組策略是系統(tǒng)策略的高級(jí)擴(kuò)展，是管理員為用戶和計(jì)算機(jī)控制程序、網(wǎng)絡(luò)資源、系統(tǒng)、Windows組件的主要工具，可對(duì)系統(tǒng)的各種特殊屬性進(jìn)行設(shè)置。簡(jiǎn)單地解釋就是：組策略是調(diào)整注冊(cè)表的一個(gè)所見即所得編輯器。系統(tǒng)高手們往往不僅精通注冊(cè)表，還經(jīng)常通過組策略完成一些系統(tǒng)的高級(jí)調(diào)整與修改。下面就介紹三招，如何利用組策略提升系統(tǒng)安全性。　　

　　第一招：清理IE上網(wǎng)痕跡

　　在Windows xp系統(tǒng)中，關(guān)于組策略“Internet Explorer維護(hù)”的技巧有很多，我們可以進(jìn)行個(gè)性化設(shè)置。其中，可以通過添加腳本的方法，實(shí)現(xiàn)在退出IE時(shí)對(duì)上網(wǎng)痕跡進(jìn)行自動(dòng)清理。具體步驟是找一臺(tái)Windows 2000操作系統(tǒng)，將Deltree.exe文件復(fù)制到Windows XP系統(tǒng)的system32目錄下。用記事本編寫一個(gè)如下內(nèi)容的文本文件：

　　@echo off

　　cd c:/documents ad

　　settings/administrator/local

　　settings/temporary internet files

　　c:/winnt/system32/deltree ./*.* /y

　　將文本保存為.bat批處理文件。在“開始”　“運(yùn)行”中輸入“gpedit.msc”打開組策略對(duì)話框，依次進(jìn)入“用戶配置”　“Windows設(shè)置”　“腳本(登錄/注銷)”，雙擊右邊窗口中的“注銷”，在“添加”項(xiàng)目中導(dǎo)入這個(gè)腳本文件即可。

　　常見的端口號(hào)對(duì)應(yīng)的協(xié)議及用途

　　21：FTP（文件傳輸）

　　23：TELNET（遠(yuǎn)程登錄）

　　25：SMTP（發(fā)送E-mail）

　　80：HTTP（WWW服務(wù)）

　　110：POP3（接收e-mail）

　　119：NNTP（新聞服務(wù)）

　　常見木馬的入侵端口號(hào)

　　灰鴿子：3389

　　黑洞：2000

　　冰河：7626

　　廣外女生：6267
　　第二招：禁用指定軟件程序

　　在組策略中，可以采取禁用注冊(cè)表或光驅(qū)、隱藏磁盤分區(qū)等一系列設(shè)置。這些功能在Windows 2000中就能實(shí)現(xiàn)。在Windows XP系統(tǒng)中還增加了對(duì)軟件的限制策略。在此以常用即時(shí)通訊軟件QQ為例進(jìn)行實(shí)例說明。

　　打開組策略對(duì)話框，依次進(jìn)入“計(jì)算機(jī)配置”　“Windows設(shè)置”　“安全設(shè)置”　“軟件限制策略”　“其它規(guī)則”　“新路徑規(guī)則”，點(diǎn)擊“瀏覽”，找到QQ安裝目錄下的“QQ.exe”文件，在“安全級(jí)別”下選擇“不允許”。重啟計(jì)算機(jī)后，就無法用QQ了。若要重新使用QQ，把安全級(jí)別選為“不受限的”即可。

　　第三招：打造系統(tǒng)防火墻　　

　　在“組策略”中還可以打造系統(tǒng)防火墻。在默認(rèn)設(shè)置下，Windows有很多端口是開放的，網(wǎng)絡(luò)病毒和黑客可以通過這些端口接入你的電腦。為了資料的安全，應(yīng)該把不必要的端口封閉，減少居心不良者入侵的機(jī)會(huì)。以封閉80端口為例：先在“計(jì)算機(jī)配置”的“ip安全策略”中單擊右鍵，創(chuàng)建一個(gè)新的IP安全策略，在“屬性”中添加“篩選器列表”，在“編輯規(guī)則屬性”中選擇“新IP篩選器列表”對(duì)話框并點(diǎn)擊“添加”。　　

　　現(xiàn)在用三個(gè)步驟屏蔽80端口。第一步尋址，源地址選“任何IP地址”，目標(biāo)地址選“我的IP地址”；第二步選協(xié)議，選擇“TCP”，在“到此端口”下的文本框中輸入“80”；第三步創(chuàng)建，返回后進(jìn)入“編輯規(guī)則屬性”的“篩選器操作”，選擇“請(qǐng)求安全（可選）”，確定后返回，再對(duì)“創(chuàng)建IP安全策略”選擇“指派”。這樣就對(duì)TCP的80端口的服務(wù)進(jìn)行了屏蔽，因?yàn)槎丝?0是HTFP的協(xié)議，提供WWW服務(wù)，因而屏蔽之后HTFP協(xié)議網(wǎng)站也將無法打開(要重新開放可對(duì)以上各項(xiàng)進(jìn)行修改和刪除)。同理我們也可對(duì)一些易被木馬入侵的端口進(jìn)行屏蔽，讓木馬靠邊站。　　其他組策略安全技巧

　　1、隱藏電腦的驅(qū)動(dòng)器

　　位置：用戶配置/管理模板/Windows組件/Windows資源管理器

　　將“隱藏‘我的電腦’中的這些指定驅(qū)動(dòng)器”和“防止從‘我的電腦’訪問驅(qū)動(dòng)器”設(shè)置為“已啟用”并設(shè)置欲阻止訪問的驅(qū)動(dòng)器

　　2、禁用注冊(cè)表

　　位置：用戶配置/管理模板/系統(tǒng)將“組織訪問注冊(cè)表編輯工具”設(shè)置為“已啟用。

　　3、禁用控制面板

　　位置：用戶配置/管理模板/控制面板

　　將“禁止訪問控制面板“設(shè)置為“已啟用”；或啟用“隱藏指定的控制面板程序”并設(shè)定隱藏的項(xiàng)目，如想在控制面板中隱藏Internet選項(xiàng)，則在隱藏控制面板程序里添加Inetcpl.cpl，具體名稱可查看Windows/System32里以cpl結(jié)尾的文件。

　　4、隱藏文件夾

　　位置：用戶配置/管理模板/Windows組件/Windows資源管理器將“從‘工具’菜單刪除‘文件夾選項(xiàng)’菜單”設(shè)置為“已啟用”。

　　5、關(guān)閉縮略圖緩存位置：用戶配置/管理模板/Windows組件/Windows資源管理器將“關(guān)閉縮略圖的緩存”項(xiàng)設(shè)置為“已啟用”