引言：网络管理人员对组策略肯定不陌生，通过修改组策略可以解决很多安全问题，下文给大家罗列了平时可能会遇到的问题和解决办法，希望对大家有所帮助。

优盘在局域网环境中使用很普遍，于是一些病毒趁虚而入，常常通过优盘在局域网中疯狂传播，请问怎样才能有效预防优盘病毒，通过网络随意感染自己的计算机呢？

答：可以想办法限制优盘读写操作权限。打开系统组策略编辑界面，依次展开“本地计算机策略”、“用户配置”、“管理模板”、“系统”、“可移动存储”分支选项，双击指定分支下的“可移动磁盘：拒绝读取权限”组策略，选中对应组策略属性对话框中的“已启用”选项，单击“确定”按钮保存设置操作。之后，打开“可移动磁盘：拒绝写入权限”组策略属性对话框，勾选“已启用”选项，确认后退出设置对话框，这样自己的计算机就不会轻易感染优盘病毒了。

为了躲避杀毒软件的追杀，很多狡猾病毒往往会想方设法地将自身隐藏到系统临时文件夹中，那样病毒文件即使被搜索到，杀毒软件对它们也无可奈何。请问有没有办法防止病毒隐藏到系统临时文件夹中呢？

答：答案是肯定的！以Windows Server 2008系统为例，只要按照下面的操作设置系统软件限制策略，就能防止病毒隐藏到系统临时文件夹中：依次单击“开始”、“运行”命令，展开系统运行对话框，输入“gpedit.msc”命令并回车，切换到系统组策略编辑界面。

在该编辑界面的左侧显示区域，将鼠标定位到“本地计算机策略”、“计算机配置”、“Windows设 置”、“安全设置”、“软件限制策略”、“其他规则”选项上，用鼠标右键单击指定选项，点选右键菜单中的“新建路径规则”命令，在其后界面中单击“浏览”按钮，将Windows Server 2008系统临时文件夹选中并导入进来，之后将“安全级别”选择为“不允许”，再单击“确定”按钮退出设置对话框。

有些网络病毒程序常常会利用远程访问注册表方式，影响局域网终端系统的安全，请问怎样限制网络病毒程序远程访问注册表？

答：可以先打开系统注册表编辑界面，在该界面左侧显示区域，依次展开“本地计算机策略”、“计算机配置”、“Windows设 置”、“安全设置”、“本地策略”、“安全选项”组策略分支，双击指定分支下的“网络访问：可远程访问的注册表路径”组策略选项，在其后弹出的对话框中，删除所有注册表路径信息。接着按照同样的操作方法，进入“网络访问：可远程访问的注册表路径和子路径”组策略属性对话框，删除所有缺省路径信息，这样任何网络病毒程序日后都不能远程访问本地注册表了。

如果登录密码设置得比较短，很容易被人猜中，请问怎样才能强制用户将密码设置得更复杂一些？

答：只要调整系统组策略设置，强制用户使用最小长度的密码。比方说，要将密码强制设置为10位以上时，不妨将鼠标定位到组策略编辑界面左侧区域的“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“账户策略”、“密码策略”节点上，双击目标节点下面的“密码必须符合复杂性要求”组策略，选中其后界面中的“已启用”选项；接着用鼠标双击“密码长度最小值”组策略，在其后弹出的对话框中输入“10”，最后按下“确定”按钮保存设置操作。这样，用户日后只有将登录密码修改成10位以上，才能符合安全要求。

请问怎样避免用户不设密码，就能直接登录Windows 8系统并进行操作的不安全现象呢？

答：很简单!只要对使用空白密码的用户账号进行权限限制，让它们不能正常进行各种操作。

要做到这一点，可以先在Windows 8开始屏幕或传统桌面中，使用“Win+R”快捷键，弹出系统运行对话框，输入“gpedit.msc”命令打开Windows 8系统组策略控制台窗口，在该窗口左侧列表区域中，将鼠标定位在“本地计算机策略”、“Windows设置”、“安全设置”、“本地策略”、“安全选项”节点上，找到该节点下面的“帐户：使用空白密码的本地帐户只允许进行控制台登录”组策略，同时用鼠标双击之，在其后界面中选择“已启用”选项，单击“确定”按钮保存设置操作，这样空白密码的用户账号日后就不能在Windows 8系统中随意操作了。

非法用户通常会通过系统管理员的SID来偷窃其登录账号名称，再使用该名称窃取本地系统的高级权限，请问怎样限制非法用户通过SID窃取管理员账号？

答：只要展开系统组策略控制台窗口，依次展开左侧区域中的“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“安全选项”分支，双击指定分支下的“网络访问：允许匿名SID/名称转换”组策略，选择其后对话框中的“已禁用”选项，再单击“确定”按钮退出设置对话框。这样，非法用户日后就不会随意偷取到系统管理员账号名称了。

在使用IE浏览器访问Web页面内容时，一些潜藏在Web页面背后的病毒、木马程序，可能会自动下载到本地硬盘，日后这些恶意内容可能会威胁本地计算机的运行安全。请问如何禁止Web页面中的内容自动下载存储到本地硬盘中？

答：首先使用“Win+R”快捷键，调用系统运行文本框，在其中执行“gpedit.msc”命令，开启系统组策略编辑器运行状态。

在该编辑窗口左侧列表中，将鼠标定位到“本地计算机策略”、“计算机配置”、“管理模板”、“Windows 组件”、“Internet Explorer”、“安 全功能”、“限制文件下载”分支上。

双击该分支下的“Internet Explorer进程”组策略，打开“Internet Explorer进程”属性对话框，选中“已启用”选项，单击“确定”按钮返回，这样就能禁止来自Web页面中的内容自动下载存储到本地硬盘中了。

在局域网工作环境中，有一些不自觉的用户常常悄悄登录自己的终端计算机，请问怎样才能知道别人是否用过自己的计算机呢？

答：在Windows 7终端系统中，可以通过登录监控功能判断用户的悄悄登录行为。只要先将鼠标定位到组策略编辑窗口的“计算机配置”、“管理模板”、“Windows组件”、“Windows登录选项”节点上，双击“在用户登录期间显示有关以前登录的信息”组策略，选中“已禁用”选项，同时单击“确定”按钮，这样下次登录Windows 7系统时，用户就能看到之前是否有人偷偷用过本地系统了。

为了避免普通用户无意中发现计算机分区中的隐私数据，请问怎样才能将重要分区隐藏起来，让其他人无法轻易进入分区窗口？

答：可以先进入系统组策略编辑界面，逐一展开“本地计算机策略”、“用户配置”、“管理模板”、“Windows组件”、“Windows资源管理器”分支，双击指定分支下的“隐藏‘我的电脑’中的这些指定驱动器”组策略，之后在“选择下列组合中的一个”设置项处选中需要隐藏的特定磁盘分区，单击“确定”按钮退出设置对话框。这样，普通用户再次打开计算机窗口时，就无法找到特定磁盘分区了。

Web服务器作用相当突出，要是允许普通用户自由执行关机操作的话，一定会影响整个网络用户的正常工作。为了不让别人随意关闭Web服务器，影响其安全稳定运行，请问怎样让系统“开始”菜单中的关机命令隐藏起来？

答：只要进入服务器系统组策略控制台窗口，依次展开“本地计算机策略”、“用户配置”、“管理模板”、“开始菜单和任务栏”分支上，打开“删除并阻止访问‘关机’、‘重新启动’、‘睡眠’和‘休眠’命令”组策略属性对话框，选中“已启用”选项，单击“确定”按钮后关闭设置对话框即可。

大家知道，“系统还原”功能可以保护系统运行稳定性，但要是允许用户随意修改系统还原配置，很容易引起Windows系统还原点信息被丢失，从而造成系统无法安全运行，请问如何限制他人自由调整系统还原配置？

答：不妨先进入系统组策略编辑界面，将鼠标定位到“本地计算机策略”、“计算机配置”、“管理模板”、“系统”、“系统还原”分支上，双击指定分支下的“关闭配置”组策略，选中其后界面中的“已启用”选项，确认后重新启动Windows系统。这样，Windows系统还原配置框中的设置选项将会全部失效，普通用户自然就不能自由调整系统还原配置了。

在缺省状态下，Windows 7系统会为匿名账号和everyone账号授予相同访问权限，倘若管理员无意中为everyone帐号授予较高权限时，匿名账号将会自动获得相应权限。请问为了确保Windows 7系统运行安全，怎样降低匿名用户的权限等级？

答：只要打开系统组策略编辑界面，依次跳转到“本地计算机策略”、“计算机配置”、“Windows设 置”、“安全设置”、“本地策略”、“安全选项”分支上，双击指定分支下的“网络访问：将everyone权限应用于匿名用户”组策略，选中其后界面中的“已禁用”选项，再单击“确定”按钮保存设置操作。这样，匿名用户在缺省状态下就不会拥有访问权限了。

为了图管理方便，有些管理员会对特定组用户账号集中授予网络访问权限，但这可能会给网络安全带来麻烦。所以，在一些特别重要的Windows 8系统中，应取消组用户帐号的网络访问权，请问如何进行这项操作呢？

答：在系统组策略编辑窗口，依次跳转到“本地计算机策略”、“计算机配置”、“Windows设 置”、“安全设置”、“本地策略”、“用户权限分配”分支上，找到指定分支下的“从网络访问此计算机”组策略，用鼠标双击之，在其后的组策略设置框中能看到所有用户账号的身影。

在默认状态下，它们都具有一定的网络访问权限。这个时候，不妨尝试选中那些陌生或可疑的组用户账号，单击“删除”按钮，确认后退出设置对话框。这样，就能取消指定组用户账号的网络访问权限了。

通过网络打印能有效提高打印机利用效率，同时能节约办公成本，但如果网络打印机被随意使用的话，就不能达到上述控制目的。请问怎样限制他人随意进行网络打印呢？

答：只要进入网络打印机所在主机的组策略编辑界面，依次展开“本地计算机策略”、“计算机配置”、“管理模块”、“打印机”分支选项，双击指定分支下的“打印机浏览”组策略，选择其后界面中的“禁用”选项，单击“确定”按钮退出设置对话框。这样，普通用户将不能轻易找到网络打印机的“身影”了。

一些狡猾的黑客工具经常会借助匿名枚举方式，暴力破解重要共享资源的访问密码，请问怎样防止暴力破解？

答：只要在系统组策略编辑界面中，用鼠标逐一双击“本地计算机策略”、“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”、“安全选项”分支下的“网络访问：不允许SAM账号和共享的匿名枚举”组策略，从其后展开的选项设置框中，将“已启用”选项勾选起来，再单击“确定”按钮返回。这样，Windows系统的共享资源访问密码就不会被轻易暴力破解了。

倘若非法用户向重要主机系统不停发送Ping命令测试包，或许会引起重要主机系统无法安全稳定运行，请问怎样有效防止Ping命令攻击？

答：只要在系统组策略编辑界面中，将鼠标逐一定位到“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“高级安全Windows防火墙”、“高级安全Windows防火墙——本地组策略对象”、“入站规则”、“新规则”分支上，接着根据向导提示，依次选中“自定义”、“所有程序”、“ICMPv4”、“阻止连接”选项，同时定义好入站规则应用环境，最后重新启动终端系统。这样，重要终端系统日后就不会轻易受到恶意Ping命令攻击了。

在多用户账号环境下，为了保护计算机的使用安全，请问如何禁止普通用户使用USB存储设备？

答：USB存储设备每次插入计算机后，Windows系统都会自动调用位于“C:WindowsSystem32Drivers”文件夹中的驱动文件“Substor.sys”，手工将其删除后，文件保护机制会自动生成新的驱动。为了避免这种现象，我们可以开启记事本程序运行状态，创建好“aaa.bat”批处理文件，在该文件编辑窗口中输入如下命令代码：

@echo

copy c:windowsaa.exe c:usbstor.sys /y //复制任意文件到C盘根目录，并将其名称设置为“usbstor.sys”

replace c:usbstor.sys C:WindowsSystem32Drivers //将虚假的设备驱动替换到“C:WindowsSystem32Drivers”文件夹中

del aaa.bat

之后依次点击“开始”、“运行”命令，弹出系统运行对话框，在其中执行“gpedit.msc”命令，打开系统组策略控制台窗口。在该窗口的左侧列表中，依次跳转到“本地计算机策略”、“计算机配置”、“Windows设 置”、“脚 本（启动/关机）”分支上，用鼠标双击该分支下的“启动”组策略，在对应组策略属性对话框中，按下“添加”按钮，导入“aaa.bat”批处理文件，确认后保存设置操作，这样普通用户日后就不能在本地计算机中使用USB存储设备了。

我们知道，组策略也是病毒、木马程序经常“藏身”的地方，请问怎样识别出系统组策略中是否隐藏了病毒、木马程序呢？

答：进入系统组策略编辑界面，依次展开“本地计算机策略”、“用户配置”、“管理模板”、“系统”、“登录”分支选项，双击指定分支下的“在用户登录时运行这些程序”组策略，将“已启用”选项勾选起来，再按下“显示”按钮，检查其后界面中是否存在一些稀奇古怪的内容，缺省状态下这里应该是空的，要是看到有内容存在，那基本就可以识别出系统组策略中隐藏了病毒、木马程序。

现在USB存储设备随处可见，很多病毒、木马程序，常常会通过该设备自动播放功能，实现病毒恶意传播目的。请问如何禁止USB存储设备自动播放功能，以避免“autorun”病毒的非法传播？

答：可以打开系统运行文本框，在其中执行“gpedit.msc”命令，弹出组策略编辑界面。依次跳转到该界面左侧显示区域中的“本地计算机策略”、“计算机配置”、“管理模板”、“系统”分支上，双击指定分支下的“关闭自动播放”选项，选中其后对话框中的“已启用”选项，同时展开关闭自动播放列表，选择USB存储设备对应的分区符号，点击“应用”按钮返回。当然，上述设置操作仅适合Windows XP操作系统，在Vista以后操作系统版本中，应该依次展开“本地计算机策略”、“计算机配置”、“管理模板”、“Windows组件”、“自动播放策略”分支选项，双击指定分支下的“关闭自动播放”组策略，在其后界面中选择USB存储设备分区符号即可。

尽管安装系统补丁可以预防Windows系统漏洞带来的安全威胁，不过该方法对应用程序漏洞不起作用，请问怎样有效预防应用程序漏洞带来的安全威胁？

答：只要限制用户使用带有漏洞的应用程序即可。先进入组策略编辑界面，依次跳转到“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“软件限制策略”分支上，右击“软件限制策略”选项，选择“创建软件限制策略”命令。之后在“软件限制策略”下双击“强制”选项，选中“所有用户”，同时单击“确定”返回。下面右击“其他规则”选项，点选“新建路径规则”命令，导入带有漏洞的特定应用程序，将“安全级别”设置为“不允许”。这样，用户日后就不能在本地使用具有漏洞的应用程序了。

在缺省状态下，Windows 7系统会限制远程连接数量，当超过限制数量后，其他用户就无法与Windows 7系统建立远程连接了。请问怎样防止空闲连接“占位”不干活，影响其他用户的安全稳定登录？

答：可以展开系统组策略编辑界面中的“本地计算机策略”、“计算机配置”、“Windows设 置”、“安全设置”、“本地策略”、“安全选项”分支选项，双击指定分支下的“网络安全：在超过登录时间后强制注销”组策略，选中其后界面中的“已启用”选项，单击“确定”按钮返回。这样，Windows 7系统日后会自动将空闲的远程连接断开，那么其他人就容易与之建立安全稳定连接了。

尽管Windows 7系统自带有BitLocker加密功能，但该功能在缺省状态下对优盘无效，请问怎样使用该功能加密优盘，以便保护其中的重要数据安全？

答：很简单！只要在系统组策略编辑界面中，将鼠标定位到“本地计算机策略”、“计算机配置”、“管理模板”、“Windows组件”、“Bitlocker驱动器加密”、“可移动数据驱动器”分支选项上，双击指定分支下的“控制对可移动数据驱动器使用Bitlocker”选项，将其后对话框中的“已启用”选项勾选起来，同时按下“确定”按钮返回。这样，用户日后就能对存储了重要数据的优盘进行Bitlocker加密操作了。

为了保护系统登录安全，我们需要对系统登录操作加强监控，请问如何对每次登录系统状态进行追踪、监控呢？

答：很简单！利用Windows系统自带的日志记录功能，就能追踪记忆每次登录系统的状态信息，即使登录系统失败了，该过程也能被自动记录下来。要做到这一点，必须开启审核登录功能，只有对登录事件进行审核后，其日志功能才会自动保存系统登录状态。在对系统登录事件进行审核时，不妨使用“Win+R”快捷键，打开系统运行对话框，输入“secpol.msc”命令并回车，弹出系统本地安全策略界面。

在该界面的左侧显示窗格中，逐一跳转到“安全设置”、“本地策略”、“审核策略”节点上，找到目标节点下的“审核登录事件”选项，并用鼠标双击之，选中其后界面中的“成功”、“失败”选项，确认后返回，这样Windows系统日后就能对每次登录系统状态进行自动监控了。

如果想查看系统登录监控结果时，不妨用鼠标右键单击“计算机”图标，选择快捷菜单中的“管理”命令，弹出计算机管理窗口，将鼠标定位到该窗口中的“系统工具”、“事件查看器”、“Windows日志”、“系统”节点上，在该节点下面我们就能看到系统登录的所有记录了，双击每个记录选项，就能查看到每次登录系统的状态信息了。