本帖最后由 kerry 于 2012-1-1 19:19 编辑
 下午没事,去看win7的组策略,软件限制策略,applocker,其实稍微设置,就可以提升系统安全,而且很多是杀毒,防火墙类安全软件无法做到的,设置下以后单奔MSE也不会感觉单薄了
组策略就不多说了,项目太多,设置也复杂,不过微软提供了说明,参考设置下,主要考虑安全设置中:主要包含帐户策略和本地策略
帐户策略:密码和锁定
密码策略:设置复杂性,最小值,使用最短期限,最长期限,记忆密码......................很多人不设置系统密码,这个是很不好的习惯,而且策略默认未配置,所以,需要稍加设置,我的设置如下:
锁定:防止别人测试密码,找个还是很有效的,不过建议锁定时间不要太长,锁定后自己都要等解锁,很麻烦,当设置阀值后,会自动按建议设置锁定时间和计数器,找个手动改一下
本地策略:包含 审核 权限分配 安全
这部分设置项太多,自己看着设置吧,我就设置了下审核策略,记录一些重要操作,关于审核,可以看 高级审核策略设置,可设置的更多
主要说一下软件限制策略和applocker,这两者都可以控制计算机资源访问和使用等,两者区别为:
软件限制策略,
设置策略在 其他规则中....
可以建立 证书 哈希 网络区域和本地路径规则,一般建立最后一个,路径,根据微软提示,大量哈希规则会降低系统性能,
例如我来建立一个阻止 firefox的路径规则
安全级别说明:不允许,受限,基本用户,区别如下:
applocker
开启服务,找到“Application Identity”服务并设为自动启动
设置:(自动规则)
右键可执行规则,自动生成规则,然后选择目录,我软件都在programe(86)中,自动规则完成后,会提示添加默认规则,找个记得加上,然后,规则就完了,
windows安装程序规则和脚本规则,自动生成都一样 操作
手动规则,选择创建规则,然后设置权限,
选择规则类型
以发布者为例,选择可执行程序,调整规则细度
创建即可
基本规则设置就完了,来说下一个重要的设置点,设置规则强制
强烈建议设置审核模式,千万别设置强制规则,审核规则的意思是:还是按照规则走,但是正常放行,在日志做记录,这样的话,我们可以运行一段时间后,看看日志,那些需要做调整,千万不要直接设置强制规则,规则一旦设置错误,可能会导致程序不可运行,更严重可能导致无法开机.......................
查看applocker的日志,设置审核策略后,经常查看下日志,对策略调整下,例如这个提示警告,如果我们直接设置强制策略,那这个软件就运行不了了,不过设置审核后,就只是记录日志,所以,经常看看日志,修改策略,等软件基本稳定后就设置强制,
一些高级applocker,比如阻止常见U盘病毒,autorun.inf,我们创建一条拒绝策略,路径设置为:?:\autorun.inf 即可
例如阻止系统目录中非系统文件的运行,写一个拒绝路径策略,把系统分区加进去,然后排除系统可执行文件即可
常用的路径变量
|
[复制链接]
发表于 2012-1-1 18:05:25
楼主
顶,怎么进来的,我不是255了麽
失误....权限编辑后完了设置....写完了,