用组策略保护Windows Server 2008系统安全

　　尽管Windows Server 2008系统的安全性要领先其他操作系统一大步，不过默认状态下过高的安全级别常常使不少人无法顺利地在Windows Server 2008系统环境下进行各种操作，为此许多用户往往会采用手工方法来降低Windows Server 2008系统的安全访问级别。可是，一旦降低了安全访问级别，Windows Server 2008系统遭遇安全攻击的可能性就非常大了;那么如何在安全访问级别不高的情况下，我们仍然能够让Windows Server 2008系统安全地运行?要做到这一点，我们可以利用Windows Server 2008系统强大的组策略功能，来对相关选项参数进行有效设置!

　　1、禁止恶意程序“不请自来”

　　在Windows Server 2008系统环境中使用IE浏览器上网浏览网页内容时，时常会有一些恶意程序不请自来，偷偷下载保存到本地计算机硬盘中，这样不但会白白浪费宝贵的硬盘空间资源，而且也会给本地计算机系统的安全带来不少麻烦。为了让Windows Server 2008系统更加安全，我们往往需要借助专业的软件工具才能禁止应用程序随意下载，很显然这样操作不但麻烦而且比较累人;其实，在Windows Server 2008系统环境中，我们只要简单地设置一下系统组策略参数，就能禁止恶意程序自动下载保存到本地计算机硬盘中了，下面就是具体的设置步骤：

　　首先以特权帐号进入Windows Server 2008系统环境，依次点选系统桌面中的“开始”/“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地计算机的组策略编辑窗口;

　　图1 Internet Explorer 进程属性

　　其次在组策略编辑窗口左侧区域展开“计算机配置”分支，再依次选择该分支下面的“管理模板”/“Windows组件”/“Internet Explorer”/“安全功能”/“限制文件下载”子项，双击“限制文件下载”子项下面的“Internet Explorer进程”组策略选项，打开如图1所示的目标组策略属性设置窗口;选中“已启用”选项，再单击“确定”按钮退出组策略属性设置窗口，这样一来我们就能成功启用限制Internet Explorer进程下载文件的策略设置，日后Windows Server 2008系统就会自动弹出阻止Internet Explorer进程的非用户初始化的文件下载提示，单击提示对话框中的“确定”按钮，恶意程序就不会通过IE浏览器窗口随意下载保存到本地计算机硬盘中了。

　2、对重要文件夹进行安全审核

　　Windows Server 2008系统可以使用安全审核的方法来跟踪访问重要文件夹或其他对象的登录尝试、用户账号、系统关闭、重启系统以及其他一些事件。要是我们能够充分利用Windows Server 2008系统文件夹的审核功能，就能有效保证重要文件夹的访问安全性，其他非法攻击者就无法轻易对其进行恶意破坏;在对Windows Server 2008系统中的重要文件夹进行访问审核时，我们可以按照如下步骤来进行：

　　首先以特权帐号进入Windows Server 2008系统环境，依次点选系统桌面中的“开始”/“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地计算机的组策略编辑窗口;

　　其次在组策略编辑窗口左侧区域展开“计算机配置”分支，再依次选择该分支下面的“Windows设置”/“安全设置”/“本地策略”/“审核策略”选项，在对应“审核策略”选项的右侧显示区域中找到“审核对象访问”目标组策略项目，并用鼠标右键单击该项目，执行右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口，如图2所示;

　　图2 组策略 审核对象访问属性

　　选中该属性设置窗口中的“成功”和“失败”复选项，再单击“确定”按钮，如此一来访问重要文件夹或其他对象的登录尝试、用户账号、系统关闭、重启系统以及其他一些事件无论成功与失败，都会被Windows Server 2008系统自动记录保存到对应的日志文件中，我们只要及时查看服务器系统的相关日志文件，就能知道重要文件夹以及其他一些对象是否遭受过非法访问或攻击了，一旦发现系统存在安全隐患的话，我们只要根据日志文件中的内容及时采取针对性措施进行安全防范就可以了。

　　3、禁止改变本地安全访问级别

　　在办公室中，我们有时需要与其他同事共享使用同一台计算机，当我们对本地计算机的IE浏览器安全访问级别设置好，肯定不希望其他同事随意更改它的安全访问级别，毕竟安全级别要是设置得太低的话，会导致潜藏在网络中的各种病毒或木马对本地计算机进行恶意攻击，从而可能造成本地系统运行缓慢或者无法正常运行的故障现象。为了防止其他人随意更改本地计算机的安全访问级别，Windows Server 2008系统允许我们进入如下设置，来保护本地系统的安全：

　　首先以特权帐号进入Windows Server 2008系统环境，依次点选系统桌面中的“开始”/“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地计算机的组策略编辑窗口;

　　其次在组策略编辑窗口左侧区域展开“用户配置”分支，再依次选择该分支下面的“管理模板”/“Windows组件”/“Internet Explorer”/“Internet控制模板”选项，在对应“Internet控制模板”选项的右侧显示区域中找到“禁用安全页”目标组策略项目，并用鼠标右键单击该项目，执行右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口，如图3所示;

　　图3 禁用安全页属性

　　选中该属性设置窗口中的“已启用”选项，再单击“确定”按钮结束目标组策略属性设置操作，如此一来Internet Explorer的安全设置页面就会被自动隐藏起来，这样的话其他同事就无法进入该安全标签设置页面来随意更改本地系统的安全访问级别了，那么本地计算机系统的安全性也就能得到有效保证了。

　　当然，我们也可以通过隐藏Internet Explorer窗口中的“Internet选项”，阻止其他同事随意进入IE浏览器的选项设置界面，来调整本地系统的安全访问级别以及其他上网访问参数。在隐藏Internet Explorer窗口中的“Internet选项”时，我们可以按照前面的操作步骤打开Windows Server 2008系统的组策略编辑窗口，将鼠标定位于“用户配置”/“管理模板”/“Windows组件”/“Internet Explorer”/“浏览器菜单”分支选项上，再将该目标分支选项下面的禁用“Internet选项”组策略的属性设置窗口打开，然后选中其中的“已启用”选项，最后单击“确定”按钮就能使设置生效了。

　　4、禁止超级账号名称被偷窃

　　许多技术高明的黑客或恶意攻击者常常会通过登录Windows Server 2008系统的SID标识，来窃取系统超级账号的名称信息，之后再利用目标账号名称尝试去暴力破解登录Windows Server 2008系统的密码，最终获得Windows Server 2008系统的所有控制权限;很明显，一旦系统的超级权限帐号名称被非法窃取使用的话，那么Windows Server 2008系统的安全性就没有任何保证了。为了有效保证Windows Server 2008系统的安全性，我们不妨进行如下设置，禁止任何用户通过SID标识获取对应系统登录账号的名称信息：

　　首先以特权帐号进入Windows Server 2008系统环境，依次点选系统桌面中的“开始”/“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地计算机的组策略编辑窗口;

　　其次在组策略编辑窗口左侧区域展开“计算机配置”分支，再依次选择该分支下面的“Windows设置”/“安全设置”/“本地策略”/“安全选项”项目，找到该分支项目下面的“网络访问：允许匿名SID/名称转换”目标组策略选项，并用鼠标右键单击该选项，执行右键菜单中的“属性”命令打开如图4所示的目标组策略属性设置界面，选中

　　图4 网络访问属性

　　其中的“已禁用”选项，再单击“确定”按钮退出组策略属性设置窗口，这样的话任何用户都将无法利用SID标识来窃取Windows Server 2008系统的登录账号名称信息了，那么Windows Server 2008系统受到暴力破解登录的机会就大大减少了，此时对应系统的安全性也就能得到有效保证了。

　　5、禁止U盘病毒“趁虚而入”

　　很多时候，我们都是通过U盘与其他计算机系统相互交换信息的，但遗憾的是现在Internet网络中的U盘病毒疯狂肆虐，那么对于Windows Server 2008系统来说，我们究竟该采取什么措施来禁止U盘病毒“趁虚而入”呢?其实很简单，我们可以通过设置Windows Server 2008系统的组策略参数，来禁止本地计算机系统读取U盘，那样一来U盘中的病毒文件就无法传播出来，下面就是具体的设置步骤：

　　首先以特权帐号进入Windows Server 2008系统环境，依次点选系统桌面中的“开始”/“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地计算机的组策略编辑窗口;

　　其次在组策略编辑窗口左侧区域展开“用户配置”分支，再依次选择该分支下面的“管理模板”/“系统”/“可移动存储”选项，找到该分支选项下面的“可移动磁盘：拒绝读取权限”目标组策略选项，并用鼠标右键单击该选项，执行右键菜单中的“属性”命令打开如图5所示的目标组策略属性设置界面，选中

　　图5 可移动磁盘属性

　　其中的“已启用”选项，再单击“确定”按钮退出组策略属性设置窗口;

　　同样地，再打开“可移动磁盘：拒绝写入权限”目标组策略选项的属性设置窗口，选中该窗口中的“已启用”选项，最后再单击“确定”按钮就能使设置生效了，此时U盘病毒就不能“趁虚而入”了，那么Windows Server 2008系统也就不会遭遇U盘病毒的非法攻击了。

　　6、禁止来自程序的漏洞攻击

　　不少用户往往会错误地认为，只要对Windows Server 2008服务器系统的补丁程序进行及时更新，就能让本地服务器系统远离网络中各种木马程序或恶意病毒的非法攻击了。其实，为Windows Server 2008服务器系统更新补丁程序只能堵住系统自身存在的一些安全漏洞，如果安装在Windows Server 2008系统中的应用程序有明显漏洞时，那么网络中各种木马程序或恶意病毒仍然能够利用应用程序存在的安全漏洞来对Windows Server 2008系统进行非法攻击。那么在Windows Server 2008系统环境中，我们该采取什么措施来禁止病毒或木马利用应用程序漏洞来对服务器进行非法攻击呢?很简单!我们可以利用Windows Server 2008服务器系统内置的高级防火墙程序来实现这一目的，下面就是具体的设置步骤：

　　首先以特权帐号进入Windows Server 2008系统环境，依次点选系统桌面中的“开始”/“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地服务器的组策略编辑窗口;

　　其次在组策略编辑窗口左侧区域展开“计算机配置”分支，再依次选择该分支下面的“Windows设置”/“安全设置”/“高级安全Windows防火墙”/“高级安全Windows防火墙——本地组策略对象”选项，用鼠标右键单击该分支选项下面的“入站规则”子项，从弹出的右键菜单中执行“属性”命令打开新建入站规则向导设置界面;

　　图6 入站规则向导

　　根据向导界面的提示，将规则类型参数设置为“程序”，然后选中“此程序路径”选项，并单击“浏览”按钮，将存在明显漏洞的目标应用程序选中，当屏幕上出现如图6所示的向导设置界面时，我们可以选中“阻止连接”项目，最后再设置好新建规则的名称，并单击“完成”按钮，如此一来Windows Server 2008系统中的高级防火墙程序就会禁止那些存在明显安全漏洞的应用程序访问网络了，那样的话病毒或木马自然也就不能通过应用程序漏洞对本地服务器实施恶意攻击了。