文章導航綠軟下載站軟件下載安卓資源蘋果資源專題

您當前所在位置:首頁網絡安全安全防護 → Windows Server 2008利用組策略的安全設置

Windows Server 2008利用組策略的安全設置

時間:2015/6/28來源:IT貓撲網作者:網管聯盟我要評論(0)

  相信很多人都知道Windows Server 2008系統的安全功能非法強大,而它的強大之處不僅僅是新增加了一些安全功能,而且還表現在一些不起眼的傳統功能上。這不,巧妙對Windows Server 2008系統的組策略功能進行深入挖掘,我們可以發現許多安全應用秘密;現在本文就為各位朋友貢獻幾則這樣的安全秘密,希望能對大家有用!

  1、限制使用迅雷進行惡意下載

  在多人共同使用相同的一臺計算機進行工作時,我們肯定不希望普通用戶隨意使用迅雷工具進行惡意下載,這樣不但容易浪費本地系統的磁盤空間資源,而且也會大大消耗本地系統的上網帶寬資源。而在Windows Server 2008系統環境下,限制普通用戶隨意使用迅雷工具進行惡意下載的方法有很多,例如可以利用Windows Server 2008系統新增加的高級安全防火墻功能,或者通過限制下載端口等方法來實現上述控制目的,其實除了這些方法外,我們還可以巧妙地利用該系統的軟件限制策略來達到這一 目的,下面就是該方法的具體實現步驟:

  首先以系統管理員權限登錄進入Windows Server 2008系統,打開該系統的"開始"菜單,從中點選"運行"命令,在彈出的系統運行文本框中,輸入"gpedit.msc"字符串命令,進入對應系統的組策略控制臺窗口;

  其次在該控制臺窗口的左側位置處,依次選中"計算機配置"/"Windows設置"/"安全設置"/"軟件限制策略"選項,同時用鼠標右鍵單擊該選項,并執行快捷菜單中的"創建軟件限制策略"命令;

  接著在對應"軟件限制策略"選項的右側顯示區域,用鼠標雙擊"強制"組策略項目,打開如圖1所示的設置對話框,選中其中的"除本地管理員以外的所有用戶"選項,其余參數都保持默認設置,再單擊"確定"按鈕結束上述設置操作;

  圖1 軟件限制策略

  下面選中"軟件限制策略"節點下面的"其他規則"選項,再用鼠標右鍵單擊該組策略選項,從彈出的快捷菜單中點選"新建路徑規則"命令,在其后出現的設置對話框中,單擊"瀏覽"按鈕選中迅雷下載程序,同時將對應該應用程序的"安全級別"參數設置為"不允許",最后單擊"確定"按鈕執行參數設置保存操作;

  重新啟動一下Windows Server 2008系統,當用戶以普通權限賬號登錄進入該系統后,普通用戶就不能正常使用迅雷程序進行惡意下載了,不過當我們以系統管理員權限進入本地計算機系統時,仍然可以正常運行迅雷程序進行隨意下載。

  2、拒絕網絡病毒藏于臨時文件

  現在Internet網絡上的病毒瘋狂肆虐,一些"狡猾"的網絡病毒為了躲避殺毒軟件的追殺,往往會想方設法地將自己隱藏于系統臨時文件夾,那樣一來殺毒軟件即使找到了網絡病毒,也對它無可奈何,因為殺毒軟件對系統臨時文件夾根本無權"指手劃腳"。為了防止網絡病毒隱藏在系統臨時文件夾中,我們可以按照下面的操作設置Windows Server 2008系統的軟件限制策略:

  首先打開Windows Server 2008系統的"開始"菜單,從中點選"運行"命令,在彈出的系統運行對話框中,輸入組策略編輯命令"gpedit.msc",單擊"確定"按鈕后,進入對應系統的組策略控制臺窗口;


圖2 將"安全級別"參數設置為"不允許"

  其次在該控制臺窗口的左側位置處,依次選中"計算機配置"/"Windows設置"/"安全設置"/"軟件限制策略"/"其他規則"選項,同時用鼠標右鍵單擊該選項,并執行快捷菜單中的"新建路徑規則"命令,打開如圖2所示的設置對話框;單擊其中的"瀏覽"按鈕,從彈出的文件選擇對話框中,選中并導入Windows Server 2008系統的臨時文件夾,同時再將"安全級別"參數設置為"不允許",最后單擊"確定"按鈕保存好上述設置操作,這樣一來網絡病毒日后就不能躲藏到系統的臨時文件夾中了。

  3、禁止來自外網的非法ping攻擊

  我們知道,巧妙地利用Windows系統自帶的ping命令,可以快速判斷局域網中某臺重要計算機的網絡連通性;可是,ping命令在給我們帶來實用的同時,也容易被一些惡意用戶所利用,例如惡意用戶要是借助專業工具不停地向重要計算機發送ping命令測試包時,重要計算機系統由于無法對所有測試包進行應答,從而容易出現癱瘓現象。為了保證Windows Server 2008服務器系統的運行穩定性,我們可以修改該系統的組策略參數,來禁止來自外網的非法ping攻擊:

  首先以特權身份登錄進入Windows Server 2008服務器系統,依次點選該系統桌面上的"開始"/"運行"命令,在彈出的系統運行對話框中,輸入字符串命令"gpedit.msc",單擊回車鍵后,進入對應系統的控制臺窗口;其次選中該控制臺左側列表中的"計算機配置"節點選項,并從目標節點下面逐一點選"Windows設置"、"安全設置"、"高級安全Windows防火墻"、"高級安全Windows防火墻——本地組策略對象"選項,再用鼠標選中目標選項下面的"入站規則"項目;

#p#副標題#e#

  接著在對應"入站規則"項目右側的"操作"列表中,點選"新規則"選項,此時系統屏幕會自動彈出新建入站規則向導對話框,依照向導屏幕的提示,先將"自定義"選項選中,再將"所有程序"項目選中,之后從協議類型列表中選中"ICMPv4",如圖3所示;


圖3 協議類型列表中選中"ICMPv4"

  之后向導屏幕會提示我們選擇什么類型的連接條件時,我們可以選中"阻止連接"選項,同時依照實際情況設置好對應入站規則的應用環境,最后為當前創建的入站規則設置一個適當的名稱。完成上面的設置任務后,將Windows Server 2008服務器系統重新啟動一下,這么一來Windows Server 2008服務器系統日后就不會輕易受到來自外網的非法ping測試攻擊了。

  小提示:盡管通過Windows Server 2008服務器系統自帶的高級安全防火墻功能,可以實現很多安全防范目的,不過稍微懂得一點技術的非法攻擊者,可以想辦法修改防火墻的安全規則,那樣一來我們自行定義的各種安全規則可能會發揮不了任何作用。為了阻止非法攻擊者隨意修改Windows Server 2008服務器系統的防火墻安全規則,我們可以進行下面的設置操作:

  首先打開Windows Server 2008服務器系統的"開始"菜單,點選"運行"命令,在彈出的系統運行文本框中執行"regedit"字符串命令,打開系統注冊表控制臺窗口;選中該窗口左側顯示區域處的HKEY_LOCAL_MACHINE節點選項,同時從目標分支下面選中SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules注冊表子項,該子項下面保存有很多安全規則;

  其次打開注冊表控制臺窗口中的"編輯"下拉菜單,從中點選"權限"選項,打開權限設置對話框,單擊該對話框中的"添加"按鈕,從其后出現的帳號選擇框中選中"Everyone"帳號,同時將其導入進來;再將對應該帳號的"完全控制"權限調整為"拒絕",最后點擊"確定"按鈕執行設置保存操作,如此一來非法用戶日后就不能隨意修改Windows Server 2008服務器系統的各種安全控制規則了。

  4、禁止普通用戶隨意上網訪問

  通常Windows Server 2008系統都被安裝到重要的計算機中,為了防止該計算機系統受到安全威脅,我們往往需要想辦法限制普通用戶在該系統中隨意上網訪問;但是如果簡單關閉該系統的上網訪問權限,又會影響特權用戶正常上網,那么我們如何才能限制普通用戶上網,而又不影響特權用戶進行上網訪問呢?其實很簡單,我們可以按照下面的操作來修改Windows Server 2008系統的組策略參數:

  首先以普通權限的帳號登錄Windows Server 2008系統,打開對應系統中的IE瀏覽器窗口,單擊其中的"工具"菜單項,從下拉菜單中點選"Internet選項"命令,彈出Internet選項設置窗口;

  其次點選Internet選項設置窗口中的"連接"選項卡,進入連接選項設置頁面,單擊該設置頁面中的"局域網設置"按鈕,選中其后設置頁面中的"為LAN使用代理服務器"選項,再任意輸入一個代理服務器的主機地址以及端口號碼,再單擊"確定"按鈕執行參數設置保存操作;

  之后注銷Windows Server 2008系統,換用具有特殊權限的用戶帳號重新登錄進入Windows Server 2008系統,依次點選"開始"、"運行"命令,在其后出現的系統運行框中輸入"gpedit.msc"命令,單擊"確定"按鈕后,進入對應系統的組策略控制臺窗口;


圖4 禁止普通用戶隨意上網訪問

  選中該控制臺窗口左側位置處的& 關鍵詞標簽:Windows Server 2008,

相關閱讀

文章評論
發表評論

熱門文章 自己動手打造高性能入侵檢測防御系統(一)自己動手打造高性能入侵檢測防御系統(一)安全技巧:利用軟件限制策略阻止網馬侵襲安全技巧:利用軟件限制策略阻止網馬侵襲巧設瑞星推薦規則 拒絕創建劫持項行為巧設瑞星推薦規則 拒絕創建劫持項行為局域網防監聽局域網防監聽

相關軟件

人氣排行 企業網絡安全事件應急響應方案xp系統關閉445端口方法_ 教你如何關閉xp系統445端口什么是IPS(入侵防御系統)linux iptables如何封IP段隱藏ip地址增加網絡信息的安全性Windows Server 2008利用組策略的安全設置如何保障Server 2008服務器的遠程桌面安全ARP協議的反向和代理

王琳羽毛球