相信很多人都知道Windows Server 2008系統(tǒng)的安全功能非法強大�,而它的強大之處不僅僅是新增加了一些安全功能,而且還表現(xiàn)在一些不起眼的傳統(tǒng)功能上����。這不,巧妙對Windows Server 2008系統(tǒng)的組策略功能進行深入挖掘����,我們可以發(fā)現(xiàn)許多安全應用秘密;現(xiàn)在本文就為各位朋友貢獻幾則這樣的安全秘密,希望能對大家有用!
1����、限制使用迅雷進行惡意下載
在多人共同使用相同的一臺計算機進行工作時,我們肯定不希望普通用戶隨意使用迅雷工具進行惡意下載���,這樣不但容易浪費本地系統(tǒng)的磁盤空間資源��,而且也會大大消耗本地系統(tǒng)的上網(wǎng)帶寬資源��。而在Windows Server 2008系統(tǒng)環(huán)境下����,限制普通用戶隨意使用迅雷工具進行惡意下載的方法有很多,例如可以利用Windows Server 2008系統(tǒng)新增加的高級安全防火墻功能���,或者通過限制下載端口等方法來實現(xiàn)上述控制目的��,其實除了這些方法外����,我們還可以巧妙地利用該系統(tǒng)的軟件限制策略來達到這一 目的�,下面就是該方法的具體實現(xiàn)步驟:
首先以系統(tǒng)管理員權(quán)限登錄進入Windows Server 2008系統(tǒng),打開該系統(tǒng)的"開始"菜單��,從中點選"運行"命令��,在彈出的系統(tǒng)運行文本框中����,輸入"gpedit.msc"字符串命令,進入對應系統(tǒng)的組策略控制臺窗口;
其次在該控制臺窗口的左側(cè)位置處��,依次選中"計算機配置"/"Windows設(shè)置"/"安全設(shè)置"/"軟件限制策略"選項��,同時用鼠標右鍵單擊該選項�,并執(zhí)行快捷菜單中的"創(chuàng)建軟件限制策略"命令;
接著在對應"軟件限制策略"選項的右側(cè)顯示區(qū)域,用鼠標雙擊"強制"組策略項目���,打開如圖1所示的設(shè)置對話框���,選中其中的"除本地管理員以外的所有用戶"選項,其余參數(shù)都保持默認設(shè)置��,再單擊"確定"按鈕結(jié)束上述設(shè)置操作;
圖1 軟件限制策略
下面選中"軟件限制策略"節(jié)點下面的"其他規(guī)則"選項��,再用鼠標右鍵單擊該組策略選項��,從彈出的快捷菜單中點選"新建路徑規(guī)則"命令�,在其后出現(xiàn)的設(shè)置對話框中,單擊"瀏覽"按鈕選中迅雷下載程序�,同時將對應該應用程序的"安全級別"參數(shù)設(shè)置為"不允許",最后單擊"確定"按鈕執(zhí)行參數(shù)設(shè)置保存操作;
重新啟動一下Windows Server 2008系統(tǒng)��,當用戶以普通權(quán)限賬號登錄進入該系統(tǒng)后����,普通用戶就不能正常使用迅雷程序進行惡意下載了,不過當我們以系統(tǒng)管理員權(quán)限進入本地計算機系統(tǒng)時����,仍然可以正常運行迅雷程序進行隨意下載�。
2���、拒絕網(wǎng)絡病毒藏于臨時文件
現(xiàn)在Internet網(wǎng)絡上的病毒瘋狂肆虐�,一些"狡猾"的網(wǎng)絡病毒為了躲避殺毒軟件的追殺���,往往會想方設(shè)法地將自己隱藏于系統(tǒng)臨時文件夾�,那樣一來殺毒軟件即使找到了網(wǎng)絡病毒���,也對它無可奈何���,因為殺毒軟件對系統(tǒng)臨時文件夾根本無權(quán)"指手劃腳"。為了防止網(wǎng)絡病毒隱藏在系統(tǒng)臨時文件夾中���,我們可以按照下面的操作設(shè)置Windows Server 2008系統(tǒng)的軟件限制策略:
首先打開Windows Server 2008系統(tǒng)的"開始"菜單����,從中點選"運行"命令�,在彈出的系統(tǒng)運行對話框中,輸入組策略編輯命令"gpedit.msc"��,單擊"確定"按鈕后,進入對應系統(tǒng)的組策略控制臺窗口;
圖2 將"安全級別"參數(shù)設(shè)置為"不允許"
其次在該控制臺窗口的左側(cè)位置處����,依次選中"計算機配置"/"Windows設(shè)置"/"安全設(shè)置"/"軟件限制策略"/"其他規(guī)則"選項���,同時用鼠標右鍵單擊該選項����,并執(zhí)行快捷菜單中的"新建路徑規(guī)則"命令�,打開如圖2所示的設(shè)置對話框;單擊其中的"瀏覽"按鈕,從彈出的文件選擇對話框中����,選中并導入Windows Server 2008系統(tǒng)的臨時文件夾,同時再將"安全級別"參數(shù)設(shè)置為"不允許"�,最后單擊"確定"按鈕保存好上述設(shè)置操作,這樣一來網(wǎng)絡病毒日后就不能躲藏到系統(tǒng)的臨時文件夾中了�。
3、禁止來自外網(wǎng)的非法ping攻擊
我們知道�,巧妙地利用Windows系統(tǒng)自帶的ping命令,可以快速判斷局域網(wǎng)中某臺重要計算機的網(wǎng)絡連通性;可是���,ping命令在給我們帶來實用的同時����,也容易被一些惡意用戶所利用,例如惡意用戶要是借助專業(yè)工具不停地向重要計算機發(fā)送ping命令測試包時����,重要計算機系統(tǒng)由于無法對所有測試包進行應答,從而容易出現(xiàn)癱瘓現(xiàn)象����。為了保證Windows Server 2008服務器系統(tǒng)的運行穩(wěn)定性,我們可以修改該系統(tǒng)的組策略參數(shù)����,來禁止來自外網(wǎng)的非法ping攻擊:
首先以特權(quán)身份登錄進入Windows Server 2008服務器系統(tǒng),依次點選該系統(tǒng)桌面上的"開始"/"運行"命令�,在彈出的系統(tǒng)運行對話框中,輸入字符串命令"gpedit.msc"����,單擊回車鍵后,進入對應系統(tǒng)的控制臺窗口;其次選中該控制臺左側(cè)列表中的"計算機配置"節(jié)點選項����,并從目標節(jié)點下面逐一點選"Windows設(shè)置"、"安全設(shè)置"���、"高級安全Windows防火墻"���、"高級安全Windows防火墻——本地組策略對象"選項��,再用鼠標選中目標選項下面的"入站規(guī)則"項目;
#p#副標題#e#
接著在對應"入站規(guī)則"項目右側(cè)的"操作"列表中����,點選"新規(guī)則"選項��,此時系統(tǒng)屏幕會自動彈出新建入站規(guī)則向?qū)υ捒?���,依照向?qū)聊坏奶崾?,先?自定義"選項選中,再將"所有程序"項目選中����,之后從協(xié)議類型列表中選中"ICMPv4",如圖3所示;
圖3 協(xié)議類型列表中選中"ICMPv4"
之后向?qū)聊粫崾疚覀冞x擇什么類型的連接條件時���,我們可以選中"阻止連接"選項���,同時依照實際情況設(shè)置好對應入站規(guī)則的應用環(huán)境����,最后為當前創(chuàng)建的入站規(guī)則設(shè)置一個適當?shù)拿Q����。完成上面的設(shè)置任務后,將Windows Server 2008服務器系統(tǒng)重新啟動一下��,這么一來Windows Server 2008服務器系統(tǒng)日后就不會輕易受到來自外網(wǎng)的非法ping測試攻擊了�。
小提示:盡管通過Windows Server 2008服務器系統(tǒng)自帶的高級安全防火墻功能,可以實現(xiàn)很多安全防范目的��,不過稍微懂得一點技術(shù)的非法攻擊者���,可以想辦法修改防火墻的安全規(guī)則���,那樣一來我們自行定義的各種安全規(guī)則可能會發(fā)揮不了任何作用。為了阻止非法攻擊者隨意修改Windows Server 2008服務器系統(tǒng)的防火墻安全規(guī)則�,我們可以進行下面的設(shè)置操作:
首先打開Windows Server 2008服務器系統(tǒng)的"開始"菜單,點選"運行"命令�,在彈出的系統(tǒng)運行文本框中執(zhí)行"regedit"字符串命令,打開系統(tǒng)注冊表控制臺窗口;選中該窗口左側(cè)顯示區(qū)域處的HKEY_LOCAL_MACHINE節(jié)點選項��,同時從目標分支下面選中SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules注冊表子項,該子項下面保存有很多安全規(guī)則;
其次打開注冊表控制臺窗口中的"編輯"下拉菜單����,從中點選"權(quán)限"選項,打開權(quán)限設(shè)置對話框�,單擊該對話框中的"添加"按鈕,從其后出現(xiàn)的帳號選擇框中選中"Everyone"帳號�,同時將其導入進來;再將對應該帳號的"完全控制"權(quán)限調(diào)整為"拒絕",最后點擊"確定"按鈕執(zhí)行設(shè)置保存操作���,如此一來非法用戶日后就不能隨意修改Windows Server 2008服務器系統(tǒng)的各種安全控制規(guī)則了��。
4、禁止普通用戶隨意上網(wǎng)訪問
通常Windows Server 2008系統(tǒng)都被安裝到重要的計算機中�,為了防止該計算機系統(tǒng)受到安全威脅,我們往往需要想辦法限制普通用戶在該系統(tǒng)中隨意上網(wǎng)訪問;但是如果簡單關(guān)閉該系統(tǒng)的上網(wǎng)訪問權(quán)限��,又會影響特權(quán)用戶正常上網(wǎng)�,那么我們?nèi)绾尾拍芟拗破胀ㄓ脩羯暇W(wǎng),而又不影響特權(quán)用戶進行上網(wǎng)訪問呢?其實很簡單���,我們可以按照下面的操作來修改Windows Server 2008系統(tǒng)的組策略參數(shù):
首先以普通權(quán)限的帳號登錄Windows Server 2008系統(tǒng)����,打開對應系統(tǒng)中的IE瀏覽器窗口����,單擊其中的"工具"菜單項��,從下拉菜單中點選"Internet選項"命令�,彈出Internet選項設(shè)置窗口;
其次點選Internet選項設(shè)置窗口中的"連接"選項卡�,進入連接選項設(shè)置頁面,單擊該設(shè)置頁面中的"局域網(wǎng)設(shè)置"按鈕�,選中其后設(shè)置頁面中的"為LAN使用代理服務器"選項,再任意輸入一個代理服務器的主機地址以及端口號碼����,再單擊"確定"按鈕執(zhí)行參數(shù)設(shè)置保存操作;
之后注銷Windows Server 2008系統(tǒng),換用具有特殊權(quán)限的用戶帳號重新登錄進入Windows Server 2008系統(tǒng)�,依次點選"開始"、"運行"命令��,在其后出現(xiàn)的系統(tǒng)運行框中輸入"gpedit.msc"命令���,單擊"確定"按鈕后��,進入對應系統(tǒng)的組策略控制臺窗口;
圖4 禁止普通用戶隨意上網(wǎng)訪問
選中該控制臺窗口左側(cè)位置處的&
關(guān)鍵詞標簽:Windows Server 2008,
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡安全管理軟件-PCHunter使用教程