用组策略保护Windows Server 2008系统安全
发布时间:2022-07-26 04:48:43
Windows Server 2008系统安全地运行?要做到这一点,我们可以利用Windows Server 2008系统强大的组策略功能,来对相关选项参数进行有效设置
尽管Windows Server 2008系统的安全性要领先其他操作系统一大步,不过默认状态下过高的安全级别常常使不少人无法顺利地在Windows Server 2008系统环境下进行各种操作,为此许多用户往往会采用手工方法来降低Windows Server 2008系统的安全访问级别。可是,一旦降低了安全访问级别,Windows Server 2008系统遭遇安全攻击的可能性就非常大了;那么如何在安全访问级别不高的情况下,我们仍然能够让Windows Server 2008系统安全地运行?要做到这一点,我们可以利用Windows Server 2008系统强大的组策略功能,来对相关选项参数进行有效设置!
1、禁止恶意程序“不请自来”
在Windows Server 2008系统环境中使用IE浏览器上网浏览网页内容时,时常会有一些恶意程序不请自来,偷偷下载保存到本地计算机硬盘中,这样不但会白白浪费宝贵的硬盘空间资源,而且也会给本地计算机系统的安全带来不少麻烦。为了让Windows Server 2008系统更加安全,我们往往需要借助专业的软件工具才能禁止应用程序随意下载,很显然这样操作不但麻烦而且比较累人;其实,在Windows Server 2008系统环境中,我们只要简单地设置一下系统组策略参数,就能禁止恶意程序自动下载保存到本地计算机硬盘中了,下面就是具体的设置步骤:
首先以特权帐号进入Windows Server 2008系统环境,依次点选系统桌面中的“开始”/“运行”命令,在系统运行框中执行gpedit.msc命令,打开本地计算机的组策略编辑窗口;
图1 Internet Explorer 进程属性
其次在组策略编辑窗口左侧区域展开“计算机配置”分支,再依次选择该分支下面的“管理模板”/“Windows组件”/“Internet Explorer”/“安全功能”/“限制文件下载”子项,双击“限制文件下载”子项下面的“Internet Explorer进程”组策略选项,打开如图1所示的目标组策略属性设置窗口;选中“已启用”选项,再单击“确定”按钮退出组策略属性设置窗口,这样一来我们就能成功启用限制Internet Explorer进程下载文件的策略设置,日后Windows Server 2008系统就会自动弹出阻止Internet Explorer进程的非用户初始化的文件下载提示,单击提示对话框中的“确定”按钮,恶意程序就不会通过IE浏览器窗口随意下载保存到本地计算机硬盘中了。
2、对重要文件夹进行安全审核
Windows Server 2008系统可以使用安全审核的方法来跟踪访问重要文件夹或其他对象的登录尝试、用户账号、系统关闭、重启系统以及其他一些事件。要是我们能够充分利用Windows Server 2008系统文件夹的审核功能,就能有效保证重要文件夹的访问安全性,其他非法攻击者就无法轻易对其进行恶意破坏;在对Windows Server 2008系统中的重要文件夹进行访问审核时,我们可以按照如下步骤来进行:
首先以特权帐号进入Windows Server 2008系统环境,依次点选系统桌面中的“开始”/“运行”命令,在系统运行框中执行gpedit.msc命令,打开本地计算机的组策略编辑窗口;
其次在组策略编辑窗口左侧区域展开“计算机配置”分支,再依次选择该分支下面的“Windows设置”/“安全设置”/“本地策略”/“审核策略”选项,在对应“审核策略”选项的右侧显示区域中找到“审核对象访问”目标组策略项目,并用鼠标右键单击该项目,执行右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口,如图2所示;
图2 组策略 审核对象访问属性
选中该属性设置窗口中的“成功”和“失败”复选项,再单击“确定”按钮,如此一来访问重要文件夹或其他对象的登录尝试、用户账号、系统关闭、重启系统以及其他一些事件无论成功与失败,都会被Windows Server 2008系统自动记录保存到对应的日志文件中,我们只要及时查看服务器系统的相关日志文件,就能知道重要文件夹以及其他一些对象是否遭受过非法访问或攻击了,一旦发现系统存在安全隐患的话,我们只要根据日志文件中的内容及时采取针对性措施进行安全防范就可以了。
3、禁止改变本地安全访问级别
在办公室中,我们有时需要与其他同事共享使用同一台计算机,当我们对本地计算机的IE浏览器安全访问级别设置好,肯定不希望其他同事随意更改它的安全访问级别,毕竟安全级别要是设置得太低的话,会导致潜藏在网络中的各种病毒或木马对本地计算机进行恶意攻击,从而可能造成本地系统运行缓慢或者无法正常运行的故障现象。为了防止其他人随意更改本地计算机的安全访问级别,Windows Server 2008系统允许我们进入如下设置,来保护本地系统的安全:
首先以特权帐号进入Windows Server 2008系统环境,依次点选系统桌面中的“开始”/“运行”命令,在系统运行框中执行gpedit.msc命令,打开本地计算机的组策略编辑窗口;
其次在组策略编辑窗口左侧区域展开“用户配置”分支,再依次选择该分支下面的“管理模板”/“Windows组件”/“Internet Explorer”/“Internet控制模板”选项,在对应“Internet控制模板”选项的右侧显示区域中找到“禁用安全页”目标组策略项目,并用鼠标右键单击该项目,执行右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口,如图3所示;
图3 禁用安全页属性
选中该属性设置窗口中的“已启用”选项,再单击“确定”按钮结束目标组策略属性设置操作,如此一来Internet Explorer的安全设置页面就会被自动隐藏起来,这样的话其他同事就无法进入该安全标签设置页面来随意更改本地系统的安全访问级别了,那么本地计算机系统的安全性也就能得到有效保证了。
当然,我们也可以通过隐藏Internet Explorer窗口中的“Internet选项”,阻止其他同事随意进入IE浏览器的选项设置界面,来调整本地系统的安全访问级别以及其他上网访问参数。在隐藏Internet Explorer窗口中的“Internet选项”时,我们可以按照前面的操作步骤打开Windows Server 2008系统的组策略编辑窗口,将鼠标定位于“用户配置”/“管理模板”/“Windows组件”/“Internet Explorer”/“浏览器菜单”分支选项上,再将该目标分支选项下面的禁用“Internet选项”组策略的属性设置窗口打开,然后选中其中的“已启用”选项,最后单击“确定”按钮就能使设置生效了。
4、禁止超级账号名称被偷窃
许多技术高明的黑客或恶意攻击者常常会通过登录Windows Server 2008系统的SID标识,来窃取系统超级账号的名称信息,之后再利用目标账号名称尝试去暴力破解登录Windows Server 2008系统的密码,最终获得Windows Server 2008系统的所有控制权限;很明显,一旦系统的超级权限帐号名称被非法窃取使用的话,那么Windows Server 2008系统的安全性就没有任何保证了。为了有效保证Windows Server 2008系统的安全性,我们不妨进行如下设置,禁止任何用户通过SID标识获取对应系统登录账号的名称信息:
首先以特权帐号进入Windows Server 2008系统环境,依次点选系统桌面中的“开始”/“运行”命令,在系统运行框中执行gpedit.msc命令,打开本地计算机的组策略编辑窗口;
其次在组策略编辑窗口左侧区域展开“计算机配置”分支,再依次选择该分支下面的“Windows设置”/“安全设置”/“本地策略”/“安全选项”项目,找到该分支项目下面的“网络访问:允许匿名SID/名称转换”目标组策略选项,并用鼠标右键单击该选项,执行右键菜单中的“属性”命令打开如图4所示的目标组策略属性设置界面,选中
图4 网络访问属性
其中的“已禁用”选项,再单击“确定”按钮退出组策略属性设置窗口,这样的话任何用户都将无法利用SID标识来窃取Windows Server 2008系统的登录账号名称信息了,那么Windows Server 2008系统受到暴力破解登录的机会就大大减少了,此时对应系统的安全性也就能得到有效保证了。
5、禁止U盘病毒“趁虚而入”
很多时候,我们都是通过U盘与其他计算机系统相互交换信息的,但遗憾的是现在Internet网络中的U盘病毒疯狂肆虐,那么对于Windows Server 2008系统来说,我们究竟该采取什么措施来禁止U盘病毒“趁虚而入”呢?其实很简单,我们可以通过设置Windows Server 2008系统的组策略参数,来禁止本地计算机系统读取U盘,那样一来U盘中的病毒文件就无法传播出来,下面就是具体的设置步骤:
首先以特权帐号进入Windows Server 2008系统环境,依次点选系统桌面中的“开始”/“运行”命令,在系统运行框中执行gpedit.msc命令,打开本地计算机的组策略编辑窗口;
其次在组策略编辑窗口左侧区域展开“用户配置”分支,再依次选择该分支下面的“管理模板”/“系统”/“可移动存储”选项,找到该分支选项下面的“可移动磁盘:拒绝读取权限”目标组策略选项,并用鼠标右键单击该选项,执行右键菜单中的“属性”命令打开如图5所示的目标组策略属性设置界面,选中
图5 可移动磁盘属性
其中的“已启用”选项,再单击“确定”按钮退出组策略属性设置窗口;
同样地,再打开“可移动磁盘:拒绝写入权限”目标组策略选项的属性设置窗口,选中该窗口中的“已启用”选项,最后再单击“确定”按钮就能使设置生效了,此时U盘病毒就不能“趁虚而入”了,那么Windows Server 2008系统也就不会遭遇U盘病毒的非法攻击了。
6、禁止来自程序的漏洞攻击
不少用户往往会错误地认为,只要对Windows Server 2008服务器系统的补丁程序进行及时更新,就能让本地服务器系统远离网络中各种木马程序或恶意病毒的非法攻击了。其实,为Windows Server 2008服务器系统更新补丁程序只能堵住系统自身存在的一些安全漏洞,如果安装在Windows Server 2008系统中的应用程序有明显漏洞时,那么网络中各种木马程序或恶意病毒仍然能够利用应用程序存在的安全漏洞来对Windows Server 2008系统进行非法攻击。那么在Windows Server 2008系统环境中,我们该采取什么措施来禁止病毒或木马利用应用程序漏洞来对服务器进行非法攻击呢?很简单!我们可以利用Windows Server 2008服务器系统内置的高级防火墙程序来实现这一目的,下面就是具体的设置步骤:
首先以特权帐号进入Windows Server 2008系统环境,依次点选系统桌面中的“开始”/“运行”命令,在系统运行框中执行gpedit.msc命令,打开本地服务器的组策略编辑窗口;
其次在组策略编辑窗口左侧区域展开“计算机配置”分支,再依次选择该分支下面的“Windows设置”/“安全设置”/“高级安全Windows防火墙”/“高级安全Windows防火墙——本地组策略对象”选项,用鼠标右键单击该分支选项下面的“入站规则”子项,从弹出的右键菜单中执行“属性”命令打开新建入站规则向导设置界面;
图6 入站规则向导
根据向导界面的提示,将规则类型参数设置为“程序”,然后选中“此程序路径”选项,并单击“浏览”按钮,将存在明显漏洞的目标应用程序选中,当屏幕上出现如图6所示的向导设置界面时,我们可以选中“阻止连接”项目,最后再设置好新建规则的名称,并单击“完成”按钮,如此一来Windows Server 2008系统中的高级防火墙程序就会禁止那些存在明显安全漏洞的应用程序访问网络了,那样的话病毒或木马自然也就不能通过应用程序漏洞对本地服务器实施恶意攻击了。
猜你喜欢
- 在Win10的任务管理器中,我么可以管理启动项里面的程序,可以禁止和允许程序的运行,但是无法删除启动项。如果启动项过多,将会影响系统的运行速
- 我们常在抖音中看到电影“拉开帷幕”的效果,怎么制作帷幕拉开效果的开场动画?这里用到了premiere,在PR中想要制作一个开头动画,该怎么制
- 如果Windows 8能够启动,选择Metro控制面板应用程序,点击“常规”选择“恢复电脑而不影响你的文件”选项去重新安装Windows并同
- 如何正确完成软件的系统扩展设置?别急,今天小编给大家整理了系统扩展设置教程,有需要的朋友快来跟小编看看吧!第一步:打开软件安装包进行软件安装
- 微软又抢在开发者大会(Build 2015)之前,为这批采用Modern截面的Office应用发布了更新。作为微软走向统一、独立、以及触控友
- word文档怎么设置页面文字垂直居中?想让word中的文字居中显示,这样排版会很好看,但是该怎么设置居中显示呢?下面我们就来看看详细的教程,
- Win10桌面反复崩溃该怎么办?因为兼容性出问题,所以会导致Windows 10的桌面反复闪烁、崩溃,严重的甚至完全无法使用,该怎么办呢?下
- 有时大家使用计算机会莫名卡顿,在没有打开太多软件但是任务仍然很慢。现在只需对Win10软件和硬件进行调整,而无需考虑更换硬件设备,则可以提高
- Excel怎样制作漂亮的柱状图?柱状图是经常需要绘制的图,本文讲解如何在软件绘制的默认的柱状图的基础上对柱状图进行美化设计,得到一张漂亮的柱
- wps表格就是office中的excel功能了,我们可以利用wps表格来替代excel功能了,下面小编就教你wps表格筛选数据方法。wps表
- 很多使用win7系统的朋友在自己的电脑上设置了屏保,但还是有很多用户不知道如何设置win7屏保。以下是为win7 实际设置屏幕保护程序的方法
- 使用 iOS 15,您可以保持钱包整洁。使用 iOS 15 中的一项新功能自动删除过期的门票和通行证。 清除旧钱包项目对iPhon
- Win10玩dnf帧率低怎么办?在玩耍我们的DNF游戏的时候,相信很多的用户们都碰到过这种情况,就是DNF游戏的帧率特别低,造成这种情况的,
- 在我们从网站复制文字或是从图片中识别提取文字到Word文档中的时候,可能会出现下图所示的异常断行情况:每行文本后面有多余的空白区域,红色方框
- Mid是Visual Basic和Microsoft Excel中的一个字符串函数,作用是从一个字符串中截取出指定数量的字符。在EXCEL处
- 在升级到Win10预览版10130后,部分用户反映声音驱动存在问题,导致声音无法正常播放。下面小编就为大家带来Win10 Build 101
- 在excel表格中,会有着重复的值,想要删除所有的重复值,只留下唯一的一个,应该如何提取出来呢?下面随小编一起来看看吧。excel提取唯一值
- Win8系统的Metro应用程序图标也叫“磁贴”,源自扁平图标仿佛吸附在开始屏幕上般,到了8.1版本,磁贴编辑功能更强,不仅可分组还支持更大
- 在Adobe Photoshop中,你可以通过合并图层混合模式来在你的工作当中控制两个图层混合在一起的方式,它位于图层面板,通过几个简单的点
- 电脑版WPS中同时包括Word文档,Excel表格,PPT演示文稿,功能非常强大,使用起来也是非常地方便,所以很多小伙伴都在使用这款软件。在