您需要調整以控制 Windows 的最佳組策略設置

如果你想通過對安全性進行更多控製或禁用微軟向你拋出的一些東西來改變 Windows 的行為，你可以通過調整組策略設置來做到這一點。是的，您也可以從註冊表編輯器中執行相同的操作，但組策略具有一些優勢，例如組策略在 Windows 更新後不會更改，這與註冊表不同。最重要的是，您可以在系統上本地配置組策略，也可以使活動目錄應用於域中的多個系統。因此，這對於運行 Windows 計算機的辦公室和學校特別有用。

最佳組策略設置

在開始之前，讓我們了解組策略是一種圖形工具，可讓您編輯本機操作系統設置、內核設置等。但是，以錯誤的方式調整組策略甚至可能導致您的操作系統出現故障。因此，如果您要進行任何更改，請確保在進行任何更改之前導出列表。

如何訪問組策略

組策略的最大警告之一是它僅在運行 Windows 專業版、教育版或企業版的計算機上可用。即使您運行的是 Windows Home，您也可以訪問組策略，但幾乎沒有變通方法，我將在下面解釋。

要訪問組策略，有多種方法，最簡單的方法之一是打開命令提示符 > 鍵入“gpedit.msc”並單擊 Enter。 

儘管組策略不是 Windows Home 版本的一部分，但仍有一種訪問方法。您所要做的就是通過下載此批處理文件來安裝第三方組策略編輯器。以管理員身份打開它，它將在命令提示符下開始安裝。安裝大約需要 2-3 分鐘。該過程完成後，再次打開命令提示符並鍵入 gpedit.msc 以訪問它。

1.禁用任何軟件安裝

通過不允許用戶安裝各種軟件，您可以減少安裝不良軟件時所需的維護和清潔量，因為這也是惡意軟件的潛在原因之一。這在您希望學生僅訪問所需內容的學校中尤其有用。

如果您想限制用戶安裝或運行程序，您可以通過打開組策略 > 導航到計算機配置 > 管理模板 > Windows 組件 > Windows Installer並雙擊關閉 Windows Installer選項來進行設置。更改設置以啟用並確保選項顯示“僅限非託管應用程序”，以便他們可以安裝管理允許的所有應用程序。現在單擊應用並重新啟動計算機以進行更改。

阻止運行特定應用程序 

在許多情況下，阻止所有要安裝的應用程序是多餘的。如果您只想阻止幾個應用程序，那麼您可以對組策略進行這些更改。

打開組策略 > 用戶配置 > 管理模板 > 系統，然後雙擊 不運行指定的 Windows 應用程序 選項。更改設置以啟用並單擊顯示按鈕。現在，您可以輸入要為用戶阻止的應用程序列表，然後單擊確定。現在單擊應用並重新啟動系統以應用設置。

2.阻止訪問控制面板

主要在業務環境中為控制面板設置限制非常重要，因為它可以讓您控制整個系統。您可以阻止整個訪問或限制其訪問。

要阻止訪問，請打開組策略 >用戶配置 > 管理模板 > 控制面板 >  並雙擊 禁止訪問控制面板和 PC 設置，然後單擊啟用並應用。更改將立即應用。

僅顯示特定的控制面板項目 

上述過程阻止訪問整個控制面板。但是，如果您希望限制使用。您可以通過打開組策略 >用戶配置 > 管理模板 > 控制面板 >  並雙擊僅顯示指定的控制面板項目 並單擊啟用來做到這一點。現在單擊顯示選項以指定要顯示的每個控制面板選項。如果它不在此列表中，則不會向用戶顯示。

這意味著您需要仔細挑選並輸入您想要包含的每個控制面板項目。您可以 在 Microsoft 網站上找到所有控制面板項目的名稱。

3.禁用命令提示符

命令提示符無疑非常有用，同時也是一場噩夢，因為它讓用戶有機會運行您不打算運行的命令和程序。在沒有經驗的人手中，它也可能是一種危險的工具。禁用命令提示符的原因有很多，也許您有孩子共享家庭計算機，或者您讓客人在與您同住時使用您的計算機。或者，您可能正在運行需要鎖定的商用計算機。

要禁用，請打開組策略 > 用戶配置 > 管理模板 > 系統，然後雙擊阻止訪問命令提示符選項。更改策略以啟用和應用。現在您需要重新啟動才能應用更改。

4.禁用Windows註冊表編輯器

與命令提示符相同，註冊表編輯器甚至可以破壞並繞過一些組策略限制。因此，為了保護策略，您可以打開組策略 > 用戶配置 > 管理模板 > 系統，然後雙擊阻止訪問註冊表編輯工具並啟用它。現在單擊應用並重新啟動 PC 以應用更改。

5. 阻止可移動媒體驅動程序

USB 或其他形式的可移動媒體設備可能對 PC 造成危險。如果有人意外或故意連接受病毒感染的存儲設備，則可能會影響 PC 甚至域。在運行大量計算機時，允許媒體驅動程序會使管理存儲變得困難。阻止可移動媒體驅動程序通常在許多學校和學院中使用。

要阻止媒體驅動程序，請打開組策略 > 用戶配置 > 管理模板 > 系統 > 可移動存儲訪問，然後雙擊可移動磁盤：拒絕讀取訪問。現在點擊啟用選項併申請停止PC讀取外部驅動程序。

阻止寫入選項 

上述選項只會使 PC 不讀取外部設備中的文件。但是您仍然可以將文件複製到外部設備中。如果要保護文件，還需要阻止寫入選項。這通常在商業環境中實現。

要阻止寫入選項，請打開組策略 > 用戶配置 > 管理模板 > 系統 > 可移動存儲訪問，然後雙擊可移動磁盤：拒絕寫入訪問。現在啟用該選項並選擇應用以應用更改。

或者，您可以使用所有可移動存儲類：拒絕所有訪問以同時阻止讀取和寫入選項。

6.從計算機隱藏分區驅動器

如果系統中有任何敏感信息，您可能希望對特定用戶隱藏它以訪問它。您可以從組策略設置中執行此操作。但請記住，此設置只會對文件資源管理器和少數其他應用程序隱藏它，但人們仍然可以從命令提示符訪問它。

無論如何，您可以通過打開組策略 > 用戶配置 > 管理模板 > Windows 組件 > Windows 資源管理器並雙擊在我的電腦上隱藏這些指定的驅動器並選擇啟用選項來隱藏它。啟用後，單擊“選項”面板中的下拉菜單，然後選擇要隱藏的驅動器。單擊確定時，驅動器將被隱藏。

7.增加最小密碼長度

默認的 Windows 密碼長度為 8，您需要使用至少一個大寫、小寫和數字或特殊字符。它實際上是安全的。但是您可以通過增加密碼長度來提高安全性。您可以使用大寫、小寫和數字或特殊字符將其設置為最多 14 個。

您可以通過打開組策略 > 計算機配置 > Windows 設置 > 安全設置 > 帳戶策略 > 密碼策略來更改它，然後雙擊最小密碼長度策略並指定長度值，然後單擊並應用。

8. 跟踪帳戶登錄

使用組策略，您可以強制 Windows 跟踪所有成功和失敗的 PC 登錄。您可以將其設置為特定計算機或特定用戶。無論如何，這對於跟踪試圖登錄的未經授權的人很有用。您可以通過打開組策略 > 計算機配置 > Windows 設置 > 安全設置 > 本地策略 > 審核策略來啟用它，然後雙擊審核登錄事件。 

在這裡選中“成功” 和 “失敗”選項旁邊的複選框 。當您單擊確定時，Windows 將開始記錄登錄到 PC 的記錄。

要查看這些登錄信息，請打開運行並輸入eventvwr以打開 Windows 事件查看器。現在展開Windows 日誌，然後選擇安全 選項。在中間面板中，您可以查看所有登錄嘗試。您可以查看嘗試登錄的帳戶、日期以及時間。但是成功和失敗的嘗試都是用代碼提到的。

9.禁用OneDrive

您可能喜歡 OneDrive 或完全討厭它。如果您或您的組織不使用 OneDrive，或者您只想從您的 PC 中刪除，您可以使用組策略。打開組策略 > 計算機配置 > 管理模板 > Windows 組件 > OneDrive並雙擊阻止使用 OneDrive 進行文件存儲。現在啟用它並單擊應用。您需要重新啟動 PC 才能進行更改。

10. 控制組策略更改

無論如何，這些更改可以通過使用相同方法的組策略恢復正常，但將它們設置為禁用。您可以使用組策略對象審核繼續負責組策略。要持續跟踪組策略對像中所做的更改，請嘗試 Lepide Change Reporter。

包起來

調整組策略設置後，您需要將設置移動到 Active Directory 中的計算機組，您可以在其中為域中的每台 PC 設置目錄。您還可以僅為單個用戶或計算機設置特定的組策略。 現在您需要做的就是從 Active Directory 下載組策略以應用。對活動目錄的任何更改都將自動應用於各個系統。