本地安全策略怎样设置,才能不用杀毒软件安全上网.

本地安全策略怎样设置,才能不用杀毒软件安全上网.

我是单用户,不需要打印,也不需要再更新,再安装...
我还是相信我的想法是行得通的，想知道一些有指导性的建议。

对于大部分计算机用户来说，管理计算机基本上是借助某些第三方工具，甚至是自己手工修改注册表来实现。其实Windows
XP组策略已经把这些功能集于一体，通过组策略及相关工具完全可以实现我们所需要的功能。
一、组策略基础
1.什么是组策略
注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。
其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。
2.组策略的版本
对于Windows 9X/NT用户来说，都知道“系统策略”的概念，其实组策略就是系统策略的高级扩展，它是自Windows
9X/NT的“系统策略”发展而来的，具有更多的管理模板、更灵活的设置对象及更多的功能，目前主要应用于Windows
2000/XP/2003操作系统中。
早期系统策略的运行机制是通过策略管理模板，定义特定的POL(通常是Config.pol)文件。当用户登录时，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。
而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows
2000/XP/2003系统的网络功能是其最大的特色之处，所以其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active
Directory(活动目录)对象(即站点、域或组织单位)并对其进行设置。这是以前“系统策略编辑器”工具无法做到的。
当然，无论是“系统策略”还是“组策略”，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。
3.在Windows
XP中运行组策略
在Windows
2000/XP/2003系统中，系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”选项，在打开的对话框中输入“gpedit.msc”并确定，即可运行组策略。如图1所示。
使用上面的方法，打开的组策略对象是当前的计算机，而如果需要配置其他的计算机组策略对象，则需要将组策略作为独立的MMC管理单元打开：
(1)打开Microsoft管理控制台(可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定)。
(2)单击“文件→添加/删除管理单元”菜单命令，在打开的对话框中单击“添加”按钮。
(3)在“可用的独立管理单元”对话框中，单击“组策略”选项，然后单击“添加”按钮。
(4)在“选择组策略对象”对话框中，单击“本地计算机”选项编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。
(5)单击“完成”按钮，组策略管理单元即打开要编辑的组策略对象。
(6)在左窗格中定位需要更改的选项的位置，在右窗格中右键单击需要更改的具体选项，单击“属性”命令，即可打开其属性对话框，从中选择“已启用”、“未配置”、“已禁用”选项即可对计算机策略进行管理。
4.组策略中的管理模板
在Windows
2000/XP/2003中包含几个ADM文件。这些文件是文本文件，被称为“管理模板”，它们为组策略管理单元的控制树中“管理模板”文件夹下的项目提供策略信息。
在Windows
2000/XP/2003中，默认的Admin.adm管理模板位于系统文件夹的INF文件夹中，包含了默认安装下的4个模板文件，分别为：
(1)System.adm：默认安装在“组策略”中，用于系统设置。
(2)Inetres.adm：默认安装在“组策略”中，用于Internet
Explorer(IE)策略设置。
(3)Wmplayer.adm：用于Windows Media
Player设置。
(4)Conf.adm：用于NetMeeting设置。
在策略管理控制台中，可以多次添加“策略模板”，下面让我们来看看具体操作：
首先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模板”，单击鼠标右键，选择“添加/删除模板”命令，然后在打开的对话框中单击“添加”按钮，在打开的对话框中选择相应的ADM文件。单击“打开”按钮，则在系统策略编辑器中打开选定的脚本文件，并等待用户执行。
返回到“组策略”编辑器主界面后，依次打开目录“本地计算机策略→用户配置→管理模板”选项，再单击相应的目录树，就会看到我们新添加的管理模板所产生的配置项目了。
注意：下面的操作均在Windows
XP中进行。
二、个性化我的电脑
1.删除“开始”菜单中的“文档”菜单项
在多人使用的计算机中，有的用户不希望其他用户看到自己曾经编辑过的文档或其他信息。因此，为了删除用于记录历史文档的“文档”菜单项，我们可以通过修改组策略来实现。
位置：\用户配置\管理模板\任务栏和“开始”菜单\
启用此设置，则系统保存“文档”快捷方式，但不在“文档”菜单中显示它们。如果以后禁用此设置或把它设置为未配置，则启用设置之前及其生效之时保存的“文档”快捷方式会出现在“文档”菜单项中。如图2所示。
注意：此设置不会阻止Windows程序在最近打开的文档中显示快捷方式。
另外，你也可以设置在退出系统时自动清除最近打开的文档的历史记录。
位置：\用户配置\管理模板\任务栏和“开始”菜单\
如果禁用该策略设置，系统就会在用户退出时删除快捷方式。因此，用户登录时，“开始”菜单上的文档菜单总是空的。如果禁用或不配置此设置，系统将保留文档快捷方式，并且用户登录时的文档菜单看起来与用户退出系统时完全相同。
注意：系统在\Documents
and
Settings\\Recent文件夹中的用户配置文件中保存文档快捷方式。
2.删除“开始”菜单中的“运行”菜单项
在“开始”菜单中有“运行”菜单项，可以输入程序名称来启动程序。我们可以将“运行”菜单项从“开始”菜单中删除。
位置：\用户配置\管理模板\任务栏和“开始”菜单\
如果启用该设置，发生如下更改：
(1)“运行”命令从“开始”菜单中删除。
(2)新建任务(运行)命令从任务管理器删除。
(3)阻止用户在IE地址栏中输入下列项：
UNC路径：\\＜server＞\＜share＞。
访问本地驱动器：例如，C:。
访问本地文件夹：例如，\temp＞。
同时，使用WIN+R组合键将无法显示“运行”对话框。如果禁用或不配置此设置，用户可以访问“开始”菜单和任务管理器的“运行”命令，以及使用IE地址栏。
注意：这个策略只影响指定的界面。不会防止用户使用其他方法运行程序。
3.给“开始”菜单减肥
如果觉得Windows的“开始”菜单太臃肿，你完全可以通过组策略设置将不需要的菜单项从“开始”菜单中删除。
位置：\用户配置\管理模板\任务栏和“开始”菜单\
在组策略右侧窗格中，提供“从‘开始’菜单删除用户文件夹”、“删除到‘Windows
Update’的访问和链接”、从‘开始’菜单删除公用程序组、从‘开始’菜单中删除“我的文档”图标等配置项目。你只要将不需要的菜单项所对应的策略启用即可。
4.隐藏和禁用桌面上的所有项目
该策略可以从桌面上删除图标、快捷方式和其他默认的和用户定义的项目。
位置：\用户配置\管理模板\桌面\
该策略删除图标和快捷方式不防止用户用另一种方法启动程序或打开图标和快捷方式所代表的项目。
5.退出时不保存用户设置
该策略用于防止用户保存对桌面的某些更改。
位置：\用户配置\管理模板\桌面\
如果你启用这个设置，用户可以对桌面做某些更改，但有些更改，比如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。
6.启用/禁用“活动桌面”(Active
Desktop)
活动桌面是Windows 98(及以后版本)或安装了IE
4.0的系统中自带的高级功能，它最大的特点是可以设置各种图片格式的墙纸，甚至可以将网页作为墙纸显示。但出于对安全和性能的考虑，有时候我们需要禁用这一功能(并且防止用户启用它)。
位置：\用户配置\管理模板\桌面\Active
Desktop
提示：如果同时启用“启用Active Desktop”设置和“禁用Active Desktop”设置，“禁用Active
Desktop”设置会被忽略。如果“禁用Active Desktop和Web视图”设置(在“用户配置\管理模板\Windows组件\Windows资源管理器”)被启用，Active
Desktop就会被禁用，并且这两个策略都会被忽略。
7.从“我的电脑”中删除共享文档
当Windows用户在一个工作组中，一个“共享文档”图标会以Windows资源管理器的Web视图出现在“其他位置”和“在这台计算机上存储的其他文件”中。使用此设置，你可选择不显示这些项目。
位置：\用户配置\管理模板\Windows组件\Windows资源管理器\
如果启用此设置，“共享文档”文件夹将不会以Web视图方式显示或在“我的电脑”中出现。如果禁用或不配置此设置，当用户是“工作组”的一部分时，“共享文档”文件夹将会以Web视图方式显示或在“我的电脑”中出现。
8.不要将已删除的文件移到“回收站”
当Windows资源管理器中的一个文件或文件夹被删除时，该文件或文件夹的副本会被放在“回收站”里。使用此策略，你能改变此行为。
位置：\用户配置\管理模板\Windows组件\Windows资源管理器\
如果启用此设置，使用Windows资源管理器删除的文件或文件夹不会被放在“回收站”里，因此被永久删除。如果禁用或不配置此设置，使用Windows资源管理器删除的文件或文件夹会被放在“回收站”里。
三、利用组策略进行系统设置
1.登录时不显示欢迎屏幕
为了加快计算机启动的速度，我们完全可以通过组策略设置在每次用户登录时将Windows
XP欢迎屏幕隐藏。
位置：\用户配置\管理模板\系统\
要显示欢迎屏幕，请依次单击“开始→程序→附件→系统工具”选项，然后单击“开始”选项。要在不指定设置的情况下不显示欢迎屏幕，请在欢迎屏幕上的复选框中清除“在开始显示这个屏幕”选项。
注意：这项设置出现在“计算机配置”和“用户配置”文件夹中。如果配置这项设置，“计算机配置”中的设置比“用户配置”中的设置优先。
2.配置驱动程序查找位置
默认情况下，Windows将从本地安装、软盘驱动器、光盘驱动器、Windows
Update等位置搜索驱动程序。此设置配置查找到新硬件时Windows将要搜索驱动程序的位置。
位置：\用户配置\管理模板\系统\
如果启用此设置，你可以通过检查位置名称的相关复选框，删除这三个位置中的任何位置。如果禁用或不配置此设置，Windows将从本地安装、软盘驱动器、光盘驱动器和Windows
Update等位置中搜索驱动程序。
3.关闭自动播放
一旦你将媒体插入驱动器，自动运行就开始从驱动器中读取。这会造成程序的设置文件和在音频媒体上的音乐立即开始。该策略将关闭自动运行功能。
位置：\用户配置\管理模板\系统\
如果你启动这项设置，你还可以在CD-ROM驱动器禁用自动运行或在所有驱动器上禁用自动运行。
注意：这个设置出现在“计算机配置”和“用户配置”两个文件夹中。如果两个设置都配置，“计算机配置”中的设置比“用户配置”中的设置优先。
另外，此设置不阻止自动播放音乐
CD。
4.只运行许可的Windows应用程序
该策略可以限制用户可以运行的Windows程序。
位置：\用户配置\管理模板\系统\
如果你启用这个设置，用户只能运行你加入“允许运行的应用程序列表”中的程序。
这个设置只能防止用户从Windows资源管理器启动程序。无法防止用户用其他方式启动程序，例如任务管理器。如果用户可以访问命令提示符窗口，这个设置无法防止用户从命令窗口启动不允许在Windows资源管理器中运行的程序。
注意：要创建允许的文件列表，请单击“显示”按钮，在打开的对话框中单击“添加”按钮，然后输入应用程序的执行文件名称(例如，Winword.exe、Poledit.exe、Powerpnt.exe)。如图3所示。
5.删除任务管理器
当我们同时按下Ctrl+Alt+Del组合键将显示“Windows任务管理器”对话框。任务管理器可以让用户启动或终止程序、监视计算机性能、查看及监视计算机上所有运行中的程序(包含系统服务)、搜索程序的执行文件名、更改程序运行的优先顺序。在这里，我们可以通过组策略删除任务管理器。
位置：\用户配置\管理模板\系统\Ctrl+Alt+Del选项\
如果该设置被启用，并且用户试图启动任务管理器，系统会显示消息，解释是一个策略禁止了这个操作。
6.删除改变“密码”选项
该策略可以防止用户通过任务管理器更改系统密码。
位置：\用户配置\管理模板\系统\Ctrl+Alt+Del选项\
这个设置停用Windows安全设置对话框上的“更改密码”按钮。但是，用户在得到系统提示时依旧可以更改密码。管理员要求新密码和密码作废时，系统会提示用户输入新密码。
7.不允许运行Windows
Messenger
Windows XP自带有聊天工具Windows Messenger，但是，我们也有可能在系统中安装MSN
Messenger。该策略允许你禁用Windows Messenger。
位置：\用户配置\管理模板\Windows组件\Windows Messenger
如果启用该策略，Windows
Messenger将不会运行。如果禁止或不配置该策略，Windows
Messenger可以被使用。
注意：如果启用这个策略，远程协助无法使用Windows
Messenger。另外，这个策略也会出现在“计算机配置”中。如果两个设置都配置，“计算机配置”中的设置比“用户配置”中的设置优先。
8.关闭系统还原功能
系统还原是Windows
XP/2003中集成的强大功能，它在系统运行的同时，备份被更改的文件和数据，如果出现问题，系统还原使用户能够在不丢失个人数据文件的情况下，将计算机还原到以前的状态。默认情况下，系统还原处于打开状态。
但这一功能付出的代价也是相当大的，系统性能会明显下降，磁盘空间也会被占用很多。对于配置不高的计算机来说，强烈建议关闭此功能。
位置：\计算机配置\管理模板\系统\系统还原\关闭系统还原
启用此设置后即可关闭系统还原功能，并且不能访问“系统还原向导”和“配置界面”。
四、利用组策略调整上网设置
1.禁用导入和导出收藏夹
禁止用户使用“导入/导出向导”菜单项导入或导出收藏夹链接。
位置：\用户配置\管理模板\Windows组件\Internet
Explorer
如果启用该策略，“导入/导出向导”菜单项将无法导入/导出收藏夹链接和Cookie。如果禁用该功能或不对其进行配置，则用户可以通过单击“文件”菜单上的“导入和导出”菜单项，然后运行“导入/导出向导”，导入/导出IE中的收藏夹。
注意：如果启用该策略，用户仍然可以查看“导入/导出向导”，但当用户单击“完成”按钮时，将出现说明该功能已被禁用的提示信息。
2.禁用更改“高级”选项卡的设置
禁止用户更改“Internet
选项”对话框中“高级”选项卡上的设置。
位置：\用户配置\管理模板\Windows组件\Internet
Explorer
如果启用该策略，则用户无法更改高级Internet设置，如安全、多媒体和打印。用户无法选中“高级”选项卡上的复选框，也不能清除这些复选框的复选标记。如果禁用该策略或不对其进行配置，则用户可以选择或清除“高级”选项卡上的设置。
如果设置了位于\用户配置\管理模板\Windows组件\Internet
Explorer\Internet控制面板中的“禁用高级页”策略，则无需设置该策略，因为“禁用高级页”策略将删除界面上的“高级”选项卡。
3.对拨号连接使用“自动检测”属性
自动检测在浏览器第一次启动时使用
DHCP(动态主机配置协议)或DNS服务器来自定义浏览器。该策略指定自动检测用于用户的拨号设置的配置。
位置：\用户配置\管理模板\Windows组件\Internet
Explorer
如果启用该设置，自动检测将配置用户的拨号设置。如果禁用该配置或不配置，自动检测不会配置用户的拨号设置，除非用户指定。
4.禁用Internet连接向导
禁止用户运行Internet连接向导。
位置：\用户配置\管理模板\Windows组件\Internet
Explorer
如果启用该策略，“Internet选项”对话框中“连接”选项卡上的“建立连接”按钮将变灰。用户也无法通过单击桌面上的“连接到 Internet”图标或单击“开始→程序→附件→通讯”，然后单击“Internet连接向导”运行Internet连接向导。如果禁用该策略或不对其进行配置，则用户可以通过运行Internet连接向导，更改连接设置。
注意：该策略与位于＼用户配置＼管理模板＼Windows
组件＼Internet
Explorer＼Internet控制面板中的“禁用连接页”策略有相似之处，后者将删除界面上的“连接”选项卡。从界面上删除“连接”选项卡并不会妨碍用户从桌面或“开始”菜单中运行Internet连接向导。
5.禁用表单的自动完成功能
禁止IE自动完成表单，如填写用户以前在网页中输入过的姓名或密码。
位置：\用户配置\管理模板\Windows组件\Internet
Explorer
如果启用该策略，“表单”复选框将变灰。单击“Internet选项”对话框中“内容”选项卡上的“自动完成”按钮，即可出现“表单”复选框。如果禁用该策略或不对其进行配置，则用户可以启用表单的自动完成功能。
位于\用户配置\管理模板\Windows组件\Internet
Explorer\Internet控制面板中的“禁用内容页”策略的优先级高于该策略。如果启用了“禁用内容页”策略，该策略将被忽略，因为“禁用内容页”策略将删除“控制面板”中“Internet
Explorer属性”对话框中的“内容”选项卡。
注意：如果用户已开始使用启用了表单自动完成功能的浏览器后，再启用该策略，则不会清除用户已经使用表单自动完成功能在表单中所填写的内容。
6.配置媒体浏览栏属性
媒体浏览器栏播放来自Internet的音乐和视频内容，该策略允许管理员启用和禁用媒体浏览器栏和设置默认自动播放。
位置：\用户配置\管理模板\Windows组件\Internet
Explorer
如果禁用媒体浏览器栏，用户无法显示媒体浏览器栏。自动播放功能也被禁用。当用户在IE中单击一个链接，系统中的默认媒体客户端将播放内容。如果启用媒体浏览器栏或不配置，用户可以显示和隐藏媒体浏览器栏。
管理员也可以打开和关闭自动播放功能。该设置只在媒体浏览器栏启用时应用。如果选择，媒体浏览器栏将在用户单击媒体链接时自动显示和播放媒体内容。如果不选择，系统上的默认媒体客户端将播放内容。
7.禁用右键快捷菜单
禁止在用户使用IE过程中单击鼠标右键时出现快捷菜单。
位置：\用户配置\管理模板\Windows组件\Internet
Explorer\浏览器菜单
如果启用该策略，在用户指向网页，然后单击鼠标右键时将不出现快捷菜单。如果禁用该策略或不对其进行配置，则用户可以使用快捷菜单。
8.自定义IE标题栏
我们可以利用组策略自定义出现在IE和OE标题栏中的文本。无论软件包中是否有OE或者用户计算机上已经安装了OE，都将更新OE标题栏。
位置：\用户配置\管理模板\Windows设置\Internet
Explorer维护\浏览器用户界面\浏览器标题
请在打开的对话框中选中“自定义标题栏”选项，然后在“标题栏文本”框中键入希望的文本。
注意：在选择某个位图时，要确保颜色与文本的对比度。这为用户确保了更高程度的可读性。
9.自定义IE工具按钮
我们可以利用该策略个性化出现在IE中的工具栏，给你一定的灵活性和设计机会。可以使用的元素包括用于标准工具栏按钮(例如“搜索”和“历史”)的工具栏背景和图标外观。
位置：＼用户配置＼管理模板＼Windows设置＼Internet
Explorer维护＼浏览器用户界面＼浏览器工具栏自定义
在打开的对话框中单击“添加”按钮，然后在打开的对话框中在“工具栏标题(必需)”框中，键入用户鼠标悬停在工具栏按钮上时出现的文本。必须指定该按钮的标题或标签。建议的最大长度是10个字符。
在“工具栏操作(作为脚本文件或可执行文件，必需)”框中，键入脚本文件或可执行文件的名称，或者单击“浏览”按钮查找文件。必须指定用户单击工具栏按钮时运行的脚本文件或可执行文件。
在“工具栏颜色图标(必需)”框中，键入表示按钮为活动状态的文件的名称，或者单击“浏览”按钮查找该文件。必须指定出现在工具栏上的按钮的彩色图标。图标由活动和非活动状态的20×20像素的图像组成。
在“工具栏灰度图标(必需)”框中，键入出现在黑白监视器上的工具栏的灰度图标文件名和位置，或者单击“浏览”按钮查找文件。必须指定显示在工具栏上按钮的灰度图标。
选中“默认情况下，该按钮应显示在工具栏上”复选框来显示默认情况下用户浏览器中的工具栏按钮。
五、利用组策略设置优化网络环境
1.禁止访问网络连接组件的属性
“本地连接属性”对话框包括连接时使用的网络组件列表。要查看或更改组件属性，请单击组件名称，然后单击组件列表下面的“属性”按钮，如图4所示。该策略确定用户是否可以更改由网络连接使用的组件属性，它确定是否启用用于网络连接组件的“属性”按钮。
位置：\用户配置\管理模板\网络\网络连接\
如果启用此设置(并启用“为管理员启用网络连接设置”设置)，就会为管理员禁用“属性”按钮。无论“为管理员启用网络连接设置”设置启用与否，用户都不可以访问连接组件。如果禁用或不配置“为管理员启用网络连接设置”。
如果禁用或不配置此设置，将为用户启用“属性”按钮。
2.禁用TCP/IP高级配置
确定用户是否可以配置TCP/IP
设置。
位置：\用户配置\管理模板\网络\网络连接\
如果启用此设置(并启用“为管理员启用网络连接设置”设置)，就对所有用户(包括管理员)禁用“Internet协议(TCP/IP)
属性”对话框上的“高级”按钮。因此，用户不能打开“高级TCP/IP设置”对话框并修改IP设置(例如，DNS和WINS服务器信息)。如果禁用此设置，则启用“高级”按钮，并且所有用户均可打开“高级TCP/IP设置”对话框。
注意：此设置会由禁止访问连接属性或连接组件属性的设置取代。如果将这些策略设置为拒绝访问连接属性对话框或用于连接组件的“属性”按钮，用户就无法访问用于TCP/IP配置的“高级”按钮。不管此设置如何，非管理员用户均不具有访问用于网络连接的TCP/IP高级配置的权限。在用户退出系统之前，将此设置从“启用”更改为“未配置”不会启用“高级”按钮。
3.禁止添加或删除用于网络连接
……

温馨提示：答案为网友推荐，仅供参考

当前网址：http://77.wendadaohang.com/zd/YpIGG3YG.html