Windows2008组策略如何保证系统安全?

系统 Windows
本文介绍了windows 2008系统通过设置组策略,来保障系统的安全性,防患于未然。

组策略对于windows系统的网络安全性起着至关重要的作用,下文是介绍windows 2008系统中组策略在其安全性上如何起作用的。

尽管Windows Server 2008系统的安全性能已经大幅提升了,不过这并不意味着该系统已经安全无忧了,因为很多时候系统的一些安全参数会被偷偷修改,从而可能给系统造成一些安全威胁,那有什么办法让我们能够防患于未然,在系统安全参数被修改之前就能将它禁止呢?其实巧妙设置系统组策略参数,就可以让Windows Server 2008系统更加安全了。

严禁恶意程序不请自来

我们在使用Windows Server 2008系统自带的IE浏览器上网访问网页内容时,时常会碰到一些恶意的控件程序,这些恶意控件程序往往不经过我们的允许,就自动下载保存到本地系统硬盘中,这样不但会消耗宝贵的磁盘空间资源,而且还可能会给Windows Server 2008系统带来安全麻烦;为了让自己的Windows Server 2008系统更加安全,我们可以安装使用一些专业工具来拒绝恶意程序不请自来,可是这样不但操作很繁琐而且也不利于提高操作效率。事实上,Windows Server 2008系统在组策略中已经添加了这种安全问题的控制选项,我们只要对相应的控制选项进行一下合适设置就可以了,下面就是具体的控制步骤:

首先在Windows Server 2008系统桌面中打开“开始”菜单,点选其中的“运行”命令,在弹出的系统运行文本框中,输入“gpedit.msc”字符串命令,单击“确定”按钮,打开对应系统的组策略编辑窗口;

其次在该组策略编辑窗口的左侧显示区域中将鼠标定位于“计算机配置”分支,并从该分支下面逐一展开“管理模板”/“Windows组件”/“限制文件下载”/“安全功能”/“限制文件下载”子项;

    Windows2008组策略如何保证系统安全?

图1

下面在“限制文件下载”子项的右侧显示列表中,双击“Internet Explorer进程”组策略选项,打开目标组策略选项的属性设置对话框,单击其中的“设置”标签,进入如图1所示的标签设置页面;在这里,我们发现默认状态下Windows Server 2008系统对文件下载操作是没有任何限制的,此时我们应该选中“已启用”选项,来严禁恶意程序不请自来。当然,有的恶意程序会自动通过FlashGet、迅雷工具等来完成下载任务,为了谨防这些程序自动执行下载任务,我们还可以打开“所有进程”选项的属性设置窗口,选中对应窗口中的“已启用”选项,来禁止恶意程序无法通过任何进程完成下载任务。

拒绝调用任务管理器

在Windows Server 2008系统环境下,同时按下键盘中的Ctrl+Alt+Del组合键时,我们可以调用系统任务管理器,可以更改Windows系统登录密码,可以直接关闭、注销计算机等,特别是在调用系统任务管理器后,用户还能对Windows Server 2008系统中的一些重要进程进行控制。为了防止非法用户随意控制服务器系统中的一些重要进程,我们可以利用Windows Server 2008系统内置的组策略来拒绝普通用户随意调用任务管理器,下面就是具体的设置步骤:

首先打开Windows Server 2008系统桌面中的“开始”菜单,点选其中的“运行”命令,在弹出的系统运行文本框中,输入“gpedit.msc”字符串命令,单击“确定”按钮,打开对应系统的组策略编辑窗口;

其次将鼠标定位于组策略编辑窗口左侧显示区域中的“用户设置”分支上,并依次展开“管理模板”/“系统”/“Ctrl+Alt+Del”组策略子项,在对应“Ctrl+Alt+Del”组策略子项的右侧显示区域中,我们会看到删除注销、删除更改密码、删除锁定计算机、删除任务管理器等多个策略;

    Windows2008组策略如何保证系统安全?

图2

用鼠标双击其中的删除任务管理器选项,打开目标组策略选项的属性设置对话框,单击其中的“设置”标签,进入如图2所示的标签设置页面;在这里,我们发现默认状态下Windows Server 2008系统是允许用户调用任务管理器窗口的,此时我们应该选中“已启用”选项,来禁止调用系统任务管理器窗口。同样地,我们可以打开其他策略的选项设置窗口,选中“已启用”选项,来禁止执行注销、更改密码、锁定计算机等操作。

 禁止降低IE安全等级

Windows Server 2008系统在默认状态下常常会将IE浏览器的安全等级设置得比较高,这样可以防止一些恶意网页脚本代码或ActiveX控件程序偷偷在服务器系统中运行,从而避免给系统带来一些安全威胁。可是,在实际上网浏览的过程中,不少用户有时随意降低IE安全等级,以便寻求浏览便利性,这么一来Windows Server 2008系统的安全性就会受到严重威胁;为此,我们可以按照如下步骤来禁止普通用户随意降低IE浏览安全等级:

首先按照前面的操作步骤,打开Windows Server 2008系统组策略编辑窗口,在该编辑窗口左侧显示区域的“本地计算机策略”中用鼠标逐一展开“用户配置”/“管理模板”/“Windows组件”/“Internet Explorer”/“Internet Explorer控制面板”子项;

   Windows2008组策略如何保证系统安全?

图3

其次在“Internet Explorer控制面板”子项的右侧显示区域中,双击“禁用安全页”选项,打开如图3所示的选项设置窗口,选中其中的“已启用”选项,再单击“确定”按钮,那样一来普通用户日后打开Internet选项设置对话框后,将无法进入到其中的安全设置页面,这样的话IE安全访问等级也就不会被随意降低了。

#p#

监控系统登录状态

Windows Server 2008系统可以使用审核功能来自动监视跟踪系统登录状态,一旦有非法用户偷偷登录服务器时,我们就能从系统的日志记录中找到蛛丝马迹,并能及时采取措施预防非法用户再次偷偷登录服务器。要想自动监控服务器系统登录状态,我们可以按照如下步骤来设置Windows Server 2008系统的组策略参数,以便让服务器自动对系统登录事件进行审核:

首先打开Windows Server 2008系统组策略编辑窗口,依次展开左侧显示区域中的“计算机配置”/“Windows设置”/“安全设置”/“本地策略”分支选项,然后选中该分支选项下面的“审核策略”子项;

   

Windows2008组策略如何保证系统安全?

图4

其次在对应“审核策略”子项的右侧显示区域中,找到“审核登录事件”选项,并用鼠标双击该选项,打开如图4所示的选项设置对话框,选中其中的“成功”和“失败”复选项,最后单击“确定”按钮,如此一来任何用户无论是成功登录进服务器系统,还是没有成功登录进服务器系统,Windows Server 2008系统的日志功能都会自动将登录服务器系统的状态记录保存下来。

要想查看之前的系统登录状态时,我们可以依次单击Windows Server 2008系统桌面中的“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中双击“管理工具”图标,之后双击事件查看器图标,打开对应系统的事件查看器控制台窗口,在该窗口的左侧显示区域依次展开“Windows日志”/“系统”分支选项,在对应“系统”分支选项的中间显示区域,我们就能查看到具体的系统登录状态事件了。

禁止查看重要数据分区

Windows Server 2008服务器系统中的某个分区中可能保存了一些重要数据信息,这些多半是不希望让其他用户知道的。其实,我们根本不需要寻求专业工具来保护重要数据分区,只要巧妙地利用Windows Server 2008系统的组策略功能,就能很好地保护重要数据分区不被他人随意访问;例如,要保护D盘分区中的数据内容不被他人访问时,我们可以按照如下步骤来设置系统组策略参数:

首先在Windows Server 2008系统运行对话框中执行“Gpedit.msc”命令,进入服务器系统的组策略编辑窗口,依次展开该组策略编辑窗口左侧显示区域中的“本地计算机策略”/“用户配置”/“管理模板”/“Windows组件”/“Windows资源管理器”组策略选项;

Windows2008组策略如何保证系统安全?

图5

其次在对应“Windows资源管理器”组策略选项的右侧显示区域中,用鼠标双击“防止从‘我的电脑’访问驱动器”选项,在其后弹出的目标组策略属性设置窗口中,我们会看到“未配置”、“已启用”、“已禁用”这几个选项;检查其中的“已启用”选项是否已经处于选中状态,要是发现该选项还没有被选中时,我们应该及时将它重新选中;之后,从驱动器下拉列表中选中驱动器D(如图5所示),再单击“确定”按钮就可以了。要是我们想将所有的驱动器都关闭时,可以从驱动器下拉列表中选中“限制所有驱动器”选项。

 禁止暴力破解登录密码

Windows Server 2008服务器系统的登录密码要是设置得不够强壮时,非法攻击者很容易通过暴力破解的方法猜出来。为了防止这种情况的发生,我们可以在Windows Server 2008系统的组策略编辑窗口中启用帐户锁定策略,来禁止暴力破解登录密码,这样一来,当非法攻击者尝试登录服务器系统,输入错误系统登录密码的次数达到指定数值时,对应系统登录帐号就会被自动锁定,下面就是具体的设置步骤:

首先打开Windows Server 2008系统桌面中的“开始”菜单,点选其中的“运行”命令,在弹出的系统运行文本框中,输入“gpedit.msc”字符串命令,单击“确定”按钮,打开对应系统的组策略编辑窗口;

Windows2008组策略如何保证系统安全?

图6

接着依次展开该组策略编辑窗口左侧显示区域中的“本地计算机策略”/“计算机设置”/“Windows设置”/“安全设置”/“帐户策略”/“帐户锁定策略”选项,在对应“帐户锁定策略”选项的右侧显示区域中,找到“帐户锁定阈值”选项,并用鼠标右键单击该选项,从弹出的快捷菜单中执行“属性”命令,打开目标组策略选项设置对话框,在这里我们可以将登录服务器系统失败的次数设置为“3”次(如图6所示),而缺省的“0”次表示不限制登录次数。经过上述设置,非法用户一旦猜错密码3次,那么对应的系统登录帐号将会被自动锁定。

Windows2008安全有系统组策略保证,帮我们省却很多不必要的麻烦。更多有关组策略的知识还有待于读者去学习和掌握。

【编辑推荐】

  1. 巧用Windows7的组策略
  2. 如何用组策略进行软件部署?
  3. windows vista组策略中探索的新事物
  4. Windows Vista组策略中新事物的探索
  5. 巧用组策略轻松将常用软件安装到IE上
责任编辑:韩亚珊 来源: ChinaUnix文档频道
相关推荐

2009-04-10 01:52:57

2009-10-27 08:59:48

2010-05-26 10:45:34

2011-03-29 10:17:38

2009-07-29 16:52:40

2009-10-16 11:09:37

2009-02-10 09:55:00

2010-06-17 22:07:23

2010-04-29 16:47:29

2011-07-20 13:06:49

2011-07-21 13:04:01

组策略GPOAD

2011-07-19 16:11:36

组策略安全模板

2010-04-28 09:59:31

Windows Ser组策略

2009-07-06 15:05:23

2009-03-30 09:59:57

2011-07-25 14:04:53

组策略

2011-07-25 15:05:20

2009-02-22 09:53:32

2011-07-21 17:08:41

组策略

2009-07-20 10:13:21

点赞
收藏

51CTO技术栈公众号