主頁(yè) > 知識(shí)庫(kù) > 用組策略保護(hù)Windows Server 2008系統(tǒng)安全

用組策略保護(hù)Windows Server 2008系統(tǒng)安全

　　盡管Windows Server 2008系統(tǒng)的安全性要領(lǐng)先其他操作系統(tǒng)一大步，不過(guò)默認(rèn)狀態(tài)下過(guò)高的安全級(jí)別常常使不少人無(wú)法順利地在Windows Server 2008系統(tǒng)環(huán)境下進(jìn)行各種操作，為此許多用戶往往會(huì)采用手工方法來(lái)降低Windows Server 2008系統(tǒng)的安全訪問(wèn)級(jí)別?？墒?，一旦降低了安全訪問(wèn)級(jí)別，Windows Server 2008系統(tǒng)遭遇安全攻擊的可能性就非常大了;那么如何在安全訪問(wèn)級(jí)別不高的情況下，我們?nèi)匀荒軌蜃學(xué)indows Server 2008系統(tǒng)安全地運(yùn)行?要做到這一點(diǎn)，我們可以利用Windows Server 2008系統(tǒng)強(qiáng)大的組策略功能，來(lái)對(duì)相關(guān)選項(xiàng)參數(shù)進(jìn)行有效設(shè)置!

　　1、禁止惡意程序“不請(qǐng)自來(lái)”

　　在Windows Server 2008系統(tǒng)環(huán)境中使用IE瀏覽器上網(wǎng)瀏覽網(wǎng)頁(yè)內(nèi)容時(shí)，時(shí)常會(huì)有一些惡意程序不請(qǐng)自來(lái)，偷偷下載保存到本地計(jì)算機(jī)硬盤(pán)中，這樣不但會(huì)白白浪費(fèi)寶貴的硬盤(pán)空間資源，而且也會(huì)給本地計(jì)算機(jī)系統(tǒng)的安全帶來(lái)不少麻煩。為了讓W(xué)indows Server 2008系統(tǒng)更加安全，我們往往需要借助專(zhuān)業(yè)的軟件工具才能禁止應(yīng)用程序隨意下載，很顯然這樣操作不但麻煩而且比較累人;其實(shí)，在Windows Server 2008系統(tǒng)環(huán)境中，我們只要簡(jiǎn)單地設(shè)置一下系統(tǒng)組策略參數(shù)，就能禁止惡意程序自動(dòng)下載保存到本地計(jì)算機(jī)硬盤(pán)中了，下面就是具體的設(shè)置步驟：

　　首先以特權(quán)帳號(hào)進(jìn)入Windows Server 2008系統(tǒng)環(huán)境，依次點(diǎn)選系統(tǒng)桌面中的“開(kāi)始”/“運(yùn)行”命令，在系統(tǒng)運(yùn)行框中執(zhí)行g(shù)pedit.msc命令，打開(kāi)本地計(jì)算機(jī)的組策略編輯窗口;

　　圖1 Internet Explorer 進(jìn)程屬性

　　其次在組策略編輯窗口左側(cè)區(qū)域展開(kāi)“計(jì)算機(jī)配置”分支，再依次選擇該分支下面的“管理模板”/“Windows組件”/“Internet Explorer”/“安全功能”/“限制文件下載”子項(xiàng)，雙擊“限制文件下載”子項(xiàng)下面的“Internet Explorer進(jìn)程”組策略選項(xiàng)，打開(kāi)如圖1所示的目標(biāo)組策略屬性設(shè)置窗口;選中“已啟用”選項(xiàng)，再單擊“確定”按鈕退出組策略屬性設(shè)置窗口，這樣一來(lái)我們就能成功啟用限制Internet Explorer進(jìn)程下載文件的策略設(shè)置，日后Windows Server 2008系統(tǒng)就會(huì)自動(dòng)彈出阻止Internet Explorer進(jìn)程的非用戶初始化的文件下載提示，單擊提示對(duì)話框中的“確定”按鈕，惡意程序就不會(huì)通過(guò)IE瀏覽器窗口隨意下載保存到本地計(jì)算機(jī)硬盤(pán)中了。

　2、對(duì)重要文件夾進(jìn)行安全審核

　　Windows Server 2008系統(tǒng)可以使用安全審核的方法來(lái)跟蹤訪問(wèn)重要文件夾或其他對(duì)象的登錄嘗試、用戶賬號(hào)、系統(tǒng)關(guān)閉、重啟系統(tǒng)以及其他一些事件。要是我們能夠充分利用Windows Server 2008系統(tǒng)文件夾的審核功能，就能有效保證重要文件夾的訪問(wèn)安全性，其他非法攻擊者就無(wú)法輕易對(duì)其進(jìn)行惡意破壞;在對(duì)Windows Server 2008系統(tǒng)中的重要文件夾進(jìn)行訪問(wèn)審核時(shí)，我們可以按照如下步驟來(lái)進(jìn)行：

　　其次在組策略編輯窗口左側(cè)區(qū)域展開(kāi)“計(jì)算機(jī)配置”分支，再依次選擇該分支下面的“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“審核策略”選項(xiàng)，在對(duì)應(yīng)“審核策略”選項(xiàng)的右側(cè)顯示區(qū)域中找到“審核對(duì)象訪問(wèn)”目標(biāo)組策略項(xiàng)目，并用鼠標(biāo)右鍵單擊該項(xiàng)目，執(zhí)行右鍵菜單中的“屬性”命令打開(kāi)目標(biāo)組策略項(xiàng)目的屬性設(shè)置窗口，如圖2所示;

　　圖2 組策略審核對(duì)象訪問(wèn)屬性

　　選中該屬性設(shè)置窗口中的“成功”和“失敗”復(fù)選項(xiàng)，再單擊“確定”按鈕，如此一來(lái)訪問(wèn)重要文件夾或其他對(duì)象的登錄嘗試、用戶賬號(hào)、系統(tǒng)關(guān)閉、重啟系統(tǒng)以及其他一些事件無(wú)論成功與失敗，都會(huì)被Windows Server 2008系統(tǒng)自動(dòng)記錄保存到對(duì)應(yīng)的日志文件中，我們只要及時(shí)查看服務(wù)器系統(tǒng)的相關(guān)日志文件，就能知道重要文件夾以及其他一些對(duì)象是否遭受過(guò)非法訪問(wèn)或攻擊了，一旦發(fā)現(xiàn)系統(tǒng)存在安全隱患的話，我們只要根據(jù)日志文件中的內(nèi)容及時(shí)采取針對(duì)性措施進(jìn)行安全防范就可以了。

　　3、禁止改變本地安全訪問(wèn)級(jí)別

　　在辦公室中，我們有時(shí)需要與其他同事共享使用同一臺(tái)計(jì)算機(jī)，當(dāng)我們對(duì)本地計(jì)算機(jī)的IE瀏覽器安全訪問(wèn)級(jí)別設(shè)置好，肯定不希望其他同事隨意更改它的安全訪問(wèn)級(jí)別，畢竟安全級(jí)別要是設(shè)置得太低的話，會(huì)導(dǎo)致潛藏在網(wǎng)絡(luò)中的各種病毒或木馬對(duì)本地計(jì)算機(jī)進(jìn)行惡意攻擊，從而可能造成本地系統(tǒng)運(yùn)行緩慢或者無(wú)法正常運(yùn)行的故障現(xiàn)象。為了防止其他人隨意更改本地計(jì)算機(jī)的安全訪問(wèn)級(jí)別，Windows Server 2008系統(tǒng)允許我們進(jìn)入如下設(shè)置，來(lái)保護(hù)本地系統(tǒng)的安全：

　　其次在組策略編輯窗口左側(cè)區(qū)域展開(kāi)“用戶配置”分支，再依次選擇該分支下面的“管理模板”/“Windows組件”/“Internet Explorer”/“Internet控制模板”選項(xiàng)，在對(duì)應(yīng)“Internet控制模板”選項(xiàng)的右側(cè)顯示區(qū)域中找到“禁用安全頁(yè)”目標(biāo)組策略項(xiàng)目，并用鼠標(biāo)右鍵單擊該項(xiàng)目，執(zhí)行右鍵菜單中的“屬性”命令打開(kāi)目標(biāo)組策略項(xiàng)目的屬性設(shè)置窗口，如圖3所示;

　　圖3 禁用安全頁(yè)屬性

　　選中該屬性設(shè)置窗口中的“已啟用”選項(xiàng)，再單擊“確定”按鈕結(jié)束目標(biāo)組策略屬性設(shè)置操作，如此一來(lái)Internet Explorer的安全設(shè)置頁(yè)面就會(huì)被自動(dòng)隱藏起來(lái)，這樣的話其他同事就無(wú)法進(jìn)入該安全標(biāo)簽設(shè)置頁(yè)面來(lái)隨意更改本地系統(tǒng)的安全訪問(wèn)級(jí)別了，那么本地計(jì)算機(jī)系統(tǒng)的安全性也就能得到有效保證了。

　　當(dāng)然，我們也可以通過(guò)隱藏Internet Explorer窗口中的“Internet選項(xiàng)”，阻止其他同事隨意進(jìn)入IE瀏覽器的選項(xiàng)設(shè)置界面，來(lái)調(diào)整本地系統(tǒng)的安全訪問(wèn)級(jí)別以及其他上網(wǎng)訪問(wèn)參數(shù)。在隱藏Internet Explorer窗口中的“Internet選項(xiàng)”時(shí)，我們可以按照前面的操作步驟打開(kāi)Windows Server 2008系統(tǒng)的組策略編輯窗口，將鼠標(biāo)定位于“用戶配置”/“管理模板”/“Windows組件”/“Internet Explorer”/“瀏覽器菜單”分支選項(xiàng)上，再將該目標(biāo)分支選項(xiàng)下面的禁用“Internet選項(xiàng)”組策略的屬性設(shè)置窗口打開(kāi)，然后選中其中的“已啟用”選項(xiàng)，最后單擊“確定”按鈕就能使設(shè)置生效了。

　　4、禁止超級(jí)賬號(hào)名稱(chēng)被偷竊

　　許多技術(shù)高明的黑客或惡意攻擊者常常會(huì)通過(guò)登錄Windows Server 2008系統(tǒng)的SID標(biāo)識(shí)，來(lái)竊取系統(tǒng)超級(jí)賬號(hào)的名稱(chēng)信息，之后再利用目標(biāo)賬號(hào)名稱(chēng)嘗試去暴力破解登錄Windows Server 2008系統(tǒng)的密碼，最終獲得Windows Server 2008系統(tǒng)的所有控制權(quán)限;很明顯，一旦系統(tǒng)的超級(jí)權(quán)限帳號(hào)名稱(chēng)被非法竊取使用的話，那么Windows Server 2008系統(tǒng)的安全性就沒(méi)有任何保證了。為了有效保證Windows Server 2008系統(tǒng)的安全性，我們不妨進(jìn)行如下設(shè)置，禁止任何用戶通過(guò)SID標(biāo)識(shí)獲取對(duì)應(yīng)系統(tǒng)登錄賬號(hào)的名稱(chēng)信息：

　　其次在組策略編輯窗口左側(cè)區(qū)域展開(kāi)“計(jì)算機(jī)配置”分支，再依次選擇該分支下面的“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“安全選項(xiàng)”項(xiàng)目，找到該分支項(xiàng)目下面的“網(wǎng)絡(luò)訪問(wèn)：允許匿名SID/名稱(chēng)轉(zhuǎn)換”目標(biāo)組策略選項(xiàng)，并用鼠標(biāo)右鍵單擊該選項(xiàng)，執(zhí)行右鍵菜單中的“屬性”命令打開(kāi)如圖4所示的目標(biāo)組策略屬性設(shè)置界面，選中

　　圖4 網(wǎng)絡(luò)訪問(wèn)屬性

　　其中的“已禁用”選項(xiàng)，再單擊“確定”按鈕退出組策略屬性設(shè)置窗口，這樣的話任何用戶都將無(wú)法利用SID標(biāo)識(shí)來(lái)竊取Windows Server 2008系統(tǒng)的登錄賬號(hào)名稱(chēng)信息了，那么Windows Server 2008系統(tǒng)受到暴力破解登錄的機(jī)會(huì)就大大減少了，此時(shí)對(duì)應(yīng)系統(tǒng)的安全性也就能得到有效保證了。

　　5、禁止U盤(pán)病毒“趁虛而入”

　　很多時(shí)候，我們都是通過(guò)U盤(pán)與其他計(jì)算機(jī)系統(tǒng)相互交換信息的，但遺憾的是現(xiàn)在Internet網(wǎng)絡(luò)中的U盤(pán)病毒瘋狂肆虐，那么對(duì)于Windows Server 2008系統(tǒng)來(lái)說(shuō)，我們究竟該采取什么措施來(lái)禁止U盤(pán)病毒“趁虛而入”呢?其實(shí)很簡(jiǎn)單，我們可以通過(guò)設(shè)置Windows Server 2008系統(tǒng)的組策略參數(shù)，來(lái)禁止本地計(jì)算機(jī)系統(tǒng)讀取U盤(pán)，那樣一來(lái)U盤(pán)中的病毒文件就無(wú)法傳播出來(lái)，下面就是具體的設(shè)置步驟：

　　其次在組策略編輯窗口左側(cè)區(qū)域展開(kāi)“用戶配置”分支，再依次選擇該分支下面的“管理模板”/“系統(tǒng)”/“可移動(dòng)存儲(chǔ)”選項(xiàng)，找到該分支選項(xiàng)下面的“可移動(dòng)磁盤(pán)：拒絕讀取權(quán)限”目標(biāo)組策略選項(xiàng)，并用鼠標(biāo)右鍵單擊該選項(xiàng)，執(zhí)行右鍵菜單中的“屬性”命令打開(kāi)如圖5所示的目標(biāo)組策略屬性設(shè)置界面，選中

　　圖5 可移動(dòng)磁盤(pán)屬性

　　其中的“已啟用”選項(xiàng)，再單擊“確定”按鈕退出組策略屬性設(shè)置窗口;

　　同樣地，再打開(kāi)“可移動(dòng)磁盤(pán)：拒絕寫(xiě)入權(quán)限”目標(biāo)組策略選項(xiàng)的屬性設(shè)置窗口，選中該窗口中的“已啟用”選項(xiàng)，最后再單擊“確定”按鈕就能使設(shè)置生效了，此時(shí)U盤(pán)病毒就不能“趁虛而入”了，那么Windows Server 2008系統(tǒng)也就不會(huì)遭遇U盤(pán)病毒的非法攻擊了。

　　6、禁止來(lái)自程序的漏洞攻擊

　　不少用戶往往會(huì)錯(cuò)誤地認(rèn)為，只要對(duì)Windows Server 2008服務(wù)器系統(tǒng)的補(bǔ)丁程序進(jìn)行及時(shí)更新，就能讓本地服務(wù)器系統(tǒng)遠(yuǎn)離網(wǎng)絡(luò)中各種木馬程序或惡意病毒的非法攻擊了。其實(shí)，為Windows Server 2008服務(wù)器系統(tǒng)更新補(bǔ)丁程序只能堵住系統(tǒng)自身存在的一些安全漏洞，如果安裝在Windows Server 2008系統(tǒng)中的應(yīng)用程序有明顯漏洞時(shí)，那么網(wǎng)絡(luò)中各種木馬程序或惡意病毒仍然能夠利用應(yīng)用程序存在的安全漏洞來(lái)對(duì)Windows Server 2008系統(tǒng)進(jìn)行非法攻擊。那么在Windows Server 2008系統(tǒng)環(huán)境中，我們?cè)摬扇∈裁创胧﹣?lái)禁止病毒或木馬利用應(yīng)用程序漏洞來(lái)對(duì)服務(wù)器進(jìn)行非法攻擊呢?很簡(jiǎn)單!我們可以利用Windows Server 2008服務(wù)器系統(tǒng)內(nèi)置的高級(jí)防火墻程序來(lái)實(shí)現(xiàn)這一目的，下面就是具體的設(shè)置步驟：

　　其次在組策略編輯窗口左側(cè)區(qū)域展開(kāi)“計(jì)算機(jī)配置”分支，再依次選擇該分支下面的“Windows設(shè)置”/“安全設(shè)置”/“高級(jí)安全Windows防火墻”/“高級(jí)安全Windows防火墻——本地組策略對(duì)象”選項(xiàng)，用鼠標(biāo)右鍵單擊該分支選項(xiàng)下面的“入站規(guī)則”子項(xiàng)，從彈出的右鍵菜單中執(zhí)行“屬性”命令打開(kāi)新建入站規(guī)則向?qū)гO(shè)置界面;

　　圖6 入站規(guī)則向?qū)?/p>

　　根據(jù)向?qū)Ы缑娴奶崾?，將?guī)則類(lèi)型參數(shù)設(shè)置為“程序”，然后選中“此程序路徑”選項(xiàng)，并單擊“瀏覽”按鈕，將存在明顯漏洞的目標(biāo)應(yīng)用程序選中，當(dāng)屏幕上出現(xiàn)如圖6所示的向?qū)гO(shè)置界面時(shí)，我們可以選中“阻止連接”項(xiàng)目，最后再設(shè)置好新建規(guī)則的名稱(chēng)，并單擊“完成”按鈕，如此一來(lái)Windows Server 2008系統(tǒng)中的高級(jí)防火墻程序就會(huì)禁止那些存在明顯安全漏洞的應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)了，那樣的話病毒或木馬自然也就不能通過(guò)應(yīng)用程序漏洞對(duì)本地服務(wù)器實(shí)施惡意攻擊了。

標(biāo)簽：黔東新余天門(mén) 呼和浩特南通株洲六安黃石

巨人網(wǎng)絡(luò)通訊聲明：本文標(biāo)題《用組策略保護(hù)Windows Server 2008系統(tǒng)安全》，本文關(guān)鍵詞；如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問(wèn)題，煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們，我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò)，涉及言論、版權(quán)與本站無(wú)關(guān)。