WindowsServer2008推出已有两个年头,与传统操作系统相比,WindowsServer2008系统的安全防范功能更加强大,安全防护能力自然也是高人一等,我们只要在平时善于使用该系统新增的各项安全防范功能,完全可以实现更高级别的安全保护目的。现在,和大家分享下我在使用WindowsServer2008中的体会。希望能够让大家从中得到帮助!
1、高级安全防火墙控制恶意下载
在管理、维护局域网的过程中,网络管理员或许经常会遇到这样的一种现象,那就是一些不自觉的上网用户往往会在局域网中偷偷使用电骡、迅雷这样的P2P工具,来下载大容量的电影或其他多媒体数据,这种恶意下载操作消耗掉了局域网中有限的宝贵带宽资源,并且很容易造成整个局域网网络不能稳定地运行。事实上,我们可以利用Win2008系统新增加的高级安全防火墙功能,来控制恶意下载行为;考虑到迅雷这样的P2P工具在进行恶意下载操作时,会通过系统的3077,3078端口对外进行网络通信,我们只要让高级安全防火墙功能限制3077,3078端口对外进行网络通信,就能实现阻止上网用户偷偷使用迅雷这样的P2P工具进行恶意下载了。现在,我们就利用Win2008系统的高级安全防火墙功能创建安全访问规则,禁止电骡、迅雷这样的P2P工具进行下载连接:
首先以系统管理员权限进入Win2008系统桌面,依次点选“开始”菜单中的“程序”、“管理工具”、“服务器管理器”命令,从其后出现的服务器管理器窗口左侧位置处,将鼠标定位于“配置”节点选项上,再选中目标节点选项下面的“高级安全防火墙”项目;
其次打开“高级安全防火墙”配置界面,在该界面左侧位置处点选“出站规则”功能选项,再从对应该功能选项的右侧位置处点选“新规则”功能选项,打开安全出站规则创建向导对话框,当向导对话框询问我们要进行何种类型的控制操作时,我们应该选中这里的“端口”选项,以便让高级安全防火墙功能对本地计算机中3077、3078端口的网络连接进行限制;
接着单击“下一步”按钮,在其后出现的向导设置对话框中选中“TCP”功能选项,并且选中“特定本地端口”选项,此时“特定本地端口”文本框会被自动激活,在该文本框中直接输入“3077,3078”端口号码,如图所示;
再单击“下一步”按钮后,向导屏幕会弹出提示询问“连接符合指定条件时应该进行什么操作”,这个时候我们必须将“阻止连接”功能选项选中,之后设置好该安全规则具体的应用范围,在这里我们可以同时选中“域”、“专用”、“公用”这几种应用环境,最后为新创建的出站规则设置一个合适的名称,再单击“完成”按钮结束安全出站规则的创建工作,这样的话任何一位上网用户在本地Win2008系统中尝试进行恶意下载时,Win2008系统自带的高级安全防火墙功能就对自动对这样的恶意下载进行拦截,那么本地网络的运行稳定性自然也就能得到有效保证了。
2、网络身份验证功能控制远程连接
为了提高工作效率,很多网络管理员总喜欢通过远程桌面功能来与局域网中的重要服务器或计算机建立远程连接,以便在局域网中的任何位置都能象在本地那样来控制远程服务器或计算机;这种远程控制功能虽然给网络管理员带来了方便,但是同时也给非法攻击者提供了一种新的非法入侵“通道”。为了提高服务器系统的安全性能,Win2008系统新推出了网络身份验证功能,该功能可以很好地预防非法攻击者随意从局域网中的任意一台计算机对目标服务器系统建立远程连接,一旦启用了该功能后,网络管理员必须在Vista、Win2008系统环境下才能通过远程桌面功能与Win2008服务器建立远程连接,其他普通计算机系统都不能与Win2008服务器系统建立远程连接,这无形之中自然会提高Win2008服务器系统的运行安全性。在启用Win2008服务器系统的网络身份验证功能时,我们可以按照下面的设置来操作:
首先以特权账号登录进入Win2008系统桌面,单击该系统任务栏中的“服务器管理器”功能按钮,打开对应系统的服务器管理器控制台窗口,选中该窗口左侧位置处的“服务器管理”节点选项,在目标节点选项下面的“服务器摘要”设置项处点选“配置远程桌面”选项,进入对应系统的远程桌面设置对话框;
其次在该设置对话框的“远程桌面”位置处,检查“只允许运行带网络级身份验证的远程桌面的计算机连接”选项是否处于选中状态,如果发现该功能还没有处于选中状态时,那么局域网中的任意用户可以从任意一台计算机中来远程连接Win2008服务器系统;为了控制用户随意对Win2008服务器系统进行远程连接,我们必须将“只允许运行带网络级身份验证的远程桌面的计算机连接”选项重新选中,再单击“确定”按钮保存好上述设置操作,这么一来远程桌面连接日后就会受到网络身份验证功能的保护了。
3、数据执行保护功能控制程序连接
Internet中的一些网络病毒或木马,时常会通过安装在Win2008系统中的一些应用程序漏洞,来对本地计算机系统进行非法攻击;为了让应用程序连接网络更加安全,我们可以利用Win2008系统自带的数据执行保护功能来保护目标应用程序,下面就是具体的实现步骤:
首先在Win2008系统桌面中,用鼠标右键单击“计算机”图标,从弹出的快捷菜单中点选“属性”命令,打开对应系统的属性设置窗口,在该设置窗口的左侧位置处,点选“高级系统设置”按钮,进入Win2008系统的高级属性设置对话框;
其次在该设置对话框的“性能”位置处点击“设置”按钮,进入Win2008系统的性能选项设置对话框,单击其中的“数据执行保护”选项卡,在其后出现的选项设置页面中,看看“为除下列选定程序之外的所有程序和服务启用”列表中是否存在目标应用程序,一旦发现它存在的话,那就说明该应用程序日后在进行网络连接时不会受到数据执行保护功能的安全保护,此时我们必须选中该目标应用程序,同时单击“删除”按钮,再单击“确定”按钮结束数据执行保护设置操作,这么一来目标应用程序日后在连接网络时就会自动受到Win2008系统自带的数据执行保护功能的保护了。
4、密码保护共享功能控制共享连接
为了让Win2008系统中的重要资源与他人交流分享,很多人都会直接将重要资源设置成共享状态,其他人通过共享访问就能看到自己的重要资源了;不过,相当一部分人在设置共享文件夹时,常常会忘记设置共享访问密码,从而给局域网中的非法用户提供了可乘之机。为了保护共享资源的安全,我们可以启用Win2008系统的密码保护共享功能,强行要求用户必须为共享文件夹设置访问密码,日后只有知道共享密码的用户才能看到自己的共享内容,下面就是具体的设置步骤:
首先在Win2008系统桌面中,依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中双击网络和共享中心图标,打开网络和共享中心控制窗口;
其次从该控制窗口中展开“共享和发现”位置处的“密码保护的共享”设置区域,选中对应区域中的“密码保护的共享”选项,再单击“应用”按钮,这么一来共享访问操作日后就必须需要输入访问密码了,那么共享访问安全性自然也就能得到有效保证了。
【编辑推荐】
- Windows Server 2008 R2 与UNIX环境整合之SUA
- 优秀的接班人——Windows Server 2008
- Windows Server 2008 R2虚拟化有效帮助企业降低运营成本
- Windows Server 2008组策略安全实践手册
- IIS7在Windows Server 2008 R2中的技术革新