Windows 组策略简介(精选8篇)
组策略是Windows 2000中新增加的我最喜欢的功能,它给了我Windows NT从来没有提供过的功能━━对用户计算机集中而详尽的控制,我们可以把组策略看作是NT 4.0中系统策略的改进,组策略对象(GPO)是基于活动目录(AD)的对象,用户可以通过它集中地对Win2K台式机和服务器系统进行配置,它的功能包括从NT 4.0台式机的锁定到安全性配置和软件安装等。
篇文章主要讲述组策略是如何对系统起作用的、系统内部的工作原理以及在Win2K环境中采用这一技术时应该注意的问题,如果了解NT 4.0中系统策略的原理对我们理解组策略有一定的帮助。
组策略是什么?
GPO是一种与域、地址或组织单元相联系的物理策略。在NT 4.0系统中,一个单一的系统策略文件(例如ntconfig.pol)包括所有的可以执行的策略功能,但它依赖于用户计算机中的系统注册表的设置。在Win2K中,GPO包括文件和AD对象。通过组策略,可以指定基于注册表的设置、使用NT 4.0格式.adm模板文件的运行Win2K的本地计算机、域的安全设置和使用Windows安装程序的网络软件安装,这样在安装软件时就可以对文件夹进行重定向。
微软管理控制台(MMC)中的组策略编辑器(GPE)插件与NT 4.0中的系统策略编辑器poledit.exe相当。在GPE中的每个功能节点(例如软件设置、Windows 设置、管理模块等)都是MMC插件扩展,在MMC插件中扩展是可选的管理工具,如果你是应用程序开发者,可以通过定制的扩展拓展GPO的功能,从而针对你的应用程序提供附加的策略控制。
只有运行Win2K的系统可以执行组策略,运行NT 4.0和Windows 9x的客户机则无法识别到或运行具有AD架构的GPO。
组策略和AD
要充分发挥GPO的功能,需要有AD域架构的支持,利用AD可以定义一个集中的策略,所有的Win2K服务器和工作站都可以采用它。然而,每台运行Win2K的计算机都有一个本地GPO(驻留在本地计算机文件系统上的GPO),通过本地GPO,可以为每台工作站指定一个策略,它在AD域中不起作用。例如,出于安全原因,你不会在AD域中配置公用的计算机。利用本地GPO,可以通过修改本地策略来得到安全性和对台式机的限制使用而无需利用基于AD域的GPO。访问本地GPO的方法有2种,第1种方法,在需要修改GPO的计算机的“开始”菜单上选择“运行”,然后键入:
gpedit.msc
这个操作的作用与NT 4.0中的poledit.exe相同,可以打开本地策略文件。第2种方法,可以通过在MMC控制台中选择GPE插件,并选择本地或远程计算机来人工地编辑本地GPO。
本地GPO支持除软件安装和文件夹重定向之外的所有缺省扩展,因此,只利用本地GPO你不能完成这些工作,如果想充分发挥GPO的功能,还是需要AD的支持。
GPO的多样性和继承
在AD中,可以在域、组织单位(OU)或地址三个不同的层次上定义GPO。OU是AD中的一个容器,可以指派它对用户、组、计算机等对象进行管理,地址是网络上子网的集合,地址形成了AD的复制分界线。GPO的名字空间被划分为计算机配置和用户配置两个大类,只有用户和计算机可以使用GPO,象打印机对象甚至用户组都不能应用GPO。
在一个域或组织单位(OU)中编辑策略的途径有几种。在活动目录用户或计算机MMC插件中,右击一个域或组织单位(OU),在菜单中选择“属性”,然后选择“组策略”标签。在编辑地址中的策略时,需要右击“活动目录地址和服务”插件,然后右击需要的地址得到其GPO。此外,还可以从“开始”菜单,选择“运行”,然后键入:
mmc.exe
启动MMC,选择“控制台”,“增加/删除”插件,然后选择“组策略”插件、“浏览”,在AD域内的GPO就会显示出来,可以选择一个GPO进行编辑。
根据GPO在AD名字空间中的不同位置,可以有几个GPO对用户对象或计算机对象起作用。只有域中的其他对象是通过继承生成时GPO才是通过继承生成的。Win2K通过下面的方式执行GPO,首先,操作系统执行现有的本地系统上的策略,然后,Win2K执行定义的地址级的GPO、域一级的GPO和基于OU的GPO,微软把这一优先顺序取其首个字母缩写为LSDOU(执行的顺序依次是本地、地址、域、OU层次的GPO),用户可以在这个链上的许多层次上定义GPO。我们以pilot域为例说明如何察看一个系统中的GPO,启动“活动目录用户和计算机MMC”工具,右击pilot域名,从菜单中选择“属性”项,然后选择组策略标签。在这个列表顶端的GPO(例如域范围的安全策略)有最高的优先权,因此,Win2K最后才会执行它。除了本地系统外,可以在每个层次上定义几个GPO,因此如果不能严格地管理GPO,就会出现不必要的问题。
GPO的继承模型与Novell公司的Zenworks策略方式截然不同。在Zenworks中,如果在Novell目录服务(NDS)树上的不同点使用多个策略包,只有距离用户对象最近的策略包才起作用。在Win2K中,如果在AD的不同层次上定义四个GPO,操作系统使用“LSDOU”优先顺序来执行这些策略,对计算机或用户的作用是这四个策略执行的“和”。此外,有时在一个GPO中的设置会被其他GPO中的设置抵销,
通过AD级GPO,用户可以拥有更多的策略控制委托,例如,公司的安全部门负责在域一级上设计用于所有系统设备的安全GPO。通过使用GPO,可以让某个OU的系统管理员拥有在OU上安装软件的权利。在Zenworks模型中,必须在希望使用策略的所有层次上复制这些策略,而且策略对用户或计算机对象的作用并非是所有策略的“和”。
为了进一步地控制GPO,微软提供了三种设置来限制GPO继承的复杂性。在地址、域、OU三个层次上用户都可以通过选择一个检查框阻止从更高一个层次上进行继承,同样,在每一个层次上,用户可以选择缺省的域策略选项,方法是打开“活动目录用户和计算机”插件,右击GPO所在的域或OU,从菜单中选择“属性”,然后选择“组策略”标签。让你希望修改的项目变亮,然后选择“选项”按钮,可供选择的选项有“不覆盖”或“禁止”。如果选择了“不覆盖”选项,即使选择了不能继承的检查框,该GPO还是会起作用。如果想在任何一个地方执行一个GPO时,这一功能就很有用处。如果一个OU的管理员试图阻止对安全策略的继承,包含安全策略的GPO仍然会被系统执行。“禁止”检查框可以完全禁止一个GPO执行,这一功能在你对一个GPO进行编辑而不想让其他的用户执行它时特别有效。
GPO的执行和过滤
只有用户和计算机对象才能执行组策略。在计算机的启动和关闭时,Win2K执行在GPO的计算机配置部分定义的策略,在用户登录和注销时,Win2K执行在GPO中用户配置部分定义的策略。事实上,在用户登录时可以通过手动方式执行一些的策略,例如可以在命令行方式下运行secedit.exe程序执行安全策略应用程序。此外,通过管理员模块策略可以定期地对用户和计算机的GPO设置进行刷新,缺省情况下,这种刷新每90分钟进行一次,这种刷新可以使其他用户不容易修改通过组策略定义的策略。但是,软件安装策略是不会刷新的,因为没有人希望周期性地改变策略引起软件的“载”,尤其是有其他用户在使用时,就更是这样了。计算机、用户对象只有在计算机启动或用户登录时才会软件安装策略。
尽管只有AD中的计算机和用户对象才能执行GPO,但我们可以过滤GPO的效果。使用Win2K中的安全组、应用组策略━━这是Win2K中的一项新的安全特性,可以使特定的用户组不能执行某一个GPO。右击MMC中GPO的名字,选择“属性”,然后再选择“安全”,就可以看到GPO目前的安全设置。认证用户组具有应用组策略权利,从而附属这一GPO的所有用户可以执行它。在Win2K中,安全组可以包括用户和计算机对象。因此,利用安全组可以仔细地调整用户、计算机对象如何执行一个GPO。你还可以对个别的应用程序应用安全组,可以指派一个GPO的软件安装部分。例如,假设你在一个GPO中发布10个应用程序,可以指定只让金融用户用户组访问其中的5个,其他用户登录到这个域时,它们也不会发现这5个应用程序。
GPO的内部构成
一个GPO是由两部分组成的:组策略容器(GPC)和组策略模板(GPT)。GPC是GPO在AD中的一个实例,在一个特殊的被称作系统的容器内有一个128位的全球唯一的ID码(GUID)。在“活动用户目录用户和计算机”插件中选择“浏览”,从MMC菜单中选择“高级属性”,就可以看到“系统”容器。GPT是组策略在Win2K文件系统中的表现,与一个GPO有关的所有文件依赖于GPT。(编程入门网)
GPO带来的难题
虽然GPO的功能很强大,但要掌握它可不容易。最难掌握的是如何判断一条有效的策略如何对域中的计算机或用户起作用,由于GPO可以存在于AD链中不同的层次上,这种判断就特别困难。同时,由于可以指派一个GPO的控制,因此不大容易清楚其他的GPO是否会对你没有控制权的容器中的GPO有影响。因此,计算一个计算机或用户对象接收的“策略的结果集”(RSoP)是相当困难的。尽管微软还没有提供计算RSoP的工具,但已经有第三方厂商提供了相应的计算RSoP的工具。
另一个难题是策略的执行。如果在AD链上的许多层次上都存在有GPO,在用户每次登录或系统启动时都会执行所有的GPO。在Win2K系统中,微软推出了一些新的功能来优化系统的性能。首先,GPO的版本信息依赖于工作站和GPO,如果GPO没有变化,系统就不会执行它。另外,在GPE的属性页上,可以禁止用户或计算机对GPO的执行。如果建立一个GPO用来分发关闭系统或启动系统时的脚本,禁用GPO的用户配置部分,这样会使工作站不能解析GPO并判断它是否已经发生了什么变化。
最后的一个难题起源于GPC和GPT是两个单独的实体。GPC是AD中的一个对象,它与GPT中包含的文件的复制不同步,这意味着创建一个GPO时,在GPT开始向域控制器上的Sysvol复制文件之前GPC可能已经开始进行复制了。
所有问题的起源都是由于AD使用了一种多主体的复制模式。理论上,当另一个系统管理员在一个域控制器上编辑一个GPO时,你也可以在某个域上对它进行编辑。因此,当建立一个GPE时,缺省状态下指的是在“操作主体”中充当PDC的域控制器。(“操作主体”是AD基础结构中的一系列托管功能,用作PDC的服务器可以兼容运行NT和Win9x的工作站。)一般情况下,可以通过只向少数的系统管理员授予编辑GPO的权利来避免这种情况的发生,并保证如果有人在编辑GPO时,让其他的人都知道。此外,需要注意的是,在对一个GPO进行编辑时,要“禁止”它,修改结束后重新使能。
GPO的优缺点
首先登陆windows2000 server网络的域控制服务器, 打开“程序/管理工具/Active Directory用户和计算机”, 这是windows2000 server对域内用户和计算机进行各种权限管理的主要工具。我们在图一左侧“树”窗口中看到目前的域为tv.com, 域控服务器为DB-MAIN, 最下面有一个名为“tv”的组织单元, 我们的普通编辑用户“edit”就是属于它的一个对象。要限制“edit”用户能够访问哪些特定的硬盘驱动器, 就必须对“tv”组织单元的组策略进行修改, 用鼠标双击“tv”打开它的属性窗口, 在组策略面板点“编辑”按钮, 打开组策略编辑窗口图二。
要限制用户访问特定的硬盘驱动器, 在图二左侧“树”窗口依次打开“用户配置/管理模板/windows组件/windows资源管理器”, 双击右侧“策略”窗口的“隐藏我的电脑中这些指定的驱动器”, 打开新窗口见图三。
图三列出了windows2000 server缺省安装的几种限制驱动器的策略, 如果有符合需要的项目, 将它启用即可。可是, 在这个非编网络中, 我们想让编辑用户edit只使用本地驱动器的F盘, 此外无权访问其他的任何驱动器, 所以这些默认的策略是不够用的。怎么办呢?
当使用windows2000 server“Active Directory用户和计算机”创建组策略对象 (包括组织单元) 时, 会针对每个组策略对象自动生成一套管理模板 (ADM) 文件, 其中名为“system.adm”的文件包含了该组策略对象的各种设置信息, 对它进行相应的编辑修改就能够实现我们的要求。接下来我们首先要找到edit用户对应的system.adm文件。
返回到图一, 点击tv组织单元 (记住:edit用户是它的下属对象) 属性窗口的“属性”按钮, 打开窗口见图四;需要记录“唯一的名称”项目中的数值:这里是“{B2E3AC98-698E-4DE7-8028-0A7E284152A7}”。windows2000 server各个域策略管理模板文件夹的默认位置是:“%SystemRoot%SysvolSysvolDomainNamePolicies”, 我们打开域控制服务器的“c:winntSysvolSysvoltv.comPolicies”文件夹, 找到其中一个名为“{B2E3AC98-698E-4DE7-8028-0A7E284152A7}”的子文件夹, 这里就是tv组织单元域策略管理模板存放的位置。用windows自带的记事本软件打开“adm”子文件夹下的system.adm文件, 现在可以开始编辑修改工作了。
要更改默认的“限制访问特定驱动器”项目, 必须修改System.adm中以下部分:
注意ITEMLIST下的几条语句, 它们表示前面图三“隐藏我的电脑中这些指定的驱动器”窗口中下拉列表列出的各个选项, 其中VALUE NUMERIC后面的十进制数值转换为26位二进制字符串后, 对应26个驱动器号 (Z到A, 倒序) 的开关状态;例如十进制数67108863转换后为:11111111111111111111111111, 代表驱动器号为“ZYXWVUTSRQPONMLKJIHGFEDCBA”的26个驱动器全部受到限制无法访问。我们现在的要求是只能访问F盘, 二进制字符串应为:11111111111111111111011111, 对应的十进制数是67108831。而[strings]部分负责对ITEMLIST下的各个语句中“NAME!!”前缀的字段进行注释, 让他们显示在图三“隐藏我的电脑中这些指定的驱动器”窗口的下拉列表中。
我们要做的是:在I T E M L I S T中加上一句“N A M E!!FdisplayOnly VALUE NUMERIC 67108831”, 在[strings]中加上另一句“FdisplayOnly="只显示F盘"”, 然后将system.adm存盘后退出记事本, 重启动域控制服务器。
再次打开打开“程序/管理工具/Active Directory用户和计算机”, 编辑tv组织单元的组策略, 我们看到其中多了一项“只显示F盘” (见图五) , 将它启用。以edit用户登陆非编网络, 现在他只能使用本地驱动器的F盘了。
微软Windows系统中的组策略编辑器包含数百个系统相关的设置,通过组策略我们可以对系统进行更细致的调整、挖掘操作系统中一些有用的功能或者删除和禁止系统中一些不必要的功能。但是家庭版的Windows并没有提供组策略编辑器,那该怎么办呢?实际上,微软并没有真正从系统中删除该工具,它只是被隐藏在“Windows\WinSxS”和“Windows\SysWOW64”文件夹中。不幸的是,它已被分成了几部分,这使得手动重新恢复该工具极其困难且容易出错。
不过,不必担心,通过下面介绍的方法,我们完全可以轻松地恢复组策略编辑器。只需启动安装程序,等待安装完成基本上就可以了。而64位版本的系统需要一个额外的步骤,即手动拷贝两个文件夹和一个文件。但是不得不承认这个解决方案虽然简单、可靠,但是却有一个小缺陷,那就是中文系统中组策略编辑器的大部分内容也将以英文显示。当然,对于准备通过组策略对系统进行调整的用户来说,这应该不会造成什么障碍。
操作步骤
1、下载组策略编辑器
启动浏览器并打开网页“http://drudger.deviantart.com/art/Add-GPEDIT-msc-215792914”,单击右侧的“下载”按钮下载组策略编辑器。
注意:小心广告中的下载按钮。
2、提取和安装
转到下载文件夹,解压缩下载的ZIP文件。双击运行其中的“Setup.exe”文件,等待安装程序完成工作显示“Finish”按钮。
3、复制64位的文件
如果使用的是64位版本的Windows,那么在Windows资源管理器中打开“Windows\SysWOW64”文件夹,在该文件夹中复制两个文件夹“Group Policy”和“Group Policy Users”以及文件“gpedit.msc”到“Windows\System32”文件夹中。
4、启动组策略编辑器
按[Windows]+[R]组合键打开“运行”对话框,输入“gpedit.msc”并回车,如果用户账户控制功能要求确认授权,那么同意授权后组策略编辑器应该可以打开了。
5、编辑批处理文件
如果尝试启动组策略编辑器后出现一个“MMC无法创建管理单元”的错误提示,那么再次执行步骤二,但是安装完成后不要单击“Finish”按钮。打开资源管理器,切换到“Windows\TEMP\gpedit”,并根据系统的版本,右键单击“x86.bat”(32位Windows)或“x64.bat”(64位Windows),在快捷菜单中选择“编辑”。
6、解决管理单元的错误
在批命令文件代码约三分之一的部分,我们可以看到有一个小节有6个包含“%username%:f”的条目。在“%username%:f”中添加引号,使其变成“”%username%”:f”,保存文件。然后用鼠标右键单击保存的批处理文件,选择“以管理员身份运行”。现在,当我们按照步骤4中的方法启动组策略编辑器时,应该不会再出现管理单元错误的提示。
7,处理组策略
组策略编辑器提供了约3 000个项目,通过它们可以轻松地对系统进行调整,并且调整的方法非常简单。例如如果我们需要病毒扫描工具自动验证每个邮件的附件,那么可以选择“User Configuration|Administrative Templates|Windows Components|Attachment Manager”,在右侧的窗口中双击打开“Notify antivirus programs when opening attachments”,在打开的对话框中选择“Enabled”并确定即可。
8、过滤掉过时的组策略
病毒防护
近年来安全威胁很多,其中最多的一直是电子邮件病毒.大多数反病毒产品的设计与微软outlook集合 ,其想法是,该软件能够在电子邮件附件被打开的时候被扫描.即便如此,windows一直缺乏一个统一的机制来确保杀毒软件的安装和正常工作.幸好, vista和2008现在已经包含组策略设定,可以允许你在组策略级别加入你们组织/公司的防毒策略.
虽然我要向各位展示的是具体到windows vista和windows server 2008组策略设置, 然后可以使它运行windows xp service pack 2 .你可以找到相关的防毒组策略相关设置,在组策略:User ConfigurationAdministrative TemplatesWindows ComponentsAttachment Manager
当用户打开附件通知杀毒软件
这个组策略的设置是当电子邮件附件的打开时来通知你的杀毒软件时,杀毒软件扫描电子邮件附件来查病毒. 虽然这个组策略看起来很简单, 虽然只有两个变量,在你使用前必须了解. 首先,如果你的杀毒软件是可以自动扫描电子邮件附件,在设置这个组策略是多余的.
还有其他就是,如果你设置啦这个组策略,但是你的杀毒软件因为某个原因不能扫描插件,那Windows就会阻止附件被打开.
不要在文件附件中保留区域信息.
在IE一个主要的安全概念就是区域.IE允许管理员把分类域名放到各个区域,其建立在管理员信任多少站点.在windows2008和vista中,区域的状态也可以作用在邮件上.当一份邮件包含附件,windows在ie的区域查找并比较发件人的域.这可以使用域信息来确定附件是否值得信赖.
然而这个特别的组策略设置看起来有点误导.如果你启用设置,区域信息会被忽略.如果你要确保windows利用区域信息来保护电子邮件附件,你必须禁用此策略的制定.
一个关系到安全的方面,你应该知道发件人的区域是作为文件属性存储的,这就意味着必须存储在NTFS格式的分区空间上.如果存储在FAT格式的分区上,区域信息不会保留,而且Windows不会报告失败.
隐藏机制来去除区域信息
正常情况下,相当容易为用户从文件移除带相关属性.他们只要这样做,只是要点击打开按钮,找到该文件的属性表.如果你想阻止用户剥离资料档案,启用这个设置.这样做将隐藏机制,任何一个用户不可能消除区信息从一个文件
文件附件的默认风险级别
这个组策略的设置允许你给邮件附件一个默认设置,高,中或低风险级别.我会在以后谈论关于风险界别.
高风险文件类型的清单
显然,有些类型的文件更有可能更容易携带恶意代码.例如exe文件或pif文件比 pdf文件要恶意多拉.正因为如此,windows可以让你对各种文件.
类型设置高,中或低风险
windows提供独立的组策略来设置低,中等和高风险的文件类型. 之所以微软选择这么做,是因为它允许更严格的安全设置,优先考虑 在低级别的安全设置,在发生冲突. 假设举例说,某一文件类型是在高风险和中等风险中. 在这种情况下,高风险的策略将高于中期策略风险, 和文件类型,将被视为高风险的.文件类型被视为高风险的将主宰其他设置.
那么如何区分一个文件类型属于高风险,
如果一个用户想打开一个文件,windows窗口看起来不仅在文件类型判断,而且也会在文件的来源是否来自禁止的区域来认定高风险,windows禁止用户打开文件.如果文件来自互联网,在用户打开文件前windows会提示用户预防风险.
低风险文件类型的清单
确定文件类型是否属于低风险类型和高风险有点类似.但是有一点区别.首先不同的是,微软已经默认把某些类型的文件作为高风险的. 如果设定其中的文件类型作为低风险, 那么您会凌驾于windows的内置设置, 档案将被视为低风险. 当然,如果你已经手工增加了一个文件型向高风险名单,然后把它添加到低风险名单 该文件将被视为高风险,因为高风险名单优于低风险清单. 如果你是好奇,允许用户开低风险档案不管属于哪个区域.
中度风险文件类型的清单
确定文件类型是否属于中度风险类型和高 低风险有点类似.唯一区别如果文件来自被禁止的区域或是internet,windows只是在用户打开文件前显示一个警告信息.
在这一系列文章的第一部分,我解释过windows vista和windows server 2008比windows server 2003和windows xp多提供了数百个组策略设置.在这篇文章,我想继续讨论谈起组策略设置是用来控制用户账户和硬件设备.
我将要讨论的组策略设置,都是位于计算机配置/Window设置/安全设置/本地策略/安全选项.有太多的组策略设置我来讨论.因此,我将只讨论到最有用的或最有趣的策略的设置.
管理员帐户状态
在以往windows操作系统中的一个主要的安全弱点,工作站一直存在着一个本地管理员帐户上.而windows vista确实也存在本地管理员帐户,帐户:管理员帐户状态设置,可用于禁用管理员用户.默认情况下,管理员帐户被激活,但禁用它也十分简单.在你禁用它之前,关于禁用的后果你要有所了解.如果你禁用管理员帐号,你将不能再次启用他除非本地管理员帐户的密码符合最小密码长度和复杂性要求.除非你再有一个管理员账户来重新设置它的密码.
2010-05-21 18:00
├—WINDOWS
│ ├—system32(存放Windows的系统文件和硬件驱动程序)
│ │ ├—config(用户配置信息和密码信息)
│ │ │ └—systemprofile(系统配置信息,用于恢复系统)
│ │ ├—drivers(用来存放硬件驱动文件,不建议删除)
│ │ ├—spool(用来存放系统打印文件。包括打印的色彩、打印预存等)
│ │ ├—wbem(存放WMI测试程序,用于查看和更改公共信息模型类、实例和方法等。请勿删除)
│ │ ├—IME(用来存放系统输入法文件,类似WINDOWS下的IME文件夹)
│ │ ├—CatRoot(计算机启动测试信息目录,包括了计算机启动时检测的硬软件信息)│ │ ├—Com(用来存放组件服务文件)
│ │ ├—ReinstallBackups(电脑中硬件的驱动程序备份)
│ │ ├—DllCache(用来存放系统缓存文件。当系统文件被替换时,文件保护机制会复制这个文件夹下的文件去覆盖非系统文件)
│ │ ├—GroupPolicy(组策略文件夹)
│ │
│ ├—system(系统文件夹,用来存放系统虚拟设备文件)
│ ├—$NtUninstall$(每给系统打一个补丁,系统就会自动创建这样的一个目录,可删除)│ ├—security(系统安全文件夹,用来存放系统重要的数据文件)
│ ├—srchasst(搜索助手文件夹,用来存放系统搜索助手文件,与msagent文件夹类似)│ ├—repair(系统修复文件夹,用来存放修复系统时所需的配置文件)
│ ├—Downloaded Program Files(下载程序文件夹,用来存放扩展IE功能的ActiveX等插件)
│ ├—inf(用来存放INF文件。INF文件最常见的应用是为硬件设备提供驱动程序服务,不建议删除其中文件)
│ ├—Help(Windows帮助文件)
│ ├—Config(系统配置文件夹,用来存放系统的一些临时配置的文件)
│ ├—msagent(微软助手文件夹,存放动态的卡通形象,协助你更好地使用系统。若觉的没有必要,可直接删除)
│ ├—Cursors(鼠标指针文件夹)
│ ├—Media(声音文件夹,开关机等wav文件存放于此)
│ ├—Mui(多语言包文件夹,用来存放多国语言文件。简体中文系统中这个文件夹默认是空的,但不建议删除此文件夹)
│ ├—java(存放Java运行的组件及其程序文件。不建议删除其中文件)│ ├—Web
│ │ ├—Wall*****(存放桌面壁纸的文件夹)
│ │
│ ├—addins(系统附加文件夹,用来存放系统附加功能的文件)
│ ├—Connection Wizard(连接向导文件夹,用来存放“Internet连接向导”的相关文
件)
│ ├—Driver Cache(驱动缓存文件夹,用来存放系统已知硬件的驱动文件)
│ │ └—i386(Windows操作系统自带的已知硬件驱动文件,可删除以节省空间)│ ├—TEMP(系统临时文件夹,其中内容可以全部删除)
│ ├—twain_32(扫描仪相关)
│ ├—AppPatch(应用程序修补备份文件夹,用来存放应用程序的修补文件)
│ ├—Debug(系统调试文件夹,用来存放系统运行过程中调试模块的日志文件)
│ ├—Resources(系统资源文件夹,用来存放系统SHELL资源文件,就是我们在桌面上所看到的主题)
│ │ └—Themes(桌面主题都存放于此,可删除无用主题)
│ ├—WinSxS(存储各个版本的Windows XP组件,减少因为DLL文件而引起的配置问题)│ ├—ime(输入法信息)
│ ├—PCHealth(用来存放协调、配置和管理计算机正常运行的文件)
│ │ └—HelpCtr(帮助和支持)
│ │ ├—Binaries(我们常用的msconfig就在这里哟)
│ ├—Offline Web Pages(脱机浏览文件存放于此)
│ ├—Prefetch(预读取文件夹,用来存放系统已访问过的文件的预读信息(此信息是系统在访问时自动生成的新信息),以加快文件的访问速度,其扩展名为“PF”。可以将此文件夹中的文件删除)
│ ├—ShellNew
│ ├—Fonts(字体文件夹。要安装某种字体只需将字体文件复制到该目录下即可)│ ├—pss(用来备份系统启动配置文件的,一般对“Boot.ini”、“System.ini”和“Win.ini”三个文件进行备份,扩展名为“backup”。如果系统原有的这三个文件损坏的话,可以从这里进行恢复。不建议删除)
│ ├—Registration(注册文件夹,用来存放用于系统COM+或者其他组件注册的相关文件。不建议删除这里的文件)
│ └—Downloaded Installations(存放一些使用Windows Installer技术的安装程序,主要用来对程序进行修复等操作)
├—Documents and Settings
│ ├—Default User
│ │ ├—Application Data(通用应用程序数据文件夹。此处存放着已经安装的一些应用程序的专用数据)
│ │ ├—桌面
│ │ ├—Favorites(收藏夹)
│ │ ├—NetHood(网络共享目录)
│ │ ├—My Documents(我的文档)
│ │ ├—PrintHood(打印共享目录)
│ │ ├—Recent(最近打开的文档)
│ │ ├—SendTo(鼠标右键的发送到)
│ │ ├—「开始」菜单
│ │ ├—Templates(模板文件夹,可能有Word、Excel等的模板文件)
│ │ └—Local Settings
│ │ ├—Application Data
│ │ └—Temp(临时文件目录。在系统和软件的运行过程中产生的临时文件就存放在于此。
需定期清理)
│ │ └—Temporary Internet Files(Internet临时文件夹。需定期清理)
│ ├—All Users(所有用户文件夹,这里的更改对所有用户有效)
│ └—Administrator(系统管理员帐户的文件夹)
├—Program Files
│ ├—Common Files(共享的应用程序文件存放于此)
│ ├—Internet Explorer(IE浏览器)
│ ├—ComPlus Applications(COM+ 组件的配置和跟踪,一般为空)
│ ├—Windows Media Player(WINDOWS媒体播放器)
│ ├—WindowsUpdate(用于Windows的升级,可删除)
│ ├—InstallShield Installation Information
│ ├—Uninstall Information(存放软件反安装信息,删除后可能导致部分软件无法卸载)├—wmpub(windows media service的目录)
├—boot(一键还原等软件的文件夹)
├—Inetpub(IIS文件夹)
├—Downloads(Flashget默认下载文件夹)
├—System Volume Information(系统还原文件夹)
└—TDdownload(迅雷默认下载文件夹)
=========================== Debug文件夹
这是系统调试文件夹,用来存放系统运行过程中调试模块的日志文件,以便管理员根据这些日志文件来发现计算机所存在的问题。其中“UserMode”文件夹下存放的是当前用户的调试日志文件。
ime文件夹
这是输入法文件夹,用来存放系统默认安装的输入法文件。Windows操作系统已经内嵌了东亚国家的输入法,如日语,韩文等,从理论上可以将用不到的一些其他语言输入法删除掉,但不建议这样做,因为这样有可能会导致输入法系统出现不稳定的情况,严重影响简体中文输入法的正常使用。
CHSIME:简体中文输入法;
CHTIME:繁体中文输入法;
IMEJP:日文输入法;
IMEJP98:日文98输入法;
IMJP8_1:微软IME标准2002的8.1版本输入法;
IMKR6_1:朝鲜语(IME2002)6.1版本输入法;
SHARE:东亚语系共享文件夹。
Fonts文件夹
这是字体文件夹,用来存放系统将会用到的字体文件。用户自己新安装的字体也会被存放在这个文件夹下的。其中英文的字体类型比较多,而简体中文字体文件只包括仿宋体、黑体、楷体、宋体和新宋体四个类型,即计算机编码中的GB2312。可以将其中一些不常使用的英文字体删除。
Installer文件夹
这里用来存放MSI文件或者程序安装所需要的临时文件。MSI文件是Windows 系统的安装包,右击文件在右键菜单中可以选择安装或者卸载程序。有的程序在卸载时必须使用到MSI文件,所以不建议删除此文件夹内的文件。
system32文件夹
这是32位系统文件夹,用来存放系统重要文件的,同时一些应用程序在安装时也会将其相应的支持文件复制到这个文件夹里来,因此强烈反对删除此文件夹下文件或此文件夹的做法。由于此文件夹下的文件和此文件夹众多,我们只列举一些具有代表性的文件夹
① CatRoot:用来存放计算机启动测试信息的目录,包括了计算机启动时检测的硬软件信息。② Com:用来存放组件服务文件,运行其的“comexp.msc”就会打开组件服务控制台。③ DllCache:用来存放系统缓存文件,当系统本来的文件被替换时,文件保护机制会复制这个文件 夹下的备份系统文件去覆盖非系统文件。你可以用“SFC /SCANNOW”命令格式扫描一下系统文件,然后就可以将其下的所有文件全部删除了。
④ Drivers:用来存放硬件驱动文件。如果删除其中的文件,会导致硬件失去驱动而无效。⑤ IME:用来存放系统输入法文件,类似上去的IME文件夹。
⑥ oobe:用来存放系统的激活信息。
⑦ Restore:用来存放系统还原文件。双击运行“rstrui.exe”文件,就会调用系统还原功能。
⑧ Setup:用来存放系统安装文件。
⑨ spool:用来存放系统打印文件。包括了打印的色彩、打印预存等。
本备课组由钟丽婷和廖老师两位老师组成,我们本着“乐学、求索”的教学理念,探索新型生物教学模式。
本期以来,根据学校工作安排,我们将原先坚持的集体备课进一步完善。定时间(每周的星期四上午),定地点(初一年级办公室)、定进度(我们根据个人的教学进度结合本期教学计划确定)、定教学内容(我组在当次的集体备课时就提前确定下次的研讨内容)、定中心发言人(采取轮流担任的方式,分享经验)。
经过组内两位老师的辛苦努力,克服种种困难,并带领学生学习新型技术(数码显微镜)。另外为了让学生的学习兴趣更浓,接受知识更直观形象,更好的培养学生动手能力和审美观,两位老师又共同申报了社团(花卉)。为了进一步提高学生成绩最终我们进行培优补差和建立“培训、教学、科研”相结合的工作方式。
1.服务器的物理安全
2.administrator账号更名、禁用Guest账号
3.更改文件夹和打印共享默认everyone组权限
4.设置密码复杂性要求,设置密码有效期
5.设置屏保密码
6.设置分区格式为NTFS格式
7.开启系统安全策略(帐户策略、本地策略)
8.关闭TerminalServices和IIS服务
9.关闭不必要的服务端口
常用服务列表c:windowssystem32driversetcservices
网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打
开tcp/ip筛选,添加需要的tcp,udp,协议即可。
10.不显示上次登录的用户帐户名
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName=1
11.禁止建立IPC$空连接
HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSARestrictAnonymous=1
12.下载最新的Service Pack和漏洞补丁
13.禁用磁盘默认共享
HKEY_LOCAL_MACHINESystemCurrentControlSetServiceslanmanserverparametersAutoShareServerREG_DWORD=0x0
14.禁用ADMIN共享
HKEY_LOCAL_MACHINESystemCurrentControlSetServiceslanmanserverparametersAutoShareWks REG_DWORD=0x0
15.限制IPC$共享
HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSARestrictAnonymousREG_DWORD=0x0 匿名用户无法列举本机用户列表
REG_DWORD=0x1 匿名用户无法连接本机IPC$共享(不建议使用该值,否则造成某些服务无
法启动如Sql Server)
16.禁用445端口
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters]
“SMBDeviceEnabled”=dword:00000000
17.禁止网页修改注册表
管理工具-> 服务-> Remote Registry Service-> “已禁用”
18.安装并运行防病毒软件、定期升级
19.敏感文件存放不同的文件服务器上,定期备份数据。
20.打开审核策略
21.使用文件加密系统EFS
Windows2000 强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件.有关EFS的具体信息可以查看
22.关机时清除掉页面文件
来源:软件世界李贵林陈朝晖
与DOS/Windows不同,UNIX文件被删除后很难恢复,这是由UNIX独特的文件系统结构决定的。UNIX文件目录不像DOS/Windows那样,文件即使被删除之后仍保存有完整的文件名、文件长度、始簇号(即文件占有的第一个磁盘块号)等重要信息;相反,它的文件信息全部依靠一种被称为i节点的数据结构来描述,而i节点在相应文件被删除之后即被清空,因此,要想直接恢复被删除的文件内容几乎是不可能的,必须另辟蹊径。本文结合实际,讨论几种文件恢复策略及其关键步骤的具体实现。
一、UNIX文件系统结构
我们知道,UNIX是以文件卷作为其文件系统存储格式的,而不同的UNIX系统,文件卷格式是有差异的,甚至即使是同一UNIX操作系统的不同版本,其文件系统未必完全相同,例如:SCOUNIX4.1版与5.0版文件系统结构就有明显差异,但只要是UNIX系统,其文件卷的基本结构是一致的。分析如下:
不管是什么UNIX系统,不管什么版本,其文件卷至少包括引导块、超级块、i节点表、数据区等几个部分。除此之外,不同UNIX版本可能还有不同的差异。例如:SCOUNIX系统的位图索引块和位图块AIX的逻辑卷表等。这些系统的特殊性不影响下文的恢复策略,故这里不作讨论,仅介绍标准UNIX文件卷结构。
1.引导块
位于文件卷最开始的第一扇区,这512字节是文件系统的引导代码,为根文件系统所特有,其他文件系统这512字节为空。
2.超级块
位于文件系统第二扇区,紧跟引导块之后,用于描述本文件系统的结构。如i节点长度、文件系统大小等,其结构存放于/usr/include/sys/filsys.h中,其结构如下:
structfilsys
{
ushorts_isize;/*磁盘索引节点区所占用的数据块数*/
daddr_ts_fsize;/*整个文件系统的数据块数*/
shorts_nfree;/*在空闲块登录表中当前登记的空闲块数目*/
daddr_ts_free[NICFREE];/*空闲块登记表*/
shorts_ninode;/*空闲索引节点数*/
ino_ts_inode[NICINOD];/*空闲节点登记表*/
chars_flock;/*加锁标志位*/
chars_ilock;/*节点加锁标志位*/
chars_fmod;/*超级块修改标志*/
chars_ronly;/*文件系统只读标志*/
time_ts_time;/*超级块上次修改的时间*/
shorts_dinfo[4];/*设备信息*/
daddr_ts_tfree;/*空闲块总数*/
ino_ts_tinode;/*空闲节点总数*/
chars_fname[6];/*文件系统名称*/
chars_fpack[6];
longs_fill[13];/*填空位*/
longs_magic;/*指示文件系统的幻数*/
longs_type;/*新文件系统类型*/
};
3.i节点表
i节点表存放在超级块之后,其长度是由超级块中的s_isize字段决定的,其作用是用来描述文件的属性、长度、属主、属组、数据块表等,其数据结构在/usr/include/sys/ino.h中,如下:
structdinode
{
ushortdi_mode;
shortdi_nlink;
ushortdi_uid;
ushortdi_gid;
off_tdi_size;
chardi_addr[40];
time_tdi_atime;
time_tdi_mtime;
time_tdi_ctime;
};
4.目录结构
UNIX所有文件均存放于目录中,目录本身也是一个文件。目录存放文件的机制如下:首先,目录文件本身也象普通文件一样,占用一个索引节点,其次,由这个索引节点得到目录内容的存放位置,再次,从其内容中取出一个个的文件名和它对应的节点号,从而访问一个文件。目录结构如下:
索引节点号(2字节).(本目录)(14字节)
索引节点号(2字节)..(父目录)(14字节)
索引节点号(2字节)文件名(14字节)
索引节点号(2字节)文件名(14字节)
索引节点号(2字节)文件名(14字节)
由上可知文件名是依靠目录来描述的,文件的内容和其他信息则由索引节点来描述。
二、文件的删除过程
UNIX下删除一个文件的过程很简单,那就是释放索引节点表和文件占用的数据块,清空文件占用的索引节点,但不清除文件内容。但删除文件与删除目录的处理不尽相同,不同命令删除文件的过程也不相同。
1.删除一个文件
UNIX删除一个文件的具体步骤是:根据文件i节点的地址表逐一释放文件占用的磁盘数据块,然后清空相应的节点,最后释放i节点。
2.删除一个目录
删除一个目录的过程:首先逐一删除目录里的所有文件,然后删除目录。目录本身也是一个文件,故删除方法与删除文件一致。
3.几种不同的删除命令
.rm命令
一般删除命令,删除过程上述已说明,
.mv命令
格式:mv文件1文件2
处理过程是将文件2的数据块释放,然后将文件1的名称改为文件2,再释放文件2所占的i节点。
.>命令
格式:>文件名
若产生一个新文件,>命令仅仅申请一个i节点,而不写入任何文件内容;若清空一个已经存在的文件,则释放文件所占的数据块,并将文件长度清零。
三、被删文件的恢复策略
要恢复被删除的文件,只能根据删除后留下的东西去做文章。文件被删除后留下了什么呢?由上述分析可知:其一、留下了文件的内容;其二、留下了“现场”。文件的恢复策略只能从这两个方面来分析。以下谈几种恢复策略。
1.根据磁盘现场进行恢复
如果文件被删除,现场未被破坏(即文件被删除后硬盘未发生过写操作),而且假定只删除了一个文件,那么可根据系统的分配算法进行恢复。因为系统建立一个文件时,必定根据某一特定的分配算法决定文件占用的数据块位置。而当该文件被删除后,它所占用的数据块被释放,又回到系统的分配表中,这时如果重新建立一个文件,系统根据原来的分配算法分配出的数据块必定跟该文件原来占用的数据块一致,而且我们知道,UNIX文件最后一数据块尾部多出的字节是全部置0的,据此只要调用系统的数据分配算法,在系统中一块块的申请数据块,因为UNIX文件最后一个数据块尾部多出的字节全部为0,所以,只要发现一个分配出的数据块中尾部全为0,即可认为文件结束,由此可确定文件长度和内容,进而实现恢复。方法如下:
⑴申请一个索引节点,即向系统申请创建一个新文件名而不写入任何内容。如:#>/tmp/xx
⑵调用系统分配数据块算法getnextfreeblock得到一个数据块号,记入某一地址表变量中。
⑶读出这个数据块,判断其尾部是否全部连续为0,若不是,则回到(2),若是,则进行(4)。
⑷首先用系统函数fstat得到/tmp/xx的i节点号,然后将(2)步所得的地址表写入索引节点的地址表中(注意间址问题),并根据数据块个数和最后一块中有效数据长度计算出文件大小,写入i节点的di_size字段。
⑸回写系统的索引节点表即可。
需要说明的是,第一,系统分配数据块的算法因不同的UNIX版本而不同;第二,有的UNIX如SCOUNIX5.0版,其空闲数据块的分配和回收是使用一种动态链表的数据结构来实现的,它们的文件恢复更加容易,只要在空闲链表中的表尾去寻找即可,笔者另行描述。
2.根据内容恢复。
若现场已被破坏,即硬盘发生过写操作,那么只好根据内容来恢复。而且,由于UNIX是一个多进程、多用户系统,它每一次开关机或硬件、通讯故障等都会记录系统日志、.sh_history等,硬盘现场被破坏可能性极大。因此讨论按内容恢复的方法具有更大的实用价值。笔者经过实际探索得出下列四种恢复策略供参考。
⑴关键字搜索法
如果知道被删除的文件内容中若干字节的内容,而且该文件长度又不超过一个磁盘块,那么可以在整个文件系统中搜索这一字节串,得出一个文件所在的数据块,将它们的块号填入一个i节点,即可恢复一个文件,搜索文件系统的算法很简单,说明如下:
a.#df-k确定文件系统的设备文件名(如/dev/root)
b.用下述函数搜索,若成功,返回数据块号,反之返回-1。其中fsname是文件系统的设备名,如/dev/root,comp()参数是实现搜索条件的函数。
longsearchfs(char*fsname,intcomp())
{
FILE*fp;
charbuf[1024];
longi=0;
fp=fopen(fsname,“r”);
while(!feof(fp))
{
fread(buf,1024,1,fp);
if(comp())/*检查是否符合搜索条件*/
returni;/*若成功返回块号*/
i++;
}
fclose(fp);
return-1;/*未找到符合条件的块,返回-1*/
}
⑵精确长度搜索法
如果知道被删除文件的精确长度(字节数),那么可根据一个数据块的大小,计算出文件的最后一个数据块中数据的精确长度,该数据块中其他字节必然是全0。根据这一条件,通过搜索整个文件系统,找出其中符合条件的数据块,若出现多个块符合要求,则还需要根据其他条件区分。但不管怎样,根据精确长度分析也是恢复数据的一个策略。
⑶内容关联法
如果知道文件内容中存在某种可实现的关联,例如文件的校验和,或者文件内容的某种上下文关系,那么也可通过搜索整个文件系统,通过反复尝试寻找符合关联条件的磁盘数据块,进而恢复一个文件。
⑷环境比较法
如果知道删除文件所在的文件系统的安装过程,那么,另行找一台完全相的机器,按原来完全相同的步骤安装相同版本的UNIX和相应的其他软件,可以想象,新的机器环境会与原来的环境基本相同,比较两个机器上相同文件系统的内容,可以推断出被删除文件的大致位置,至少可以大大减少查找的范围,一旦查找的范围足够小时,可以用逐个观察和尝试的方法结合其他条件恢复数据,降低恢复的难度,增加恢复的可靠性。
UNIX系统下文件系统恢复的具体实现依赖于不同操作系统和不同版本的具体文件系统结构和磁盘块分配算法。本文试图总结出一种一般性的思路和策略,限于篇幅,不能详细讨论它们的具体实现过程。
answer 回复于:-02-12 15:19:02太专业了。
不过是好东西,加精华。
yeungxl 回复于:2003-02-12 15:39:38SCOOSR下有更容易的解决方案,具体参见:
www.chinaunix.net/bbsjh/4/15420.html
午夜聆听 回复于:2003-02-12 19:56:51华山大哥的帖子。好精典
quicksand 回复于:2003-02-13 16:28:05好,收藏!
sdclearcase/“ target=”_blank“ >ccf 回复于:2003-02-13 20:11:57实现起来困难。
【Windows 组策略简介】推荐阅读:
windows实验09-22
windows 域概述05-27
windows操作实验考核02-13
windows系统安全设置02-13
加强Windows安全性06-12
Windows 98关机时重启07-20
windows系统基本操作10-15
windows操作系统课件12-05
妙用Windows系统“安全模式”01-26
Windows网络管理技巧04-21
