グループポリシーを使用してWindows 7のシステムセキュリティを向上させる

Windows 7の最適化方法（以降、Win 7と呼びます）も無限大です。ユーザーはパッチワークで手がかりがないことが多く、これらの方法を区別するのは困難です。効果は全く知られていません。実際には、Win7のシステムグループポリシー機能を使用して、Win7のシステム最適化を達成できます。この記事では、グループポリシーを使用してWin7をより安全にする方法を説明します（注：グループポリシーはWin7 Professional、Ultimate、およびEnterpriseでのみ使用可能です）。

ファイルの機密性ドライブに見えない服を着てください。

ドライブには、主にデータを保存するためのハードドライブ、光学式ドライブ、およびモバイルデバイスが含まれます。そのため、ドライブの使用を制限すると、重要で機密の情報の漏洩を効果的に防ぐことができ、ウイルスやトロイの木馬の侵入を阻止する必要があります。ドライバが異なれば制限方法も異なり、同じドライブには異なるレベルの制限があります。ハードディスクと言うだけで、隠しアクセスと禁止アクセスには2つのレベルがあります。隠しレベルは比較的原始的で、ドライブを見えないようにするためだけに使用され、一般に子供やプライマリユーザーを防ぐために使用され、アクセスを禁止するとドライブへのアクセスを完全に防ぐことができます。モバイルデバイスの場合は、読み取り、書き込み、実行の権限を設定できますが、ウイルスやトロイの木馬は通常悪意のあるプログラムを実行することで拡散するため、実行権限を無効にするのが最も効果的です。

一次防衛一般のユーザーは見ることができません

ホームコンピュータのハードディスクには重要なファイルがいくつかありますが、見たくないファイルがあるドライブを隠すことが最も簡単な方法です。 [スタート]ボタンをクリックし、検索ボックスに「gpedit.msc」と入力して、グループポリシーエディタを確認し、右側の設定ウィンドウで[ユーザーの構成]→[管理用テンプレート]→[Windowsコンポーネント]→[エクスプローラ]の順に展開します。 [マイコンピュータでこれらの指定されたドライブを隠す]に進み、[有効]を選択し、下のドロップダウンリストから隠したいドライブを選択して、[OK]をクリックします。次に「コンピュータ」を入力すると、選択したドライブのアイコンが消えます。

ヒント：この方法ではドライブアイコンが非表示になるだけです。ユーザーはドライブのディレクトリパスをアドレスバーに直接入力するなど、他の方法でドライブの内容にアクセスすることもできます。さらに、この設定は、ユーザーがプログラムを使用してこれらのドライブまたはその内容にアクセスすることを妨げるものではありません。

Advanced Defense Privilegeユーザーが使用できる

システムディスクには重要なシステムファイルがあるため、他のユーザーがそれらを変更または移動することはできません。特に、パーティションに重要なファイルがあるときにドライブを非表示にしても、他のパーティションがアクセスできる場合もありますが、もちろんそうではありません！最も安全な方法は、関連するドライブを保護して不正ユーザーによるアクセスを禁止することです。

同様に、グループポリシーマネージャで、[ユーザーの構成]→[管理用テンプレート]→[Windowsコンポーネント]→[エクスプローラ]の順に展開し、[マイコンピュータからドライブへのアクセスを禁止する]と入力し、[有効]を選択します。下のドロップダウンリストで、無効にするドライブを選択すると、確実に有効になります。誰かが再び関連するドライブにアクセスしようとすると、 "制限付き"プロンプトウィンドウが表示されます！それを表示する必要があるときは、関連するポリシー設定を "有効"から "未設定"に変更してください。

ヒント：他のユーザーがグループポリシーで編集できないようにするにはどうすればよいですか。非常に簡単に、異なる権限を持つユーザーを作成することで、他のユーザーに通常のユーザータイプのアカウントを使用させることができます（グループポリシーエディターを開く権限がない）。

モバイルデバイスの実行権限を無効にする

モバイルデバイス（フラッシュメモリ、モバイルハードドライブなど）は、多くのユーザーにとって標準的なデバイスとなっており、最も広く使用されています。このため、ウイルスやトロイの木馬の蔓延の主な経路にもなっています。ウイルスとトロイの木馬を実行することでウイルスの伝播が行われるため、読み取りと書き込みのアクセス許可に対する通常の制限ではウイルスやトロイの木馬の侵入を防ぐことはできません。

[コンピュータの構成]→[管理用テンプレート]→[システム]→[リムーバブル記憶域へのアクセス]の順に展開し、[リムーバブルディスク：実行権限の拒否]を入力して[有効]を選択します。モバイルデバイス上の実行ファイルは実行されず、コンピュータはウイルスに感染しなくなります。実行する必要がある場合は、ハードディスクにコピーするだけです。

ブラウザ用の布のシャツを着るためのインターネットの閲覧

コンピュータの最も重要な用途の1つは、オンラインにすることですが、正直に言うと、インターネットはまったく心配ありません。ウイルス、トロイの木馬、および不正ソフトウェアまっすぐに、たとえ多くの大きなウェブサイトでさえハングアップするでしょう、ユーザーは本当に防ぐのが難しいです。また、ブラウザのホームページやその他のブラウザの設定を改ざんするマルウェアが多数あると、ブラウザを開いたときに乱雑なページやトロイの木馬のWebサイトがポップアップ表示され、ファイルが問題なくダウンロードされることがあります。規則性はファイルの混乱を招くことが多く、いったんダウンロードしたウイルスファイルを削除するのは困難です。そのため、ブラウザの「耐性」を高める方法は特に重要です。

ホームページのロック

ホームページは改ざんされているのが最も一般的です。グループポリシーロックダウンを使用すると、この問題を完全に解決できます。めちゃくちゃなページがポップアップ表示されないだけでなく、中毒やトロイの木馬の可能性も減少します。 [ユーザーの構成]→[管理用テンプレート]→[Windowsコンポーネント]→[Internet Explorer]の順に展開し、[ホームページの設定の変更を無効にする]に移動して[有効]を選択し、[オプション]の下にデフォルトのホームページを入力します。

ヒント：このポリシー設定を有効にすると、ユーザーは既定のホームページを設定できなくなるため、必要に応じて、設定を変更する前に既定のホームページを指定する必要があります。

アイスIEの設定

上記のように、システムが有害になるかトロイの木馬を持つと、IEのホームページが改ざんされ、その他のIEの設定が改ざんされる可能性があります。したがって、IEに保護カバーを追加することが非常に必要です。特に、一度IE設定を設定すると、それらは長時間変更されない可能性があるので、それらを完全にフリーズすることをお勧めします！

「ユーザー設定→管理用テンプレート→Windowsコンポーネント→Internet Explorer→インターネットコントロールパネル」を展開します。このグリッドには、IEの「インターネット」にそれぞれ対応する「詳細ページの無効化」、「接続ページの無効化」、「一般ページの無効化」、「プライバシーページの無効化」、「セキュリティページの無効化」があります。オプションの7つのタブすべてが有効になっている場合は、[インターネットオプション]を開くと[制限付き]エラーダイアログボックスが表示されます。これにより、IEブラウザ設定の変更は完全になくなります。

ヒント：[一般ページの無効化]を開始すると、[インターネットオプション]の[一般]タブが削除されます。このポリシーが有効になっている場合、ユーザーはホームページ、キャッシュ、履歴、ページの外観、およびユーザー補助の設定を表示および変更できません。このポリシーは[全般]タブを削除するため、このポリシーを設定する場合は、次のInternet Explorerポリシーを設定する必要はありません。「ホームページの設定の変更を無効にする」、「インターネット一時ファイル設定の変更を無効にする」 「カラー設定の変更を無効にする」、「リンクカラー設定の変更を無効にする」、「フォント設定の変更を無効にする」、「言語設定の変更を無効にする」、および「ユーザー補助設定の変更を無効にする」

目を引く目とシステムを一致させるためのパーミッション管理

たとえば、便利なことで有名なソフトウェアがたくさんありますが、それらはソフトウェアのパッケージ化やグリーン化の際に悪意を持ってバンドルされます。プログラムは、いくつかのWebページをそれにパックします。この方法は一般的に低レベルで、バッチファイルとレジストリ情報の手動挿入によって実装されているため、グループポリシーを使用して危険な種類のファイルの実行を禁止することができます。また、公共の場所（オフィスなど）では、多くのソフトウェア（チャットソフトウェアなど）が許可されていないため、管理者はグループポリシーを使用して効果的な管理を実現できます。

危険なファイルの実行を許可しない

一部の種類のファイル（ ".reg"レジストリファイルや ".bat"バッチファイルなど）は、一般のユーザーにはめったに使用されず、簡単です。ウイルスやトロイの木馬によって使用されるため、これらの種類のファイルの実行を禁止することで、コンピュータのセキュリティをある程度保証することができます。

コンピュータの設定→Windowsの設定→セキュリティの設定→ソフトウェアの制限のポリシーの順に展開し、右クリックメニューからソフトウェアの制限のポリシーの作成を選択すると、セキュリティレベルとその他の規則が自動的に生成されます。 「強制」、「指定ファイルの種類」、「信頼できる発行元」の5項目。 [指定されたファイルの種類]の[プロパティ]ウィンドウに移動し、禁止される必要があるファイルの種類（ "bat batch file"など）のみを残し、他のすべてのファイルの種類を削除します。種類が一覧に表示されていない場合は、無効にするファイルの種類を下の[ファイル拡張子]テキストボックスに入力して追加します。 「セキュリティレベル→未許可」に移動して「デフォルトに設定」ボタンをクリックすると、このポリシーが有効になります。もう一度バッチファイルを実行すると、ブロックされます。

プログラムを無効にする私がベストを立てたとき、あなたも知っています。

その上、多くの企業はチャットソフトウェアを許可していません。例としてQQを考えてくださいあなたが直接QQをアンインストールするならば、ユーザーはそれを再びインストールするか、またはソフトウェアを別の場所にインストールするかもしれません。この時点で、グループポリシーを使用して簡単に入手できます。

コンピュータの設定→Windowsの設定→セキュリティの設定→ソフトウェアの制限のポリシー→その他の規則の順に展開し、新しいハッシュ規則を選択します。 「参照」をクリックしてQQの実行可能ファイル「QQ.exe」を選択します「ファイル情報」の下の最初の行は生成されたハッシュ値で、この値は一意で、ファイルの基本情報「セキュリティレベル」も表示されます。 「許可しない」を選択してください。確認してログアウトした後、再度ログインすると設定が有効になります。

ヒント：ハッシュルールを使用する利点は、プログラムの名前変更、移動、その他の操作にかかわらず、ハッシュ値が検証されている限り、制限が期限切れにならないことです。走っている。