Windows Server组策略的安全设置

虽然 Windows Server 2008系统的平安性格式 先其他操作系统一年夜步，不外默认情况 下过高的平安级别经常使不少人无法顺遂地在Windows Server 2008系统情形下进行各类操作，为此良多用户常常 会采用手工格式 来降低Windows Server 2008系统的平安访谒级别。可是，一旦降低了平安访谒级别，Windows Server 2008系统遭遇平安鞭挞 攻击 的可能性就很是年夜了;那么若何在平安访谒级别不高的情形下，我们依然 可以 让Windows Server 2008系统平安地运行?要做到这一点，我们可以操作Windows Server 2008系统强年夜的组策略功能，来对相关选项参数进行有用设置!
　　1、禁止恶意轨范“不速之客 ”
　　在Windows Server 2008系统情形中使用IE浏览器上网浏览网页内容时，经常 会有一些恶意轨范不速之客 ，偷偷下载保留 到当地比赛 争论机硬盘中，这样不单会白白华侈宝贵 的硬盘空间资本，而且也会给当地比赛 争论机系统的平安带来不少费事 。为了让Windows Server 2008系统加倍平安，我们常常 需要. 借助专业的软件工具才能禁止应用轨范随意下载，很显然这样操作不单费事 而且斗劲累人;其实，在Windows Server 2008系统情形中，我们只需 简单地设置一下系统组策略参数，就能禁止恶意轨范自动下载保留 到当地比赛 争论机硬盘中了，下面就是具体的设置轨范：
　　首先以特权帐号进入Windows Server 2008系统情形，依次点选系统桌面中的“起头”/“运行”呼吁，在系统运行框中执行gpedit.msc呼吁，打开当地比赛 争论机的组策略编纂窗口;其次在组策略编纂窗口左侧区域睁开“比赛 争论机设置配备 摆设”分支，再依次选择该分支下面的“打点模板”/“Windows组件”/“Internet Explorer”/“平安功能”/“限制文件下载”子项，双击“限制文件下载”子项下面的“Internet Explorer进程 ”组策略选项，打开如图[ghost win7纯净版] 1所示[win7旗舰版系统下载] 的方针组策略属性设置窗口;选中“已启用”选项，再单击“确定”按钮退出组策略属性设置窗口，这样一来我们就能成功启用限制Internet Explorer进程 下载文件的策略设置，日后Windows Server 2008系统就会自动弹出阻止Internet Explorer进程 的非用户初始化的文件下载提示 ，单击提示 对话框中的“确定”按钮，恶意轨范就不会经由过程IE浏览器窗口随意下载保留 到当地比赛 争论机硬盘中了。
　　2、对主要文件夹进行平安审核
　　Windows Server 2008系统可以使用平安审核的格式 来跟踪访谒主要文件夹或其他对象的登录考试考试、用户账号、系统封锁、重启系统以及其他一些事务。若是我们可以 充实操作Windows Server 2008系统文件夹的审核功能，就能有用保证主要文件夹的访谒平安性，其他犯警鞭挞 攻击 者就无法等闲对其进行恶意破损;在对Windows Server 2008系统中的主要文件夹进行访谒审核时，我们可以依照 如下轨范来进行：
　　首先以特权帐号进入Windows Server 2008系统情形，依次点选系统桌面中的“起头”/“运行”呼吁，在系统运行框中执行gpedit.msc呼吁，打开当地比赛 争论机的组策略编纂窗口;
　　其次在组策略编纂窗口左侧区域睁开“比赛 争论机设置配备 摆设”分支，再依次选择该分支下面的“Windows设置”/“平安设置”/“当地策略”/“审核策略”选项，在对应“审核策略”选项的右侧显示区域中找到“审核对象访谒”方针组策略项目，并用鼠标右键单击该项目，执行右键菜单中的“属性”呼吁打开方针组策略项目的属性设置窗口;
　　选中该属性设置窗口中的“成功”和“失踪败”复选项，再单击“确定”按钮，如斯一来访谒主要文件夹或其他对象的登录考试考试、用户账号、系统封锁、重启系统以及其他一些事务无论成功与失踪败，城市被Windows Server 2008系统自动记实保留 到对应的日志文件中，我们只需 实时查看处事器系统的相关日志文件，就能知道主要文件夹以及其他一些对象是否遭受 过犯警访谒或鞭挞 攻击 了，一旦发现系统存在平安隐患的话，我们只需 依照 日志文件中的内容实时采用 针对性法子进行平安提防就可以了。 　　3、禁止改动 当地平安访谒级别
　　在办公室中，我们有时需要. 与其他同事共享使用统一台比赛 争论机，当我们对当地比赛 争论机的IE浏览器平安访谒级别设置好，必定不但愿其他同事随意更改它的平安访谒级别，事实?下场平安级别若是设置得太低的话，会导致躲藏在搜集 中的各类病毒或木马对当地比赛 争论机进行恶意鞭挞 攻击 ，从而可能形成 当地系统运行缓慢 或者无法正常运行的问题 现象。为了避免 其别人 随意更改当地比赛 争论机的平安访谒级别，Windows Server 2008系统答应 我们进入如下设置，来呵护当地系统的平安：
　　首先以特权帐号进入Windows Server 2008系统情形，依次点选系统桌面中的“起头”/“运行”呼吁，在系统运行框中执行gpedit.msc呼吁，打开当地比赛 争论机的组策略编纂窗口;
　　其次在组策略编纂窗口左侧区域睁开“用户设置配备 摆设”分支，再依次选择该分支下面的“打点模板”/“Windows组件”/“Internet Explorer”/“Internet节制模板”选项，在对应“Internet节制模板”选项的右侧显示区域中找到“禁用平安页”方针组策略项目，并用鼠标右键单击该项目，执行右键菜单中的“属性”呼吁打开方针组策略项目的属性设置窗口;
　　选中该属性设置窗口中的“已启用”选项，再单击“确定”按钮竣事方针组策略属性设置操作，如斯一来Internet Explorer的平安设置页面就会被自动潜匿起来，这样的话其他同事就无法进入该平安标签设置页面来随意更改当地系统的平安访谒级别了，那么当地比赛 争论机系统的平安性也就能取得 有用保证了。
　　当然，我们也可以经由过程潜匿Internet Explorer窗口中的“Internet选项”，阻止其他同事随意进入IE浏览器的选项设置界面，来调整当地系统的平安访谒级别以及其他上网访谒参数。在潜匿Internet Explorer窗口中的“Internet选项”时，我们可以依照 前面的操作轨范打开Windows Server 2008系统的组策略编纂窗口，将鼠标定位于“用户设置配备 摆设”/“打点模板”/“Windows组件”/“Internet Explorer”/“浏览器菜单”分支选项上，再将该方针分支选项下面的禁用“Internet选项”组策略的属性设置窗口打开，然后选中其中的“已启用”选项，最后单击“确定”按钮就能使设置生效了。
　　
　　4、禁止超级账号称号 被偷盗
　　良多手艺高明的黑客或恶意鞭挞 攻击 者经常会经由过程登录Windows Server 2008系统的SID标识，来窃取系统超级账号的称号 信息，之后再操作方针账号称号 考试考试去暴力破解登录Windows Server 2008系统的密码，最终取得 Windows Server 2008系统的一切 节制权限;很较着，一旦系统的超级权限帐号称号 被犯警窃取使用的话，那么Windows Server 2008系统的平安性就没有任何保证了。为了有用保证Windows Server 2008系统的平安性，我们无妨 进行如下设置，禁止任何用户经由过程SID标识获取对应系统登录账号的称号 信息：
　　首先以特权帐号进入Windows Server 2008系统情形，依次点选系统桌面中的“起头”/“运行”呼吁，在系统运行框中执行gpedit.msc呼吁，打开当地比赛 争论机的组策略编纂窗口;
　　其次在组策略编纂窗口左侧区域睁开“比赛 争论机设置配备 摆设”分支，再依次选择该分支下面的“Windows设置”/“平安设置”/“当地策略”/“平安选项”项目，找到该分支项目下面的“搜集 访谒：答应 匿名SID/称号 转换”方针组策略选项，并用鼠标右键单击该选项，执行右键菜单中的“属性”呼吁打开如图[ghost win7纯净版] 4所示[win7旗舰版系统下载] 的方针组策略属性设置界面，选中其中的“已禁用”选项，再单击“确定”按钮退出组策略属性设置窗口，这样的话任何用户都将无法操作SID标识来窃取Windows Server 2008系统的登录账号称号 信息了，那么Windows Server 2008系统遭到 暴力破解登录的机缘就年夜年夜削减了，此时对应系统的平安性也就能取得 有用保证了。 　　5、禁止U盘病毒“趁虚而入”
　　良多时辰，我们都是经由过程U盘与其他比赛 争论机系统彼此交流信息的，但遗憾的是此刻Internet搜集 中的U盘病毒猖獗 暴虐 ，那么对于Windows Server 2008系统来说，我们事实该采用 什么法子来禁止U盘病毒“趁虚而入”呢?其实很简单，我们可以经由过程设置Windows Server 2008系统的组策略参数，来禁止当地比赛 争论机系统读取U盘，那样一来U盘中的病毒文件就无法传布出来，下面就是具体的设置轨范：
　　首先以特权帐号进入Windows Server 2008系统情形，依次点选系统桌面中的“起头”/“运行”呼吁，在系统运行框中执行gpedit.msc呼吁，打开当地比赛 争论机的组策略编纂窗口;
　　其次在组策略编纂窗口左侧区域睁开“用户设置配备 摆设”分支，再依次选择该分支下面的“打点模板”/“系统”/“可移动存储”选项，找到该分支选项下面的“可移动磁盘：回绝 读取权限”方针组策略选项，并用鼠标右键单击该选项，执行右键菜单中的“属性”呼吁打开如图[ghost win7纯净版] 5所示[win7旗舰版系统下载] 的方针组策略属性设置界面，选中其中的“已启用”选项，再单击“确定”按钮退出组策略属性设置窗口;
　　同样地，再打开“可移动磁盘：回绝 写入权限”方针组策略选项的属性设置窗口，选中该窗口中的“已启用”选项，最后再单击“确定”按钮就能使设置生效了，此时U盘病毒就不能“趁虚而入”了，那么Windows Server 2008系统也就不会遭遇U盘病毒的犯警鞭挞 攻击 了。
　　6、禁止来自轨范的裂痕鞭挞 攻击
　　不少用户常常 会错误地觉得 ，只需 对Windows Server 2008处事器系统的补丁轨范进行实时更新，就能让当地处事器系统远离搜集 中各类木马轨范或恶意病毒的犯警鞭挞 攻击 了。其实，为Windows Server 2008处事器系统更新补丁轨范只能堵住系统本身 存在的一些平安裂痕，若是安装在Windows Server 2008系统中的应用轨范有较着裂痕时，那么搜集 中各类木马轨范或恶意病毒依然 可以 操作应用轨范存在的平安裂痕来对Windows Server 2008系统进行犯警鞭挞 攻击 。那么在Windows Server 2008系统情形中，我们该采用 什么法子来禁止病毒或木马操作应用轨范裂痕来对处事器进行犯警鞭挞 攻击 呢?很简单!我们可以操作Windows Server 2008处事器系统内置的高级防火墙轨范来实现这一目的，下面就是具体的设置轨范：
首先以特权帐号进入Windows Server 2008系统情形，依次点选系统桌面中的“起头”/“运行”呼吁，在系统运行框中执行gpedit.msc呼吁，打开当地处事器的组策略编纂窗口;
　　其次在组策略编纂窗口左侧区域睁开“比赛 争论机设置配备 摆设”分支，再依次选择该分支下面的“Windows设置”/“平安设置”/“高级平安Windows防火墙”/“高级平安Windows防火墙——当地组策略对象”选项，用鼠标右键单击该分支选项下面的“入站轨则”子项，从弹出的右键菜单中执行“属性”呼吁打开新建入站轨则导游 设置界面;
　　依照 导游 界面的提示 ，将轨则类型参数设置为“轨范”，然后选中“此轨范路径”选项，并单击“浏览”按钮，将存在较着裂痕的方针应用轨范选中，当屏幕上呈现如图[ghost win7纯净版] 6所示[win7旗舰版系统下载] 的导游 设置界面时，我们可以选中“阻止毗邻 ”项目，最后再设置好新建轨则的称号 ，并单击“完成”按钮，如斯一来Windows Server 2008系统中的高级防火墙轨范就会禁止那些存在较着平安裂痕的应用轨范访谒搜集 了，那样的话病毒或木马自然也就不能经由过程应用轨范裂痕对当地处事器施行 恶意鞭挞 攻击 了。