有人形象地把組策略稱為Windows系統(tǒng)中的“大內(nèi)高手”。與XP相比，Vista 中的組策略功能更強大，與系統(tǒng)的集成更加緊密，其更像Vista 系統(tǒng)中的“大內(nèi)總管”。利用組策略可以在Vista 中完成一些看似很難完成的任務(wù)。下面我們一道深入挖掘，揭開Vista 組策略內(nèi)幕，實現(xiàn)非常任務(wù)。

1.給U盤通行證

U盤已經(jīng)很普及了，而且很多手機功能也帶U盤功能了，所以想從別人的電腦里面復(fù)制出一些文件，是非常簡單的事情，這樣對電腦里面資料就有很大的威脅，如何讓系統(tǒng)只能使用指定的U盤或者移動硬盤呢?

其實在Vista 系統(tǒng)中就不用擔(dān)心這個問題，我們可以通過組策略來完成這項任務(wù)。通過設(shè)置即可以禁用所有的USB存儲設(shè)備，而且還可以讓系統(tǒng)只能使用指定的U盤。

第一步：把自己的U盤先插入到Vista 系統(tǒng)中，讓系統(tǒng)可以正常使用U盤，接著進入“控制面板”，雙擊“設(shè)備管理器”，在里面展開“便攜設(shè)備”，可以看見里面有你的U盤。

第二步：在上面點擊鼠標(biāo)右鍵來選擇“屬性”，在彈出的“屬性”窗口中點擊“詳細信息”標(biāo)簽，然后在設(shè)備“屬性”下拉框中選擇“硬件ID”，下面的“值”中會出現(xiàn)字符串，這個就是你的U盤的硬件ID，把它復(fù)制出來保存好。

第三步：還需要復(fù)制“通用串行總線控制器”中“USB大容量存儲設(shè)備”的硬件ID，在“設(shè)備管理器”中展開“通用串行總線控制器”列表，找到“USB大容量存儲設(shè)備”，在它的“屬性”窗口中點擊“詳細信息”標(biāo)簽，復(fù)制出它的硬件ID也保存一下。

第四步：找出U盤的硬件ID后就可以通過組策略來實現(xiàn)了?！伴_始→運行”輸入“Gpedit.msc”打開組策略窗口，依次展開“計算機配置→管理模板→系統(tǒng)→設(shè)備安裝→設(shè)備安裝限制”，雙擊右側(cè)的“禁止安裝未由其他策略設(shè)置描述的設(shè)備”，在彈出的窗口中選擇“已啟用”，再點擊 “確定”按鈕，設(shè)置它可以禁止策略設(shè)置描述的USB設(shè)備。(圖1)

圖1 禁止其他移動存儲設(shè)備

2.杜絕惡意關(guān)機

在企事業(yè)單位，經(jīng)常有一些好事之徒或者惡作劇者，偷窺別人電腦上的資料，雖然我們可以通過Windows+L來鎖定計算機，防止別人的偷窺，但是在鎖定頁面上還有一個“關(guān)閉計算機”，雖然他人無法亂動機器了，但是卻可以關(guān)機，如果遇到好事之人點擊一下“關(guān)閉計算機”，那么，前期的工作很可能就付之東流了。因此，很有必要給“關(guān)閉計算機”再加一把鎖。通過組策略即可輕易完成這樣的任務(wù)。

點擊“開始→運行”，在彈出的運行對話框中輸入“Gpedit.msc”，回車后打開組策略編輯器。依次展開如下分支“計算機配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項”，在右側(cè)的窗格中找到“關(guān)機：允許在未登錄前關(guān)機”選項，雙擊，在彈出來的屬性對話框中將其屬性設(shè)置為“已禁用”，點擊“確定”按鈕并關(guān)閉組策略編輯器即可。(圖2)

圖2 防止惡意關(guān)機

3.賬戶相關(guān)

(1)來賓賬戶改名

在工作組環(huán)境中，網(wǎng)絡(luò)共享是需要開啟guest賬戶的，這是有一定的安全風(fēng)險的，因為攻擊者可以通過默認的guest賬戶入侵系統(tǒng)，給來賓賬戶改名是個不錯的方法。因為是系統(tǒng)默認帳戶，在常規(guī)情況下是沒法改名的，我們可以通過組策略來完成。

“開始→運行”輸入Gpedit.msc打開組策略，依次定位到“本地計算機策略→計算機配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項”，雙擊右邊的選項“重命名來賓賬戶”，然后輸入新的來賓用戶的名字即可。(圖3)

圖3 來賓賬戶改名

(2)Guest也能遠程關(guān)機

在之前Windows 2000/XP系統(tǒng)默認只有Adminstrators組的成員才可以有遠程關(guān)閉計算機的權(quán)限，這個設(shè)計是為了系統(tǒng)安全，這個策略也延續(xù)到了Windows Vista 中，但有的時候我們是以guest賬號登錄某臺局域網(wǎng)中的計算機進行操作，需要賦予guest用戶遠程關(guān)機的權(quán)限，如何實現(xiàn)呢?具體步驟如下：

第一步：運行Gpedit.msc打開組策略，依次定位到“本地計算機策略→計算機配置→Windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)限分配”，在右邊找到“從網(wǎng)絡(luò)訪問計算機”，右擊“屬性”可以看見允許遠程訪問的用戶。

默認情況下guest用戶是禁用并且沒有權(quán)限關(guān)閉這臺計算機的，我們先在命令提示符下輸入命令“net user guest /active:yes”開啟guest，然后單擊“添加用戶或組”，在輸入對象名稱來選擇的對話框中輸入“Guest”確定即可。(圖4)

圖4 來賓賬戶授權(quán)

第二步：在當(dāng)前組策略控制臺窗口中的“用戶權(quán)限指派”中找到“遠程系統(tǒng)強制關(guān)機”并雙擊該項目。在彈出的窗口和上面一樣添加“guest”賬戶，然后依次“確定”完成，這樣guest就具有了遠程關(guān)閉這臺計算機的權(quán)限。(圖5)

圖5 關(guān)機權(quán)限

(3)杜絕密碼爆破

當(dāng)你的Windows Vista 用戶口令不夠“強壯”時，非法用戶很容易通過多次重試“猜”出用戶密碼而登錄系統(tǒng)，存在很大的數(shù)據(jù)風(fēng)險。那如何來防止黑客猜解或者爆破系統(tǒng)密碼呢?

其實，要避免這一情況，通過組策略設(shè)置賬戶鎖定策略即可完美解決。此時當(dāng)某一用戶嘗試登錄系統(tǒng)輸入錯誤密碼的次數(shù)達到一定閾值即自動將該賬戶鎖定，在賬戶鎖定期滿之前，該用戶將不可使用，除非管理員手動解除鎖定。其設(shè)置方法如下：

第一步：在開始菜單的搜索框輸入“Gpedit.msc”打開組策略對象編輯器，然后依次點擊定位到“計算機設(shè)置→Windows設(shè)置→安全設(shè)置→賬戶策略→賬戶鎖定策略”項下。

第二步：雙擊右側(cè)的“賬戶鎖定閾值”，此項設(shè)置觸發(fā)用戶賬戶被鎖定的登錄嘗試失敗的次數(shù)。該值在0到999之間，默認為0表示登錄次數(shù)不受限制。大家可以根據(jù)自己的安全策略進行設(shè)置，我們設(shè)置為5。(圖6)

圖6 設(shè)置嘗試登錄次數(shù)

說明：Windows Vista接下來將自動設(shè)置賬戶鎖定時間與復(fù)位賬戶鎖定計數(shù)器的時間間隔，一般而言我們使用默認值，當(dāng)然，也可根據(jù)自己的需要修改。

4.安全相關(guān)

(1)巧防Windows+X熱鍵漏洞

Windows Vista 的組合鍵為我們的工作帶來了方便，但因此也帶來了麻煩，前段時間的粘滯鍵漏洞和win+u組合鍵漏洞讓不少系統(tǒng)告破。在微軟沒有出補丁的情況下，我們可以先把它禁止。操作如下：

運行“Gpedit.msc”打開“組策略”設(shè)置窗口。在“組策略”設(shè)置窗口中，依次定位到“本地計算機策略→用戶配置→管理模板→Windows組件→Windows資源管理器”選項。在右邊欄中我們找到“關(guān)閉 Windows+X 熱鍵”的選項，并啟用它即可。(圖7)

圖7 禁用熱鍵

(2)記錄并報告非法登錄

個人電腦有時會成為大家的玩物，當(dāng)你不在身邊的時候它飽受某些人的蹂躪，我們?nèi)绾沃朗欠裼腥藙恿宋覀兊碾娔X呢?

其實在Vista 中有個新功能可以讓我們知道是否有人動了我們的電腦。我們可以讓Vista 記錄我們每一次登錄系統(tǒng)的時間，如果我們發(fā)現(xiàn)了陌生的登錄時間可以肯定有人動了我們的電腦。

運行“gpedit.msc”打開“組策略”設(shè)置窗口打開組策略對象編輯器，依次定位到“計算機配置→管理模塊→Windows 組件→Windows登錄選項”。然后在右側(cè)對話框中選中并雙擊“在用戶登錄期間顯示有關(guān)以前登錄的信息”，在彈出的對話框中點選“已啟用”即可。

設(shè)置完畢后，當(dāng)你下次啟動計算機時，系統(tǒng)就會在用戶進入系統(tǒng)桌面前提示你上次的登錄時間了。這樣我們可以判斷是否有人動了我們的電腦。(圖8)

圖8 報告系統(tǒng)登錄信息

總結(jié)：通過上面的實例，你是否領(lǐng)教組策略這位系統(tǒng)“大內(nèi)總管”的神奇功能?其實，組策略是個寶庫，只要我們善于挖掘，總能找到“珍寶”完成一些非常任務(wù)。