让组策略保护Windows XP的安全(图)(2)

　　小提示

　　(1)在图4窗格中，还提供了更改历史记录设置、更改颜色设置和更改Internet临时文件设置等项目的禁用功能。如果启用了这个策略，在IE浏览器的“Internet 选项”对话框中，其“常规”选项卡的“主页”区域的设置将变灰。

　　(2)如果设置了位于“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”→“Internet 控制面板”中的“禁用常规页”策略，则无需设置该策略，因为“禁用常规页”策略将删除界面上的“常规”选项卡。

　　(3)逐级展开“用户设置”→“管理模板”→“Windows组件”→“Internet Explorer”分支，我们可以在其下发现“Internet控制面板”、“脱机页”、“浏览器菜单”、“工具栏”、“持续行为”和“管理员认可的控件”等策略选项。利用它可以充分打造一个极有个性和安全的IE。

　　3.给我们的IP添加安全策略

　　在“计算机配置”→“Windows设置”→“安全设置”→“IP 安全策略，在本地计算机”下与有与网络有关的几个设置项目。如果大家对Internet较为熟悉，那也可以通过它来添加或修改更多的网络安全设置，这样在Windows上运行网络程序或者畅游Internet时将会更加安全。

　　小提示

　　由于此项较为专业，其间会涉及到很多的专业概念，一般用户用不到，在这里只是给网络管理员们提个醒，因此在此略过。

　　4.禁用IE组件自动安装

　　选择“计算机配置”→“管理模板”→“Windows组件”→“Internet Explorer”项目，双击右边窗口中“禁用Internet Explorer组件的自动安装”项目，在打开的窗口中选择“已启用”单选按钮，将会禁止 Internet Explorer 自动安装组件。这样可以防止 Internet Explorer 在用户访问到需要某个组件的网站时下载该组件，篡改IE的行为也会得到遏制!相对来说IE也会安全许多!

　　小提示

　　如果禁用该策略或不对其进行配置，则用户在访问需要某个组件的网站时，将会收到一则消息，提示用户下载并安装该组件。有时用户看也不看就选择“安装”则往往会出问题。网上的很多恶意代码往往都是这样工作的。

　　5.把用户的行动都记录下来

　　可能很多人都使用Windows XP作为局域网的域控制器，这样登录的用户必然较多。同时，Windows XP也是一个运行多用户的操作平台，因此，我们有必要对每个用户的行为进行一定的记录，以便到时对它们的行为进行监控，并进行记录，以供系统管理员查看和分析。所有的这些几乎全部集中在“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”下。如图5，我们可以看到有很多与审核有关的项目：如审核策略更改、审核登录事件、审核对象访问、审核过程追踪、审核目录服务访问、审核特权使用、审核系统事件、审核账户登录事件和审核账户管理等等。双击某一个项目后，会出现如图6所示窗口，勾选成功和失败前复选框。 　　

　　小提示

　　(1)审核(Audit)是Microsoft从Windows NT起开始使用的一项技术，所有被审核的对象会在系统的日志中创建出相应的项目，并会被记录下操作的时间、审核类别及相应的结果。

　　(2)所有的审核记录结果，可以通过选择“开始”→“控制面板”→“管理工具”→“管理工具”→“系统工具”→“事件查看器”来查看。如果双击其中的某个审核项目，还可以看到它的详细资料，包括审核项目的日期、来源、时间、类别、类型、信息 、事件、用户、计算机、描述和数据等项目(如图7)。相信通过它，对于我们更加方便、安全地管理计算机是相当有用的。

　　当然，Windows XP中的组策略功能非常强大。有很多有用的设置可供我们修改，只是限于篇幅，笔者不能在这里一一说明了。