Windows組策略讓你的網絡更強壯

   相信很多「菜鳥」朋友都會認爲Windows系統的組策略很「神祕」，所以他們通常不敢輕易去「碰」它；其實，若是你和系統組策略有過一次「親密接觸」的話，你或許會爲系統組策略的強大功能所吃驚，由於只要簡單地動動系統組策略，你的系統網絡功能將獲得進一步「強壯」。不信的話，就請各位一塊兒來看看吧！

　　讓衝浪痕跡自動抹除

　　每次衝浪事後，系統都會「自作主張」地記錄下上網的痕跡，其餘人很容易經過這些痕跡，偷窺到本身的上網隱私。爲了不本身的隱私不被外人非法偷窺到，你或許會在每次衝浪結束後，用手工清除的方法將各類上網痕跡逐一抹除掉，很顯然這種方法不但煩瑣，並且也不大容易記住。其實，你能夠經過下面的方法，讓系統在註銷的那一刻自動抹除全部的上網痕跡：

　　首先建立一個批處理文件，確保在執行完該文件後，能自動將全部的上網痕跡所有清除掉。在建立這樣的批處理文件時，能夠先打開記事本之類的文本編輯工具，而後在編輯界面中輸入下面的命令代碼：

　　@echo off
　　cd c:\windows\local settings\temporary internet files
　　c:\windows\command\deltree .\*.* /y

　　以後，依次執行文本編輯界面中的「文件」/「保存」命令，將前面的命令代碼保存成擴展名爲「bat」的批處理文件，例如這裏筆者將它保存爲「autodel.bat」文件，固然該文件只對Win98或WinMe系統有效，若是要想自動清除Win2000以上版本系統中的上網痕跡時，就必須在文本編輯界面中輸入下面的命令代碼：

　　@echo off
　　cd c:\ documents ad settings\administrator\local settings\temporary internet files
　　c:\winnt\system32\deltree .\*.* /y

　　並且要想讓上面的批處理文件執行成功的話，還須要事先將Win98系統下的「Deltree.exe」命令，直接複製到Win2000以上版本系統的「c:\winnt\system32」目錄下；固然若是Windows系統並無按照默認設置來安裝時，還須要將批處理文件中的系統安裝路徑，設置成實際的安裝路徑。

　　其次，依次單擊「開始」/「運行」命令，在彈出的系統運行對話框中，輸入組策略編輯命令「Gpedit.msc」，單擊「肯定」按鈕後，再依次展開組策略編輯窗口中的「用戶配置」、「Windows設置」、「腳本(登陸/註銷)」分支；

　　而後在彈出的圖1界面中，雙擊「註銷」選項，在接着打開的註銷屬性設置窗口中，單擊一下「添加」按鈕，在彈出的文件選擇對話框中導入「autodel.bat」文件，最後單擊「肯定」按鈕，這樣的話你之後每次在退出計算機系統時，「autodel.bat」文件就會被自動執行，以便讓衝浪痕跡自動抹除。

圖1

　　讓WinXP被隨意共享

　　假若在Win98工做站中經過「網上鄰居」窗口，來訪問WinXP操做系統的話，你會發現WinXP工做站會拒絕你的共享請求，這是怎麼回事呢？原來WinXP系統在默認狀態下是不容許以guest方式登陸系統的，那麼是否是將WinXP系統下的guest賬號「激活」，就能讓WinXP工做站被隨意共享了呢？其實否則，除了要將guest賬號啓用起來，還須要指定guest賬號能夠經過網絡訪問WinXP工做站的共享資源；下面就是讓WinXP被隨意共享的具體實現步驟：

　　首先在WinXP工做站中，依次單擊「開始」/「程序」/「管理工具」/「計算機管理」命令，在彈出的計算機管理界面中，再逐步展開「系統工具」、「本地用戶和組」、「用戶」分支，在對應「用戶」分支的右邊子窗口中，再雙擊「guest」選項，在彈出的賬號屬性設置界面中，取消「賬號已停用」選項，再單擊「肯定」按鈕，「guest」賬號就能被從新啓用了；

　　接着打開系統的組策略編輯窗口，再用鼠標逐步展開其中的「本地計算機策略」、「計算機配置」、「Windows設置」、「安全設置」、「本地策略」、「用戶權利指派」分支，在彈出的圖2界面中，雙擊右側子窗口中的「拒絕從網絡訪問這臺計算機」項目，在接着出現的界面中，將guest賬號選中並刪除掉，而後再單擊一下「肯定」按鈕，那麼WinXP工做站中的共享資源就能被隨意訪問了。

圖2

　　讓135端口自行關閉

　　你們知道，一旦將服務器中的135網絡端口開通時，***或非法***者可能會經過一種專業的遠程控制工具，偷窺到服務器中的重要內容以及上網賬號等，嚴重的話還能遠程執行服務器中的重要程序，從而給服務器帶來安全威脅。爲了不服務器遭受到這樣的***，你必須想辦法將服務器中的135網絡端口屏蔽掉。爲此，本文特地經過修改組策略的方法，幫助各位輕鬆關閉135網絡端口。

　　考慮到***在***服務器時，都須要先與服務器創建網絡鏈接，而後才能經過135網絡端口對服務器進行破壞，所以只要咱們能「拒絕」其餘客戶端經過網絡來訪問服務器，就能達到間接關閉135網絡端口的目的，從而確保服務器不受遠程***了。要「拒絕」其餘客戶端與服務器創建網絡鏈接時，能夠按以下步驟來實現：

　　首先進入到組策略編輯窗口，用鼠標逐步展開其中「計算機配置」/「Windows設置」/「安全設置」/「本地策略」/「用戶權利指派」項目，再雙擊「用戶權利指派」項目下面的「拒絕從網絡訪問這臺計算機」選項；    在接着打開的圖3界面中，單擊「添加」按鈕，在隨後出現的賬號列表界面中，選中「everyone」賬號，並單擊「添加」按鈕，將該賬號導入到「指派給」列表中，最後單擊「肯定」按鈕，這樣的話任何一位客戶端用戶都無權經過網絡訪問到服務器，這樣***或其餘***者天然也就沒法使用135網絡端口，對服務器進行遠程***了。

圖3

　　讓網絡「收藏」躲起來

　　爲了提升上網衝浪的效率，很多人都喜歡用IE中的網絡「收藏」功能，將本身頻繁須要訪問的站點保存起來，以便下次能直達目的地；爲了防止其餘人瀏覽到本身的「收藏」隱私，你能夠輕鬆地設置一下系統組策略，來讓IE中的網絡「收藏」功能躲起來：

　　在組策略編輯界面中，將鼠標定位於「用戶配置」/「管理模板」/「Windows組件」/「Internet Explorer」/「瀏覽器菜單」分支；

　　在彈出的圖4界面中，選中右側子窗口中的「隱藏收藏菜單」選項，而後用鼠標左鍵雙擊該選項，在接着出現的屬性設置窗口中，選中「啓用」選項，而後單擊「肯定」按鈕，就可讓網絡「收藏」功能躲起來了。

圖4

    拒絕網絡打印被非法共享

　　爲了提升打印效率，相信很多單位都將打印機設置成共享了，這樣一來許多非法用戶也能趁機經過「網上鄰居」窗口，來輕易使用局域網中的共享打印機了，時間一長就容易形成打印成本不斷上升。很明顯，將網絡打印機「發佈」在網上鄰居窗口中，容易形成打印機被非法共享。爲了拒絕網絡打印被非法共享，你能夠按以下方法來設置系統組策略：

　　按一樣方法打開系統的組策略編輯界面，在該界面中用鼠標逐步雙擊「本地計算機策略」、「計算機配置」、「管理模板」、「打印機」分支；

　　在「打印機」分支的右側子窗口中，雙擊「打印機瀏覽」選項，在接着出現的圖5設置對話框中，選中「禁用」選項，再單擊一下「肯定」按鈕，共享打印機的「身影」就不會出如今網上鄰居窗口中了，這樣非法用戶天然沒法在網上鄰居窗口中使用共享打印機了。

圖5

　　阻止彈出上網插件提示

　　在網上衝浪時，愉快的心情經常會被各式各樣的插件安裝彈出窗口所幹擾，那有沒有辦法限制這些插件安裝窗口自動彈出來呢？

　　依次單擊「開始」/「運行」命令，在打開的運行對話框中，執行組策略編輯命令，在其後的窗口中逐步單擊「用戶配置」/「管理模板」/「Windows組件」/「Internet Explorer」分支；

　　在彈出的圖6界面中，雙擊右側子窗口中的「管理員承認的控件」目錄，在接着打開的窗口中，選中那些頻繁自動彈出的插件選項，並用鼠標雙擊它們，打開對應的設置對話框，選中其中的「禁用」選項，而後單擊一下「肯定」按鈕，往後上網遇到對應的插件時就不會再彈出安裝窗口了。

圖6

　　讓IE也能加密系統

　　在管理服務器時，經常會碰到暫時要離開服務器一段時間，而且很快又返回的現象；爲了確保在離開服務器的這一段時間內，禁止非法用戶隨意進入服務器系統，許多人都爲服務器設置了開機密碼，不過該方法須要將服務器關閉掉，那麼當你從新回來時就須要從新啓動服務器，很明顯這會浪費時間；也有人爲服務器設置了屏幕保護程序，併爲屏保設置密碼了，一旦暫時離開服務器時就能啓用加密屏保來限制其餘人進入到服務器中，不過該方法並不能當即生效，至少須要等1分鐘屏保才能啓動。如此說來，難道就沒有其餘好的辦法，來保證本身離開服務器時能夠對系統當即加密嗎？其實你能夠經過下面的方法，來迅速爲服務器系統「加密」，並且還能將該「加密」功能集成到IE工具欄中，以便往後快速調用：

　　首先打開記事本編輯界面，並在其中輸入下面的命令代碼：

　　@echo off
　　X:\WinNT\System32\rundll32.exe user32.dll，lockworkstation

　　以後，再將上述的代碼文件保存爲批處理文件，比方說將它保存爲「security.bat」，其中「X」指的是服務器系統所在的分區，這樣一旦執行了這個批處理文件的話，服務器的桌面就會當即進入到系統登陸界面，此時其餘人要是沒有系統登陸賬號的話，就沒法進入到服務器中；

　　其次要爲「security.bat」文件定製好命令圖標。爲了能夠將「加密」功能內置到IE工具欄中，你必須事先準備兩個「加密系統」的圖標，以便做爲工做欄中的有效按鈕圖標和無效按鈕圖標，而且確保每個圖標的文件都用「ICO」做爲擴展名；

　　下面就須要經過組策略，來將「加密系統」系統內置到IE界面中了。打開組策略編輯界面，將鼠標定位於「用戶配置」/「Windows設置」/「Internet Explorer維護」/「瀏覽器用戶界面」分支；

　　接着雙擊「瀏覽器用戶界面」分支下面的「瀏覽器工具欄按鈕」選項，在其後打開的界面中，單擊「添加」按鈕，打開如圖7所示的窗口；在「工具欄標題」處輸入「加密系統」，接着單擊「工具欄操做」處的「瀏覽」按鈕，導入批處理文件「security.bat」，再將前面準備好的兩種圖標文件導入到對應的設置項處，再單擊「肯定」按鈕退出工具欄按鈕自定義窗口；

圖7

　　結束全部設置操做後，將系統從新啓動一下，而後再打開IE瀏覽器窗口時，你就會發現「加密系統」按鈕已經出如今IE工具欄中了，之後你能夠隨時單擊該按鈕，來爲服務器進行即時加密！

　　另類方式登陸服務器

　　每次進入到Win2000服務器系統中時，都須要先按下「Ctrl+Alt+Del」組合鍵，才能夠輸入登陸賬號和登陸密碼。假若上面的組合鍵中有一個按鍵失效的話，咱們是否是就沒法登陸到服務器系統了呢？其實每次登陸服務器，不須要上面的組合鍵，你一樣也能輕鬆進入到服務器系統中。這不，下面筆者就對系統組策略進行一下設置，讓登陸服務器時自動跳過按「Ctrl+Alt+Del」組合鍵的提示界面，從而實現快速登陸：

　　首先執行組策略編輯命令「Gpedit.msc」，在打開的編輯窗口中，再將鼠標定位於「計算機配置」/「Windows設置」/「安全設置」/「本地策略」/「安全選項」分支；

　　在「安全選項」分支下面，雙擊「禁用按Ctrl+Alt+Del進行登陸」項目，在接着出現的圖8窗口中，將「已啓用」選項選中，再單擊一下「肯定」按鈕，往後再次登陸服務器系統時，你就看不到按「Ctrl+Alt+Del」組合鍵的提示了。

圖8

　　拒絕掃描註冊表路徑

　　假若你的服務器安裝的是Windows 2003 Server系統的話，那麼在默認狀態下，***很容易經過比較專業的掃描工具，來輕鬆掃描到遠程註冊表中的一些路徑信息，經過這些路徑信息***說不定能輕易***服務器系統，從而給服務器帶來安全威脅。爲了確保服務器不受外來***，你能夠按以下方法，對組策略進行合理設置，以便拒絕***能夠掃描到遠程註冊表的路徑信息：

　　在打開的組策略編輯界面中，將鼠標定位於「計算機配置」/「Windows設置」/「安全設置」/「本地策略」/「安全選項」分支；

　　在「安全選項」分支下面雙擊「網絡訪問：可遠程訪問的註冊表路徑」項目，在接着彈出的設置窗口中，你能夠將全部顯示出來的遠程註冊表的路徑信息都選中，而後將它們所有刪除掉，這樣一來***就掃描不到遠程註冊表的路徑信息了。

　　消除共享痕跡

　　當你打開WinXP系統中的網上鄰居窗口時，你會發現之前訪問的全部共享文件夾，仍然還在該窗口中；很顯然，其餘人也能在網上鄰居窗口中看到本身的訪問隱私，爲了不本身的訪問活動被其餘人偷窺到，你能夠按以下設置，來消除出如今網上鄰居窗口中的共享痕跡：

　　首先在系統運行對話框中執行「gpedit.msc」命令，在打開的組策略編輯窗口中，逐步單擊「本地計算機策略」/「用戶配置」/「管理模板」/「桌面」分支；

　　接着雙擊「桌面」分支下面的「不要將最近打開的文檔共享添加到網上鄰居」項目，在其後彈出的設置界面中，將「已啓用」選項選中，最後單擊「肯定」按鈕就能夠了。