利用WINXP组策略实现HIPS的功能

Host-based Intrusion Prevention System HIPS，基于主机的入侵防御系统。

HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件和文件对注册表的修改，并向你报告请求允许的的软件。

若是你阻止了，那么它将无法运行或更改。

比如你双击了一个病毒程序，HIPS软件跳出来报告而你阻止了，那么病毒仍是没有运行的。

引用一句话：”病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。

”。

HIPS是以后系统安全发展的一种趋势，只要你有足够的专业水平，你可以只用HIPS而不需杀毒软件。

可是HIPS并非能称为防火墙，最多只能叫做系统防火墙，它不能阻止网络上其他计算机对你计算机的解决行为。

因为病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。

咱们个人用的HIPS可以分为3D：AD(Application Defend)应用程序防御体系RD(Registry Defend)注册表防御体系FD(File Defend)文件防御体系它通过可定制的规则对本地的运行程序、注册表的读写操作、和文件读写操作进行判断并允许或禁止。

所谓hips(主机入侵防御体系)，也就是此刻大家所说的系统防火墙，它有别于传统意义上的网络防火墙nips.二者虽然都是防火墙，可是在功能上其实仍是有很大不同的：传统的nips 网络防火墙说白了就是只有在你利用网络的时候能够用上，通过特定的tcp/ip协议来限定用户访问某一ip地址，或也可以限制互联网用户访问个人用户和服务器终端，在不联网的情况下是没有什么用途的；而hips系统防火墙就是限制诸如a进程挪用b进程，或禁止更改或添加注册表文件--打个例如说，也就是当某进程或程序试图偷偷运行的时候老是会挪用系统的一些其他的资源，这个行为就会被hips检测到然后弹出警告询问用户是不是允许运行，用户按照自己的经验来判断该行为是不是正确安全，是则放行允许运行，否就不使之运行，一般来讲，在用户拥有足够进程相关方面知识的情况下，装上一个hips软件能超级有效的避免木马或病毒的偷偷运行，这样对于个人用户来讲，中毒插马的可能性就大体上很低很低了.可是，只是装上个hips 也不是最安全的，毕竟--用户穿上的只是个全透明防弹衣也仍是会被某些别有效心的人偷窥去用户的个人隐私的，所以，选用一款功能壮大而小巧的防火墙也是很重要的--最少有避免DDOS解决和防arp欺骗解决功能(对内网用户尤其重要)！上面是对hips和防火墙作个区别，因为杀软和这两类软件不同比较大，就不拿到这里来讲了，下面我具体介绍一下hips和常见的几款hips安全软件，希望对列位有所裨益！常常利用的HIPS软件有：SNS(Safe'n'Sec Personal)--AD+FD+RD，SSM(System Safety Monitor)，--免费版AD+RD，商业注册版AD+FD+ RDPG(ProcessGuard和Port Explorer)--AD+RD，GSS(Ghost Security Suite)--AD+RD，SS(SafeSystem 2021)--FD.EQSecure(国产的E盾)--AD+FD+RD其实我感觉这些hips软件在功能上也大多差不多，更多的咱们其实也就是比较一下谁的生命力更顽强(不容易被其他进程干掉)，谁更适合国人所需，谁更简单易操作，下面我就这些方面做个相对比较简单的介绍吧！首先是SSM(System Safety Monitor）因为我比较喜欢这款：商业版免费版注册表监视：高级大体进程监视：高级大体底层磁盘访问控制：有无底层键盘访问控制：有无NT服务监视：高级大体IE设置跟踪：高级大体用户程序友好对话：有无优先支持：高低开发优先：高低Win9x支持：无有SSM在声誉上面是相当不错的，而且也相对很稳定--虽然能被ICEword干掉，不过其他的hips类仿佛也都是能被干掉的，这个不是重点，因为在冰刃要干掉他们之前，hips软件已经会报警询问是不是允许该项操作，虽说缺了个FD功能，不过我感觉对个人用户来讲已经相当足够，最少我已经有半年时间未中毒插马了--固然，若是你仍是不安心，再装上个SS补足3D功能也是可以的，最关键的是SSM商业版已经被成功破解了(该软件有简体中文版)，唯一感觉不爽的可能就是初期利用比较繁琐，毕竟什么东西的运行都要选择允许仍是禁止也是一件头疼事，所以一般在刚装上的时候，我个人建议仍是先全数运行一遍所有的你要经经常利用到的东西就可以够了，占用资源也还可以，一般是一个进程10M左右，cpu大体没感觉.我给SSM 打90分其次是SNS(Safe'n'Sec Personal)--他是3D的哦，它成立在行为分析的基础上，有最先进的预先侦查系统，可以避免病毒渗透计算机，破坏信息，对计算机多了一层保护，在计算机保护方面实现重大冲破。

XP组策略详解使用上面的方法，打开的组策略对象确实是当前的运算机，而假如需要配置其他的运算机组策略对象的话，那么需要将组策略作为独立的操纵台治理程序来打开，具体步骤如下：1〕打开Microsoft 治理操纵台〔可在〝开始〞菜单的〝运行〞对话框中直截了当输入MMC并回车，运行操纵台程序〕。

2〕在〝文件〞菜单上，单击〝添加/删除治理单元〞。

3〕在〝独立〞选项卡上，单击〝添加〞。

4〕在〝可用的独立治理单元〞对话框中，单击〝组策略〞，然后单击〝添加〞。

5〕在〝选择组策略对象〞对话框中，单击〝本地运算机〞编辑本地运算机对象，或通过单击〝扫瞄〞查找所需的组策略对象。

6〕单击〝完成〞，单击〝关闭〞，然后单击〝确定〞。

组策略治理单元即打开要编辑的组策略对象。

关于不包含域的运算机系统来说，在上面第5步的界面中，只有〝运算机〞标签，而没有其他标签项目。

通过上面的方法，我们就能够使用Windows 2000/XP/2003组策略系统强大的网络配置功能，让治理员的工作更轻松和高效。

在上面我们介绍了Windows 9X下的策略编辑器配置项目有〝选中、清除、变灰〞三种状态，Windows 2000/XP/2003组策略治理操纵台同样也有三种状态，只只是名字变了。

它们分别是：已启用、未配置、已禁用。

四、〝桌面〞设置Windows的桌面就像我们的办公桌一样，需要经常进行整理和清洁，而组策略就如同我们的贴身秘书，让桌面治理工作变得易如反掌。

下面就让我们来看看几个有用的配置实例：位置：〝组策略操纵台→用户配置→治理模板→桌面〞1．隐藏桌面的系统图标〔Windows 2000/XP/2003〕尽管通过修改注册表的方式能够实现隐藏桌面上的系统图标的功能，但如此比较苦恼，也有一定的风险。

而采纳组策略配置的方法，能够方便快捷地达到此目的。

比如要隐藏桌面上的〝网上邻居〞和〝Internet Explorer〞图标，只要在右侧窗格中将〝隐藏桌面上‘网上邻居’图标〞和〝隐藏桌面上的Internet Explorer图标〞两个策略选项启用即可〔如图5〕；假如隐藏桌面上的所有图标，只要将〝隐藏和禁用桌面上的所有项目〞启用即可；当启用了〝删除桌面上的‘我的文档’图标〞和〝删除桌面上的‘我的电脑’图标〞两个选项以后，〝我的电脑〞和〝我的文档〞图标将从你的电脑桌面上消逝；同样假如要让〝回收站〞图标消逝，只须将〝从桌面删除回收站〞策略项启用即可。

组策略是管理员为计算机和用户定义的，用来控制应用程序、系统设置和管理模板的一种机制。

通俗一点说，是介于控制面板和注册表之间的一种修改系统、设置程序的工具。

微软自Windows NT 4.0开始便采用了组策略这一机制，经过Windows 2000发展到Windows XP已相当完善。

利用组策略可以修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许多设置。

平时像一些常用的系统、外观、网络设置等我们可通过控制面板修改，但大家对此肯定都有不满意，因为通过控制面板能修改的东西太少；水平稍高点的用户进而使用修改注册表的方法来设置，但注册表涉及内容又太多，修改起来也不方便。

组策略正好介于二者之间，涉及的内容比控制面板中的多，安全性和控制面板一样非常高，而条理性、可操作性则比注册表强。

本文主要介绍Windows XP Professional本地组策略的应用。

本地计算机组策略主要可进行两个方面的配置：计算机配置和用户配置。

其下所有设置项的配置都将保存到注册表的相关项目中。

其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中，用户配置保存到HKEY_CURRENT_USER。

一、访问组策略有两种方法可以访问组策略：一是通过gpedit.msc命令直接进入组策略窗口；二是打开控制台，将组策略添加进去。

1. 输入gpedit.msc命令访问选择“开始”→“运行”，在弹出窗口中输入“gpedit.msc”，回车后进入组策略窗口（图1）。

组策略窗口的结构和资源管理器相似，左边是树型目录结构，由“计算机配置”、“用户配置”两大节点组成。

这两个节点下分别都有“软件设置”、“Windows设置”和“管理模板”三个节点，节点下面还有更多的节点和设置。

此时点击右边窗口中的节点或设置，便会出现关于此节点或设置的适用平台和作用描述。

“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的，那么我们该改哪一处？“计算机配置”节点中的设置应用到整个计算机策略，在此处修改后的设置将应用到计算机中的所有用户。

McAfee(HIP7) Host Intrusion Prevention 7.0安装须知和初步使用时间:2009-04-02 08:13来源:卡饭论坛作者:iuanog 点击:次McAfee Host Intrusion Prevention 7.0 (HIP7)正如McAfee 其他的企业版软件一样，同样有功能强大但上手不易的特点，设计初衷定位于大企业安全管理人员统一发布和管理的HIP 7.0 尤为如此。

如果你在安装前对 HIP 一无所知的话，那接下来的安装和使用将会带给你一连串的迷McAfee Host Intrusion Prevention 7.0 (HIP7)正如McAfee 其他的企业版软件一样，同样有功能强大但上手不易的特点，设计初衷定位于大企业安全管理人员统一发布和管理的HIP 7.0尤为如此。

如果你在安装前对 HIP 一无所知的话，那接下来的安装和使用将会带给你一连串的迷惘。

为方便初学者快速学习和使用 HIP 7.0，我在此简略介绍一下安装和使用 HIP 7.0 必须知道的一些基本情况。

一、安装须知1、安装 HIP 7.0 之前，你的电脑上必须安装有 McAfee Common Management Agent 3.6 （McAfee VirusScan Enterprise 8.5 自带），否则将不能安装。

这意味着你必须先安装有 VSE 8.5 或自行单独安装 CMA 3.6，选择后者的用户请从官网下载 CMA 3.6 的相关文件。

之前一些网友在论坛上说安装不了HIP 7.0，提示说要 ePO，这或许是你试图在Windows XP 上安装 Server 版 HIP，而更有可能的是你看到的提示其实不是说要“ePO”，而是说要“ePO Agent”，即 CMA 的另一种说法，它还有很多种叫法。

2、如果你用的系统不是服务器操作系统，或你安装了 Windows Server 2003，但不想安装 ePO，请安装 Client 版，否则将无法安装。

组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。

通过使用组策略可以设置各种软件、计算机和用户策略。

例如，可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。

此外,还可添加在计算机上(在计算机启动或停止时，以及用户登录或注销时)运行的脚本，甚至可配置Internet Expl orer。

本文重点介绍的是Windows XP Professional的本地组策略的应用。

组策略对本地计算机可以进行两个方面的设置：本地计算机配置和本地用户配置。

一、组策略的基本知识组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。

通过使用组策略可以设置各种软件、计算机和用户策略。

例如，可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。

此外,还可添加在计算机上(在计算机启动或停止时，以及用户登录或注销时)运行的脚本，甚至可配置Internet Expl orer。

本文重点介绍的是Windows XP Professional的本地组策略的应用。

组策略对本地计算机可以进行两个方面的设置：本地计算机配置和本地用户配置。

所有策略的设置都将保存到注册表的相关项目中。

对计算机策略的设置保存到注册表的HKEY_LOCAL_MACHINE的相关项中，对用户的策略设置将保存到HKEY_CURRENT_USER相关项中。

访问本地组策略的方法有两种：第一种方法是命令行方式;第二种方法是通过在MMC控制台中选择GPE插件来实现的。

1、组策略编辑器的命令行启动您只需单击选择“开始”→“运行”命令，在“运行”对话框的“打开”栏中输入“gpedit.msc”，然后单击“确定”按扭即可启动Windows XP组策略编辑器。

(注：这个“组策略”程序位于“C:\WINNT\SYSTEM32”中，文件名为“gpedit.msc”。

)在打开的组策略窗口中，可以发现左侧窗格中是以树状结构给出的控制对象，右侧窗格中则是针对左边某一配置可以设置的具体策略。

Windows XP的配置工具相当完善，它隐藏在你的系统之中，但很多人并不知道它的存在。

它的名字叫做本地组策略编辑器，或者简称为Gpedit。

要调用该编辑器，选择“开始”→“运行”菜单，键入命令：gpedit.msc，就可以打开组策略编辑器，现在无需借助注册表你就可以修改Windows XP中的许多功能特征，让你的系统充满个性。

“组策略”的功能真的非常强大，现在许多系统调整不再需要编辑注册表就可以轻松通过它完成，如果你想了解该系统工具都能做什么以及目前的设置状态，那么可以点击“开始”→“运行”，输入：gpedit.msc，回车后进入组策略，然后在每项上点击鼠标右键，在弹出菜单中选择“导出列表”，然后为它起一个名字，并选择保存为TXT格式即可。

组策略打开方式:一是通过gpedit.msc命令直接进入组策略窗口；二是运行：mmc 打开控制台，点文件--添加和删除管理单元，在添加界面选项“组策略对象编辑器”。

一、隐藏电脑的驱动器位置：用户配置\管理模板\Windows组件\Windows资源管理器\启用后，发现我的电脑里的磁盘驱动器全不见了，但在地址栏输入盘符后，仍然可以访问，如果再把下面的防止从“我的电脑”访问驱动器设置为启用，在地址栏输入盘符就无法访问了，但在运行里直接输入cmd，在Dos下仍然可以看见，接下来就是把CMD命令也禁用了。

位置：用户配置\管理模板\系统\二、禁用注册表位置：用户配置\管理模板\系统\三、禁用控制面板位置：用户配置\管理模板\系统\如果你只想显示隐藏某些配置，可选择。

四、隐藏文件夹平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项：位置：用户配置\管理模板\Windows组件\Windows资源管理器\五. 禁用“添加/删除程序”阻止其他用户通过它来安装或卸载程序，可利用组策略来实现。

位置：用户配置\管理模板\控制面板\添加/删除程序六. 让Windows 的上网速率提升20%（Windows XP/2003）默认情况下，Windows网络连接数据包调度程序将系统限制在80%的连接带宽之内，这对带宽较小的网络来说，无疑是笔不小的开支。

WinXP组策略应用详解组策略常用设置详解（任务栏与开始菜单、桌面、操纵面板、网络与系统）（整理自WindowsXPProSP2）（各项默认状态均为“未被配置”）任务栏与开始菜单设置详解用户配置T管理模板T任务栏与开始菜单从开始菜单删除用户文件夹隐藏所有在「开始」菜单中的用户指定区域（上方）的文件夹。

其它项目出现，但文件夹会被隐藏。

这个设置是为了转发文件夹而设计的。

被转发的文件夹会出现在［■开始」菜单的要紧区域中。

但是先前的用户指定文件夹仍然会出现在！■开始」菜单的上方。

由于两个同样的文件夹可能会让用户觉得混乱，您能够使用这个设置来隐藏用户指定文件夹。

请注意这个设置会隐藏所有的用户指定文件夹，不光是被转发的用户指定文件夹。

假如您启用这个设置，在「开始」菜单中的上方区域不可能出现任何文件夹。

假如用户将新文件夹加入「开始」菜单，文件夹会出现在用户配置文件的目录中，但不可能出现在「开始J菜单中。

假如停用或者不配置这个设置,Windows2000Professiona1与WindowsXPProfessiona1会将文件夹同时显示在「开始」菜单的两种区域中。

删除到"WindowsUpdate''的访问与链接防止用户连接到WindowsUpdate网站。

这个设置阻止用户访问地址为：WindowsUpdate为Windows的联机扩展,提供软件更新以使用户的系统保持最新。

WindOWSUpdateProductCata1og确定任何用户需要的系统文件、安全措施修改与Microsoftupdates同时显示可供下载的最新版本。

还可参阅“隐藏'从MierOSOft添加程序'选项”设置。

从开始菜单删除公用程序组在［■开始」菜单中的程序菜单上删除所有用户配置文件中的项目。

默认情况下，程序菜单包含从所有用户配置文件项目与用户配置文件项目。

假如您启用这项设置，只有用户配置文件上的项目会出现在程序菜单上。

Windows XP本地策略控制方法前提：首先一定要记住机器的名字，IP地址；把所有的HIS程序需要的配置全部都设置好（包括各种ODBC：例如医院HIS的、LIS的、PACS的、医保的、农保的等等，相关打印机：如果有多台，要注意所有打印机要先设置好等等）1、在服务器上单击“开始”→“程序”→“管理工具”→”Active Directory用户和计算机打开如下图示：对于里面的每一个用户名，都右键点击打开其“属性”→“配置文件”打开如下图示：在“配置文件路径”中填入\\eahis\profile\用户名,(如SSGL就填写SSGL)，再在服务器的D 盘根目录底下新建“profile”文件夹，把其共享为超级用户的完全共享，普通用户的只读属性，再在“profile”文件夹下面新建活动目录中用户名对应的文件夹，如SSGL就应在profile 下新建一个SSGL这个文件夹。

2、将本地网络TCP/IP属性中的DNS服务器的IP地址，配置为域控制器（一般为医院的主服务器）的IP地址中把XP系统加入域。

3、以准备使用的用户名(以用户名为ssgl域名为domain01为例)登录本地计算机,这样会在C盘的Documents and Settings目录底下生成ssgl.DOMAIN01文件夹.4、注消ssgl，以本地计算机administrator用户登录。

5、点击“开始”→“运行”输入MMC，打开“控制台1”。

出现如下图示：6、点击“文件”→“添加/删除管理单元”。

出现如下图示：7、点击“添加”，出现如下图示：8、在“添加独立管理单元”中选择“组策略”→“添加”，出现如下图示：9、点击“完成”，出现如下图示：10、点击“关闭”→“确定”，出现如下图示：11、展开“本地计算机”策略，如下图所示：12、选择“任务栏和[开始]菜单”右边的选项按如下两张图设置(中间有几项重复)：13、 选择“桌面”,按如下图设置：14、选择“系统”,按如下图设置：15、到此组策略设置完成，关闭“组策略控制台”，会出现如下图示：17、点击“开始”→双击“程序”出现如下图示：时点击“否”不保存，上面的图示中就会没有“管理工具”这个选项。

【原创】利用WINXP组策略实现HIPS的功能——图文教程管理提醒：本帖被尐小三~γ 执行提前操作(2007-11-26)很早就像写关于WINXP的组策略相关教程的一直没有时间今天周末，顺手写了一下其实WINXP组策略中的软件限制策略完全可以实现HIPS的功能设置得当的话，完全可以防御大部分的网络威胁要设置组策略，先来了解一下系统环境变量和通配符环境变量%USERPROFILE% 表示C:\Documents and Settings\当前用户名%ALLUSERSPROFILE% 表示C:\Documents and Settings\All Users%APPDATA% 表示C:\Documents and Settings\当前用户名\Application Data%ALLAPPDATA% 表示C:\Documents and Settings\All Users\Application Data%SYSTEMDRIVE% 表示C:%HOMEDRIVE% 表示C:\%SYSTEMROOT% 表示C:\WINDOWS%WINDIR% 表示C:\WINDOWS%TEMP% 和%TMP% 表示C:\Documents and Settings\当前用户名\Local Settings\T emp%ProgramFiles% 表示C:\Program Files%CommonProgramFiles% 表示C:\Program Files\Common Files通配符? 表示任意单个字符* 表示任意多个字符**或*? 表示零个或多个含有反斜杠的字符,即包含子文件夹接下来开始设置“软件限制策略”设置完成后，将C:\Windows\\system32\GroupPolicy\Machine\Registry.pol文件拷贝出来这个文件就是你所设置的规则。

重做系统后，将备份的这个文件覆盖到源路径中，就可以恢复规则也可以将这个文件做成一个自解压EXE格式的文件自解压脚本为Path=%windir%\system32\GroupPolicy\Machine\SavePathSetup=gpupdate /forceSilent=1Overwrite=1。

火绒hips的自定义规则
火绒hips是一款功能强大的安全软件，可以保护用户的计算机免受恶意软件和网络攻击的威胁。

除了自带的规则库外，用户还可以自定义规则，以达到更好的安全保护效果。

以下是如何使用火绒hips自定义规则的步骤：
1. 打开火绒hips软件，点击“规则管理”选项卡，然后点击“添加规则”按钮。

2. 在弹出的窗口中，选择“自定义规则”，然后填写规则名称和详细描述，以便后续管理。

3. 在规则设置页面，用户可以根据自己的需求选择规则类型、规则方向、协议类型等参数，并设置相应的防护动作。

4. 在规则条件设置页面，用户可以根据自己的需求设置规则的条件，如源IP、目的IP、端口等。

5. 在规则动作设置页面，用户可以根据自己的需求设置规则的动作，如允许访问、阻止访问、记录日志等。

6. 最后，点击“保存”按钮，保存自定义规则。

通过以上步骤，用户可以创建自己的规则，以增强火绒hips的安全防护能力，保障用户的计算机安全。

- 1 -。

组策略常用设置详解合订本组策略常用设置详解（任务栏和开始菜单、桌面、控制面板、网络和系统）（整理自Windows XP Pro SP2）（各项默认状态均为“未被配置”）任务栏和开始菜单设置详解用户配置→管理模板→任务栏和开始菜单从开始菜单删除用户文件夹隐藏所有在「开始」菜单中的用户指定区域(上方)的文件夹。

其它项目出现，但文件夹会被隐藏。

这个设置是为了转发文件夹而设计的。

被转发的文件夹会出现在「开始」菜单的主要区域中。

但是先前的用户指定文件夹仍然会出现在「开始」菜单的上方。

因为两个同样的文件夹可能会让用户觉得混乱，您可以使用这个设置来隐藏用户指定文件夹。

请注意这个设置会隐藏所有的用户指定文件夹，不光是被转发的用户指定文件夹。

如果您启用这个设置，在「开始」菜单中的上方区域不会出现任何文件夹。

如果用户将新文件夹加入「开始」菜单，文件夹会出现在用户配置文件的目录中，但不会出现在「开始」菜单中。

如果停用或不配置这个设置，Windows 2000 Professional和Windows XP Professional会将文件夹同时显示在「开始」菜单的两种区域中。

删除到“Windows Update”的访问和链接防止用户连接到Windows Update网站。

这个设置阻止用户访问地址为:的Windows Update网站。

这个设置从「开始」菜单和Internet Explorer中的工具菜单上删除了Windows Update超链接。

Windows Update为Windows的联机扩展，提供软件更新以使用户的系统保持最新。

Windows Update Product Catalog确定任何用户需要的系统文件、安全措施修改以及Microsoft updates并且显示可供下载的最新版本。

还可参阅“隐藏‘从Microsoft添加程序’选项”设置。

从开始菜单删除公用程序组在「开始」菜单中的程序菜单上删除所有用户配置文件中的项目。

Windows XP组策略应用完全手册对于大部分计算机用户来说，管理计算机基本上是借助某些第三方工具，甚至是自己手工修改注册表来实现。

其实Windows XP组策略已经把这些功能集于一体，通过组策略及相关工具完全可以实现我们所需要的功能。

一、组策略基础1.什么是组策略注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。

而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。

其实简单地说，组策略设置就是在修改注册表中的配置。

当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

2.组策略的版本对于Windows 9X/NT用户来说，都知道“系统策略”的概念，其实组策略就是系统策略的高级扩展，它是自Windows 9X/NT的“系统策略”发展而来的，具有更多的管理模板、更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003操作系统中。

早期系统策略的运行机制是通过策略管理模板，定义特定的POL(通常是Config.pol)文件。

当用户登录时，它会重写注册表中的设置值。

当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。

而组策略及其工具，则是对当前注册表进行直接修改。

显然，Windows 2000/XP/2003系统的网络功能是其最大的特色之处，所以其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active Directory(活动目录)对象(即站点、域或组织单位)并对其进行设置。

这是以前“系统策略编辑器”工具无法做到的。