如何保護Windows Server 2008系統安全
相比傳統操作系統,Win2008系統最吸引人的地方可能就要算它超強的安全功能了,的確利用許多新增的安全功能,我們可以非常輕松地對本地系統進行全方位、立體式防護。不過,這并不意味著Win2008系統的安全性能就無懈可擊了,一些細節因素仍然可以威脅Win2008系統的安全;為此,我們還需要在平時多注重一些安全細節,才能讓Win2008系統的安全更上層樓!
1、拒絕修改防火墻安全規則
我們知道,Win2008系統新增加的高級安全防火墻功能,可以允許用戶根據實際需要自行定義安全規則,從而實現更加靈活的安全防護目的;不過該防火墻還有一些明顯不足,我們對它進行的一些設置以及創建的安全規則,幾乎都是直接存儲在本地Win2008系統注冊表中的,非法攻擊者只需要編寫簡單的攻擊腳本代碼,就能輕松通過修改對應系統注冊表中的內容,來達到修改防火墻安全規則的目的,從而可以輕松跨越高級安全防火墻的限制。那么如何才能拒絕非法攻擊者通過修改系統注冊表中的相關鍵值,來跨越高級安全防火墻功能的限制呢?其實很簡單,我們只要通過下面的設置,禁止非法攻擊者修改系統注冊表中的相關鍵值就可以了:
首先在Win2008系統桌面中打開“開始”菜單,從中點選“運行”命令,在彈出的系統運行對話框中,輸入字符串命令“regedit”,單擊回車鍵后,打開對應系統的注冊表控制窗口;
其次該控制窗口的左側位置處,將鼠標位于HKEY_LOCAL_MACHINE節點分支上,并從目標分支下面依次展開SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules注冊表子項(如圖1所示),在該注冊表子項對應的右側顯示區域中保存了許多防火墻的安全規則以及設置參數。
很顯然,如果非法攻擊者具有訪問FirewallRules注冊表子項的權限時,那么它就能隨意修改該分支下面的各個安全規則以及設置參數了,而在默認狀態下任何普通用戶的確是可以訪問目標分支的;為此,我們必須限制Everyone帳號來訪問FirewallRules注冊表子項,要做到這一點,我們必須先將鼠標選中FirewallRules注冊表子項,同時用鼠標右鍵單擊該注冊表子項,并執行快捷菜單中的“權限”命令,打開目標注冊表子項的權限設置對話框。
單擊該對話框中的“添加”按鈕,打開用戶帳號選擇對話框,從中選中“Everyone”帳號并將它添加進來,之后選中“Everyone”帳號,并將對應該帳號的“完全控制”權限調整為“拒絕”,再單擊“應用”按鈕,如此一來非法攻擊者日后就不能隨意修改Win2008系統高級安全防火墻的安全規則以及設置參數了,那么Win2008系統的安全性能也就更有保障了。#p#
2、善用加密解密保護文件安全
為了拒絕他人趁自己不在計算機現場時偷看重要文件,不少人往往會使用專業工具來加密、解密重要文件;事實上,Win2008系統自身就集成了加密、解密功能,只是在缺省狀態下該功能使用起來很不方便,因此很少人會想到使用該功能來保護本地系統重要文件的安全。有鑒于此,我們可以通過下面的設置操作將Win2008系統自帶的加密、解密功能集成到鼠標的快捷菜單中,日后我們只要打開目標文件的快捷菜單就可以輕松選用加密、解密功能來保護文件的安全了:
首先打開Win2008系統的“開始”菜單,從中點選“運行”命令,在彈出的系統運行對話框中,直接輸入“Regedit”字符串命令,單擊“確定”按鈕后,進入Win2008系統的注冊表控制臺窗口;
其次將鼠標定位于該控制臺窗口左側位置處的HKEY_CURRENT_USER節點分支上,并從目標分支下面逐一展開目標注冊表子項Software\Microsoft\ Windows\CurrentVersion\Explorer\Advanced,再用鼠標右鍵單擊“Advanced”注冊表子項,并執行快捷菜單中的“新建”/“Dword值”命令,同時將新創建的雙字節值名稱設置為“EncryptionContextMenu”。
之后用鼠標雙擊“EncryptionContextMenu”注冊表鍵值,打開雙字節值對話框,在其中輸入十進制數字“1”,再單擊“確定”按鈕執行保存操作,最后按F5功能鍵刷新一下系統注冊表,如此一來我們打開某個重要文件的快捷菜單時,就能發現其中包含“加密”、“解密”等功能選項了(如圖2所示),利用這些功能選項我們就能很輕松地保護文件安全了。#p#
3、巧妙實時監控系統運行安全
為了能夠在第一時間發現潛藏在本地系統中的安全威脅,相信很多人都安裝了專業的監控工具,來對系統的運行狀態進行全程監控。其實,Win2008系統也自帶有實時監控程序Windows Defender,只是該程序并不像其他應用程序那樣會在系統托盤區域處出現一個控制圖標,不過該程序一旦看到Win2008系統遭遇間諜程序的攻擊時,它往往會立即發揮作用來幫助用戶解決問題。盡管Windows Defender程序平時并不顯現出來,不過該程序實際上在系統后臺啟動了一個服務,通過該系統服務默默地保護Win2008系統的安全;我們可以按照下面的操作,確認Windows Defender程序的服務狀態是否正常:
首先依次點選Win2008系統桌面中的“開始”/“運行”命令,在彈出的系統運行對話框中,輸入字符串命令“services.msc”,單擊回車鍵后,打開系統服務列表窗口。
其次從系統服務列表窗口的左側位置處,找到目標系統服務選項“Windows Defender”,并用鼠標右鍵單擊該選項,從彈出的快捷菜單中執行“屬性”命令,打開Windows Defender服務的屬性設置窗口,在該窗口的“常規”標簽頁面中,我們可以非常清楚地看到目標系統服務的運行狀態是否正常,要是發現該服務已經被關閉運行時,我們必須及時單擊“啟動”按鈕將它重新啟動起來,同時將它的啟動類型參數修改為“自動”,最后單擊“確定”按鈕保存好上述設置操作,這么一來我們就能確保Windows Defender服務時刻來保護Win2008系統的安全了。
為了讓Windows Defender服務更有針對性地進行實時監控,我們還可以修改Win2008系統的組策略參數,讓Windows Defender程序對已知文件或未知文件進行監測,同時對監測結果進行跟蹤記錄,下面就是具體的修改步驟:
首先在Win2008系統桌面中依次單擊“開始”/“運行”命令,在彈出的系統運行對話框中,輸入字符串命令“gpedit.msc”,單擊回車鍵后,打開系統的組策略控制臺窗口。
其次在該控制臺窗口的左側顯示區域處,依次點選“計算機配置”/“管理模板”/“Windows組件”/“Windows Defender”組策略子項,從目標子項下面找到“啟用記錄已知的正確檢測”選項,并用鼠標右鍵單擊該選項,從彈出的快捷菜單中執行“屬性”命令,打開目標組策略的屬性設置窗口,如圖3所示:
在該設置窗口中,檢查“已啟用”選項是否處于選中狀態,如果發現該選項還沒有被選中時,我們必須及時將它重新選中,再單擊“確定”按鈕保存好上述設置操作。按照同樣的操作步驟,我們再打開“啟用記錄未知檢測”組策略的屬性設置對話框,選中其中的“已啟用”選項,這么一來Win2008系統日后就會對各種類型的文件進行自動檢測、記錄,我們只要定期查看記錄內容就能知道本地系統是否存在安全威脅了。#p#
4、及時監控系統賬號惡意創建
有的時候,一些非法攻擊者會利用木馬程序偷偷在計算機系統中惡意創建登錄帳號,以便日后可以利用該帳號來對本地系統實施非法攻擊。為了及時監控本地系統中是否有新的賬號被偷偷創建,我們可以巧妙利用Win2008系統的附加任務功能,針對系統帳號創建事件添加自動報警任務,確保系統中有新的登錄帳號生成時,及時向系統管理員發出報警信息,確保系統管理員在第一時間判斷出新創建的登錄帳號是否合法,下面就是具體的實現步驟:
首先在Win2008系統桌面中,依次點選“開始”/“運行”命令,從彈出的系統運行框中執行“secpol.msc”命令,進入本地安全策略設置界面,從該界面的左側位置處逐一展開“安全設置”、“本地策略”、“審核策略”節點選項,再從目標節點下面找到“審核帳戶管理”組策略選項,打開如圖4所示的設置對話框,將該對話框中的“成功”、“失敗”選項全部選中,再單擊“確定”按鈕保存好上述設置操作。
其次用鼠標右鍵單擊Win2008系統桌面中的“計算機”圖標,從彈出的快捷菜單中點選“管理”命令,打開對應系統的計算機管理對話框,在該對話框的左側顯示區域依次點選“服務器管理器”/“配置”/“本地用戶和組”/“用戶”選項,同時用鼠標右鍵單擊該選項,并執行快捷菜單中的“新用戶”命令,在其后出現的新用戶創建對話框中,隨意創建一個用戶賬號,一旦創建成功后,系統就會自動生成一個登錄賬號創建成功日志記錄。
接著依次單擊“開始”/“程序”/“管理工具”/“事件查看器”選項,打開事件查看器控制臺窗口,從該控制臺窗口的左側位置處依次點選“Windows日志”/“系統”分支選項,并從目標分支下面找到剛剛生成的新用戶賬號創建成功的日志記錄,再用鼠標右鍵單擊該記錄選項,同時執行右鍵菜單中的“將任務附加到此事件”命令,打開創建基本任務向導對話框;
按照向導提示將基本任務名稱設置為“賬號創建報警”,將該任務執行的操作設置為“顯示消息”,之后設置消息標題為“謹防賬號被惡意創建”,將消息內容設置為“有新用戶賬號剛剛被創建,請系統管理員立即驗證其合法性”,最后單擊“完成”按鈕結束基本任務的附加操作,如此一來日后本地Win2008系統中有新的用戶賬號被偷偷創建時,系統屏幕上會立即出現“有新用戶賬號剛剛被創建,請系統管理員立即驗證其合法性”這樣的提示信息,看到這樣的提示系統管理員就能及時監控到有人在偷偷創建用戶賬號了,此時只要采用針對性措施進行應對就能保證本地Win2008系統的運行安全性了。#p#
5、巧妙限制普通用戶上網訪問
在Win2008系統環境下,如果隨意讓擁有普通權限的用戶上網訪問時,可能會給本地系統帶來安全威脅,而系統管理員往往由于工作原因,又必須要有權限可以上網訪問,那么如何才能實現這種特殊的訪問要求呢?通過下面的設置操作,我們可以很輕松地限制普通用戶上網的權限,同時又可以讓系統管理員的上網訪問不受影響:
首先以普通權限賬號登錄Win2008系統,打開對應系統的“開始”菜單,從中點選IE瀏覽器選項,在彈出的IE瀏覽器窗口中單擊“工具”選項,從下拉菜單中執行“Internet選項”命令,進入Internet選項設置窗口。
其次單擊該設置窗口中的“連接”選項卡,并單擊對應選項設置頁面中的“局域網設置”按鈕,此時系統屏幕上會出現一個如圖5所示的設置對話框,選中其中的“為LAN使用代理服務器”項目,同時任意輸入一個無效的代理服務器主機地址以及端口號碼,再單擊“確定”按鈕執行參數保存作。
接著注銷Win2008系統,換以系統管理員身份重新登錄系統,打開該系統桌面中的“開始”菜單,從中點選“運行”命令,從其后出現的系統運行框中執行“gpedit.msc”命令,進入對應系統的組策略控制臺界面。
選中該控制臺界面左側位置處的“計算機配置”節點分支,并從目標分支下面依次展開“管理模板”、“Windows組件”、“Internet Explorer”、“Internet控制面板”組策略子項,之后雙擊目標組策略子項下面的“禁用連接頁”選項,選中對應設置界面中的“已啟用”選項,再單擊“確定”按鈕保存好上述設置操作,最后將Win2008系統重新啟動一下。
這樣一來,日后當用戶以普通權限的賬號登錄Win2008系統,并在該系統環境中上網訪問時,IE瀏覽器會自動先搜索一個無效的代理服務器,并企圖通過該代理服務器進行網絡訪問,顯然這樣的訪問操作是不會成功的;而用戶以系統管理員權限在Win2008系統環境下訪問時,IE瀏覽器不會優先連接代理服務器,而是直接可以進行上網訪問,這樣的訪問當然能夠看到內容。
注:這安全中國的水印讓人看的好幻滅啊。
【編輯推薦】
