组策略设置系列之“安全选项”

组策略与安全设置系统管理员可以通过组策略的强大功能，来充分管理网络用户与计算机的工作环境，从而减轻网络管理的负担。

组策略概述组策略是一个能够让系统管理员充分管理用户工作环境的功能，通过它来确保用户拥有应有的工作环境，也通过他来限制用户。

因此，不但可以让用户拥有适当的环境，也可以减轻系统管理员的管理负担。

组策略包含计算机配置与用户配置两部分。

计算机配置仅对计算机环境产生影响，而用户设置只对用户环境有影响。

可以通过以下两个方法来设置组策略。

●本地计算机策略:可以用来设置单一计算机的策略，这个策略内的计算机配置只会背应用到这台计算机，而用户设置会被应用到在此计算机登陆的所有用户。

●域的组策略:在域内可以针对站点，域或组织单位来设置组策略，其中，域组策略内的设置会被应用到域内的所有计算机与用户，而组织单位的组策略会被应用到该组织单位内的所有计算机与用户。

对添加域的计算机来说，如果其本地计算机策略的设置与域或组织单位的组策略设置发生冲突，则以域或组织单位组策略的设置优先，也就是此时本地计算机策略的设置值无效。

本地计算机策略实例演示以下利用未加入域的计算机来练习本地计算机策略，以免受到域策略的干扰，造成本地计算机策略的设置无效，因而影响到验证实验结果。

计算机配置实例演示当我们要将Windows Server2012 计算机关机时，系统会要求我们提供关机的理由，以下实例完成后，系统就不会在要求你说明关机理由了。

开始运行中输入gpedit.msc-计算机配置-管理模板-系统-显示“关闭事件跟踪程序“-单击已禁用以后关机或重启计算机时，系统都不会再询问了。

注：请不要随意更改计算机配置，以免更改可能影响系统正常运行的设置值。

用户配置实例演示以下通过本地计算机策略来限制用户工作环境：删除客户端浏览器IE内Internet选项的安全和连接标签。

也就是经过以下设置后，浏览器内的安全和连接标签消失了。

用户配置-管理模板-windows组件-IE-ie控制面板-禁用连接页和禁用安全页设置为启用，此设置会立即应用到所有用户。

策略安全‎设置DC‎O M: 安‎全描述符定‎义语言(S‎D DL)语‎法中的计算‎机访问限制‎没有定义‎DCOM‎:安全描‎述符定义语‎言(SDD‎L)语法中‎的计算机启‎动限制没‎有定义M‎i cros‎o ft 网‎络服务器:‎当登录时‎间用完时自‎动注销用户‎已启用‎M icro‎s oft ‎网络服务器‎:数字签‎字的通信（‎若客户同意‎）已停用‎Micr‎o soft‎网络服务‎器: 数字‎签字的通信‎（总是）‎已停用M‎i cros‎o ft 网‎络服务器:‎在挂起会‎话之前所需‎的空闲时间‎15 分‎钟Mic‎r osof‎t网络客‎户: 发送‎未加密的密‎码到第三方‎SMB ‎服务器。

‎已停用M‎i cros‎o ft 网‎络客户: ‎数字签字的‎通信（若服‎务器同意）‎已启用‎M icro‎s oft ‎网络客户:‎数字签字‎的通信（总‎是）已停‎用故障恢‎复控制台:‎允许对所‎有驱动器和‎文件夹进行‎软盘复制和‎访问已停‎用故障恢‎复控制台:‎允许自动‎系统管理级‎登录已停‎用关机:‎清理虚拟‎内存页面文‎件已停用‎关机: ‎允许在未登‎录前关机‎已启用交‎互式登录:‎不显示上‎次的用户名‎已停用‎交互式登录‎:不需要‎按 CTR‎L+ALT‎+DEL ‎没有定义‎交互式登录‎:会话锁‎定时显示用‎户信息没‎有定义交‎互式登录:‎可被缓冲‎保存的前次‎登录个数‎(在域控制‎器不可用的‎情况下) ‎10 次登‎录交互式‎登录: 要‎求域控制器‎身份验证以‎脱离工作站‎已停用‎交互式登录‎:要求智‎能卡没有‎定义交互‎式登录: ‎用户试图登‎录时消息标‎题没有定‎义交互式‎登录: 用‎户试图登录‎时消息文字‎交互式‎登录: 在‎密码到期前‎提示用户更‎改密码1‎4天交‎互式登录:‎智能卡移‎除操作无‎操作设备‎:防止用‎户安装打印‎机驱动程序‎已停用‎设备: 未‎签名驱动程‎序的安装操‎作默认继‎续设备‎:允许不‎登录脱离‎已启用设‎备: 允许‎格式化和弹‎出可移动媒‎体Adm‎i nist‎r ator‎s设备:‎只有本地‎登录的用户‎才能访问‎C D-RO‎M已停用‎设备: ‎只有本地登‎录的用户才‎能访问软盘‎已停用‎审计: 对‎备份和还原‎权限的使用‎进行审计‎已停用审‎计: 对全‎局系统对象‎的访问进行‎审计已停‎用审计:‎如果无法‎纪录安全审‎计则立即关‎闭系统已‎停用网络‎安全: L‎A N Ma‎n ager‎身份验证‎级别发送‎LM &‎NTLM‎响应网‎络安全: ‎L DAP ‎客户签名要‎求协商签‎名网络安‎全: 不要‎在下次更改‎密码时存储‎LAN ‎M anag‎e r 的‎H ash ‎值已停用‎网络安全‎:在超过‎登录时间后‎强制注销‎已停用网‎络安全设置‎:基于‎N TLM ‎S SP(包‎括安全 R‎P C)服务‎器的最小会‎话安全没‎有最小网‎络安全设置‎:基于‎N TLM ‎S SP(包‎括安全 R‎P C)客户‎的最小会话‎安全没有‎最小网络‎访问: 本‎地帐户的共‎享和安全模‎式经典‎-本地用‎户以自己的‎身份验证‎网络访问:‎不允许‎S AM 帐‎户的匿名枚‎举已启用‎网络访问‎:不允许‎SAM ‎帐户和共享‎的匿名枚举‎已停用‎网络访问:‎不允许为‎网络身份验‎证储存凭据‎或 .NE‎T Pas‎s port‎s已停用‎网络访问‎:可匿名‎访问的共享‎COMC‎F G,DF‎S$网络‎访问: 可‎匿名访问的‎命名管道‎C OMNA‎P,COM‎N ODE,‎S QL\Q‎U ERY,‎S POOL‎S S,LL‎S RPC,‎b rows‎e r网络‎访问: 可‎远程访问的‎注册表路径‎Syst‎e m\Cu‎r rent‎C ontr‎o lSet‎\Cont‎r ol\P‎r oduc‎t Opti‎o ns,S‎y stem‎\Curr‎e ntCo‎n trol‎S et\C‎o ntro‎l\Pri‎n t\Pr‎i nter‎s,Sys‎t em\C‎u rren‎t Cont‎r olSe‎t\Con‎t rol\‎S erve‎rApp‎l icat‎i ons,‎S yste‎m\Cur‎r entC‎o ntro‎l Set\‎S ervi‎c es\E‎v entl‎o g,So‎f twar‎e\Mic‎r osof‎t\OLA‎P Ser‎v er,S‎o ftwa‎r e\Mi‎c roso‎f t\Wi‎n dows‎NT\C‎u rren‎t Vers‎i on,S‎y stem‎\Curr‎e ntCo‎n trol‎S et\C‎o ntro‎l\Con‎t entI‎n dex,‎S yste‎m\Cur‎r entC‎o n tro‎l Set\‎C ontr‎o l\Te‎r mina‎l Ser‎v er,S‎y stem‎\Curr‎e ntCo‎n trol‎S et\C‎o ntro‎l\Ter‎m inal‎Serv‎e r\Us‎e rCon‎f ig,S‎y stem‎\Curr‎e ntCo‎n trol‎S et\C‎o ntro‎l\Ter‎m inal‎Serv‎e r\De‎f ault‎U serC‎o nfig‎u rati‎o n网络‎访问: 让‎“每个人”‎权限应用于‎匿名用户‎已停用网‎络访问: ‎允许匿名‎S ID/名‎称转换‎已停用系‎统对象: ‎对非 Wi‎n dows‎子系统不‎要求区分大‎小写已启‎用系统对‎象: 由‎A dmin‎i stra‎t ors ‎组成员所创‎建的对象默‎认所有者‎O bjec‎t cre‎a tor‎系统对象:‎增强内部‎系统对象的‎默认权限‎(例如 S‎y mbol‎i c Li‎n ks) ‎已启用系‎统加密: ‎使用 FI‎P S 兼容‎的算法来加‎密，散列和‎签名已停‎用域成员‎:对安全‎通道数据进‎行数字加密‎(如果可‎能) 已启‎用域成员‎:对安全‎通道数据进‎行数字加密‎或签名 (‎总是) 已‎启用域成‎员: 对安‎全通道数据‎进行数字签‎名 (如果‎可能) 已‎启用域成‎员: 需要‎强 (Wi‎n dows‎2000‎或以上版‎本) 会话‎密钥已停‎用域控制‎器: LD‎A P 服务‎器签名要求‎没有定义‎域控制器‎:禁用更‎改机器帐户‎密码已停‎用域控制‎器: 拒绝‎更改机器帐‎户密码没‎有定义域‎控制器: ‎允许服务器‎操作员计划‎任务没有‎定义域控‎制器: 最‎长机器帐户‎密码寿命‎30 天‎帐户: 管‎理员帐户状‎态已启用‎帐户: ‎来宾帐户状‎态已停用‎帐户: ‎使用空白密‎码的本地帐‎户只允许进‎行控制台登‎录已启用‎帐户: ‎重命名来宾‎帐户Gu‎e st帐‎户: 重命‎名系统管理‎员帐户u‎s er‎。

组策略与安全设置系统管理员可以通过组策略的强大功能，来充分管理网络用户与计算机的工作环境，从而减轻网络管理的负担。

组策略概述组策略是一个能够让系统管理员充分管理用户工作环境的功能，通过它来确保用户拥有应有的工作环境，也通过他来限制用户。

因此，不但可以让用户拥有适当的环境，也可以减轻系统管理员的管理负担。

组策略包含计算机配置与用户配置两部分。

计算机配置仅对计算机环境产生影响，而用户设置只对用户环境有影响。

可以通过以下两个方法来设置组策略。

●本地计算机策略:可以用来设置单一计算机的策略，这个策略内的计算机配置只会背应用到这台计算机，而用户设置会被应用到在此计算机登陆的所有用户。

●域的组策略:在域内可以针对站点，域或组织单位来设置组策略，其中，域组策略内的设置会被应用到域内的所有计算机与用户，而组织单位的组策略会被应用到该组织单位内的所有计算机与用户。

对添加域的计算机来说，如果其本地计算机策略的设置与域或组织单位的组策略设置发生冲突，则以域或组织单位组策略的设置优先，也就是此时本地计算机策略的设置值无效。

本地计算机策略实例演示以下利用未加入域的计算机来练习本地计算机策略，以免受到域策略的干扰，造成本地计算机策略的设置无效，因而影响到验证实验结果。

计算机配置实例演示当我们要将Windows Server2012 计算机关机时，系统会要求我们提供关机的理由，以下实例完成后，系统就不会在要求你说明关机理由了。

开始运行中输入gpedit.msc-计算机配置-管理模板-系统-显示“关闭事件跟踪程序“-单击已禁用以后关机或重启计算机时，系统都不会再询问了。

注：请不要随意更改计算机配置，以免更改可能影响系统正常运行的设置值。

用户配置实例演示以下通过本地计算机策略来限制用户工作环境：删除客户端浏览器IE内Internet选项的安全和连接标签。

也就是经过以下设置后，浏览器内的安全和连接标签消失了。

用户配置-管理模板-windows组件-IE-ie控制面板-禁用连接页和禁用安全页设置为启用，此设置会立即应用到所有用户。

1、用户权限分配
通过用户权限分配，可以为某些用户和组授予或拒绝一些特殊的权限，如更改系统时间，拒
绝本地登录等
下列表中列出了一些常用的用户权限分配中的安全策略
策略
说明 从网络访问计算机
拒绝从网络访问这台
计算机
默认情况下任何用户都可以从网络访问计算机，可以根据实际需要撤销某用户或某组账户从网络访问计算机的权限 如果某些用户只在本地使用，不允许其通过网络访问此计算机，就可以再此策略的设置中加入该用户
2、安全选项
通过本地策略中的安全选项，可以控制一些和操作系统安全相关的设置，安全选项如下图所示：
注意：要使本地安全策略生效，需要运行“gpupdate"命令或者重启计算机2、本地组策略
在“开始”菜单-运行“gpedit.msc”命令打开本地组策略编辑器
注意：针对计算机设置的策略，只对计算机生效，需要重启计算机针对用户做的策略，只对用户生效！。

1．禁止“注销”和“关机”：当计算机启动以后，如果你不希望这个用户再进行“关机”和“注销”操作，打开“组策略控制台→用户配置→管理模板→任务栏和开始菜单”，将组策略控制台右侧窗格中的“删除开始菜单上的…注销‟”和“删除和阻止访问…关机‟命令”两个策略启用，如图1。

这个设置会从开始菜单删除“关机”选项，并禁用“Windows 任务管理器”对话框 按“Ctrl+Alt+Del”会出现这个对话框中的“关机”选项。

另外需要注意的是，此设置虽然可防止用户用Windows界面来关机，但无法防止用户用其他第三方工具程序来将Windows 关闭。

2. 利用组策略保护个人文档隐私：Windows有个高级智能功能，即可以记录你曾经访问过的文件。

虽然这个功能可以方便用户再次打开该文件，但出于安全和性能的考虑（例如不想让人知道自己浏览过哪些网页和打开过哪些文件），有时需要屏蔽此功能。

利用组策略，只要在“组策略控制台→用户配置→管理模板→任务栏和开始菜单”中将“不要保留最近打开文档的记录”和“退出时清除最近打开的文档的记录”两个策略启用即可，如图2所示。

另外需要注意的是，如果启用此策略设置但不启用“从开始菜单中删除文档菜单”策略设置，“文档”菜单还会出现在“开始”菜单上，但是该菜单为空菜单。

如果启用此策略设置，后来又禁用它并将它设置为“未配置”，则启用策略设置之前保存的文档快捷方式会重新出现在“文档”菜单和应用程序的“文件”菜单中。

3. 隐藏“我的电脑”中指定的驱动器：此组策略可以从“我的电脑”和“Windows 资源管理器”上删除代表所选硬件驱动器的图标。

并且驱动器号代表的所有驱动器不出现在标准的打开对话框上。

打开“组策略控制台→用户配置→管理模板→Windows组件→Windows资源管理器”中的“隐藏…我的电脑‟中的这些指定的驱动器”并启用此策略如图3所示，并在下面列表框中选择一个驱动器或几个驱动器。

这项策略只删除驱动器图标。

组策略里的安全设置我准备介绍一下如何设置基于Windows Server 2003的域名。

请记住，这些只是你在你的域名中能够设置的组策略对象中最有可能出现问题的。

按照我的观点，这些设置可以保持或者破坏Windows的安全。

而且由于设置的不同，你的进展也不同。

因此，我鼓励你在使用每一个设置之前都进行深入的研究，以确保这些设置能够兼容你的网络。

如果有可能的话，对这些设置进行试验(如果你很幸运有一个测试环境的话)。

如果你没有进行测试，我建议你下载和安装微软的组策略管理控制台(GPMC)来做这些改变。

这个程序能够把组策略管理任务集中到一个单一的界面让你更全面地查看你的域名。

要开始这个编辑流程，你就上载GPMC，扩展你的域名，用鼠标右键点击“缺省域名策略”，然后选择“编辑”。

这样就装载了组策略对象编辑器。

如果你要以更快的速度或者“次企业级”的方式编辑你的域名组策略对象，你可以在“开始”菜单中运行“gpedit.msc”。

1.确定一个缺省的口令策略，使你的机构设置位于“计算机配置/Windows设置/安全设置/账号策略/口令策略”之下。

2.为了防止自动口令破解，在“计算机配置/Windows设置/安全设置/账号策略/账号关闭策略”中进行如下设置：·账号关闭持续时间(确定至少5-10分钟)·账号关闭极限(确定最多允许5至10次非法登录)·随后重新启动关闭的账号(确定至少10-15分钟以后)3.在“计算机配置/Windows设置/安全设置/本地策略/检查策略”中启用如下功能：·检查账号管理·检查策略改变·检查权限使用·检查系统事件理想的情况是，你要启用记录成功和失败的登录。

但是，这取决于你要保留什么类型的记录以及你是否能够管理这些记录。

Roberta Bragg在这里介绍了一些普通的检查记录设置。

要记住，启用每一种类型的记录都需要你的系统处理器和硬盘提供更多的资源。

组策略设置系列之“安全选项”组战略设置系列篇之〝平安选项〞-1设置, 选项组战略的〝平安选项〞局部启用或禁用数字数据签名、Administrator 和Guest 帐户名、软盘驱动器和CD-ROM 驱动器的访问、驱动顺序装置操作和登录提示的计算机平安设置。

平安选项设置您可以在组战略对象编辑器的以下位置配置平安选项设置：计算机配置\Windows 设置\平安设置\本地战略\平安选项帐户：管理员帐户形状此战略设置启用或禁用Administrator 帐户的正常操作条件。

假设以平安形式启动计算机，Administrator 帐户总是处于启用形状，而与如何配置此战略设置有关。

〝帐户：管理员帐户形状〞设置的能够值为：•已启用•已禁用•没有定义破绽：在某些组织中，维持活期更改本地帐户的密码这项惯例方案能够会是很大的管理应战。

因此，您能够需求禁用内置的Administrator 帐户，而不是依赖惯例密码更改来维护其免受攻击。

需求禁用此内置帐户的另一个缘由就是，无论经过多少次登录失败它都不会被锁定，这使得它成为强力攻击〔尝试猜想密码〕的主要目的。

另外，此帐户还有一个众所周知的平安标识符(SID)，而且第三方工具允许运用SID 而非帐户名来停止身份验证。

此功用意味着，即使您重命名Administrator 帐户，攻击者也能够运用该SID 登录来发起强力攻击。

对策：将〝帐户：管理员帐户形状〞设置配置为〝已禁用〞，以便在正常的系统启动中不能再运用内置的Administrator 帐户。

潜在影响：假设禁用Administrator 帐户，在某些状况下能够会形成维护效果。

例如，在域环境中，假设成员计算机和域控制器间的平安通道因任何缘由而失败，而且没有其他本地Administrator 帐户，那么您必需以平安形式重新启动才干修复这个中缀平安通道的效果。

假设以后的Administrator 密码不满足密码要求，那么Administrator 帐户被禁用之后，无法重新启用。

组策略设置系列篇之“安全选项”-2选项, 设置交互式登录：不显示上次的用户名此策略设置确定“登录到Windows”对话框是否显示上次登录到该计算机的用户的名称。

如果启用此策略设置，不显示上次成功登录的用户的名称。

如果禁用此策略设置，则显示上次登录的用户的名称。

“交互式登录：不显示上次的用户名”设置的可能值为：•已启用•已禁用•没有定义漏洞：能够访问控制台的攻击者（例如，能够物理访问的人或者能够通过终端服务连接到服务器的人）可以查看上次登录到服务器的用户的名称。

攻击者随后可能尝试猜测密码，使用字典或者依靠强力攻击以试图登录。

对策：将“不显示上次的用户名”设置配置为“已启用”。

潜在影响：用户在登录服务器时，必须始终键入其用户名。

交互式登录：不需要按CTRL+ALT+DEL此策略设置确定用户在登录前是否必须按Ctrl+Alt+Del。

如果启用此策略设置，用户登录时无需按此组合键。

如果禁用此策略设置，用户在登录到Windows 之前必须按Ctrl+Alt+Del，除非他们使用智能卡进行Windows 登录。

智能卡是一种用来存储安全信息的防篡改设备。

“交互式登录：不需要按CTRL+ALT+DEL”设置的可能值为：•已启用•已禁用•没有定义漏洞：Microsoft 之所以开发此功能，是为了更便于身体有某种残疾的用户登录到运行Windows 的计算机。

如果不要求用户按Ctrl+Alt+Del，他们容易受到尝试截获其密码的攻击。

如果要求用户在登录之前按Ctrl+Alt+Del，用户密码则会通过受信任路径进行通信。

攻击者可能会安装看似标准Windows 登录对话框的特洛伊木马程序，并捕获用户的密码。

攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。

对策：将“不需要按CTRL+ALT+DEL”设置配置为“已禁用”。

潜在影响：除非用户使用智能卡进行登录，否则他们必须同时按这三个键，才能显示登录对话框。

交互式登录：用户试图登录时消息文字“交互式登录：用户试图登录时消息文字”和“交互式登录：用户试图登录时消息标题”设置密切相关。

AD域用户常用组策略设置在Active Directory（AD）域环境中，组策略是用于管理和配置用户和计算机的集中策略工具。

组策略允许管理员通过在域中创建和应用组策略对象（GPOs）来定义用户和计算机的设置。

以下是AD域用户常用的组策略设置：1.密码策略：通过密码策略，管理员可以设置密码的复杂性要求、密码过期时间以及密码历史保留的数量。

这有助于增加密码的安全性。

2.帐户锁定策略：通过帐户锁定策略，管理员可以配置登录失败尝试的次数和锁定持续时间。

这有助于防止恶意用户通过暴力破解密码来获取访问权限。

3.账户密码策略：管理员可以配置密码重置和更改密码的要求。

这包括要求用户更改密码的频率、提供密码重置选项和密码复杂性要求。

4. 安全选项：管理员可以配置安全选项，包括启用或禁用自动管理员登录、禁用Guest帐户、强制使用加密方式进行网络通信等。

5.审核策略：通过审核策略，管理员可以配置要审计的事件类型以及要记录的日志信息。

这有助于保护系统免受安全威胁并进行安全审计。

6.应用程序控制：管理员可以配置允许或拒绝运行的应用程序列表，以帮助防止使用未经授权的应用程序。

7.注册表设置：管理员可以配置注册表设置，以控制计算机上注册表项的访问权限和配置。

8.文件和文件夹权限：管理员可以使用组策略设置来定义共享文件和文件夹的权限，确保只有经过授权的用户可以访问和修改文件。

9.桌面设置：管理员可以通过组策略设置来配置桌面背景、屏幕保护程序、任务栏、桌面图标等，以统一组织内工作站的外观和体验。

10.网络设置：管理员可以使用组策略设置来配置网络接口卡、防火墙、代理服务器等网络设置，以保护网络安全并优化网络性能。

11.程序安装和升级：管理员可以使用组策略设置来自动安装和升级特定的应用程序，以减轻用户手动操作的负担。

12.远程桌面设置：管理员可以配置远程桌面访问权限，限制哪些用户可以远程访问计算机。

13. Internet Explorer设置：管理员可以使用组策略设置来配置Internet Explorer的安全性、高级选项和首选项，以确保一致的浏览器体验。

WindowsServer2008利用组策略的安全设置相信很多人都知道Windows Server 2008系统的安全功能非法强大，而它的强大之处不仅仅是新增加了一些网络安全功能，而且还表现在一些不起眼的传统功能上。

这不，巧妙对Windows Server 2008系统的组策略功能进行深入挖掘，我们可以发现许多网络技术安全应用秘密;现在本文就为各位朋友贡献几则这样的安全秘密，希望能对大家有用!1、限制使用迅雷进行恶意下载在多人共同使用相同的一台计算机进行工作时，我们肯定不希望普通用户随意使用迅雷工具进行恶意下载，这样不但容易浪费本地系统的磁盘空间资源，而且也会大大消耗本地系统的上网带宽资源。

而在Windows Server 2008系统环境下，限制普通用户随意使用迅雷工具进行恶意下载的方法有很多，例如可以利用Windows Server 2008系统新增加的高级安全防火墙功能，或者通过限制下载端口等方法来实现上述控制目的，其实除了这些方法外，我们还可以巧妙地利用该系统的软件限制策略来达到这一目的，下面就是该方法的具体实现步骤：首先以系统管理员权限登录进入Windows Server 2008系统，打开该系统的“开始”菜单，从中点选“运行”命令，在弹出的系统运行文本框中，输入“gpedit.msc”字符串命令，进入对应系统的组策略控制台窗口;其次在该控制台窗口的左侧位置处，依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”选项，同时用鼠标右键单击该选项，并执行快捷菜单中的“创建软件限制策略”命令;接着在对应“软件限制策略”选项的右侧显示区域，用鼠标双击“强制”组策略项目，打开如图1所示的设置对话框，选中其中的“除本地管理员以外的所有用户”选项，其余参数都保持默认设置，再单击“确定”按钮结束上述设置操作;下面选中“软件限制策略”节点下面的“其他规则”选项，再用鼠标右键单击该组策略选项，从弹出的快捷菜单中点选“新建路径规则”命令，在其后出现的设置对话框中，单击“浏览”按钮选中迅雷下载程序，同时将对应该应用程序的“安全级别”参数设置为“不允许”，最后单击“确定”按钮执行参数设置保存操作;重新启动一下Windows Server 2008系统，当用户以普通权限账号登录进入该系统后，普通用户就不能正常使用迅雷程序进行恶意下载了，不过当我们以系统管理员权限进入本地计算机系统时，仍然可以正常运行迅雷程序进行随意下载。