打开组策略编辑器;
2、进入组策略编辑器窗口后,在左侧依次展开“用户配置--管理模板--Windows组件--Windows资源管理器”,然后在右侧找到“防止从我的电脑访问驱动器”,并双击打开;
3、打开后,选择“已启用”,然后在下方根据自己的需求选择一个限制方案,最后点击“确定”即可。
注意:通过组策略就可以轻松限制别人访问计算机上的磁盘,如果想要解除只需将该策略设置为已禁用或者未配置即可。
‘伍’ 组策略对硬盘格式是否有要求
组策略里面的权限设置是在NTFS下才能作用的,因为NTFS分区格式本身就是对权限进行了严格的要求,而FAT/FAT32分区没有对权限进行设置。这点在微软的NTFS格式文档里有详细的说明。OFFICE因为结合了大量的系统环境来工作,所以需要赋予完全权限,而WINRAR等工作中不需要进行软件本身和系统变量的写入,修改等操作,所以设置只读就可以正常运行。其实30多台机器更改成NTFS格式还是很快就能完成的,更改完后对以后的工作和权限设置等操作都有好处。所以没有取巧的方法来完成你的要求。
‘陆’ 如何用组策略禁本地磁盘
MACHINE\SYSTEM\ControlSet001\Services\USBSTOR]
"Start"=dword:00000004
方法2,
如何利用AD 组策略来屏蔽U 盘等可移动磁盘
如何利用AD 组策略来屏蔽U 盘
最近在外面做点小方案,捞点外块,根据客户的要求,研究了一个新东西:如何利用组
策略来屏蔽U 盘等可移动磁盘。一部份来自于互联网,通过分析和整理,总结如下:
1、 在域控制器上打开Active Directory 用户和计算机,找到您要屏蔽U 盘的组织单位
(Organizational Unit 简称OU),右键查看此组织单位的属性,点击组策略页面,新建
一个组策略,命名并保存为“屏蔽U 盘”,建好后,双击“屏蔽U 盘”(必需先打开一次,否
则系统不会拷贝那几个模板文件),在打开的标题为“组策略”的窗口的左边,按以下顺序定
位“用户配置-管理模板-Windows 组件-Windows 资源管理器”,选中Windows 资源管理
器,我们可以看到有“隐藏我的电脑中的这些指定的驱动器”和“防止从我的电脑访问驱动器”,
双击打开其中一项策略,选择“启用”,下面的下拉框会变亮,单击下拉框,您会发现系统提
供了7 种限制访问驱动器号的组合,其中也包括了“不限制驱动器”,显然,这些组合不能满
足我们的要求(因为U 盘的盘符通常是排在最后的,而且现在的硬盘比较大,少则也有三
四个分区)。
2、 在域控制器上打开Active Directory 用户和计算机,在刚才我们新建的“屏蔽U 盘”策略上
单击右键选择查看属性,找到"屏蔽U 盘"的组策略的唯一的名称,此名称为一长串数字和字
母组成,本例中为,记下此字符串。
3、 打开系统盘,定位以命名的文件夹,
此文件夹位于C:\WINDOWS\SYSVOL\sysvol\hcsAD.hc\Policies(盘
符依赖于您安装的操作系统所在的分区,如果安装AD 时在C 盘,默认则就是这个
路径,其中hcsad.hc 则是你给这个AD 取得名字,我这里给这个域的顶级域名
取为为HC,所以这里就是HCSAD.HC),打开
目录,找到ADM 目录下的
system.adm 文件,此文件是我们在实施组策略的模板文件,是一个纯文本文件,可用记
事本打开,找到下面这两段代码:
* POLICY !!NoDrives
EXPLAIN !!NoDrives_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoDrives"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
如何利用AD 组策略来屏蔽U 盘等可移动磁盘
* POLICY !!NoViewOnDrive
EXPLAIN !!NoViewOnDrive_Help
PART !!NoDrivesDropdown DROPDOWNLIST NOSORT REQUIRED
VALUENAME "NoViewOnDrive"
ITEMLIST
NAME !!ABOnly VALUE NUMERIC 3
NAME !!COnly VALUE NUMERIC 4
NAME !!DOnly VALUE NUMERIC 8
NAME !!ABConly VALUE NUMERIC 7
NAME !!ABCDOnly VALUE NUMERIC 15
NAME !!ALLDrives VALUE NUMERIC 67108863 DEFAULT
; low 26 bits on (1 bit per drive)
NAME !!RestNoDrives VALUE NUMERIC 0
END ITEMLIST
END PART
END POLICY
说明:这是两个策略,第一个!!NoDrive,它的作用是在我的电脑中不显示指定的驱动
器名,驱动器号代表的所有驱动器不出现在标准的打开对话框上,但是在地址栏中输入盘符
或新建一个指向硬盘盘符的快捷方式,用户仍然可以访问该驱动器;第二
个!!NoViewOnDrive 的作用是阻止用户访问驱动器。可以阻止上述情况的出现,但是仅仅
用第二个的话,用户可以看见该驱动器的盘符,但不能访问,一般情况,两个同时使用,可
以达到比较理想的效果。
仔细观察上述代码,不难发现,其中一共有7 个NAME 项,后面的VALUE NUMERIC
按照low 26 bits on (1 bit per drive)的规则取值,low 26 bits on 的意思说值为26 位
的二进制,最多可指定26 个驱动器盘符,而1 bit per drive 则代表1 位代表1 个驱动器,
举例说A=1,B=2,C=4,D=8,E=16,F=32,G=64,H=128,I=256,由低到高,
以此类推。我们可根据我们的需要修改此代码段,假如我们要隐藏A、B、C、F、G、H、I,
您可以根据您的需要而定,推荐隐藏的盘符数量应该大于您的现有的盘符数加上您客户端所
有的USB 接口数(防止有人同时插入几个U 盘,呵呵,但是我建议,在做系统规划时就要
注意这个问题:就是固定给所有的电脑分配几个盘,如4 个,即:CDEF,这样我们就可
以利用禁掉除CDEF 所有的盘,这样就可以保证万无一失啦,哈哈…)。那么我们计算出
VALUE NUMERIC 的数值A+B+C+F+G+H+I = 1+2+4+32+64+128+256 =487,
在两个策略中的
NAME !!ABCDOnly VALUE NUMERIC 15
下插入一行
NAME !!ABCFGHIOnly VALUE NUMERIC 487
随后,利用查找命令,找到以下字段:在 ABConly="仅限制驱动器 A、B 和 C" ,
这一段文字,下面插入一行数据, ABCFGHIOnly="仅限制驱动器A、B、C、F、G、H、
I",等于号后引号内的说明您可以根据自己的喜好定义,它将会显示在策略的下拉框中。保
存后,打开“屏蔽U 盘”策略,定位“用户配置-管理模板-Windows 组件-Windows 资源管
如何利用AD 组策略来屏蔽U 盘等可移动磁盘
理器”,在右边的窗口中双击“隐藏我的电脑中的这些指定的驱动器”或“防止从我的电脑访问
驱动器”其中的一个,点击“启用”,再点击下拉框,哈哈,您会发现您多了一个选项
这时候,您只要在您想屏蔽的用户的组织单位上应用此策略(别忘了这两个策略都需要设
置),保存后,包含于该组织单位下的用户登录时,便会发现他的U 盘插上后,系统虽能识别并
正确安装驱动,但在“我的电脑”中却无法看见,并且通过其他方法也无法访问,包括在地址栏中
输入盘符。
最后,附上从A 到Z 对应的每一个数字,方便大家理解:
A B C D E F
1 2 4 8 16 32
G H I J K L
64 128 256 512 1024 2048
M N O P Q R
4096 8192 16384 32768 65536 131072
S T U V W X
262144 524288 1048576 2097152 4194304 8388608
Y Z
16777216 33554432
根据上表中的数字,大家可以根据实际想禁用的盘符然后对应表上的数字得出的总数,如想禁用
所有的盘符,即从A 到Z,则以上的数字相加等于67108863,以上面找到的那两段代码,其
中就有一项禁用所有盘符,后面的数字也正好是这个。
举例:比如你如果想禁止除CDEF 这四个盘以外的所有盘,则是按上表中的数字去掉CDEF 中
对应的数字,四个盘对应的数字正好是60,因此,将这个总数:67108863 减去60=67108803。
然后在上面插入的那段字符里做相应的调整,你也可以根据喜好,创建多个组合,如禁止
CDEFGHIJK,或是禁止XYZ 等等。但是要注意此段代码:NAME !!ABCFGHIOnly VALUE
NUMERIC 487(比如你想禁用从除CDEF 之外的所有盘符,是要在这段代码的!!后面写成
这样:ABGHIJKLMNOPQRSTUVWXYZOnly VALUE……,后面的NUMERIC 487 则根据你
想要禁用的盘符的数值(见上表)加起来的和,总而言之一句话,你想要禁用的盘符都要在这段
代码里面。
至此,全部设置完毕,让您的客户段使用此OU 下的用户登录看看吧!
程栋良
2007-11-25
‘柒’ 打开电脑组策略有那几种方法
开始——运行——输入“gpedit.msc”
除了上面这种进入组策略的方法,还有一种就是通过控制台进入组策略。同样在运行那里输入mmc命令,进入控制台界面。在控制台文件那下拉菜单选中添加删除/管理单元,点击进去,来到添加/删除管理界面,点击添加按钮,添加独立管理单元。
在可用的管理单元那里找到组策略对象编辑器,点击添加按钮,就来到欢迎使用组策略向导的欢迎界面,组策略使用对象可以是本地计算机,也可以是通过浏览器找到另一台计算机。笔者是本地计算机使用,所以不用理会,点击完成按钮就算大功告成。
到控制台看看,多生成了一个控制台1,控制台根节点下面是不是多了一个组策略,组策略被添加到新的控制台里面。
如果组策略打不开可以用以下几种方法:
1.控制台法
重新启动计算机,按下F8键,在Windows高级选项菜单里选择“带命令行提示的安全模式”,进入安全模式;键入MMC,打开控制台窗口,单击“文件→ 添加/删除管理单元”,在“独立”选项卡中单击“添加”按钮,选择“组策略”管理单元,单击“添加”按钮,再分别单击“完成”、“关闭”、“确定”即可;这样,添加的组策略管理单元将出现在控制台窗口中,接下来把设置改回去(即设为“未配置”);最后,按下“Ctrl+Alt+Delete”组合键,点击“关机”按钮,选择“重新启动”即可。
提示:在“带命令行提示的安全模式”中,是看不到“开始”菜单和系统任务栏的,不过,我们可以键入“explorer.exe”打开它们。
2.命令行法
首先进入“带命令行提示的安全模式”;然后键入“reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /t reg_dword /d0”命令,回车之后,系统会提示是否覆盖存在的“RestrictRun”键值项,键入“Y”并回车即可。这样,注册表里相应的内容已经被恢复了。
3.注册表法
通过直接修改注册表的方法也可以解决该问题。首先进入“带命令行提示的安全模式”,在命令提示符下键入“regedit”,打开“注册表编辑器”,展开分支“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”,将“RestrictRun”的值修改为0即可。
以上方法均可解开组策略,注册表可以在组策略中解禁。
‘捌’ 如何使用组策略隐藏硬盘分区
在“运行”中键入“gpedit.msc”打开“组策略”,在左边窗口中分别双击选择展开“用户配置→Windows
组件
→Windows资源管理器”(如图)。双击右边“隐藏我的电脑中这些指定的驱动器”选项,点选“已启用”,在下面“选择下列组合中的一个”中选择需要隐藏的驱动器,然后点击“应用”后退出。
‘玖’ 如何用组策略显示隐藏的磁盘
一、通过“组策略”隐藏磁盘 在“开始”→“运行”中填入“gpedit.msc”,打开组策略。在窗口左侧的“本地计算机策略”中依次选中“用户配置”→“管理模板”→“Windows组件”→“Windows资源管理器”,再到右侧窗口中找到“隐藏‘我的电脑’中的这些指定的驱动器”策略。此时对应的设置状态是“未被配置”,双击它,弹出“隐藏‘我的电脑’中的这些指定的驱动器属性”窗口,选中下面的“启用”,并从“选择下列组合中的一个”中选择“只限制D驱动器”,最后点击确定即可。此时我们再到资源管理器中查看,会发现D盘没有了。使用方法:只须在地址栏中输入“D:”(不含引号)再回车,隐藏在D盘分区的内容马上就会显现原形
‘拾’ 如何使用组策略把硬盘隐藏呢
如果你是用的2000。在开始里的运行里面打gpedit.msc
运行后选择用户管理里面的管理模板,在选择windows组件
双击打开,windows资源管理器 里面有2项
隐藏"我的电脑"中的这些指定驱动器。根据你的需要选择下
下面的哪个防止也有必要改下,省的出问题