Windows7使用组策略禁用移动存储设备
Windows7通过组策略禁止使用移动存储设备
现在移动存储设备的使用越来越广泛,但随之而引发的是泄密和感染病毒等问题。虽然可以通过设置BIOS或封死计算机上的USB接口的“硬”方法防范风险发生,不过同时也意味着计算机将无法使用其他USB接口的设备,例如最常见的键盘的鼠标。因此怎样使用一些更加“温和”的方法限制某个特定或者某类硬件的安装成了一个很多人关心的问题。
在Windows 7中使用组策略就可以完全解决这一问题。但在继续阅读下文之前,请首先确认你的Windows 7版本。带有组策略功能的Windows 7版本包括Windows 7专业版、Windows 7企业版和Windows 7旗舰版。
如果确定所用的Windows 7版本具有组策略功能,则可以按照以下步骤进行操作。
(1)单击“开始”按钮,在搜索框中输入“gpedit.msc”并按回车键,打开“本
地组策略编辑器”窗口。
(2)在窗口左侧的树形图中展开到“计算机配置—管理模板—系统—设备安
装—设备安装限制”项,如图1所示。
图1
(3)双击右侧的相应策略,就可以针对实际情况对硬件设备的安装做出限制。
这里一共有10条可用的策略,含义分别如下。
允许管理员忽略设备安装限制策略:这条策略用于决定是否允许管理员账户不受设备安装限制策略的影响。如果启用这条策略,那么不管其他
策略如何设置,都只能影响非管理员账户,而不能影响管理员账户。如
果禁用这条策略,或者保持未被配置的默认状态,那么管理员账户也将
受到其余几条策略的限制。
?允许使用与下列设备安装程序类相匹配的驱动程序安装设备:这条策略
用于设定允许安装的设备类型。简单来说,这条策略等于一个“白名单”,配合其他策略,就可以让Windows 7只安装设备类型在这条策略中批准过的设备,其他未指定的设备都拒绝安装。
?阻止使用与下列设备安装程序类相匹配的驱动程序安装设备:这条策略
用于设定禁止安装的设备类型。简单来说,这条策略等于一个“黑名单”,所有被添加到这条策略中的设备类型都将被Windows 7拒绝安装。
?当策略设置禁止安装时显示自定义信息:这条策略用于决定当有设备被
禁止安装后,在Windows 7的系统提示区显示什么样的气球图标消息。
?当策略设置禁止设备安装时显示自定义信息标题:这条策略用于决定当
有设备被禁止安装后,在Windows 7的系统提示区显示的气球图标使用什么样的标题。
?允许安装与下列设备ID相匹配的设备:这条策略用于决定允许Windows
7安装具有哪些硬件ID的设备。
?阻止安装与下列任何设备ID相匹配的设备:这条策略用于决定禁止
Windows 7安装具有哪些硬件ID的设备。
?在策略更改需要重新启动才能生效时,等待强制重新启动的时间(以秒
为单位):这条策略用于设置强制重新启动计算机前的倒计时,以便让策略生效。
?禁止安装可移动设备:这条策略用于决定是否禁止安装任何可移动设备,
而且这条策略的优先级是最高的,只要启用了这条策略,那么不管其他允许策略是如何设置的,可移动设备都将无法被安装。
?禁止安装未由其他策略设置描述的设备:这条策略用于决定是否禁止安
装没有被其他策略允许或禁止过的设备,这是一条相当宽泛的策略。
在上面列举的这些策略中,有两个名词需要解释。
?设备类型(device class):简单来说,就是用于描述设备用途的一个名
称,例如所有的网卡,不管是主板集成的板载网卡,还是独立网卡,不
管是百兆网卡还是千兆网卡,只要是网卡,那就具有统一的设备类型。
?硬件ID(device ID):用于描述具体硬件的一个代号。同样的硬件,例
如同一个品牌和型号,甚至同一个生产批次的两个硬件产品,都会有不
同的硬件ID。
那么如何知道某个设备的设备类型或者硬件ID?这时要用到Windows设备管理器了。可以进行如下操作。
(1)单击“开始”按钮,在搜索框中输入“devmgmt.msc”并按回车键,打
开设备管理器窗口。
(2)找到并双击想要查看设备类型和硬件ID的硬件设备,打开该设备的属性
对话框。
(3)切换到属性对话框中的“详细信息”选项卡。
(4)从“属性”下拉菜单中选择“硬件Id”选项,在下方的“值”中即可看
到该设备的硬件ID,如图2所示;选择“设备类GUID”选项则可以看到
该设备的设备类型。在“值”文本框中显示的内容可以使用鼠标右击,
然后复制出来。
图2
通过上述方法知道某类设备的设备类型或者某个设备的硬件ID后,就可以配合Windows 7提供的策略对硬件的安装进行限制了。
例如,如果希望这台计算机无法安装本例中的这个U盘,但同时希望其他设备的使用不受影响,则可以这样做。
(1)在设备属性对话框复制出该设备的硬件ID。
(2)单击“开始”按钮,在搜索框中输入“gpedit.msc”并按回车键,打开“本
地组策略编辑器”窗口。
(3)在窗口左侧的树形图中展开到“计算机配置—管理模板—系统—设备安
装—设备安装限制”策略项。
(4)双击“阻止安装与下列任何设备ID相匹配的设备”这条策略,打开该策
略的设置对话框,如图3所示。
图3
(5)选择“已启用”选项启用该策略,然后单击“显示”按钮,打开“显示
内容”对话框,如图4所示。
图4
(6)将之前复制出来的硬件ID添加进去,然后单击“确定”按钮。
(7)依次单击“确定”按钮关闭所有打开的对话框。
(8)至此这条限制策略就开始生效了。尝试再次将这台设备通过USB接口连
接到计算机,在系统提示区中将会出现气球图标,告诉用户这个设备的
安装已经被禁止。当然,气球图标中显示的内容也是可以通过组策略自
定义的。
注意:如果为了获得某个硬件的设备类型或者硬件ID,用户已经将这台硬件安装在了本机上,那么为了以后限制在本机上安装这个设备,用户还需要在设置策略之前将这台设备连同驱动程序彻底从系统中删除。否则下次连接好设备后设备将会使用以前已经安装到系统中的驱动程序正常工作,丝毫不会受到设备的影响。
在任务管理器中哪些进程可以结束
在任务管理器中,哪一些进程可以结束,哪一些不可以! 最佳答案 进程也叫服务! 除了很多应该禁止的,剩下的就是必须的!请看下面:WindowsXP中可以被禁用的服务对照表 服务其实是Win2000/XP/2003中一种特殊的应用程序类型,不过它是在后台运行,所以我们在任务管理器看不到它。 安装WinXP后,通常系统会默认启动许多服务,其中有些服务是普通用户根本用不到的,不但占用系统资源,还有可能被黑客所利用。 查看正在启用的服务项目 以WinXP为例,首先你要使用系统管理员账户或以拥有Administrator权限的用户身份登录,然后在“运行”中输入“cmd.exe”打开命令行窗口,再输入“netstart”回车后,就会显示出系统正在运行的服务 为了更详细地查看各项服务的信息,我们可以在“开始→控制面板→管理工具”中双击“服务”,或者直接在“运行”中输入“Services.msc”打开服务设置窗口 关闭、禁止与重新启用服务 服务分为三种启动类型: 1.自动:如果一些无用服务被设置为自动,它就会随机器一起启动,这样会延长系统启动时间。通常与系统有紧密关联的服务才
必须设置为自动。 2.手动:只有在需要它的时候,才会被启动。 3.已禁用:表示这种服务将不再启动,即使是在需要它时,也不会被启动,除非修改为上面两种类型。 如果我们要关闭正在运行的服务,只要选中它,然后在右键菜单中选择“停止”即可。但是下次启动机器时,它还可能自动或手动运行。 如果服务项目确实无用,可以选择禁止服务。在右键菜单中选择“属性”,然后在“常规→启动类型”列表中选择“已禁用”,这项服务就会被彻底禁用。 如果以后需要重新起用它,只要在此选择“自动”或“手动”即可;也可以通过命令行“netstart 服务名 ”来启动,比如“netstartClipbook”。 必须禁止的服务 https://www.360docs.net/doc/2417400684.html,MeetingRemoteDesktopSharing:允许受权的用户通过NetMeeting在网络上互相访问对方。这项服务对大多数个人用户并没有多大用处,况且服务的开启还会带来安全问题,因为上网时该服务会把用户名以明文形式发送到连接它的客户端,黑客的嗅探程序很容易就能探测到这些账户信息。 2.UniversalPlugandPlayDeviceHost:此服务是为通用的即插即用设备提供支持。这项服务存在一个安全漏洞,运行此服务的计
windows修改3389端口、关闭端口及共享文件的办法
WinXP和Win7修改3389端口方法: 1、在运行里面输入:“regedit”,进入注册表,然后找到HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp 这一项。 2、找到“PortNumber”处,鼠标右键选择“修改”,选择十进制,换成你想修改的端口(范围在1024到65535)而且不能冲突,否则下次就无法正常启动系统了。 3、然后找到HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp。 4、在右侧找到”PortNumber处”。注意,这次的端口要和上次修改的端口一致。 5、然后系统重新启动下,就可以用3389连接器远程连接操作了。 连接时,比如修改成“1234”远程桌面IP为:255.255.255.255:1234 这样就可以连接了。 1、关闭无用端口方法一 默认情况下,Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口和UDP 135、137、138、445 端口,一些流行病毒的后门端口(如TCP 2745、3127、6129 端口),以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口: 第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建IP 安全策略”(如右图),于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。 第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。 第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何IP 地址”,目标地址选“我的IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮(如左图),这样就添加了一个屏蔽TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。 点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加TCP 137、139、445、593 端口和UDP 135、139、445 端口,为它们建立相应的筛
三种方法-Win7系统优化(图文解说)
第一部分修改注册表 1.桌面显示ie8主图标 不要把快捷方式当成主图标啊 将以下代码储存为reg格式,双击导入注册表即可。请注意,如果你的系统不是安装在c盘下,请把里面所有的c盘盘符改为你的安装盘符。 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desk top\NameSpace\{00000000-0000-0000-0000-100000000001}] @="Internet Explorer" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}] @="Internet Explorer" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}\DefaultIcon] @="C:\\Windows\\System32\\ieframe.dll,-190" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}\shell] @="" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}\shell\NoAdd Ons] @="无加载项(&N)" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}\shell\NoAdd Ons\Command] @="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -extoff" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}\shell\Open] @="打开主页(&H)" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}\shell\Open\ Command] @="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\"" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}\shell\Set] @="属性(&R)" [HKEY_CLASSES_ROOT\CLSID\{00000000-0000-0000-0000-100000000001}\shell\Set\C ommand] @="\"C:\\Windows\\System32\\rundll32.exe\"
常用AD组策略设置
常用AD组策略设置 利用Windows活动目录(AD)组策略,可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素,进行统一设置。 根据需要,有些组策略可以在整个域里实施,有的可以在域内不同的组织单位(OU)中单独实施。相应的操作也就是在域或OU的属性页中,增加、编辑和应用组策略。 下面是实际操作演示: ?AD域控制器:Windows Server 2003/2008 ?以域管理员权限运行“Active Directory 用户和计算机” 1. 设置屏保程序 打开“https://www.360docs.net/doc/2417400684.html,”域下组织单位“北京”的属性(如下图): 可看到已经启用了一个名为“bjboshi”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。在“计算机配置”-“Windows设置”-“脚本”中,打开“启动”的属性(如下图),增加一个名为setscr.bat的脚本。
脚本存放路径为域控制器的 C:\Windows\SYSVOL\sysvol\https://www.360docs.net/doc/2417400684.html,\Policies\{5F158A23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup 该setscr.bat脚本的内容是: copy bssec.scr c:\windows\system32 即每次系统启动时,将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。作用就是分发和同步所有客户端电脑的屏保文件。
下面进行关于客户端屏保的策略设置。打开“https://www.360docs.net/doc/2417400684.html,”域的属性(如下图): 可看到已经启用了一个名为“Default Domain Policy”的组策略,选中它,点击“编辑”按钮,进入组策略对象编辑器。
禁用简单文件共享、Win7关闭共享、win7关闭共享文件夹的方法
禁用简单文件共享、Win7关闭共享、win7关闭共享文件夹的方法 作者:风雷日期:2015.12.09 在公司局域网中,有时候我们处于协同办公的需要,会共享电脑文件供局域网其他用户访问,但是一方面在方便了员工访问使用共享文件的同时,另一方面也使得电脑文件的安全面临着风险,尤其是用户设置共享文件时通常为了方便访问而不设置密码,这使得外来用户或未经授权的用户也可以随意访问这些共享文件了。为此,我们需要实时查看电脑共享文件情况,在工作需要之外及时关闭共享文件,防止共享文件被随意访问。 那么如何查看电脑共享文件、怎样关闭电脑共享文件呢?笔者以为,可以通过以下几种方法来实现: 方法一:巧用电脑资源管理器,查看电脑文件共享与否一目了然 首先我们打开相应需要查看共享信息的文件夹,这里注意,文件夹视图模式需为“详细信息”,可以通过“空白处右击鼠标—查看—详细信息”来完成设置(也可通过右上角快捷操作来完成)。 ▲显示共享信息 然后在文件夹的标题行中,单击鼠标右键,在弹出的对话框中选择其他,这样会看见一个“选择详细信息”的对话框,这里我们找到并勾选“已共享”和“共享状态”两个选项(图中小编已经 勾选过了,所以两者显示在了一起),然后单击确定完成设置。
▲共享文件列表 这样,我们就可以在详细信息视图下清楚的看出哪些文件夹已经共享,那些文件夹共享状态为专用了。 方法二:简单命令提示符,调出电脑所有共享文件 其实我们通过运行CMD,即可看见全部的共享文件了首先在开始菜单中,找到“运行”输入CMD调出命令窗口。 然后再光标处输入对应指令“Net share”单机“Enter”键即完成命令操作。 ▲用命令查看共享
win7小窍门
(由于是很多人编写汇总的,顺序有点儿乱,甚至有部分重复。) 1、选择合适的版本。Windows 7版本众多,但受众各不相同,举例说大多数商业用户选择专业版即可,而无需更贵的旗舰版,除非你需要BitLocker等功能。 2、别忘了64位版。Windows 7是微软第二套完整支持64位技术的系统,而且64位桌面环境也已经基本成熟,硬件、软件都差不多了。 3、Windows XP虚拟模式。一套带有Windows XP完整拷贝的Virtual PC虚拟机。这是虚拟化第一次全面走向普通用户,让人们可以在升级到Windows 7的同时保留完整的XP兼容性。Windows XP Mode RTM最终正式版将在22日Windows 7发售当天公开发布。 4、Windows PowerShell v2。不止是一个简单的命令行外壳,更是管理员期待已久的集成脚本环境(ISE),具备强大的分布式并行处理能力,可以借助新的远程功能轻松管理数百台计算机。快捷键Ctrl+Alt+I。目前只集成在 Windows 7中,不过半年后会发布用于Vista等旧系统的独立版本。 5、AppLocer。XP时代就有软件限制策略,AppLocker则是混合了黑白名单的软件运行限制功能,能增强甚至取代安全软件,确保只有你批准的软件能够执行。 6、在资源管理器和命令行之间切换。选中某个文件夹,按住Shift点击右键,即可出现在此处打开命令窗口,点击即可打开命令行窗口而且位置就是当前文件夹;如果在命令行里想开启资源管理器窗口而且焦点位于当前文件夹,输入start。(其实Vista也可以如此) 7、把问题录下来。碰到了麻烦想远程求助又不知道如何描述?问题步骤记录器(PSR)就能帮你把每次点击时的相应步骤和屏幕记录下来,甚至能够添加注释,最终生成一个MHTML文件并压缩,发送即可。
任务管理器中的进程哪些可以结束
任务管理器中的进程哪些可以结束 IEXPLORE.EXE Administrator TudouV a.exe Administrator alg.exe LOCAL SERVICE conime.exe Administrator ashWebSv.exe SYSTEM ashMaiSv.exe SYSTEM Explorer.EXE Administrator RavStub.exe SYSTEM ashServ.exe SYSTEM aswUpdSv.exe SYSTEM RavMonD.exe SYSTEM RavMon.exe Administrator ctfmon.exe Administrator RavTask.exe Administrator svchost.exe LOCAL SERVICE stsystra.exe Administrator svchost.exe NETWORK SERVICE TXPlatform.exe Administrator svchost.exe SYSTEM CCenter.exe SYSTEM svchost.exe NETWORK SERVICE svchost.exe SYSTEM lsass.exe SYSTEM services.exe SYSTEM winlogon.exe SYSTEM csrss.exe SYSTEM smss.exe SYSTEM wnwb.exe Administrator spoolsv.exe SYSTEM taskmgr.exe Administrator System SYSTEM System Idle Process SYSTEM 此中svchost.exe这个进程项有好几个,没啥子问题吗!?请妙手帮我看看我这些个进程项哪一些是可以关掉的!谢谢! 最佳回答:system process 进程项文件: [system process] or [system process] 进程项名称: Windows内存处理体系进程项
WIN7 端口映射
WIN7 端口映射 很多使用WIN7的朋友目前还不太了解通过WIN7防火墙设置和路由器端口映射。 这里为有疑问的朋友普及下。 主要是WIN7 中TCP和UDP通过防火墙的设置 先来基本的先 一.映射设置 1.路由器设置 使用静态IP分配,不要使用DHCP自动分配IP(可以让电驴尽快指定你本机的IP) 2.端口映射 尽量使用指定端口转发,端口尽量不要使用常用的端口,可以选择5位数的端口,但是不能超过65535. 例如:映射52010到IP:192.168.1.2 启用TCP 。 映射52020到IP:192.168.1.2 启用UDP。 尽量不要使用DMZ映射(映射所有端口),参加中毒的几率,计算机安全完全暴光。 3.UPNP功能 简单通俗的来说就是自动映射端口功能(如果是自己一个人使用网络或者电驴,建议打开。如果是局域网的话,最好关闭。因为如果有人使用迅雷的话,吸血很猛。 以上的设置在社区内或者网上都可以找得到,这只是我个人的设置方法。最主要的是使用WIN7系统怎么让TCP和UDP通过WIN7的防火墙。因为毕竟WIN7的防火墙和XP的防火墙有一定的区别。 -------------------------华丽的分割线---------------------------------------------- 二. 通过WIN7防火墙(建议不要关闭WIN7的防火墙) 1.右键属性WIN7桌面的网络,进入网络和共享中心。或者从控制面板进入网络和共享中心。 2.右下角方位进入防火墙,点击高级设置 3.入站规则(出站规则也一定要使用相同设置)新建规则---端口---TCP---特定本地端口(你路由器中映射的TCP端口)------允许连接----完成。再重复步骤添加UDP。 4.入站规则添加TCP,UDP。出站规则也要添加TCP,UDP。
组策略软件限制策略
组策略软件限制策略文档编制序号:[KKIDT-LLE0828-LLETD298-POI08]
组策略——软件限制策略导读 实际上,本教程主要为以下内容: 理论部分: 1.软件限制策略的路径规则的优先级问题 2.在路径规则中如何使用通配符 3.规则的权限继承问题 4.软件限制策略如何实现3D部署(难点是NTFS权限),软件限制策略的精髓在于权限,如何部署策略也就是如何设置权限 规则部分: 5.如何用软件限制策略防毒(也就是如何写规则) 6.规则的示例与下载 理论部分 软件限制策略包括证书规则、散列规则、Internet 区域规则和路径规则。我们主要用到的是散列规则和路径规则,其中灵活性最好的就是路径规则了,所以一般我们谈到的策略规则,若没有特别说明,则直接指路径规则。 一.环境变量、通配符和优先级 关于环境变量(假定系统盘为 C盘) %USERPROFILE%?? 表示 C:\Documents and Settings\当前用户名
%HOMEPATH% 表示 C:\Documents and Settings\当前用户名 %ALLUSERSPROFILE%?? 表示 C:\Documents and Settings\All Users %ComSpec% 表示 C:\WINDOWS\System32\ %APPDATA%?? 表示 C:\Documents and Settings\当前用户名\Application Data %ALLAPPDATA%?? 表示 C:\Documents and Settings\All Users\Application Data %SYSTEMDRIVE% 表示 C: %HOMEDRIVE% 表示 C: %SYSTEMROOT%?? 表示 C:\WINDOWS %WINDIR% 表示 C:\WINDOWS %TEMP% 和 %TMP%?? 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp %ProgramFiles% 表示 C:\Program Files %CommonProgramFiles% 表示 C:\Program Files\Common Files 关于通配符: Windows里面默认 * :任意个字符(包括0个),但不包括斜杠 :1个或0个字符 几个例子 *\Windows 匹配 C:\Windows、D:\Windows、E:\Windows 以及每个目录下的所有子文件夹。 C:\win* 匹配 C:\winnt、C:\windows、C:\windir 以及每个目录下的所有子文件夹。*.vbs 匹配 Windows XP Professional 中具有此扩展名的任何应用程序。
win7如何关闭uac(图文详解)
win7如何关闭uac(图文详解) 如何关闭Windows7 UAC?二种方法进入“UAC设置界面”: 方法1:开始→控制面板→查看方式:大图标→操作中心→更改用户账户控制设置→把滑块移到最下面。方法2:“开始”菜单→点击“账户名称头像图标”→更改用户账户控制设置→把滑块移到最下面。 调出UAC界面后,只要把滑块拉到最下面,即把UAC功能关闭了,重新启动计算机后生效!下面贴出第2种方法的详细步骤图片:
保护Win7安全不得不说的UAC,众所周知,UAC是User Account Control的缩写,其中文翻译为用户帐户控制,是微软在Windows Vista和Win7中引用的新技术,主要功能是进行一些会影响系统安全的操作时,会自动触发UAC,用户确认后才能执行 大部分的恶意软件、木马病毒、广告插件在进入计算机时都会有如:将文件复制到Windows或Program Files等目录、安装驱动、安装ActiveX等操作,而这些操作都会触发UAC。面对这些不安全的因素,用户该如何解决UAC带来的问题?本文详细介绍了UAC触动的详细功能,并可以在UAC提示时来禁止这些程序的运行。 能够触发UAC的操作包括:修改Windows Update配置;增加或删除用户帐户;改变用户的帐户类型;改变UAC设置;安装ActiveX;安装或卸载程序;安装设备驱动程序;修改和设置家长控制;增加或修改注册表;将文件移动或复制到Program Files或是Windows目录;访问其他用户目录UAC
很烦是的,微软自从Windows Vista开始加入了UAC,这也成了人们对VISTA不满的诟病之一,因为Vista 不像Win7一样可以对UAC进行级别设置(其实Windows7的UAC也很烦),当时的电脑的普遍配置也很低,所以人们对这个动不动就弹出来,同时还会锁定屏幕的家伙很厌恶。 UAC在Win 7中的完善就是因为UAC太烦了,所以微软在Win 7中,加入了UAC的等级设置功能,分别对应4个级别: 默认级别(2级): 在默认级别下,只有在应用程序试图改变计算机设置时才会提示用户,而用户主动对Windows进行更改设置则不会提示。同时,在该模式下将启用安全桌面,以防绕过UAC更改系统设置。可以看出,默认级别可以既不干扰用户的正常操作,又可以有效防范恶意程序在用户不知情的情况下修改系统设置。一般的用户都可以采用该级别设置。 比默认级别稍低的级别(1级): 与默认级别稍有不同的是该级别将不启用安全桌面,也就是说有可能产生绕过UAC更改系统设置的情况。不过一般情况下,如果使用户启动某些程序而需要对系统进行修改,可以直接运行,不会产生安全问题。但如果用户没有运行任何程序却弹出提示窗口,则有可能是恶意程序在试图修改系统设置,此时应果断选择阻止。该级别适用于有一定系统经验的用户。 最低的级别(0级): 最低的级别则是关闭UAC功能(必须重新启动后才能生效)。在该级别下,如果是以管理员登录,则所有操作都将直接运行而不会有任何通知,包括病毒或木马对系统进行的修改。在此级别下,病毒或木马可以任意连接访问网络中的其他电脑、甚至与互联网上的电脑进行通信或数据传输。可见如果完全关闭UAC并以管理员身份登录,将严重降低系统安全性。此外,如果是以标准用户登录,那么安装、升级软件或对系统进行修改和设置,将直接被拒绝而不弹出任何提示,用户只有获得管理员权限才能进行。可见完全关闭UAC并以标准用户登录,各种操作和设置也非常不方便,因此建议不要选择该级别。 最高级别(3级): 在高级级别下,“始终通知”(即完全开启),在该级别下,用户安装应用程序、对软件进行升级、应用程序在任何情况下对操作系统进行更改、更改Windows设置等情况,都会弹出提示窗口(并启用安全桌面),请求用户确认。由此可见该级别是最安全的级别,但同时也是最“麻烦”的级别,适用于多人共用一台电脑的情况下,限制其他标准用户,禁止其随意更改系统设置。 但是UAC很有用UAC虽然经常安装软件的人很烦,但UAC的作用却不容小觑。不得不承认微软对于操作系统的理念是很超前的,所以经常会搞出一些虽然很棒却很尴尬的东西,就好像当年的VISTA,在人们开始接受Windows 7的今天,再回头去看Vista,才越来越意识到VISTA其实是一个很不错的操作系
win7组策略编辑器设置
win7组策略怎么打开? 首先,在开始-运行中输入“gpedit.msc”,然后回车,打开组策略编辑器。依次点击“用户配置”→“管理模板”→“Windows 组件”即可 win7组策略编辑器设置 从Windows 2000开始,组策略就是配置Windows的有效工具。其实严格说起来,组策略编辑器中的大部分配置都可以直接修改注册表实现,不过很明显,通过组策略编辑器进行修改,更加直观,而且也不容易出错。因此很多Windows用户都已经习惯了使用组策略对Windows的一些高级设置进行配置。 Windows 7中新增了大量新的功能,同时组策略编辑器中也包含了更多内容。想知道这些新增的内容对我们有什么用吗?一起来看看吧。 提示:下文是以测试版的Windows 7RC2 Ultimate为基础撰写的,因此和正式版中可能会有所不同。另外,win7的家庭版没有组策略编辑器功能。 控制硬件设备的安装 这是一个很吸引人的功能。现在很多公司都不希望员工使用闪存盘或者MP3随身听之类可以通过计算机的USB接口传输文件的设备,因为这很容易导致公司的机密数据丢失。传统的预防办法最常见就是将计算机上的USB接口堵死,但这种“硬”方法也造成了一些问题,导致其他使用USB接口的设备,例如键盘和鼠标都无法使用。那么有没有不那么“强硬”的方法?这时候可以考虑使用Windows 7的组策略了。 通过组策略实现的目标 通过Windows 7的组策略,对硬件设备的安装将可以达到下列限制: ● 只有指定类型的设备可以安装,其他未指定设备一律无法安装。 ● 只有指定的具体硬件可以安装,其他未指定的硬件一律无法安装。 ● 所有可移动设备都无法安装。
任务管理器已被系统管理员禁用的解决方法
任务管理器已被系统管 理员禁用的解决方法 Document number:NOCG-YUNOO-BUYTT-UU986-1986UT
任务管理器已被系统管理员禁用的解决方法 1、点击『开始』菜单 2、点击“运行”并键入""(不包括双引号)后确定 3、在“组策略”中依次展开"本地计算机"策略/用户配置/管理模板/系统 /Ctrl+Alt+Del选项 4、在该列表中打开删除“任务管理器”的属性 5、在删除“任务管理器”属性中的“设置”选项卡中点选“已禁用”或“未配置”单选项,确定。 (依次如下图)。 注:该策略的效果为,“任务栏”上的右键菜单上的“任务管理器”呈不可点击状,而按下组合键Ctrl+Alt+Del之后会弹出题目为“任务管理器”的对话框, 内容是“任务管理器已被系统管理员停用”。上述策略须在管理员帐户下操作 上述方法因需用到“组策略”,故该法适用于:·MicrosoftWindowsXPProfessional “注册表”法,请按照下面步骤进行注册表编辑操作: 1、点击『开始』 2、点击“运行”并键入"regedit"(不包括双引号)后确定 3、在“注册表编辑器”中依次展开 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ 在该注册表项下建立名为System的项(如在Policies分支下已有System项,则无须此步骤) 在System项下建立名为DisableTaskMgr的“字串符值”或者“DWORD值”
键值为1则禁止任务管理器,键值为0则不禁止。
Windows7使用组策略禁用移动存储设备
Windows7通过组策略禁止使用移动存储设备 现在移动存储设备的使用越来越广泛,但随之而引发的是泄密和感染病毒等问题。虽然可以通过设置BIOS或封死计算机上的USB接口的“硬”方法防范风险发生,不过同时也意味着计算机将无法使用其他USB接口的设备,例如最常见的键盘的鼠标。因此怎样使用一些更加“温和”的方法限制某个特定或者某类硬件的安装成了一个很多人关心的问题。 在Windows 7中使用组策略就可以完全解决这一问题。但在继续阅读下文之前,请首先确认你的Windows 7版本。带有组策略功能的Windows 7版本包括Windows 7专业版、Windows 7企业版和Windows 7旗舰版。 如果确定所用的Windows 7版本具有组策略功能,则可以按照以下步骤进行操作。 (1)单击“开始”按钮,在搜索框中输入“gpedit.msc”并按回车键,打开“本 地组策略编辑器”窗口。 (2)在窗口左侧的树形图中展开到“计算机配置—管理模板—系统—设备安 装—设备安装限制”项,如图1所示。 图1 (3)双击右侧的相应策略,就可以针对实际情况对硬件设备的安装做出限制。 这里一共有10条可用的策略,含义分别如下。 允许管理员忽略设备安装限制策略:这条策略用于决定是否允许管理员账户不受设备安装限制策略的影响。如果启用这条策略,那么不管其他 策略如何设置,都只能影响非管理员账户,而不能影响管理员账户。如 果禁用这条策略,或者保持未被配置的默认状态,那么管理员账户也将 受到其余几条策略的限制。
?允许使用与下列设备安装程序类相匹配的驱动程序安装设备:这条策略 用于设定允许安装的设备类型。简单来说,这条策略等于一个“白名单”,配合其他策略,就可以让Windows 7只安装设备类型在这条策略中批准过的设备,其他未指定的设备都拒绝安装。 ?阻止使用与下列设备安装程序类相匹配的驱动程序安装设备:这条策略 用于设定禁止安装的设备类型。简单来说,这条策略等于一个“黑名单”,所有被添加到这条策略中的设备类型都将被Windows 7拒绝安装。 ?当策略设置禁止安装时显示自定义信息:这条策略用于决定当有设备被 禁止安装后,在Windows 7的系统提示区显示什么样的气球图标消息。 ?当策略设置禁止设备安装时显示自定义信息标题:这条策略用于决定当 有设备被禁止安装后,在Windows 7的系统提示区显示的气球图标使用什么样的标题。 ?允许安装与下列设备ID相匹配的设备:这条策略用于决定允许Windows 7安装具有哪些硬件ID的设备。 ?阻止安装与下列任何设备ID相匹配的设备:这条策略用于决定禁止 Windows 7安装具有哪些硬件ID的设备。 ?在策略更改需要重新启动才能生效时,等待强制重新启动的时间(以秒 为单位):这条策略用于设置强制重新启动计算机前的倒计时,以便让策略生效。 ?禁止安装可移动设备:这条策略用于决定是否禁止安装任何可移动设备, 而且这条策略的优先级是最高的,只要启用了这条策略,那么不管其他允许策略是如何设置的,可移动设备都将无法被安装。
win7系统关闭135端口方法
win7系统关闭135、137、138、139、445端口方法 1、关闭139端口 ipc和RPC漏洞存在于此。鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”。选择“TCP/IP协议/属性/高级”,进入“高级TCP/IP设置”对话框,选择“WINS”标签,勾选“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS. 2、关闭445端口 修改注册表,添加一个键值(HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters)在右面的窗口建立一个SMBDeviceEnabled 为DWORD类型键值为0这样就ok了。 3、关闭3389端口 在我的电脑上点右键选“属性”-->“远程”,将里面的远程协助和远程桌面两个选项框里的勾去掉。 (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp)来到这里,找到PortNumber ,十进制是3389的,你随意把它改成其它4个数字吧,我改成1314了。此外,还要禁用Telnet、Terminal Services 这两个危险服务。 4、关闭135的经过注册表更改 (1)、HKEY_LOCAL_MACHINE→SOFTWARE→Microsoft→Ole→Ena bleDCOM 的值改为“N” HKEY_LOCAL_MACHINE→SOFTWARE→Microsoft→Rpc→DCOM Protocols 键值中删除“ncacn_ip_tcp” (2)、此外,还需要确认是否停用了“Distributed Transaction Coordinator”此项服务。 (3)、重新启动一下输入CMD ,然后直接打入netstat -an这个命令,看,135端口没有了。
组策略对windows7的安全性设置(陈琪) - 修改
组策略对windows7的安全性设置 陈琪 (重庆市商务学校重庆市大渡口区400080) 【摘要】:现在Win7系统已成为电脑市场的主流,大量企业和家庭个人都选择使用Win7系统,主要是Win7系统设计具有人性化、操作非常的简单,更重要的是Win7安全性非常高。同时针对Win7的安全性设置方法也层出不穷,用户往往是通过第三方软件来实现,但是这些方法往往不具有个性化的设置,而且这些方法效果到底如何也无从知晓。其实利用Win7的系统组策略功能,就可以简单轻松的实现Win7的系统的安全性设置。 【关键词】:组策略点击用户配置驱动器木马权限哈希值【引言】:在我们使用电脑的过程中系统、用户的数据都是保存在电脑的驱动器中的。因此,限制驱动器的使用可以有效防止重要和机密的信息外泄。而且现在的电脑大多数时间都是联网的,有效的阻击病毒和木马的入侵是确保电脑安全稳定运行的必要措施。 【正文】: 1.驱动器访问权限的设置 驱动器主要包括硬盘、光驱和移动设备等。驱动器不同限制方法也不同,而且同一种驱动器也有不同的限制级别。就说硬盘吧,一般有隐藏和禁止访问两种级别。隐藏级别比较初级,只是让驱动器不可见,一般用于防范小孩和初级用户,而禁止访问则可彻底阻止驱动器的访问。对于移动设备,可以选择设置读、写和执行权限,不过病毒和木马一般通过执行恶意程序来传播,因此禁止执行权限才最有效。
1.1隐藏驱动器 那么我们首先来实现如何让初级普通用户看不到驱动器:点击“开始”,在搜索框中输入“gpedit.msc”,确认后即打开了组策略编辑器,依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”,在右边设置窗口中,进入“隐藏‘我的电脑’中这些指定的驱动器”,选择“已启用”,在下面的下拉列表中选择需要隐藏的驱动器,然后确定。再进入“计算机”,刚才选择的驱动器图标就不见了。提示:这个方法只是隐藏驱动器图标,用户仍可使用其他方法访问驱动器的内容,如在地址栏中直接键入驱动器上的目录路径。 1.2移动存储设备读写权限的设置 移动设备(例如闪存、移动硬盘等)已经成为不少用户的标准配置,使用也最为广泛。正因如此,它也成了病毒和木马传播的主要途径。而普通的限制读写权限并不能阻止病毒和木马入侵,因为病毒传播都是通过执行病毒和木马程序来实现的,因此禁用执行权限就能切断病毒传播途径。依次展开“计算机配置→管理模板→系统→可移动存储访问”,进入“可移动磁盘:拒绝执行权限”,选择“已启用”,确定后设置生效。移动设备上的可执行文件将不能执行,计算机也就不会再被病毒感染。而如果需要执行,只需要拷贝到硬盘当中即可。 2.网络安全性设置 电脑最重要的用途之一就是上网,可是说实话,现在上网一点也不省心,病毒、木马和流氓软件横行,连不少大网站都会被挂一些别有用心的软件,用户真是防不胜防。所以网络安全性的设置相当重要。
组策略(gpedit.msc)学习
组策略(gpedit.msc)学习 习背景:组策略就是修改注册表中的配置。当然,组策略使自己更完善计算机的管理组织方法,可以对 各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大. 学习目的:熟悉组策略的使用,完善计算机的管理与设置 学习步骤:组策略的启动,组策略的实际例子操作讲解,安全防范,组策略的保护! 地计算机配置对应注册表 HKEY_LOCAL_MACHINE 本地用户配置对应注册表 HKEY_CURRENT_USER 访问本地组策略的方法有两种: 第一种方法是命令行方式:“开始”→“运行”→“gpedit.msc”→“确定”刚才我们演示的 (gpedit.msc我们可以在系统盘中找到“C:\WINNT\SYSTEM32\gpedit.msc”) 第二种方法是通过在MMC控制台中选择GPE插件来实现: “开始”→“运行”→“mmc”→“确定”→“文件”→“添加/删除管理单元”→“独立”→“添加”→“添加独立管理单元”→"组策略对象编辑器" 大家看到了吧!这样也是可以的,只是麻烦了点!继续讲解啊! “本地计算机策略” | |——“计算机配置” 对整个计算机中的系统配置进行设置的,它对当前计算机中所有用户的运 | | 行环境都起作用 | |——“软件设置” | |——“Windows设置” | |——“管理模块” | | |——“用户配置”对当前用户的系统配置进行设置的,它仅对当前用户起作用 | |——“软件设置” | |——“Windows设置” | |——“管理模块”
下面我们就用实际的例子来学习组策略这个超级工具!(因为组策略的功能太多,太强大!所以我就选择 其中有代表性的例子进行讲解!一一讲解的话,你可以与我QQ联系,我一一讲解,这里不耽误大家时间) (任何事情都是有起因的,呵呵) 事件一.起因:我们想不让别人使用我们的CMD(命令)与REGEDIT(注册表),所以我想删除“运行” 因为我们运行CMD与REGEDIT多是在运行菜单下进行的操作如下(涉及2个知识点) 我们在实验之前看看我们的运行菜单他还好好的在那里!! 知识点1.“任务栏”和“开始”菜单相关选项的删除和禁用 (1)在“本地计算机”策略中,逐级展开“用户配置”→“管理模板”→“任务栏和「开始」菜单”分支,在右侧窗格中,提供了“任务栏”和“开始菜单”的有关策略 !我们现在看看他没了运行菜单没了 删除“运行”那么操作如下: 用户配置”→“管理模板”→“任务栏和「开始」菜单”→从开始菜单中删除运行→已启用→确定 那么我们想禁止使用CMD与REGEDIT的话是不是就已经成功了呢!带着疑问我们看看! 没有运行菜单了是不是就是我的实验成功了呢????是不是就是不可以运行CMD与REGEDIT了呢?? 我们接着看看大家可以看得懂我的操作是什么吧就是运用BAT文件运行CMD与REGEDIT 我们的命令提示符出来了说明我们没有成功! 没有成功!继续深入! 知识点2.禁止使用CMD与REGEDIT (2)在“本地计算机”策略中,逐级展开“用户配置”→“管理模板”→“系统”分支。 在右侧我们可以看到“阻止访问命令提示符”和“阻止访问注册表编辑工具”双击“已启用”确定 检验结果!
任务管理器不见了,找回系统任务管理器的方法
任务管理器不见了,找回系统任务管理器的方法 方法一:修改注册表找回系统任务管理器 注册表路径: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ 开始–运行(输入regedit)- 确定或者回车,打开注册表编辑器; 我们在注册表编辑器中找到:HKEY_CURRENT_USER,并展开HKEY_CURRENT_USER,再找到:Software,同样展开Software; 在Software展开项中找到:Microsoft,并展开Microsoft; 在Microsoft的展开项中找到:Windows,展开Windows,并在展开项中找到:CurrentVersion,也展开:CurrentVersion; 我们在CurrentVersion展开项中找到:Policies,并左键单击:Policies; 我们在Policies对应的右侧窗口没有看到System项目,右键空白处,新建–项;命名为:System; 左键单击System,在System对应的右侧窗口,右键空白处–新建– DWORO(32-位)值; 我们把新建的项命名为:DisableTaskMgr,键值为:0,退出注册表编辑器 方法二:修改组策略找回任务管理器 步骤: 开始–运行(输入gpedit.msc)- 确定或者回车,打开本地组策略编辑器; 在本地组策略编辑器窗口,按图示路径:用户配置–管理模板–系统– Ctrl+Alt+Del选项;左键单击Ctrl+Alt+Del选项,在Ctrl+Alt+Del选项对应的右侧窗口找到:删除“任务管理器”; 左键双击:删除“任务管理器”,在删除“任务管理器”窗口,把“已启用”更改为“未配置”或者“已禁用”,再点击:确定,退出组策略编辑器。
修改Win7远程桌面端口
es\SharedAccess\Defaults\FirewallPolicy\FirewallRules] "RemoteDesktop-In-TCP"="v2.10|Action=Allow|Active=FAL SE|Dir=In|Protocol=6|LPort=8080|App=System|Name=@Fi rewallAPI.dll,-28753|Desc=@FirewallAPI.dll,-28756|EmbedC txt=@FirewallAPI.dll,-28752|" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "RemoteDesktop-In-TCP"="v2.10|Action=Allow|Active=FAL SE|Dir=In|Protocol=6|Profile=Public|LPort=8080|App=Syst em|Name=@FirewallAPI.dll,-28753|Desc=@FirewallAPI.dll,-28756|EmbedCtxt=@FirewallAPI.dll,-28752|" "{25FB9AEA-281B-4DA0-BD57-9C7B3B05F65D}"="v2.10|Ac tion=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Domain |Profile=Private|LPort=8080|App=System|Name=@Firewall API.dll,-28753|Desc=@FirewallAPI.dll,-28756|EmbedCtxt=@ FirewallAPI.dll,-28752|" 修改完毕,重新启动电脑才会生效,那么以后远程登录的时候使用端口80 80就可以了。