阻止運行指定程序

倘若讓重要計算機系統(tǒng)只能運行指定的一些應用程序，其他任何應用程序包括惡意程序都不能運行，那么就能實現(xiàn)保護本地系統(tǒng)安全的目的了。要做到這點，可以先依次單擊本地系統(tǒng)桌面中的“開始”、“運行”命令，在系統(tǒng)運行框中執(zhí)行“gpedit.msc”命令，打開對應系統(tǒng)的組策略編輯窗口，依次展開該窗口左側(cè)顯示區(qū)域的“本地計算機策略”、“用戶配置”、“管理模板”、“系統(tǒng)”分支選項。

接著在對應“系統(tǒng)”分支選項的右側(cè)顯示區(qū)域中，找到目標組策略選項“只運行許可的Windows應用程序”，并用鼠標右鍵單擊該選項，從彈出的快捷菜單中執(zhí)行“屬性”命令，打開設(shè)置對話框，選中其中的“已啟用”選項，同時單擊“顯示”按鈕，在其后的設(shè)置窗口中單擊“添加”按鈕，來將我們平時經(jīng)常需要運行的應用程序依次添加進來，最后單擊“確定”按鈕，那樣一來沒有被添加進入的危險程序是沒有權(quán)限在本地計算機系統(tǒng)中運行的。

阻止使用移動設(shè)備

當將移動設(shè)備插入到計算機后，Windows系統(tǒng)會自動調(diào)用有關(guān)驅(qū)動文件，以便正常識別顯示該設(shè)備，同時為其分配合適分區(qū)符號，這樣用戶才能進入移動設(shè)備訪問其中的數(shù)據(jù)內(nèi)容。為防止病毒通過移動設(shè)備感染系統(tǒng)，我們可以想辦法阻止系統(tǒng)為移動設(shè)備配置驅(qū)動程序，那么移動設(shè)備就無法被正常識別顯示。要做到這一點，可以進行如下設(shè)置操作：

首先打開系統(tǒng)資源管理器窗口，依次進入“Windows”、“system32”、“dllcache”文件夾窗口，找到以“usb”字符開頭的幾個文件，這些文件就是與移動設(shè)備相關(guān)的驅(qū)動文件，將其復制到其他位置后，再將原始位置的文件全部刪除，讓Windows系統(tǒng)調(diào)用不到相關(guān)的驅(qū)動文件，或者在調(diào)用驅(qū)動文件的時候發(fā)生錯誤故障。同樣，我們還需轉(zhuǎn)移并刪 除“Windows”、“System”、“drivers”文件夾中的上述驅(qū)動文件，因為Windows系統(tǒng)也會從這里調(diào)用移動設(shè)備的驅(qū)動程序文件。

接 著， 逐 一 打 開“Windows”、“driver”、“cache”、“i386”文 件 夾 窗口，找到并選中“sp3.cab”、“driver.cab”文件，將其也轉(zhuǎn)移到一個事先指定好的位置處，因為Windows系統(tǒng)在無法成功調(diào)用到移動設(shè)備驅(qū)動程序文件后，可能會利用上述壓縮包文件進行自動恢復操作。當然，上述所有文件都屬于系統(tǒng)隱藏文件，默認狀態(tài)下用戶無法查看到它們，并對它們執(zhí)行相關(guān)操作。為了確保操作順利，我們可以事先在系統(tǒng)資源管理器窗口中的“文件夾選項”設(shè)置。

經(jīng)過上述設(shè)置操作后，任何用戶的移動設(shè)備插入計算機，都將無法正常使用，系統(tǒng)僅會簡單地出現(xiàn)無法識別之類的提示，別人還以為自己的移動設(shè)備發(fā)生損壞，根本不會想到是有意為之，這樣也就達到“有禮”拒絕別人使用移動設(shè)備的目的。

當然上述方法非常極端，在拒絕別人的同時，也影響到了用戶自己。為了不讓自己受到上述限制的影響，我們可以使用記事本程序，創(chuàng)建一個名稱為“xxx.bat”的批處理文件，在該文件中輸入如下命令代碼：

@echo off

copy F:aaausb*.*C:WindowsSystem32drivers

這里的“F:aaa”文件夾為用戶事先創(chuàng)建的專門用于備份移動設(shè)備驅(qū)動文件的特定路徑，“usb*.* ”文件為所有與移動設(shè)備相關(guān)的驅(qū)動文件，這段代碼的含義表示將之前備份的移動設(shè)備驅(qū)動文件還原到原始位置處，執(zhí)行該批處理文件時，可以恢復移動設(shè)備的正常使用。同樣地，再創(chuàng)建好“yyy.bat”批處理文件，在該文件中輸入下面的命令代碼：

@echo off

d e l C:W i n d o w sSystem32dllcacheusb*.*

d e l C:W i n d o w sSystem32driversusb*.*

這里的第二段代碼表示刪除位于“C:WindowsSystem32dllcache”位置處的移動設(shè)備驅(qū)動文件，第三段代碼表示刪除位于“C:WindowsSystem32drivers”位置處的移動設(shè)備驅(qū)動文件，執(zhí)行該批處理文件時，能取消移動設(shè)備的安裝使用。

接著打開系統(tǒng)運行對話框，執(zhí) 行“gpedit.msc”命令，開啟系統(tǒng)組策略編輯器運行狀態(tài)。將鼠標定位到該編輯窗口左側(cè)中的“本地計算機策略”、“計算機配置”、“Windows 設(shè)置”、“腳本（啟動/關(guān)閉）”分支上，找到該分支下的“啟動”選項，用鼠標雙擊，彈出對應選項設(shè)置對話框。點擊“添加”按鈕，導入“yyy.bat”批處理文件，確認后返回。同樣地，在“腳本（啟動/關(guān)閉）”分支下，打開關(guān)機選項設(shè)置對話框，導入“xxx.bat”批處理文件。日后，本地系統(tǒng)每次關(guān)機之前，會還原移動設(shè)備的驅(qū)動文件，下次啟動計算機系統(tǒng)時，USB接口的設(shè)備都能正常加載使用。而在系統(tǒng)啟動成功后，自動刪除系統(tǒng)的移動設(shè)備驅(qū)動文件，這時所有用戶都將無法使用移動設(shè)備。當用戶自己需要使用移動設(shè)備時，只要簡單地手工運行“xxx.bat”批處理文件即可。

阻止修改系統(tǒng)桌面

一些人在使用公共計算機時，有時會不經(jīng)允許任意刪除系統(tǒng)桌面上有用的快捷圖標，或者在系統(tǒng)中任意安裝軟件，導致系統(tǒng)桌面上混亂不堪。那么怎樣才能保證系統(tǒng)桌面使用安全呢？

很簡單！只要對特定登錄賬號下的桌面文件夾訪問權(quán)限進行控制，取消其對該文件夾的編輯、修改權(quán)限即可。例如，特定登錄用戶帳號為“xxx”，那么在Windows XP系統(tǒng)下，該帳號對應的系統(tǒng)桌面文件夾 為“C:Documents and Settingsxxx桌面”，在控制該文件夾的訪問權(quán)限時，可以按照如下步驟來進行：

首先以超級用戶權(quán)限登錄計算機系統(tǒng)，進入系統(tǒng)資源管理器窗口，選中“C:Documents and Settingsxxx桌面”文件夾，用鼠標右鍵單擊該文件夾，點擊右鍵菜單中的“屬性”命令，展開特定文件夾屬性設(shè)置對話框。點選“安全”標簽，進入標簽設(shè)置頁面，按下“高級”按鈕，切換到高級設(shè)置對話框，將“包括可從該對象的父項集成的權(quán)限”取消選中，確認后取消系統(tǒng)桌面文件夾各種繼承權(quán)限。

其次在高級設(shè)置對話框中，按下“添加”按鈕，從彈出的帳號選擇對話框中，選擇并導入“aaa”用戶帳號名稱，確認后返回到對應帳號的桌面權(quán)限列表框中，將與讀取操作相關(guān)的權(quán)限都設(shè)置為“允許”，將其他權(quán)限都設(shè)置為“拒絕”，單擊“確定”按鈕保存設(shè)置操作。

除了進行上述設(shè)置外，還需要對“C:Documents and SettingsAll Users桌面”文件夾進行相同的權(quán)限設(shè)置操作。這樣，普通用戶以“xxx”帳號登錄系統(tǒng)后，就不能對系統(tǒng)桌面添加或刪除任意快捷圖標了。日后，當其嘗試在計算機系統(tǒng)中安裝程序時，倘若程序要往系統(tǒng)桌面添加快捷圖標時，該用戶將會看到“無法創(chuàng)建快捷方式”之類的警告提示，這就意味著該用戶帳號不具有系統(tǒng)桌面的文件創(chuàng)建權(quán)限。同樣地，當前用戶在試圖刪除桌面上的某個有效快捷圖標時，系統(tǒng)會出現(xiàn)“文件訪問被拒絕”的警告提示。很顯然，經(jīng)過上述設(shè)置操作后，系統(tǒng)桌面的使用安全就能得到保證了。

阻止修改主頁地址

有時訪問一些不健康站點，或者安裝一些未經(jīng)認證的程序時，IE瀏覽器的主頁地址可能會被病毒或陌生程序修改得面目全非。為了保證上網(wǎng)訪問安全，我們可以進行如下設(shè)置操作，不讓任何程序或病毒偷偷修改瀏覽器主頁地址：

首先依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“regedit”命令并回車，開啟系統(tǒng)注冊表編輯器運行狀態(tài)。依次展開注冊表編輯界面左側(cè)區(qū) 域 中 的“HKEY_CURRENT_USERSoftwarePoliciesMicrosoft”注冊表節(jié)點，打開目標節(jié)點選項的右鍵菜單，依次點擊“新建”、“項”命令，將新創(chuàng)建的子項名稱取為“Internet Explorer”。

同 樣 地， 在“HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet Explorer”注冊表分支下，手工生成“Control Panel”子項，從該子項的右鍵菜單中，逐一選中“新建”、“Dword(32位)值”命令，生成一個名稱為“HomePage”的雙字節(jié)鍵值，打開該鍵值編輯對話框，輸入數(shù)字“1”，單擊“確定”按鈕保存設(shè)置操作，再刷新一下系統(tǒng)注冊表。

日后，當普通用戶進入Internet選項設(shè)置對話框，會發(fā)現(xiàn)常規(guī)選項設(shè)置頁面中的主頁設(shè)置已經(jīng)處于灰色狀態(tài)，普通權(quán)限賬號將不能隨意調(diào)整該設(shè)置。如果我們自己想調(diào)整主頁地址時，只要將注冊表中“HomePage”雙字節(jié)鍵值恢復為“0”，再刷新系統(tǒng)注冊表即可。

阻止調(diào)整網(wǎng)絡(luò)屬性

隨意調(diào)整網(wǎng)絡(luò)連接參數(shù)易造成本地系統(tǒng)甚至整個局域網(wǎng)發(fā)生地址混亂。要想防止這類現(xiàn)象發(fā)生，常見的方法是在“網(wǎng)絡(luò)連接”上，打開“禁止訪問LAN連接的屬性”選項，在其后對話框中選中“已啟用”選項，以禁止普通用戶通過本地連接屬性自由調(diào)整IP地址參數(shù)。

除上述基本方法外，隱藏本地連接圖標，讓普通用戶不能找到IP地址調(diào)整入口。在運行對話框中執(zhí)行“gpedit.msc”命令開啟組策略編輯器。逐一跳轉(zhuǎn)到“本地計算機策略”、“用戶配置”、“管理模板”、“桌面”節(jié)點上，雙擊“隱藏桌面上的網(wǎng)上鄰居圖標”組策略，選中“已啟用”選項，確認后保存設(shè)置，這樣普通用戶就不能通過系統(tǒng)桌面上網(wǎng)上鄰居圖標訪問本地連接屬性了。

為了防止用戶從控制面板訪問本地連接屬性，我們還要在系統(tǒng)組策略編輯窗口中依次展開“本地計算機策略”、“用戶配置”、“管理模板”、“控制面板”節(jié)點，打開指定節(jié)點下的“禁止訪問控制面板”對話框，選中“已啟用”選項，單擊“確定”按鈕。這樣，普通用戶不但無法通過控制面板的網(wǎng)絡(luò)與撥號連接進入本地連接窗口，而且還無法調(diào)整系統(tǒng)其他設(shè)置。

有時網(wǎng)絡(luò)和撥號連接圖標還會出現(xiàn)在系統(tǒng)“開始”菜單中，為了限制別人從這里訪問本地連接屬性，我們可以將鼠標定位到組策略編輯窗口中的“本地計算機策略”、“用戶配置”、“管理模板”、“網(wǎng)絡(luò)和撥號連接”節(jié)點上，將該節(jié)點下的“從開始菜單刪除網(wǎng)絡(luò)和撥號連接”組策略啟用起來。

一些人或許還會從IE瀏覽器的選項設(shè)置中找到本地連接或網(wǎng)絡(luò)連接圖標，為了隱藏這類訪問入口，我們可以啟用Windows中的“自動刪除已有連接”策略。在Windows XP下，將鼠標定位到組策略編輯窗口左側(cè)的“本地計算機策略”、“用戶配置”、“Windows 設(shè)置”、“Internet Explorer 維護”、“連接”節(jié)點上。雙擊該節(jié)點“連接設(shè)置”組策略，選中“刪除已有的撥號連接設(shè)置”選項，單擊“確定”保存即可。

阻止進行遠程復制

在管理維護服務器系統(tǒng)的時候，網(wǎng)絡(luò)運維人員經(jīng)常要使用系統(tǒng)內(nèi)置的剪貼板功能，來快速有效地處理諸如登錄帳號或密碼之類的重要信息。

而Windows 2003服務器系統(tǒng)在默認狀態(tài)下，會自動允許別人通過遠程訪問方式，來查看服務器系統(tǒng)剪貼板中的內(nèi)容。這樣一來存儲在服務器剪貼板中的重要信息，或許會被惡意用戶偷偷獲得，從而會給服務器系統(tǒng)的安全運行帶來潛在威脅。

為了確保網(wǎng)絡(luò)信息安全，大家不妨進行下面的設(shè)置操作，讓Windows 2003服務器系統(tǒng)拒絕任何用戶通過遠程方式，來訪問本地剪貼板中的內(nèi)容：

首先逐一點擊“開始”、“運行”選項，彈出系統(tǒng)運行文 本 框，輸 入“Services.msc”命令并回車，切換到系統(tǒng)服務列表界面。

從該界面中找到并選中“ClipBook”選項，用鼠標雙擊該選項，打開服務屬性對話框，服務器系統(tǒng)默認已經(jīng)啟用了該服務。

這時，我們不妨單擊“停止”按鈕，暫時關(guān)閉該服務的運行狀態(tài)，再將其“啟動類型”參數(shù)選擇為“已禁用”，單擊“確定”按鈕保存設(shè)置操作，這樣能輕松預防遠程拷貝給服務器系統(tǒng)帶來的麻煩了。

阻止監(jiān)控脫機共享

為了方便訪問共享內(nèi)容，Windows 7系統(tǒng)為用戶提供了一種不錯的脫機共享訪問功能，該功能保證用戶在網(wǎng)絡(luò)掉線的情況下，也能輕易訪問到目標共享資源。

不過，這種訪問便利有時也會被惡意用戶利用，他們只要偷偷進入系統(tǒng)默認的脫機共享文件夾“C:WindowsCSCv2.0.6 amespacehost”窗口（host為共享文件夾所在主機名稱），就能輕松監(jiān)控到用戶所有的共享內(nèi)容。

為了防止系統(tǒng)的脫機共享內(nèi)容被非法監(jiān)控，我們可以對脫機共享文件夾進行加密，這樣非法用戶就無法監(jiān)控其中的共享訪問內(nèi)容了：

首先打開Windows 7系統(tǒng)“控制面板”窗口，用鼠標雙擊其中的“同步中心”圖標，在其后界面中單擊左側(cè)任務列表區(qū)域中的“管理脫機文件”按鈕，進入脫機共享文件屬性設(shè)置框。

其次單擊“加密”標簽，在彈出的對應標簽頁面中，點擊“加密”按鈕，Windows 7系統(tǒng)就會利用內(nèi)置的EFS加密技術(shù)自動為目標脫機共享文件夾進行加密了。

當然，最安全的方法就是在自己臨時離開本地系統(tǒng)時，對共享文件夾取消脫機訪問功能，以達到徹底保護共享訪問安全的目的。

在取消系統(tǒng)脫機共享訪問功能時，只要先進入脫機共享文件夾屬性設(shè)置框，點擊“常規(guī)”標簽，再單擊對應標簽頁面中的“禁用脫機文件”按鈕，就可以達到目的了。