组策略在系统中各项配置非常重要，多项设置涉及系统安全。通过组策略编辑就可打开组策略，其配置非常丰富，其涉及安全设置内容主要分布在“Computer Configuration/Administrative Templates/Windows Components” 内。笔者结合实例给出常用设置。

禁止其他用户访问控制面板

打开组策略，找到“用户配置”后双击右侧“管理模板”，之后打开“控制面板”，选择“禁止访问控制面板”属性，选择设置选项卡下的“已禁用”，并点击“确定”按钮即可。

关闭LM哈希密码存储方式

当用户帐户的密码设置或更改为包含少于15位字符的密码时，Windows会为此密码同时生成LAN Manager哈希（LM哈希）和Windows NT哈希（NT哈希）。这些哈希存储在本地安全帐户管理器(SAM)数据库或Active Directory中。LM哈希比NT哈希较弱，易遭破解。因此，管理员希望阻止Windows采用LM哈希方式存储密码。为此，在“组策略”中依次展开“计算机配置”、“Windows设置”、“安全设置”、“本 地 策略”，然后单击“安全选项”，在可用策略列表中双击“网络安全:不要在下次更改密码时存储LAN Manager的哈希值”后，单击“启用”即可。

禁用命令提示符

命令提示符是系统管理员喜欢的方式，但同时也是黑客惯用的隐蔽性较强的作案手段，所以在必要时应当禁用。为此在组策略窗口中选择用户配置下的管理模板-系统，在右侧框中双击“阻止访问命令提示符”后确定，然后在弹出的属性框中选择“已启用”。这样当再次试图使用命令提示符窗口时就会遇到提示信息：命令提示符已被系统管理员停用！

禁用系统重启功能及禁止用户安装软件

很多系统在正常运行时特别忌讳系统被他人故意重启，此时有必要取消系统重启功能。为此在组策略编中定位到“用户配置”、“管理模板”、“开始菜单和任务栏”，点击“开始菜单和任务栏”，在右侧窗格中找到“删除并阻止访问‘关机’、‘重新启动’、‘睡眠’和‘休眠’命令”后打开。在窗口左上角有3个选项，选择“已启用”后确认退出，再次打开开始菜单即看不到上述几个按钮了。

为了禁止用户安装软件，在组策略中点击“计算机配置”、“管理模板”展开；在管理模板的展开项中找到Windows Installer，点击选择“禁用”即可。

禁用OneDrive及移动存储设备

从Windows 8系统开始，有一项旨在方便用户随时随地进行数据存储的应用，这就是OneDrive，但在很多单位出于安全原因希望禁掉OneDrive。在组策略中打开“本地计算机策略”、“计算机配置”、“管理模板”、“Windows组件”、“OneDrive”，可看到“禁止使用OneDrive进行文件存储”选项，双击打开该选项；将未配置修改为“已启用”即可禁用OneDrive。

无论出于系统安全还是为防止单位资产和机密外泄，禁用USB存储设备非常必要。为此，在组策略中定位到“计算机配置”、“管理模板”、“系统”、“可移动存储访问”后，在右侧找到“可移动磁盘拒绝写入权限”，将它改为“已启用”即可。之后，如果用户再用U盘写入文件时，就会遇到出错提示。另外，我们还可以设置为“拒绝读取权限”和“拒绝运行权限”，分别设置成“已启用”，就可以禁止读取USB设备和禁止USB设备中程序的运行了。

禁止Windows 10系统和驱动自动更新

为禁止Windows 10系统自动更新，在组策略中依次展开“计算机配置”、“管理 模 板”、“Windows组 件”、“Windows更新”，在右栏中找到“配置自动更新”；双击打开“配置自动更新”窗口，在左上方选中“已禁用”后点击“确定”即可。

Windows 10还会自动更新系统驱动，但是有时驱动中的BUG会导致系统奔溃。如何禁止呢？在组策略中依次找到 ：“计算机配置”、“管理模版”、“系统”、“Internet通信管理”、“Internet通信设置”，然后在右侧窗口找到“关闭Windows更新设备驱动程序搜索”，双击后选择“已启用”即可生效。

如何禁用Windows Defender

Windows系统出于安全理由提供了内置的安全工具Defender，但是在很多单位系统中配有专门的防御工具， 功能要强大很多，此时Defender不仅冗余，而且会白白消耗系统资源，此时没必要将其删除，只要禁用即可。为此，在组策略中依次定位到“计算机配置”、“管理模板”、“Windows组件”后，找到 Windows Defender，在其右侧有若干设置，找到“关闭Windows Defender”双击选择“已启用”即可。