手動設置安全策略 保證Windows 2008系統安全
憑借新鮮超強的功能以及更勝一籌的安全優勢,Windows Server 2008系統吸引了許多網絡管理員在不知不覺中前來試用嘗鮮。可是,這并不能說明Windows Server 2008系統在安全方面就可以高枕無憂了,因為在不同的使用環境下,Windows Server 2008系統表現出來的安全防范能力是不一樣的,甚至該系統在某些方面沒有一點安全抵抗能力,這時就需要我們自己動手來保護Windows Server 2008系統的運行安全了。下面,本文就為各位朋友總結幾則保護Windows Server 2008系統安全的技巧,希望大家能從中獲得一些幫助!
謹防登錄密碼被木馬竊取
不少網絡管理員為了高效登錄進Windows Server 2008服務器系統,往往會將系統特權賬號修改為自動登錄狀態,這樣一來網絡管理員下次登錄服務器系統時不需輸入帳號與密碼就能直接進入系統桌面;雖然這樣的自動登錄操作可以大大提高工作效率,不過一些專業木馬程序支持模仿登錄功能,木馬程序通過該功能可以非常輕松地竊取到自動登錄服務器系統時所使用的特權帳號與密碼,那樣的話Windows Server 2008服務器系統的登錄安全就會遭遇不小的威脅。為了謹防Windows Server 2008服務器系統的登錄帳號與密碼被專業木馬程序輕松竊取,我們不妨按照如下步驟設置Windows Server 2008系統,來禁止任何用戶采用自動登錄方式進入服務器系統:
首先以特權帳號登錄進Windows Server 2008服務器系統,依次點選該系統桌面中的“開始”、“運行”命令,在其后出現的系統運行對話框中,輸入“control userpasswords2”字符串命令,單擊“確定”按鈕后,進入對應系統的用戶賬戶控制對話框;
其次在該控制對話框中單擊“用戶”標簽,之后選中對應標簽頁面中的“要使用本機,用戶必須輸入用戶名和密碼”選項,下面再點選“高級”標簽,進入如圖1所示的標簽設置頁面;在該頁面的“安全登錄”處選中“要求用戶按Ctrl+Alt+Delete”選項,同時單擊“確定”按鈕,如此一來任何一位用戶包括網絡管理員在嘗試登錄Windows Server 2008服務器時,都需要先按下Ctrl+Alt+Delete組合鍵,打開服務器系統的登錄驗證對話框,之后在其中正確輸入系統特權賬號的名稱、密碼等信息,才能安全登錄進入Windows Server 2008服務器系統桌面,而在這個登錄服務器系統的過程專業木馬程序是無法竊取到登錄帳號與密碼信息的,如此一來系統特權帳號的登錄密碼就不會被輕易丟失了。
 |
強制遠程用戶進行網絡驗證
大家知道,Windows Server 2000、Windows Server 2003之類的傳統服務器系統雖然也支持遠程桌面功能,可是Windows Server 2008系統不但支持遠程桌面功能,而且還大大提高該功能的安全防范性能,我們可以通過設置該系統的遠程桌面功能來強制遠程用戶進行網絡身份驗證,以便拒絕一些惡意用戶偷偷通過遠程桌面連接功能來非法攻擊Windows Server 2008服務器系統。要想讓Windows Server 2008系統強制遠程用戶進行網絡身份驗證時,我們可以依照下面的操作來設置服務器系統:
首先以特權帳號登錄進入Windows Server 2008系統,從該系統的“開始”菜單中逐一點選“程序”/“管理工具”/“服務器管理器”命令選項,進入對應系統的服務器管理器界面;
其次在服務器管理器界面的左側子窗格中選中“服務器管理”分支選項,在目標分支選項的右側子窗格中找到“服務器摘要”設置項,并單擊該設置區域下面的“配置遠程桌面”按鈕,進入Windows Server 2008系統的遠程桌面屬性設置窗口;
在該屬性設置窗口的“遠程桌面”位置處,我們看到Windows Server 2008系統為遠程用戶提供了三個安全選項,要是我們希望局域網中的所有用戶都能非常順暢地通過遠程桌面連接功能來對Windows Server 2008服務器系統進行遠程控制時,那就需要將這里的“允許運行任意版本遠程桌面的計算機連接”安全項目選中,不過輕易選中該安全選項,Windows Server 2008服務器系統容易遭受非法攻擊。
為了防止服務器系統開通遠程桌面連接功能后會給自身帶來安全麻煩,Windows Server 2008系統為遠程控制用戶提供了“只允許運行帶網絡級身份驗證的遠程桌面的計算機連接”安全設置選項,我們只要選中該安全控制選項(如圖2所示),同時單擊“確定”按鈕退出設置對話框,那樣一來Windows Server 2008系統日后就會強行對任何一位企圖通過遠程桌面連接功能控制服務器的用戶執行網絡身份驗證了,通不過網絡身份驗證的遠程控制用戶自然就不能對Windows Server 2008服務器系統進行遠程管理和控制了。
 |
拒絕漏洞應用程序連接網絡
不少朋友往往會錯誤地認為,只要對Windows Server 2008服務器系統及時更新、安裝漏洞補丁程序,就能確保對應系統不會遭遇流行病毒或木馬程序的非法攻擊;其實,給Windows Server 2008服務器系統更新、安裝漏洞補丁程序僅僅能夠防范由系統漏洞引起的安全問題,但是那些安裝在Windows Server 2008服務器系統中的應用程序自身可能也會存在安全漏洞,由這些漏洞引起的安全問題我們往往是無法通過更新系統補丁來解決的。為了有效防止某些漏洞應用程序給Windows Server 2008服務器系統帶來安全麻煩,我們可以利用該系統自帶的防火墻功能來禁止那些存在安全漏洞的應用程序去訪問或連接網絡,如此一來就能實現防范由應用程序漏洞引起的服務器安全麻煩了。下面,我們就對Windows Server 2008系統內置的防火墻功能進行一下設置,來拒絕漏洞應用程序偷偷連接網絡:
首先打開Windows Server 2008系統的“開始”菜單,從中依次點選“設置”、“控制面板”選項,在其后出現的系統控制面板界面中,用鼠標雙擊其中的Windows防火墻功能圖標,再單擊其后界面中的“更改設置”按鈕,進入Windows Server 2008系統內置防火墻的基本配置對話框;
其次單擊該基本配置對話框的“例外”選項卡,進入如圖3所示的選項設置界面,在對應設置界面中我們能夠一目了然地看到所有想進行網絡連接的應用程序列表,其中處于選中狀態的應用程序就表示Windows Server 2008系統內置的防火墻允許它進行網絡連接,而那些沒有處于選中狀態的應用程序自然就表示Windows Server 2008系統內置的防火墻不允許它進行網絡連接了;
要是我們不能從應用程序列表中看到漏洞程序的“身影”時,就需要手工將它添加進來了,在進行手工添加操作時,我們只要單擊圖3設置界面中的“添加程序”按鈕,在其后出現的應用程序打開對話框中,將目標漏洞應用程序選擇并添加進來,然后用鼠標將其選中,再單擊“確定”按鈕保存上述設置操作,這樣一來存在安全漏洞的目標應用程序由于不能連接網絡,那么Internet網絡中的木馬或病毒就不會通過該漏洞攻擊服務器系統了。
 |
#p#
防止系統安全級別意外降低
在公共場合下,與他人共用一臺電腦的事情是經常會出現的,當我們辛辛苦苦地將本地電腦的IE瀏覽器安全級別調整合適后,肯定不想讓其他人再隨意降低它的安全級別,畢竟隨意降低IE瀏覽器的安全級別,容易引起本地電腦遭遇網絡病毒或惡意木馬的襲擊,最終造成所有的人都不能正常使用電腦。為了防止系統安全級別意外降低,安裝了Windows Server 2008系統的電腦可以允許用戶進行下面的設置操作:
首先在Windows Server 2008系統桌面中逐一點選“開始”、“運行”命令,打開對應系統的運行文本框,在其中輸入“gpedit.msc”字符串命令,單擊“確定”按鈕后進入對應系統的組策略控制臺窗口;
其次將鼠標定位于該控制臺窗口左側子窗格中的“用戶配置”節點選項,再從目標節點選項下面依次展開“管理模板”、“Windows組件”、“Internet Explorer”、“Internet控制模板”組策略子項,再用鼠標雙擊目標組策略子項下面的“禁用安全頁”選項,打開如圖4所示的目標組策略屬性設置對話框;
 |
檢查該設置對話框中的“已啟用”選項是否處于選中狀態,如果發現它還沒有被選中時,我們應該及時將它重新選中,再單擊“確定”按鈕保存好設置操作,這樣的話其他人日后即使進入到Windows Server 2008系統的Internet選項設置窗口,也不能進入其中的安全設置頁面,因為該頁面已經被自動隱藏起來了,如此一來其他人自然就不能隨意在安全設置頁面中改動本地電腦的安全訪問級別了,這時Windows Server 2008系統的訪問安全性也就有保證了。
此外,我們也能通過合適設置將本地電腦IE瀏覽器窗口中的“Internet選項”命令隱藏起來,讓其他人無法打開IE瀏覽器的選項設置窗口,這樣也能阻止惡意用戶隨意降低本地電腦的安全訪問級別。在隱藏“Internet選項”選項命令時,我們可以先進入Windows Server 2008系統的組策略控制臺窗口,依次展開其中的“用戶配置”、“管理模板”、“Windows組件”、“Internet Explorer”、“瀏覽器菜單”分支選項,再在目標分支選項的右側子窗格中雙擊“禁用Internet選項”項目,在其后出現的組策略屬性界面中,選中“已啟用”項目,再單擊“確定”按鈕就OK了。
巧妙備份系統所有賬號信息
通常情況下,Windows Server 2008系統中往往會同時保存有不少用戶的系統登錄賬號信息,這些登錄賬號信息在服務器系統突然遭遇崩潰故障時,很可能會永遠丟失掉,日后網絡管理員可能很難通過大腦記憶的方法將所有丟失的用戶賬號逐一恢復成功。為了防止重要用戶的賬號信息發生丟失,我們應該及時在Windows Server 2008系統工作正常的時候,對用戶賬號信息進行巧妙備份,然后將備份文件保存到其他安全的地方,日后Windows Server 2008系統要是發生故障而不能正常啟動運行時,用戶賬號信息也不會受到任何損壞,因為到時候將備份好的用戶帳號恢復一下就可以了,下面就是備份用戶賬號的具體步驟:
首先打開Windows Server 2008系統桌面的“開始”菜單,從中點選“運行”命令,在其后出現的系統運行對話框中,輸入“credwiz”字符串命令,單擊“確定”按鈕后,打開如圖5所示的備份還原設置對話框;
 |
其次將其中的“備份存儲的用戶名和密碼”項目選中,同時根據向導提示單擊“下一步”按鈕,在其后界面中單擊“瀏覽”按鈕,打開文件選擇對話框,在這里我們需要指定好保存用戶帳號的文件名稱以及保存位置,之后再單擊對應對話框中的“保存”按鈕,如此一來在Windows Server 2008系統環境下創建的所有用戶賬號信息都將被自動保存到特定的文件中了,只是該文件默認會使用crd擴展名;
日后一旦發現Windows Server 2008系統的用戶賬號意外丟失時,我們只要將之前備份好的用戶賬號文件復制到Windows Server 2008系統環境下,之后再依次單擊“開始”/“運行”命令,從其后出現的系統運行框中執行字符串命令“credwiz”,進入用戶帳號還原向導設置窗口,選中其中的“還原存儲的用戶名和密碼”功能選項,然后將目標用戶帳號備份文件選擇并加入進來,最后單擊“還原”按鈕,這樣一來發生丟失或受到損壞的用戶賬號信息就能被成功恢復好了。
【編輯推薦】
