盡管Windows Server 2008系統(tǒng)的安全性要領(lǐng)先其他操作系統(tǒng)一大步����,不過默認(rèn)狀態(tài)下過高的安全級(jí)別常常使不少人無法順利地在Windows Server 2008系統(tǒng)環(huán)境下進(jìn)行各種操作��,為此許多用戶往往會(huì)采用手工方法來降低Windows Server 2008系統(tǒng)的安全訪問級(jí)別�?��?墒?����,一旦降低了安全訪問級(jí)別�,Windows Server 2008系統(tǒng)遭遇安全攻擊的可能性就非常大了;那么如何在安全訪問級(jí)別不高的情況下�,我們?nèi)匀荒軌蜃學(xué)indows Server 2008系統(tǒng)安全地運(yùn)行?要做到這一點(diǎn),我們可以利用Windows Server 2008系統(tǒng)強(qiáng)大的組策略功能��,來對(duì)相關(guān)選項(xiàng)參數(shù)進(jìn)行有效設(shè)置!
1��、禁止惡意程序“不請(qǐng)自來”
在Windows Server 2008系統(tǒng)環(huán)境中使用IE瀏覽器上網(wǎng)瀏覽網(wǎng)頁內(nèi)容時(shí)�,時(shí)常會(huì)有一些惡意程序不請(qǐng)自來,偷偷下載保存到本地計(jì)算機(jī)硬盤中���,這樣不但會(huì)白白浪費(fèi)寶貴的硬盤空間資源����,而且也會(huì)給本地計(jì)算機(jī)系統(tǒng)的安全帶來不少麻煩�。為了讓W(xué)indows Server 2008系統(tǒng)更加安全,我們往往需要借助專業(yè)的軟件工具才能禁止應(yīng)用程序隨意下載�����,很顯然這樣操作不但麻煩而且比較累人;其實(shí)����,在Windows Server 2008系統(tǒng)環(huán)境中,我們只要簡單地設(shè)置一下系統(tǒng)組策略參數(shù)�����,就能禁止惡意程序自動(dòng)下載保存到本地計(jì)算機(jī)硬盤中了�����,下面就是具體的設(shè)置步驟:
首先以特權(quán)帳號(hào)進(jìn)入Windows Server 2008系統(tǒng)環(huán)境����,依次點(diǎn)選系統(tǒng)桌面中的“開始”/“運(yùn)行”命令�,在系統(tǒng)運(yùn)行框中執(zhí)行g(shù)pedit.msc命令,打開本地計(jì)算機(jī)的組策略編輯窗口;
圖1 Internet Explorer 進(jìn)程屬性
其次在組策略編輯窗口左側(cè)區(qū)域展開“計(jì)算機(jī)配置”分支���,再依次選擇該分支下面的“管理模板”/“Windows組件”/“Internet Explorer”/“安全功能”/“限制文件下載”子項(xiàng)��,雙擊“限制文件下載”子項(xiàng)下面的“Internet Explorer進(jìn)程”組策略選項(xiàng)��,打開如圖1所示的目標(biāo)組策略屬性設(shè)置窗口;選中“已啟用”選項(xiàng)�,再單擊“確定”按鈕退出組策略屬性設(shè)置窗口���,這樣一來我們就能成功啟用限制Internet Explorer進(jìn)程下載文件的策略設(shè)置�����,日后Windows Server 2008系統(tǒng)就會(huì)自動(dòng)彈出阻止Internet Explorer進(jìn)程的非用戶初始化的文件下載提示���,單擊提示對(duì)話框中的“確定”按鈕�,惡意程序就不會(huì)通過IE瀏覽器窗口隨意下載保存到本地計(jì)算機(jī)硬盤中了���。
2����、對(duì)重要文件夾進(jìn)行安全審核
Windows Server 2008系統(tǒng)可以使用安全審核的方法來跟蹤訪問重要文件夾或其他對(duì)象的登錄嘗試�、用戶賬號(hào)、系統(tǒng)關(guān)閉����、重啟系統(tǒng)以及其他一些事件��。要是我們能夠充分利用Windows Server 2008系統(tǒng)文件夾的審核功能,就能有效保證重要文件夾的訪問安全性��,其他非法攻擊者就無法輕易對(duì)其進(jìn)行惡意破壞;在對(duì)Windows Server 2008系統(tǒng)中的重要文件夾進(jìn)行訪問審核時(shí)�����,我們可以按照如下步驟來進(jìn)行:
首先以特權(quán)帳號(hào)進(jìn)入Windows Server 2008系統(tǒng)環(huán)境����,依次點(diǎn)選系統(tǒng)桌面中的“開始”/“運(yùn)行”命令,在系統(tǒng)運(yùn)行框中執(zhí)行g(shù)pedit.msc命令�,打開本地計(jì)算機(jī)的組策略編輯窗口;
其次在組策略編輯窗口左側(cè)區(qū)域展開“計(jì)算機(jī)配置”分支,再依次選擇該分支下面的“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“審核策略”選項(xiàng),在對(duì)應(yīng)“審核策略”選項(xiàng)的右側(cè)顯示區(qū)域中找到“審核對(duì)象訪問”目標(biāo)組策略項(xiàng)目�,并用鼠標(biāo)右鍵單擊該項(xiàng)目�,執(zhí)行右鍵菜單中的“屬性”命令打開目標(biāo)組策略項(xiàng)目的屬性設(shè)置窗口,如圖2所示;
圖2 組策略 審核對(duì)象訪問屬性
選中該屬性設(shè)置窗口中的“成功”和“失敗”復(fù)選項(xiàng)���,再單擊“確定”按鈕�,如此一來訪問重要文件夾或其他對(duì)象的登錄嘗試���、用戶賬號(hào)�����、系統(tǒng)關(guān)閉���、重啟系統(tǒng)以及其他一些事件無論成功與失敗�����,都會(huì)被Windows Server 2008系統(tǒng)自動(dòng)記錄保存到對(duì)應(yīng)的日志文件中���,我們只要及時(shí)查看服務(wù)器系統(tǒng)的相關(guān)日志文件,就能知道重要文件夾以及其他一些對(duì)象是否遭受過非法訪問或攻擊了���,一旦發(fā)現(xiàn)系統(tǒng)存在安全隱患的話�����,我們只要根據(jù)日志文件中的內(nèi)容及時(shí)采取針對(duì)性措施進(jìn)行安全防范就可以了�����。
3�����、禁止改變本地安全訪問級(jí)別
在辦公室中��,我們有時(shí)需要與其他同事共享使用同一臺(tái)計(jì)算機(jī)���,當(dāng)我們對(duì)本地計(jì)算機(jī)的IE瀏覽器安全訪問級(jí)別設(shè)置好,肯定不希望其他同事隨意更改它的安全訪問級(jí)別����,畢竟安全級(jí)別要是設(shè)置得太低的話,會(huì)導(dǎo)致潛藏在網(wǎng)絡(luò)中的各種病毒或木馬對(duì)本地計(jì)算機(jī)進(jìn)行惡意攻擊���,從而可能造成本地系統(tǒng)運(yùn)行緩慢或者無法正常運(yùn)行的故障現(xiàn)象��。為了防止其他人隨意更改本地計(jì)算機(jī)的安全訪問級(jí)別����,Windows Server 2008系統(tǒng)允許我們進(jìn)入如下設(shè)置�,來保護(hù)本地系統(tǒng)的安全:
首先以特權(quán)帳號(hào)進(jìn)入Windows Server 2008系統(tǒng)環(huán)境,依次點(diǎn)選系統(tǒng)桌面中的“開始”/“運(yùn)行”命令�,在系統(tǒng)運(yùn)行框中執(zhí)行g(shù)pedit.msc命令,打開本地計(jì)算機(jī)的組策略編輯窗口;
其次在組策略編輯窗口左側(cè)區(qū)域展開“用戶配置”分支�,再依次選擇該分支下面的“管理模板”/“Windows組件”/“Internet Explorer”/“Internet控制模板”選項(xiàng)��,在對(duì)應(yīng)“Internet控制模板”選項(xiàng)的右側(cè)顯示區(qū)域中找到“禁用安全頁”目標(biāo)組策略項(xiàng)目�,并用鼠標(biāo)右鍵單擊該項(xiàng)目��,執(zhí)行右鍵菜單中的“屬性”命令打開目標(biāo)組策略項(xiàng)目的屬性設(shè)置窗口�,如圖3所示;
圖3 禁用安全頁屬性
選中該屬性設(shè)置窗口中的“已啟用”選項(xiàng),再單擊“確定”按鈕結(jié)束目標(biāo)組策略屬性設(shè)置操作��,如此一來Internet Explorer的安全設(shè)置頁面就會(huì)被自動(dòng)隱藏起來����,這樣的話其他同事就無法進(jìn)入該安全標(biāo)簽設(shè)置頁面來隨意更改本地系統(tǒng)的安全訪問級(jí)別了,那么本地計(jì)算機(jī)系統(tǒng)的安全性也就能得到有效保證了����。
當(dāng)然,我們也可以通過隱藏Internet Explorer窗口中的“Internet選項(xiàng)”���,阻止其他同事隨意進(jìn)入IE瀏覽器的選項(xiàng)設(shè)置界面����,來調(diào)整本地系統(tǒng)的安全訪問級(jí)別以及其他上網(wǎng)訪問參數(shù)�。在隱藏Internet Explorer窗口中的“Internet選項(xiàng)”時(shí),我們可以按照前面的操作步驟打開Windows Server 2008系統(tǒng)的組策略編輯窗口�����,將鼠標(biāo)定位于“用戶配置”/“管理模板”/“Windows組件”/“Internet Explorer”/“瀏覽器菜單”分支選項(xiàng)上,再將該目標(biāo)分支選項(xiàng)下面的禁用“Internet選項(xiàng)”組策略的屬性設(shè)置窗口打開����,然后選中其中的“已啟用”選項(xiàng)�����,最后單擊“確定”按鈕就能使設(shè)置生效了��。
4��、禁止超級(jí)賬號(hào)名稱被偷竊
許多技術(shù)高明的黑客或惡意攻擊者常常會(huì)通過登錄Windows Server 2008系統(tǒng)的SID標(biāo)識(shí)���,來竊取系統(tǒng)超級(jí)賬號(hào)的名稱信息���,之后再利用目標(biāo)賬號(hào)名稱嘗試去暴力破解登錄Windows Server 2008系統(tǒng)的密碼,最終獲得Windows Server 2008系統(tǒng)的所有控制權(quán)限;很明顯����,一旦系統(tǒng)的超級(jí)權(quán)限帳號(hào)名稱被非法竊取使用的話,那么Windows Server 2008系統(tǒng)的安全性就沒有任何保證了���。為了有效保證Windows Server 2008系統(tǒng)的安全性����,我們不妨進(jìn)行如下設(shè)置,禁止任何用戶通過SID標(biāo)識(shí)獲取對(duì)應(yīng)系統(tǒng)登錄賬號(hào)的名稱信息:
首先以特權(quán)帳號(hào)進(jìn)入Windows Server 2008系統(tǒng)環(huán)境��,依次點(diǎn)選系統(tǒng)桌面中的“開始”/“運(yùn)行”命令���,在系統(tǒng)運(yùn)行框中執(zhí)行g(shù)pedit.msc命令��,打開本地計(jì)算機(jī)的組策略編輯窗口;
其次在組策略編輯窗口左側(cè)區(qū)域展開“計(jì)算機(jī)配置”分支�,再依次選擇該分支下面的“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“安全選項(xiàng)”項(xiàng)目����,找到該分支項(xiàng)目下面的“網(wǎng)絡(luò)訪問:允許匿名SID/名稱轉(zhuǎn)換”目標(biāo)組策略選項(xiàng)�,并用鼠標(biāo)右鍵單擊該選項(xiàng)�,執(zhí)行右鍵菜單中的“屬性”命令打開如圖4所示的目標(biāo)組策略屬性設(shè)置界面,選中
圖4 網(wǎng)絡(luò)訪問屬性
其中的“已禁用”選項(xiàng)��,再單擊“確定”按鈕退出組策略屬性設(shè)置窗口,這樣的話任何用戶都將無法利用SID標(biāo)識(shí)來竊取Windows Server 2008系統(tǒng)的登錄賬號(hào)名稱信息了,那么Windows Server 2008系統(tǒng)受到暴力破解登錄的機(jī)會(huì)就大大減少了�����,此時(shí)對(duì)應(yīng)系統(tǒng)的安全性也就能得到有效保證了���。
5����、禁止U盤病毒“趁虛而入”
很多時(shí)候���,我們都是通過U盤與其他計(jì)算機(jī)系統(tǒng)相互交換信息的,但遺憾的是現(xiàn)在Internet網(wǎng)絡(luò)中的U盤病毒瘋狂肆虐��,那么對(duì)于Windows Server 2008系統(tǒng)來說��,我們究竟該采取什么措施來禁止U盤病毒“趁虛而入”呢?其實(shí)很簡單,我們可以通過設(shè)置Windows Server 2008系統(tǒng)的組策略參數(shù)����,來禁止本地計(jì)算機(jī)系統(tǒng)讀取U盤,那樣一來U盤中的病毒文件就無法傳播出來���,下面就是具體的設(shè)置步驟:
首先以特權(quán)帳號(hào)進(jìn)入Windows Server 2008系統(tǒng)環(huán)境,依次點(diǎn)選系統(tǒng)桌面中的“開始”/“運(yùn)行”命令����,在系統(tǒng)運(yùn)行框中執(zhí)行g(shù)pedit.msc命令��,打開本地計(jì)算機(jī)的組策略編輯窗口;
其次在組策略編輯窗口左側(cè)區(qū)域展開“用戶配置”分支���,再依次選擇該分支下面的“管理模板”/“系統(tǒng)”/“可移動(dòng)存儲(chǔ)”選項(xiàng)��,找到該分支選項(xiàng)下面的“可移動(dòng)磁盤:拒絕讀取權(quán)限”目標(biāo)組策略選項(xiàng)����,并用鼠標(biāo)右鍵單擊該選項(xiàng)��,執(zhí)行右鍵菜單中的“屬性”命令打開如圖5所示的目標(biāo)組策略屬性設(shè)置界面,選中
圖5 可移動(dòng)磁盤屬性
其中的“已啟用”選項(xiàng)����,再單擊“確定”按鈕退出組策略屬性設(shè)置窗口;
同樣地,再打開“可移動(dòng)磁盤:拒絕寫入權(quán)限”目標(biāo)組策略選項(xiàng)的屬性設(shè)置窗口����,選中該窗口中的“已啟用”選項(xiàng)�,最后再單擊“確定”按鈕就能使設(shè)置生效了,此時(shí)U盤病毒就不能“趁虛而入”了�����,那么Windows Server 2008系統(tǒng)也就不會(huì)遭遇U盤病毒的非法攻擊了����。
6、禁止來自程序的漏洞攻擊
不少用戶往往會(huì)錯(cuò)誤地認(rèn)為���,只要對(duì)Windows Server 2008服務(wù)器系統(tǒng)的補(bǔ)丁程序進(jìn)行及時(shí)更新�����,就能讓本地服務(wù)器系統(tǒng)遠(yuǎn)離網(wǎng)絡(luò)中各種木馬程序或惡意病毒的非法攻擊了。其實(shí),為Windows Server 2008服務(wù)器系統(tǒng)更新補(bǔ)丁程序只能堵住系統(tǒng)自身存在的一些安全漏洞����,如果安裝在Windows Server 2008系統(tǒng)中的應(yīng)用程序有明顯漏洞時(shí)�����,那么網(wǎng)絡(luò)中各種木馬程序或惡意病毒仍然能夠利用應(yīng)用程序存在的安全漏洞來對(duì)Windows Server 2008系統(tǒng)進(jìn)行非法攻擊���。那么在Windows Server 2008系統(tǒng)環(huán)境中�����,我們?cè)摬扇∈裁创胧﹣斫共《净蚰抉R利用應(yīng)用程序漏洞來對(duì)服務(wù)器進(jìn)行非法攻擊呢?很簡單!我們可以利用Windows Server 2008服務(wù)器系統(tǒng)內(nèi)置的高級(jí)防火墻程序來實(shí)現(xiàn)這一目的�����,下面就是具體的設(shè)置步驟:
首先以特權(quán)帳號(hào)進(jìn)入Windows Server 2008系統(tǒng)環(huán)境,依次點(diǎn)選系統(tǒng)桌面中的“開始”/“運(yùn)行”命令��,在系統(tǒng)運(yùn)行框中執(zhí)行g(shù)pedit.msc命令�����,打開本地服務(wù)器的組策略編輯窗口;
其次在組策略編輯窗口左側(cè)區(qū)域展開“計(jì)算機(jī)配置”分支�����,再依次選擇該分支下面的“Windows設(shè)置”/“安全設(shè)置”/“高級(jí)安全Windows防火墻”/“高級(jí)安全Windows防火墻——本地組策略對(duì)象”選項(xiàng),用鼠標(biāo)右鍵單擊該分支選項(xiàng)下面的“入站規(guī)則”子項(xiàng)�,從彈出的右鍵菜單中執(zhí)行“屬性”命令打開新建入站規(guī)則向?qū)гO(shè)置界面;
圖6 入站規(guī)則向?qū)?/p>
根據(jù)向?qū)Ы缑娴奶崾?��,將?guī)則類型參數(shù)設(shè)置為“程序”,然后選中“此程序路徑”選項(xiàng)���,并單擊“瀏覽”按鈕,將存在明顯漏洞的目標(biāo)應(yīng)用程序選中��,當(dāng)屏幕上出現(xiàn)如圖6所示的向?qū)гO(shè)置界面時(shí),我們可以選中“阻止連接”項(xiàng)目��,最后再設(shè)置好新建規(guī)則的名稱�����,并單擊“完成”按鈕�,如此一來Windows Server 2008系統(tǒng)中的高級(jí)防火墻程序就會(huì)禁止那些存在明顯安全漏洞的應(yīng)用程序訪問網(wǎng)絡(luò)了��,那樣的話病毒或木馬自然也就不能通過應(yīng)用程序漏洞對(duì)本地服務(wù)器實(shí)施惡意攻擊了���。
