Windows2008安全设置让危险不再来

[yahoo]

相信很多人都知道Windows Server 2008系统的安全功能非法强大，而它的强大之处不仅仅是新增加了一些安全功能，而且还表现在一些不起眼的传统功能上。这不，巧妙对Windows Server 2008系统的组策略功能进行深入挖掘，我们可以发现许多安全应用秘密;现在本文就为各位朋友贡献几则这样的安全秘密，希望能对大家有用!

1、限制使用迅雷进行恶意下载

在多人共同使用相同的一台计算机进行工作时，我们肯定不希望普通用户随意使用迅雷工具进行恶意下载，这样不但容易浪费本地系统的磁盘空间资源，而且也会大大消耗本地系统的上网带宽资源。而在Windows Server 2008系统环境下，限制普通用户随意使用迅雷工具进行恶意下载的方法有很多，例如可以利用Windows Server 2008系统新增加的高级安全防火墙功能，或者通过限制下载端口等方法来实现上述控制目的，其实除了这些方法外，我们还可以巧妙地利用该系统的软件限制策略来达到这一 目的，下面就是该方法的具体实现步骤：

首先以系统管理员权限登录进入Windows Server 2008系统，打开该系统的“开始”菜单，从中点选“运行”命令，在弹出的系统运行文本框中，输入“gpedit.msc”字符串命令，进入对应系统的组策略控制台窗口;

其次在该控制台窗口的左侧位置处，依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”选项，同时用鼠标右键单击该选项，并执行快捷菜单中的“创建软件限制策略”命令;

接着在对应“软件限制策略”选项的右侧显示区域，用鼠标双击“强制”组策略项目，打开如图1所示的设置对话框，选中其中的“除本地管理员以外的所有用户”选项，其余参数都保持默认设置，再单击“确定”按钮结束上述设置操作;

下面选中“软件限制策略”节点下面的“其他规则”选项，再用鼠标右键单击该组策略选项，从弹出的快捷菜单中点选“新建路径规则”命令，在其后出现的设置对话框中，单击“浏览”按钮选中迅雷下载程序，同时将对应该应用程序的“安全级别”参数设置为“不允许”，最后单击“确定”按钮执行参数设置保存操作;

重新启动一下Windows Server 2008系统，当用户以普通权限账号登录进入该系统后，普通用户就不能正常使用迅雷程序进行恶意下载了，不过当我们以系统管理员权限进入本地计算机系统时，仍然可以正常运行迅雷程序进行随意下载。

2、拒绝网络病毒藏于临时文件

现在Internet网络上的病毒疯狂肆虐，一些“狡猾”的网络病毒为了躲避杀毒软件的追杀，往往会想方设法地将自己隐藏于系统临时文件夹，那样一来杀毒软件即使找到了网络病毒，也对它无可奈何，因为杀毒软件对系统临时文件夹根本无权“指手划脚”。为了防止网络病毒隐藏在系统临时文件夹中，我们可以按照下面的操作设置Windows Server 2008系统的软件限制策略：

首先打开Windows Server 2008系统的“开始”菜单，从中点选“运行”命令，在弹出的系统运行对话框中，输入组策略编辑命令“gpedit.msc”，单击“确定”按钮后，进入对应系统的组策略控制台窗口;

其次在该控制台窗口的左侧位置处，依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”/“其他规则”选项，同时用鼠标右键单击该选项，并执行快捷菜单中的“新建路径规则”命令，打开如图2所示的设置对话框;单击其中的“浏览”按钮，从弹出的文件选择对话框中，选中并导入Windows Server 2008系统的临时文件夹，同时再将“安全级别”参数设置为“不允许”，最后单击“确定”按钮保存好上述设置操作，这样一来网络病毒日后就不能躲藏到系统的临时文件夹中了。

3、禁止来自外网的非法ping攻击

我们知道，巧妙地利用Windows系统自带的ping命令，可以快速判断局域网中某台重要计算机的网络连通性;可是，ping命令在给我们带来实用的同时，也容易被一┒褚庥没茫缍褚庥没б墙柚ㄒ倒ぞ卟煌５叵蛑匾扑慊⑺蚿ing命令测试包时，重要计算机系统由于无法对所有测试包进行应答，从而容易出现瘫痪现象。为了保证Windows Server 2008服务器系统的运行稳定性，我们可以修改该系统的组策略参数，来禁止来自外网的非法ping攻击：

首先以特权身份登录进入Windows Server 2008服务器系统，依次点选该系统桌面上的“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“gpedit.msc”，单击回车键后，进入对应系统的控制台窗口;

其次选中该控制台左侧列表中的“计算机配置”节点选项，并从目标节点下面逐一点选“Windows设置”、“安全设置”、“高级安全Windows防火墙”、“高级安全Windows防火墙——本地组策略对象”选项，再用鼠标选中目标选项下面的“入站规则”项目;

接着在对应“入站规则”项目右侧的“操作”列表中，点选“新规则”选项，此时系统屏幕会自动弹出新建入站规则向导对话框，依照向导屏幕的提示，先将“自定义”选项选中，再将“所有程序”项目选中，之后从协议类型列表中选中“ICMPv4”。

向导屏幕会提示我们选择什么类型的连接条件时，我们可以选中“阻止连接”选项，同时依照实际情况设置好对应入站规则的应用环境，最后为当前创建的入站规则设置一个适当的名称。完成上面的设置任务后，将Windows Server 2008服务器系统重新启动一下，这么一来Windows Server 2008服务器系统日后就不会轻易受到来自外网的非法ping测试攻击了。

小提示：尽管通过Windows Server 2008服务器系统自带的高级安全防火墙功能，可以实现很多安全防范目的，不过稍微懂得一点技术的非法攻击者，可以想办法修改防火墙的安全规则，那样一来我们自行定义的各种安全规则可能会发挥不了任何作用。为了阻止非法攻击者随意修改Windows Server 2008服务器系统的防火墙安全规则，我们可以进行下面的设置操作：

首先打开Windows Server 2008服务器系统的“开始”菜单，点选“运行”命令，在弹出的系统运行文本框中执行“regedit”字符串命令，打开系统注册表控制台窗口;选中该窗口左侧显示区域处的HKEY_LOCAL_MACHINE节点选项，同时从目标分支下面选中SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules注册表子项，该子项下面保存有很多安全规则;

其次打开注册表控制台窗口中的“编辑”下拉菜单，从中点选“权限”选项，打开权限设置对话框，单击该对话框中的“添加”按钮，从其后出现的帐号选择框中选中“Everyone”帐号，同时将其导入进来;再将对应该帐号的“完全控制”权限调整为“拒绝”，最后点击“确定”按钮执行设置保存操作，如此一来非法用户日后就不能随意修改Windows Server 2008服务器系统的各种安全控制规则了。

4、禁止普通用户随意上网访问

通常Windows Server 2008系统都被安装到重要的计算机中，为了防止该计算机系统受到安全威胁，我们往往需要想办法限制普通用户在该系统中随意上网访问;但是如果简单关闭该系统的上网访问权限，又会影响特权用户正常上网，那么我们如何才能限制普通用户上网，而又不影响特权用户进行上网访问呢?其实很简单，我们可以按照下面的操作来修改Windows Server 2008系统的组策略参数：

首先以普通权限的帐号登录Windows Server 2008系统，打开对应系统中的IE浏览器窗口，单击其中的“工具”菜单项，从下拉菜单中点选“Internet选项”命令，弹出Internet选项设置窗口;

其次点选Internet选项设置窗口中的“连接”选项卡，进入连接选项设置页面，单击该设置页面中的“局域网设置”按钮，选中其后设置页面中的“为LAN使用代理服务器”选项，再任意输入一个代理服务器的主机地址以及端口号码，再单击“确定”按钮执行参数设置保存操作;

之后注销Windows Server 2008系统，换用具有特殊权限的用户帐号重新登录进入Windows Server 2008系统，依次点选“开始”、“运行”命令，在其后出现的系统运行框中输入“gpedit.msc”命令，单击“确定”按钮后，进入对应系统的组策略控制台窗口;

选中该控制台窗口左侧位置处的“计算机配置”节点选项，再从目标节点下面依次展开“管理模板”、“Windows组件”、“Internet Explorer”、“Internet控制面板”子项，再用鼠标双击目标子项下面的“禁用连接页”组策略项目，此时系统屏幕上会弹出如图4所示的目标组策略属性设置对话框，选中“已启用”选项，再单击“确定”按钮执行设置保存操作，这么一来，普通权限的用户日后在Windows Server 2008系统中尝试访问网络时，IE浏览器会自动连接一个失效的代理服务器，那么IE浏览器自然也就不能正常显示网络页面内容了;而具有特殊权限的用户在Windows Server 2008系统中尝试进行网络访问时，IE浏览器会直接显示出目标站点的内容，不需要通过代理服务器进行中转。

5、断开远程连接恢复系统状态

很多时候，一些不怀好意的用户往往会同时建立多个远程连接，来消耗Windows Server 2008服务器系统的宝贵资源，最终达到搞垮服务器系统的目的;为此，在实际管理Windows Server 2008服务器系统的过程中，一旦我们发现服务器系统运行状态突然不正常时，可以按照下面的办法强行断开所有与Windows Server 2008服务器系统建立连接的各个远程连接，以便及时将服务器系统的工作状态恢复正常：

首先在Windows Server 2008服务器系统桌面中依次点选“开始”、“运行”选项，在弹出的系统运行对话框中，输入“gpedit.msc”命令，单击回车键后，进入目标服务器系统的组策略控制台窗口;

其次选中组策略控制台窗口左侧位置处的“用户配置”节点分支，并用鼠标逐一点选目标节点分支下面的“管理模板”/“网络”/“网络连接”组策略选项，之后双击“网络连接”分支下面的“删除所有用户远程访问连接”选项，在弹出的如图5所示的选项设置对话框中，选中“已启用”选项，再单击“确定”按钮保存好上述设置，这样一来Windows Server 2008服务器系统中的的各个远程连接都会被自动断开，此时对应系统的工作状态可能会立即恢复正常。