相信很多人都认为Windows 7系统最大的亮点就是其拥有眩目的界面，其实该系统内置的安全功能也同样引人注目。本文下面将从系统组策略设置出发，与各位朋友一起分享自我控制Windows 7系统安全的秘籍！

1、不让远程连接“拖累”系统
　　大家知道，要是在某个时段，有太多的远程连接同时要求Windows 7系统进行响应的话，那么该系统轻则会出现反应迟钝现象，严重的话能直接瘫痪，很多恶意用户时常会用这种方法攻击Windows 7系统。为了不让远程连接拖累系统，我们可以在Windows 7系统反应缓慢的时候，打开对应系统的任务管理器窗口，进入其中的连接标签页面，之后执行右键菜单中的删除所有连接命令，就能恢复系统的安全运行状态了。不过，在默认状态下，我们往往无权直接删除系统中的所有远程连接，不过按照下面的方法设置系统组策略参数，就能实现这种的目的了：
    首先从Windows 7系统的“开始”菜单中点选“运行”选项，在弹出的系统运行文本框中执行gpedit.msc命令，打开对应系统的组策略编辑界面，展开该界面中的“用户配置”节点，并从该节点下面依次点选“管理模板”、“网络”、“网络连接”分支选项；
    其次用鼠标双击“网络连接”分支下面的目标组策略选项“删除所有用户远程访问连接”，弹出如图1所示的选项设置对话框，在这里我们发现Windows 7系统默认状态下并没有配置“删除所有用户远程访问连接”选项，此时我们只要选中这里的“已启用”选项，再点击“确定”按钮，Windows 7系统系统日后就能允许我们快速关闭所有的远程连接了。
    以后，只要我们发现远程连接Windows 7系统的数量比较多时，那就可以进入任务管理器窗口，打开用户选项设置页面，将值得怀疑的那些远程连接依次选中，同时右击这些处于选中状态的远程连接，最后从右键菜单中点选“断开”命令，那样一来Windows 7系统的安全运行状态就不会受到影响了。

2、不让用户“占位”不干活
    有的用户辛辛苦苦地远程登录进Windows 7系统，可是进入以后却不急于工作，让其连接一直处于闲置状态；殊不知，Windows 7系统对远程连接的数量是有限制的，当登录Windows 7系统的远程连接数超过规定限制时，其他用户就不能正常登录Windows 7系统进行干活了。为了不让远程用户“占位”不干活，我们可以对Windows 7系统的组策略参数进行如下设置，以便强制注销那些超过登录时间的远程用户：
    首先在Win 7系统中，打开系统运行文本框，在其中输入“gpedit.msc”字符串命令，单击回车键后，打开对应系统的组策略编辑界面，在该界面的左侧区域展开“计算机配置”分支；
    其次从目标分支下面依次选中“Windows设置”子项，再从该子项下面逐一展开“安全设置”/“本地策略”/“安全选项”选项，在“安全选项”下面找到目标组策略选项“网络安全：在超过登录时间后强制注销”，并用鼠标双击该选项，弹出如图2所示的选项设置对话框，将该对话框中的“已启用”选项选中，同时单击“确定”按钮，如此一来那些登录进Windows 7系统的用户，如果长时间不进行任何操作的话，那么该系统就会强制注销这个“占位”不干活的用户。

3、不让木马“进驻”临时文件
    在Internet网络上冲浪时，稍微不小心就能遭遇木马或病毒的攻击，而许多木马或病毒在真正发作运行之前，往往会想方设法地将自己存储到本地系统的临时文件中，这样既能方便自己的启动运行，又能保护自身的安全，因为许多专业扫描工具即使能够发现木马病毒，但是它们却不能随意删除临时文件夹中的内容。有鉴于此，我们可以设置Windows 7系统，让其禁止任何用户对本地系统的临时文件夹进行编辑、访问，如此一来就能间接禁止木马病毒的攻击了，下面就是具体的设置步骤：
    首先点选Windows 7系统“开始”菜单中的“运行”命令，打开系统运行文本框，在其中执行“gpedit.msc”命令，弹出系统组策略编辑界面，展开该界面左侧列表中的“计算机配置”节点；
    其次从该节点下面依次选中“Windows设置”、“安全设置”、“软件限制策略”分支选项，之后用鼠标右键单击目标分支下面的“其他规则”子项，并从右键菜单中点选“新建路径规则”命令，之后单击如图3所示设置窗口中的“浏览”按钮，打开本地系统的文件选择框，从中将
Windows 7系统的临时文件夹选中并导入进来；
    下面在“安全级别”位置处单击下拉按钮，从下拉列表中选中“不允许”选项，同时单击“确定”按钮执行设置保存操作，那样一来我们日后即使不小心遭遇到了木马病毒，但它们却不能随意自由运行、发作，那么本地系统的安全性也就能得到一定的保证了。

4、不让用户恶意ping“我”
    如果恶意用户不停地向Windows 7系统发送大容量的ping命令数据包，那么要不了多长时间，Windows 7系统就会发生瘫痪现象。为了不让用户恶意ping“我”，我们可以设置Windows 7系统，来禁止该系统应答一切ping命令数据包，那样一来无论别人如何发送ping命令数据包，Windows 7系统都能安全稳定运行：
    首先打开Windows 7系统的组策略编辑界面，展开该界面左侧
    其次选中该控制台左侧列表中的“计算机配置”节点选项，并从目标节点下面逐一点选“Windows设置”、“安全设置”、“高级安全Windows防火墙”、“高级安全Windows防火墙——本地组策略对象”选项，再用鼠标选中目标选项下面的“入站规则”项目；
    接着在对应“入站规则”项目右侧的“操作”列表中，点选“新规则”选项，此时系统屏幕会自动弹出新建入站规则向导对话框，依照向导屏幕的提示，先将“自定义”选项选中，再将“所有程序”项目选中，之后从协议类型列表中选中“ICMPv4”，如图3所示；
    之后向导屏幕会提示我们选择什么类型的连接条件时，我们可以选中“阻止连接”选项，同时依照实际情况设置好对应入站规则的应用环境，最后为当前创建的入站规则设置一个适当的名称。完成上面的设置任务后，将Windows Server 2008服务器系统重新启动一下，这么一来Windows Server 2008服务器系统日后就不会轻易受到来自外网的非法ping测试攻击了。
    小提示：尽管通过Windows Server 2008服务器系统自带的高级安全防火墙功能，可以实现很多安全防范目的，不过稍微懂得一点技术的非法攻击者，可以想办法修改防火墙的安全规则，那样一来我们自行定义的各种安全规则可能会发挥不了任何作用。为了阻止非法攻击者随意修改Windows Server 2008服务器系统的防火墙安全规则，我们可以进行下面的设置操作：
    首先打开Windows Server 2008服务器系统的“开始”菜单，点选“运行”命令，在弹出的系统运行文本框中执行“regedit”字符串命令，打开系统注册表控制台窗口；选中该窗口左侧显示区域处的HKEY_LOCAL_MACHINE节点选项，同时从目标分支下面选中SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules注册表子项，该子项下面保存有很多安全规则；
    其次打开注册表控制台窗口中的“编辑”下拉菜单，从中点选“权限”选项，打开权限设置对话框，单击该对话框中的“添加”按钮，从其后出现的帐号选择框中选中“Everyone”帐号，同时将其导入进来；再将对应该帐号的“完全控制”权限调整为“拒绝”，最后点击“确定”按钮执行设置保存操作，如此一来非法用户日后就不能随意修改Windows Server 2008服务器系统的各种安全控制规则了。

5、不让用户随意“变态”下载
    在多人共同使用相同的一台计算机进行工作时，我们肯定不希望普通用户随意使用迅雷工具进行恶意下载，这样不但容易浪费本地系统的磁盘空间资源，而且也会大大消耗本地系统的上网带宽资源。而在Windows Server 2008系统环境下，限制普通用户随意使用迅雷工具进行恶意下载的方法有很多，例如可以利用Windows Server 2008系统新增加的高级安全防火墙功能，或者通过限制下载端口等方法来实现上述控制目的，其实除了这些方法外，我们还可以巧妙地利用该系统的软件限制策略来达到这一 目的，下面就是该方法的具体实现步骤：
    首先以系统管理员权限登录进入Windows Server 2008系统，打开该系统的“开始”菜单，从中点选“运行”命令，在弹出的系统运行文本框中，输入“gpedit.msc”字符串命令，进入对应系统的组策略控制台窗口；
    其次在该控制台窗口的左侧位置处，依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”选项，同时用鼠标右键单击该选项，并执行快捷菜单中的“创建软件限制策略”命令；
    接着在对应“软件限制策略”选项的右侧显示区域，用鼠标双击“强制”组策略项目，打开如图1所示的设置对话框，选中其中的“除本地管理员以外的所有用户”选项，其余参数都保持默认设置，再单击“确定”按钮结束上述设置操作；
    下面选中“软件限制策略”节点下面的“其他规则”选项，再用鼠标右键单击该组策略选项，从弹出的快捷菜单中点选“新建路径规则”命令，在其后出现的设置对话框中，单击“浏览”按钮选中迅雷下载程序，同时将对应该应用程序的“安全级别”参数设置为“不允许”，最后单击“确定”按钮执行参数设置保存操作；
    重新启动一下Windows Server 2008系统，当用户以普通权限账号登录进入该系统后，普通用户就不能正常使用迅雷程序进行恶意下载了，不过当我们以系统管理员权限进入本地计算机系统时，仍然可以正常运行迅雷程序进行随意下载。

文章如转载，请注明转载自：http://www.5iadmin.com/post/498.html