組策略對于windows系統的網絡安全性起著至關重要的作用，下文是介紹windows 2008系統中組策略在其安全性上如何起作用的。

盡管Windows Server 2008系統的安全性能已經大幅提升了，不過這并不意味著該系統已經安全無憂了，因為很多時候系統的一些安全參數會被偷偷修改，從而可能給系統造成一些安全威脅，那有什么辦法讓我們能夠防患于未然，在系統安全參數被修改之前就能將它禁止呢？其實巧妙設置系統組策略參數，就可以讓Windows Server 2008系統更加安全了。

嚴禁惡意程序不請自來

我們在使用Windows Server 2008系統自帶的IE瀏覽器上網訪問網頁內容時，時常會碰到一些惡意的控件程序，這些惡意控件程序往往不經過我們的允許，就自動下載保存到本地系統硬盤中，這樣不但會消耗寶貴的磁盤空間資源，而且還可能會給Windows Server 2008系統帶來安全麻煩；為了讓自己的Windows Server 2008系統更加安全，我們可以安裝使用一些專業工具來拒絕惡意程序不請自來，可是這樣不但操作很繁瑣而且也不利于提高操作效率。事實上，Windows Server 2008系統在組策略中已經添加了這種安全問題的控制選項，我們只要對相應的控制選項進行一下合適設置就可以了，下面就是具體的控制步驟：

首先在Windows Server 2008系統桌面中打開“開始”菜單，點選其中的“運行”命令，在彈出的系統運行文本框中，輸入“gpedit.msc”字符串命令，單擊“確定”按鈕，打開對應系統的組策略編輯窗口；

其次在該組策略編輯窗口的左側顯示區域中將鼠標定位于“計算機配置”分支，并從該分支下面逐一展開“管理模板”/“Windows組件”/“限制文件下載”/“安全功能”/“限制文件下載”子項；

圖1

下面在“限制文件下載”子項的右側顯示列表中，雙擊“Internet Explorer進程”組策略選項，打開目標組策略選項的屬性設置對話框，單擊其中的“設置”標簽，進入如圖1所示的標簽設置頁面；在這里，我們發現默認狀態下Windows Server 2008系統對文件下載操作是沒有任何限制的，此時我們應該選中“已啟用”選項，來嚴禁惡意程序不請自來。當然，有的惡意程序會自動通過FlashGet、迅雷工具等來完成下載任務，為了謹防這些程序自動執行下載任務，我們還可以打開“所有進程”選項的屬性設置窗口，選中對應窗口中的“已啟用”選項，來禁止惡意程序無法通過任何進程完成下載任務。

拒絕調用任務管理器

在Windows Server 2008系統環境下，同時按下鍵盤中的Ctrl+Alt+Del組合鍵時，我們可以調用系統任務管理器，可以更改Windows系統登錄密碼，可以直接關閉、注銷計算機等，特別是在調用系統任務管理器后，用戶還能對Windows Server 2008系統中的一些重要進程進行控制。為了防止非法用戶隨意控制服務器系統中的一些重要進程，我們可以利用Windows Server 2008系統內置的組策略來拒絕普通用戶隨意調用任務管理器，下面就是具體的設置步驟：

首先打開Windows Server 2008系統桌面中的“開始”菜單，點選其中的“運行”命令，在彈出的系統運行文本框中，輸入“gpedit.msc”字符串命令，單擊“確定”按鈕，打開對應系統的組策略編輯窗口；

其次將鼠標定位于組策略編輯窗口左側顯示區域中的“用戶設置”分支上，并依次展開“管理模板”/“系統”/“Ctrl+Alt+Del”組策略子項，在對應“Ctrl+Alt+Del”組策略子項的右側顯示區域中，我們會看到刪除注銷、刪除更改密碼、刪除鎖定計算機、刪除任務管理器等多個策略；

圖2

用鼠標雙擊其中的刪除任務管理器選項，打開目標組策略選項的屬性設置對話框，單擊其中的“設置”標簽，進入如圖2所示的標簽設置頁面；在這里，我們發現默認狀態下Windows Server 2008系統是允許用戶調用任務管理器窗口的，此時我們應該選中“已啟用”選項，來禁止調用系統任務管理器窗口。同樣地，我們可以打開其他策略的選項設置窗口，選中“已啟用”選項，來禁止執行注銷、更改密碼、鎖定計算機等操作。

 禁止降低IE安全等級

Windows Server 2008系統在默認狀態下常常會將IE瀏覽器的安全等級設置得比較高，這樣可以防止一些惡意網頁腳本代碼或ActiveX控件程序偷偷在服務器系統中運行，從而避免給系統帶來一些安全威脅?？墒?，在實際上網瀏覽的過程中，不少用戶有時隨意降低IE安全等級，以便尋求瀏覽便利性，這么一來Windows Server 2008系統的安全性就會受到嚴重威脅；為此，我們可以按照如下步驟來禁止普通用戶隨意降低IE瀏覽安全等級：

首先按照前面的操作步驟，打開Windows Server 2008系統組策略編輯窗口，在該編輯窗口左側顯示區域的“本地計算機策略”中用鼠標逐一展開“用戶配置”/“管理模板”/“Windows組件”/“Internet Explorer”/“Internet Explorer控制面板”子項；

圖3

其次在“Internet Explorer控制面板”子項的右側顯示區域中，雙擊“禁用安全頁”選項，打開如圖3所示的選項設置窗口，選中其中的“已啟用”選項，再單擊“確定”按鈕，那樣一來普通用戶日后打開Internet選項設置對話框后，將無法進入到其中的安全設置頁面，這樣的話IE安全訪問等級也就不會被隨意降低了。

#p#

監控系統登錄狀態

Windows Server 2008系統可以使用審核功能來自動監視跟蹤系統登錄狀態，一旦有非法用戶偷偷登錄服務器時，我們就能從系統的日志記錄中找到蛛絲馬跡，并能及時采取措施預防非法用戶再次偷偷登錄服務器。要想自動監控服務器系統登錄狀態，我們可以按照如下步驟來設置Windows Server 2008系統的組策略參數，以便讓服務器自動對系統登錄事件進行審核：

首先打開Windows Server 2008系統組策略編輯窗口，依次展開左側顯示區域中的“計算機配置”/“Windows設置”/“安全設置”/“本地策略”分支選項，然后選中該分支選項下面的“審核策略”子項；

圖4

其次在對應“審核策略”子項的右側顯示區域中，找到“審核登錄事件”選項，并用鼠標雙擊該選項，打開如圖4所示的選項設置對話框，選中其中的“成功”和“失敗”復選項，最后單擊“確定”按鈕，如此一來任何用戶無論是成功登錄進服務器系統，還是沒有成功登錄進服務器系統，Windows Server 2008系統的日志功能都會自動將登錄服務器系統的狀態記錄保存下來。

要想查看之前的系統登錄狀態時，我們可以依次單擊Windows Server 2008系統桌面中的“開始”/“設置”/“控制面板”命令，在彈出的系統控制面板窗口中雙擊“管理工具”圖標，之后雙擊事件查看器圖標，打開對應系統的事件查看器控制臺窗口，在該窗口的左側顯示區域依次展開“Windows日志”/“系統”分支選項，在對應“系統”分支選項的中間顯示區域，我們就能查看到具體的系統登錄狀態事件了。

禁止查看重要數據分區

Windows Server 2008服務器系統中的某個分區中可能保存了一些重要數據信息，這些多半是不希望讓其他用戶知道的。其實，我們根本不需要尋求專業工具來保護重要數據分區，只要巧妙地利用Windows Server 2008系統的組策略功能，就能很好地保護重要數據分區不被他人隨意訪問；例如，要保護D盤分區中的數據內容不被他人訪問時，我們可以按照如下步驟來設置系統組策略參數：

首先在Windows Server 2008系統運行對話框中執行“Gpedit.msc”命令，進入服務器系統的組策略編輯窗口，依次展開該組策略編輯窗口左側顯示區域中的“本地計算機策略”/“用戶配置”/“管理模板”/“Windows組件”/“Windows資源管理器”組策略選項；

圖5

其次在對應“Windows資源管理器”組策略選項的右側顯示區域中，用鼠標雙擊“防止從‘我的電腦’訪問驅動器”選項，在其后彈出的目標組策略屬性設置窗口中，我們會看到“未配置”、“已啟用”、“已禁用”這幾個選項；檢查其中的“已啟用”選項是否已經處于選中狀態，要是發現該選項還沒有被選中時，我們應該及時將它重新選中；之后，從驅動器下拉列表中選中驅動器D(如圖5所示)，再單擊“確定”按鈕就可以了。要是我們想將所有的驅動器都關閉時，可以從驅動器下拉列表中選中“限制所有驅動器”選項。

 禁止暴力破解登錄密碼

Windows Server 2008服務器系統的登錄密碼要是設置得不夠強壯時，非法攻擊者很容易通過暴力破解的方法猜出來。為了防止這種情況的發生，我們可以在Windows Server 2008系統的組策略編輯窗口中啟用帳戶鎖定策略，來禁止暴力破解登錄密碼，這樣一來，當非法攻擊者嘗試登錄服務器系統，輸入錯誤系統登錄密碼的次數達到指定數值時，對應系統登錄帳號就會被自動鎖定，下面就是具體的設置步驟：

首先打開Windows Server 2008系統桌面中的“開始”菜單，點選其中的“運行”命令，在彈出的系統運行文本框中，輸入“gpedit.msc”字符串命令，單擊“確定”按鈕，打開對應系統的組策略編輯窗口；

圖6

接著依次展開該組策略編輯窗口左側顯示區域中的“本地計算機策略”/“計算機設置”/“Windows設置”/“安全設置”/“帳戶策略”/“帳戶鎖定策略”選項，在對應“帳戶鎖定策略”選項的右側顯示區域中，找到“帳戶鎖定閾值”選項，并用鼠標右鍵單擊該選項，從彈出的快捷菜單中執行“屬性”命令，打開目標組策略選項設置對話框，在這里我們可以將登錄服務器系統失敗的次數設置為“3”次(如圖6所示)，而缺省的“0”次表示不限制登錄次數。經過上述設置，非法用戶一旦猜錯密碼3次，那么對應的系統登錄帳號將會被自動鎖定。

Windows2008安全有系統組策略保證，幫我們省卻很多不必要的麻煩。更多有關組策略的知識還有待于讀者去學習和掌握。

【編輯推薦】

1. 巧用Windows7的組策略
2. 如何用組策略進行軟件部署？
3. windows vista組策略中探索的新事物
4. Windows Vista組策略中新事物的探索
5. 巧用組策略輕松將常用軟件安裝到IE上