用活组策略，暑期安全不放假

大家使用电脑时间也多了，电脑自然更容易受到各种安全威胁，我们该如何用活Win7自带的组策略为系统安全保驾护航呢？

大家知道组策略是Win7自带的强大安全组件，用好组策略可以很好保护系统的安全。可是并非人人都会、都能用好组策略，因为很多预装Win7的品牌机使用的是家庭高级版，这个系统并没有组策略；很多使用旗舰版用户则不会使用组策略。其实对于组策略，我们还有另类方法来解决上述难题。

先天不足后天补——使用注册表实现组策略功能

适用用户：没有组策略的家庭版用户

小张公司电脑使用的是旗舰版，可是家里的则是家庭高级版。因为组策略的很多设置都是通过修改（或者添加）注册表中特定键值实现的，因此小张只要在公司电脑上执行相应的组策略，然后找出其对应的注册表键值变化并导出，最后导入到家里电脑上即可。下面以在家庭版电脑上实现限制指定程序的运行设置为例。

实现目标：阻止暑期串门的亲戚小孩在自己电脑上运行游戏

第1步：在网上搜索并下载“Process Motitor”并启动，依次点击面板监控图标，设置只监控系统注册表键值的变化。然后启动组策略启用“不要运行指定windows程序”策略，添加限制运行游戏的名称假设为“Cfan.exe”。返回“Process Monitor”窗口，根据创建键值时间提示查找MMC.exe成功创造的键值，可以知道启用程序限制后，在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{EFF601E2-FFE3-43BC-BC8B-8E4F44A6EEF1}User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]增加了一个键值（见图1）。

第2步：在“Process Motitor”窗口右击上述创建的键值选择“Jump to”，跳转到注册表编辑器，按提示导出上述的键值为“cfan.reg”。这样在家里的家庭版电脑上导入“cfan.reg”（重启后生效），用户试图运行受限制的程序时，系统就会弹出阻止运行的提示（见图2）。

小提示：

除了使用组策略的键值外，注册表本身就有很多的其安全设置键值。比如IE主页的键值实际上是由[HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMain]键值控制的，其右侧窗口当中的“StartPage”值就是IE的主页。因此要锁定IE主页不被窜改，我们只要将当前账户对上述键值的权限设置为“只读”即可。

水平不行高手补——移植组策略到其他电脑上

适用用户：电脑水平较低的菜鸟用户（需要内置组策略组件的Win7系统）

使用上述方法小张轻松的实现家庭版电脑的程序限制功能，不过表妹家的电脑暑期安全却让让他还有些纠结。因为她的电脑水平实在菜，虽然安装的是Win7旗舰版，可是根本不知道怎么设置组策略。小张又没空到她家去帮她设置，怎么办？其实Win7的组策略设置是保存在几个文件中，复制这些文件即可移植组策略。

实现目标：在新手电脑上快速部署设置好的组策略，保障暑期电脑安全。

第1步：在公司电脑上先设置文件夹查看方式为显示“系统文件”和“隐藏文件”，接着复制C:\Windows\system32\GroupPolicy文件夹到桌面并压缩保存。

小提示：

上述文件包含ADM、Machine、User 三个子文件夹（分别用于保存组策略模板、计算机配置、用户配置）以及 GPT.INI 文件（用于保存组策略设置的相关配置信息）。根据组策略设置对象类型的差别，不同类型的组策略分别以不同形式保存在GroupPolicy文件夹下（见图3）。

第2步：启动QQ将上述压缩好的文件传输给表妹，接着叫她将文件解压并释放到C:\Windows\system32替换同名文件，这样表妹电脑上启动组策略编辑器后就可以看到我们已经设置好的各个策略了。

小提示：

版本不同的操作系统支持的组策略设置并不完全相同，较新版的操作系统可能会增加一些新的组策略设置，因此组策略的移植最好在版本完全相同两台电脑之间进行。如果转移后组策略没有生效，以管理员身份启动命令提示符，输入“GPUPDATE /FORCE”强制刷新即可（见图4）。

限制不同玩个性——组策略因人而异 适用：需要对本机不同账户实现组策略限制用户 组策略默认的设置时对所有用户生效的，比如组策略可以设置用户“阻止访问命令提示符”，以保证暑期串门的亲戚无法使用“Cmd.exe”破坏系统设置，但是这也同时限制自己使用。不过我们只要结合用户启动设置即可实现组策略限制因人而异。

实现目标：暑期串门亲戚无法使用命令提示符，自己登陆则无此限制

第1步：在本机创建一个名为cfan的用户作为暑期串门亲戚专用账户，同上在本机启用“阻止访问命令提示符”策略。通过“Process Monitor”监控可以知道该策略是在[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]添加“DisableCMD”键值，同上导出上述键值为“cfan1.reg”放置在C盘（见图5）。

第2步：同上将“DisableCMD”的值更改为“0”（16进制，表示不限制），也导出为“cfan2.reg”放置在C:\。这样不同用户导入不同的reg文件就可以实现组策略因人而异。启动记事本建立一个批处理stop.bat放置在 “C:\Users\cfan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup”下，代码如下：

regedit.exe /s c:\cfan1.reg

第3步：同上建立一个“regedit.exe /s c:\cfan2.reg”批处理保存在“C:\Users\当前用户\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup”下，这样自己登陆电脑时会导入“cfan2.reg”取消限制，当串门亲戚使用cfan账户登陆后就会阻止命令提示符的访问（见图6）。

小提示

由于组策略的很多设置都是通过注册表键值实现。因此除了将指定注册表文件和不同用户启动结合外，我们还可以借助糸统任务计划实现指定时间段组策略生效。

比如需要使用组策略设置用户午休时间不许玩游戏。只要先设置用户不允许运行指定游戏程序策略，同上导出后，使用任务计划设置每天中午下班前2分钟导入该策略，这样午休时间用户就无法玩指定游戏了。接着再设置一个上班时间前导入无限制的注册表文件，这样就实现了组策略的定时限制。

写在最后

组策略是糸统自带功能强大安全组件，不过默认限制和使用缺乏个性化。通过结合其'它组件，则可以实现组策略个性化定制和使用，大家可以举一反三定制更多的应用，为大家暑期安全提供更好的保障。