Aloita sillä, että kirjaudu koneeseen järjestelmänvalvojan tunnuksin sisälle. Mene Start/Käynnistä ja Run/Suorita gpedit.msc -niminen sovellus...huomaa, että alla olevat kuvat on otettu englanninkielisestä versiosta, omassasi asetukset voivat lukea eri kielellä, mutta ne löytyvät silti samoista kohdin, pienellä kielipäällä löydät varmasti oikeat asetukset. Siirry kuvassa näkyvään kohtaan ja laita asetukset sen mukaisiksi.
Tässä tapauksessa määritellään, millä perusteella ohjelmistojen rajoitukset oikein vaikuttavat ja keihin. Laitetaan ne vaikuttamaan kaikkiin ohjelmatiedostoihin, mutta ei paikallisiin järjestelmänvalvojiin.
Määritellään sitten vielä, että ohjelmistotiedostotyyppeihin kuuluvat myös .xpi päätteiset tiedostot, eli Firefoxin lisäosat-tyyppiset tiedostot. Tämä siis vain, mikäli käytät Firefoxia tietokoneessasi, jos et aio sitä käyttää, niin voit unohtaa tämän kohdan ja hypätä eteenpäin.
Varmistetaan nyt, että vain järjestelmänvalvojat voivat päättää, mitkä tahot ovat luotettavia julkaisijoita. Pikkujuttu ehkä, mutta parempi tehdä sekin.
Nyt tehdään se tärkein asia: Määritellään, että mitään ohjelmatiedostoja ei saa suorittaa tietokoneessasi, jos niitä ei ole erikseen sallittu. Tämä tarkoittaa, että kukaan ei voi vaikkapa asennella ylimääräisiä ohjelmia, käynnistellä viruksia, asennella takaporttiohjelmia tai spywarea enää tietokoneeseesi, ei tahallaan eikä vahingossa, jos ei omaa järjestelmänvalvojan oikeuksia. Kaikkien ohjelmatiedostojen ajaminen tietokoneellasi on tavallisten käyttäjien toimesta tästä hetkestä alkaen kielletty! Muista, että tämähän ei nyt koske järjestelmänvalvojia, nehän hetki sitten laitettiin tämän rajoituksen ulkopuolelle!
Mutta siis mitähäh? Jos kerran käyttäjät eivät voi suorittaa mitään tiedostoja koneella, miten he voivat käyttää tietokonetta ja sen ohjelmia? No, huomaa, että kerroin juuri, että mitään ohjelmia ei voi suorittaa, joita ei ole erikseen sallittu. Nyt on aika sallia tarpeelliset ohjelmat käyttäjille...ja vieläpä aika näppärällä tavalla, etten sanoisi! Lisätään nuo kuvassa olevat hakemistopolut sallittujen listalle.
Huomaa, että listalla on esim. "C:\ATI" ja "C:\Documents and settings\Markusrulez!", nämä vain siksi, että ne ovat kyseisessä koneessani olevia hakemistoja, sinulla voi olla vastaavanlaisia ja ne kannattaa laittaa listalle. Huomaa, ettei missään tapauksessa listalle saa laittaa mitään sellaisia kansioita, joihin tietokoneen "käyttäjä"/"user" tasoisen tilin omistajilla on kirjoitusoikeus, kuten vaikkapa C:\Documents and settings\userX. Tämä on erittäin tärkeää huomata.
Tämän systeemin hienous näet perustuu siihen, että käyttäjät voivat suorittaa vain tiedostoja kansioissa, joihin heillä ei ole kirjoitusoikeuksia, missään muussa kansiossa oleva tiedosto ei vain käynnisty. Koska käyttäjillä ei ole kirjoitusoikeuksia esimerkiksi ohjelmatiedostokansioihin, he eivät voi tallentaa tai siirtää sinne omia ohjelmiaan ja siten kiertää tätä suojausta! Ne kansiot, joihin heillä on kirjoitusoikeus (kuten heidän omat kansionsa, dokumenttikansionsa, muistitikkunsa jne.), eivät kuulu tähän poikkeusten piiriin ja ovat siten automaattisesti kaikki sellaisia, ettei niistä voida suorittaa mitään ohjelmatiedostoja! Aivan sama koskee myös tietokoneeseen liitettyjä muistitikkuja ja romppujakin: Koska niiden kansiot eivät ole erikseen hyväksytyt suoritettavaksi, niiltä ei voi suorittaa ohjelmia. Kaikkea muuta niiltä voi toki suorittaa, avata esimerkiksi dokumentteja ja kuvia.
Case solved.
Valitettavasti Windowsissa on jonkinlainen bugi, jonka vuoksi group policyn tämäntyyppisen käyttämisen jälkeen Windowsupdate lakkaa toimimasta. Ongelma on onneksi korjattavissa helposti, suorita regedit.exe ja poista kuvassa näkyvä rekisteriavain ja Windowsupdate toimii taas mainiosti...voit myös muuttaa rekisteriavaimen arvoksi "0" tuon "1" sijasta ja Windowsupdate toimii taas aivan mainiosti.
Siinä tulikin sitten tärkein asia ja ongelma ratkaistuksi, eli miten estää käyttäjiä suorittelemasta kaikenlaisia epämääräisiä tiedostoja ja asentamasta kaikenlaisia roskaohjelmia kone täyteen. Mutta, group policyä voi käyttää muuhunkin.
Group policyä voi käyttää tehokkaasti myös muiden asetusten säätämiseksi ja lukitsemiseksi kohdalleen. Hyvä esimerkki tästä on, että säätämällä Internet Explorerin asetukset joko kullekin käyttäjälle erikseen kohdalleen tai sitten yleisesti kaikille kohdalleen, voi ne lukita siten, etteivät käyttäjät pysty niitä itse enää muuttamaan. Se siitä epämääräisten Active-X komponenttien asennuksista ja asetusten sekoittamisesta siis, asetukset ovat ja pysyvät kohdallaan vaikka käyttäjiä se kuinka harmittaisi.
Alla kuvasarja, joka kertoo, mitkä asetukset pitää group policyssä säätää miksikin, jotta kukaan (mukaanlukien järjestelmänvalvojat huom!) ei voi säätää enää Internet Explorerin asetuksia. Koska Internet Explorer on mahdollista lukita tehokkaasti, (ennen tämän group policyn käyttöönottoa) herää kysymys, kannattaako koneeseen lainkaan asentaa Firefox selainta? Ehkäpä ei kannata, koska sen asetuksia voivat käyttäjät sekoitella kuitenkin (niiden lukitseminen onkin sitten toinen juttu) ja toisaalta, jos Internet Explorerin asetuksia ei lukita, käyttäjät voivat Internet Explorerin kautta vaarantaa joka tapauksessa tietokoneen tietoturvan.
Group policyn kautta pääsee kätevästi myös muihin asetuksiin, joita voi olla syytä säätää turvallisemmiksi, alla joitain esimerkkejä. Asetuksia on todellakin kasapäin, niihin voi perehtyä, jos intoa riittää.
Jos Windowsupdate lakkaa toimimasta näiden(kin) asetusten jälkeen, niin poista jälleen tuo aikaisemmin mainitsemani rekisteriavain ja ongelma on taas ratkaistu.
