組策略在系統(tǒng)中各項(xiàng)配置非常重要，多項(xiàng)設(shè)置涉及系統(tǒng)安全。通過(guò)組策略編輯就可打開組策略，其配置非常豐富，其涉及安全設(shè)置內(nèi)容主要分布在“Computer Configuration/Administrative Templates/Windows Components” 內(nèi)。筆者結(jié)合實(shí)例給出常用設(shè)置。

禁止其他用戶訪問(wèn)控制面板

打開組策略，找到“用戶配置”后雙擊右側(cè)“管理模板”，之后打開“控制面板”，選擇“禁止訪問(wèn)控制面板”屬性，選擇設(shè)置選項(xiàng)卡下的“已禁用”，并點(diǎn)擊“確定”按鈕即可。

關(guān)閉LM哈希密碼存儲(chǔ)方式

當(dāng)用戶帳戶的密碼設(shè)置或更改為包含少于15位字符的密碼時(shí)，Windows會(huì)為此密碼同時(shí)生成LAN Manager哈希（LM哈希）和Windows NT哈希（NT哈希）。這些哈希存儲(chǔ)在本地安全帳戶管理器(SAM)數(shù)據(jù)庫(kù)或Active Directory中。LM哈希比NT哈希較弱，易遭破解。因此，管理員希望阻止Windows采用LM哈希方式存儲(chǔ)密碼。為此，在“組策略”中依次展開“計(jì)算機(jī)配置”、“Windows設(shè)置”、“安全設(shè)置”、“本 地 策略”，然后單擊“安全選項(xiàng)”，在可用策略列表中雙擊“網(wǎng)絡(luò)安全:不要在下次更改密碼時(shí)存儲(chǔ)LAN Manager的哈希值”后，單擊“啟用”即可。

禁用命令提示符

命令提示符是系統(tǒng)管理員喜歡的方式，但同時(shí)也是黑客慣用的隱蔽性較強(qiáng)的作案手段，所以在必要時(shí)應(yīng)當(dāng)禁用。為此在組策略窗口中選擇用戶配置下的管理模板-系統(tǒng)，在右側(cè)框中雙擊“阻止訪問(wèn)命令提示符”后確定，然后在彈出的屬性框中選擇“已啟用”。這樣當(dāng)再次試圖使用命令提示符窗口時(shí)就會(huì)遇到提示信息：命令提示符已被系統(tǒng)管理員停用！

禁用系統(tǒng)重啟功能及禁止用戶安裝軟件

很多系統(tǒng)在正常運(yùn)行時(shí)特別忌諱系統(tǒng)被他人故意重啟，此時(shí)有必要取消系統(tǒng)重啟功能。為此在組策略編中定位到“用戶配置”、“管理模板”、“開始菜單和任務(wù)欄”，點(diǎn)擊“開始菜單和任務(wù)欄”，在右側(cè)窗格中找到“刪除并阻止訪問(wèn)‘關(guān)機(jī)’、‘重新啟動(dòng)’、‘睡眠’和‘休眠’命令”后打開。在窗口左上角有3個(gè)選項(xiàng)，選擇“已啟用”后確認(rèn)退出，再次打開開始菜單即看不到上述幾個(gè)按鈕了。

為了禁止用戶安裝軟件，在組策略中點(diǎn)擊“計(jì)算機(jī)配置”、“管理模板”展開；在管理模板的展開項(xiàng)中找到Windows Installer，點(diǎn)擊選擇“禁用”即可。

禁用OneDrive及移動(dòng)存儲(chǔ)設(shè)備

從Windows 8系統(tǒng)開始，有一項(xiàng)旨在方便用戶隨時(shí)隨地進(jìn)行數(shù)據(jù)存儲(chǔ)的應(yīng)用，這就是OneDrive，但在很多單位出于安全原因希望禁掉OneDrive。在組策略中打開“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“管理模板”、“Windows組件”、“OneDrive”，可看到“禁止使用OneDrive進(jìn)行文件存儲(chǔ)”選項(xiàng)，雙擊打開該選項(xiàng)；將未配置修改為“已啟用”即可禁用OneDrive。

無(wú)論出于系統(tǒng)安全還是為防止單位資產(chǎn)和機(jī)密外泄，禁用USB存儲(chǔ)設(shè)備非常必要。為此，在組策略中定位到“計(jì)算機(jī)配置”、“管理模板”、“系統(tǒng)”、“可移動(dòng)存儲(chǔ)訪問(wèn)”后，在右側(cè)找到“可移動(dòng)磁盤拒絕寫入權(quán)限”，將它改為“已啟用”即可。之后，如果用戶再用U盤寫入文件時(shí)，就會(huì)遇到出錯(cuò)提示。另外，我們還可以設(shè)置為“拒絕讀取權(quán)限”和“拒絕運(yùn)行權(quán)限”，分別設(shè)置成“已啟用”，就可以禁止讀取USB設(shè)備和禁止USB設(shè)備中程序的運(yùn)行了。

禁止Windows 10系統(tǒng)和驅(qū)動(dòng)自動(dòng)更新

為禁止Windows 10系統(tǒng)自動(dòng)更新，在組策略中依次展開“計(jì)算機(jī)配置”、“管理 模 板”、“Windows組 件”、“Windows更新”，在右欄中找到“配置自動(dòng)更新”；雙擊打開“配置自動(dòng)更新”窗口，在左上方選中“已禁用”后點(diǎn)擊“確定”即可。

Windows 10還會(huì)自動(dòng)更新系統(tǒng)驅(qū)動(dòng)，但是有時(shí)驅(qū)動(dòng)中的BUG會(huì)導(dǎo)致系統(tǒng)奔潰。如何禁止呢？在組策略中依次找到 ：“計(jì)算機(jī)配置”、“管理模版”、“系統(tǒng)”、“Internet通信管理”、“Internet通信設(shè)置”，然后在右側(cè)窗口找到“關(guān)閉Windows更新設(shè)備驅(qū)動(dòng)程序搜索”，雙擊后選擇“已啟用”即可生效。

如何禁用Windows Defender

Windows系統(tǒng)出于安全理由提供了內(nèi)置的安全工具Defender，但是在很多單位系統(tǒng)中配有專門的防御工具， 功能要強(qiáng)大很多，此時(shí)Defender不僅冗余，而且會(huì)白白消耗系統(tǒng)資源，此時(shí)沒(méi)必要將其刪除，只要禁用即可。為此，在組策略中依次定位到“計(jì)算機(jī)配置”、“管理模板”、“Windows組件”后，找到 Windows Defender，在其右側(cè)有若干設(shè)置，找到“關(guān)閉Windows Defender”雙擊選擇“已啟用”即可。