手動設置Windowerver2008提高安全防御水平
WindowsServer2008系統到底有多安全?可以讓我們安心使用嗎?答案是否定的,下文就介紹了Windowerver2008下的自助安全防御的方法,具體內容如下所述。
相信那些至今還沒有接觸過WindowsServer2008系統的朋友,多少會對該系統的新特性、新本領有點神往,不過要是與之親密接觸一段時間后,這些朋友也許會覺得WindowsServer2008系統并沒有想象中那樣美好。這不,自稱安全功能十分強大的WindowsServer2008系統,在安全性能方面并沒有真正做到無懈可擊,很多時候我們還需要自己動手,來手工防范服務器系統的安全。
1、讓系統處于數據執行保護中
與傳統操作系統一樣,WindowsServer2008系統仍然內置了數據執行保護功能,以便預防網絡病毒或其他安全攻擊對服務器系統造成威脅;然而,很多朋友發現該功能時常會破壞某些應用程序的運行穩定性,于是自作主張地將系統自帶的數據執行保護功能關閉了,那樣一來服務器系統遭遇網絡病毒襲擊的可能性自然也就增大了。其實,在WindowsServer2008服務器系統中,很少運行普通應用程序,數據執行保護功能的關閉運行,顯然會更影響服務器系統的運行安全性,為此我們可以按照如下步驟強制WindowsServer2008系統處于數據執行保護狀態中:
首先以超級管理員權限登錄進入WindowsServer2008系統,打開該系統桌面中的“開始”菜單,從中逐一點選“程序”、“附件”選項,再從下級菜單中執行“命令提示符”命令,打開服務器系統的MS-DOS工作窗口;
圖1打開數據保護
其次在該工作窗口的命令行提示符下,輸入字符串命令“bcdedit.exe/set{current}nxAlwaysOn”,單擊回車鍵后,系統屏幕上將會出現如圖1所示的結果信息,該結果意味著WindowsServer2008系統內置的數據執行保護功能已經被成功啟用了,日后服務器系統又會受到該功能的安全保護了。
2、僅讓管理員有權限上網訪問
由于WindowsServer2008服務器系統中保存有重要的數據信息,要是允許普通用戶在該系統中隨意上網訪問時,可能會引來網絡病毒攻擊等麻煩;而網絡管理員由于工作需要,必須要有權限在該系統中上網訪問。面對這樣的訪問請求,我們該如何實現呢?其實很簡單,我們只要按照如下步驟設置WindowsServer2008系統就可以了:
首先以普通用戶權限登錄進入WindowsServer2008系統,雙擊該系統桌面中的IE瀏覽器圖標,在其后出現的瀏覽器窗口中依次單擊“工具”/“Internet選項”,打開Internet選項設置對話框;
圖2IE代理服務器設置
其次單擊該設置對話框中的“連接”標簽,并在對應的標簽設置頁面中單擊“局域網設置”按鈕,打開如圖2所示的設置窗口,在該設置窗口中選中“為LAN使用代理服務器”選項,再在對應的文本框中隨意設置一個代理服務器的IP地址和端口號碼,最后單擊“確定”按鈕保存好上述設置操作;
注銷普通用戶登錄狀態,以系統管理員權限重新登錄進入WindowsServer2008系統,依次單擊該系統桌面中的“開始”/“運行”命令,在彈出的系統運行對話框中,執行字符串命令“gpedit.msc”,打開對應系統的組策略編輯窗口;
接著依次展開組策略編輯窗口左側顯示區域的“計算機配置”/“管理模板”/“Windows組件”/“InternetExplorer”/“Internet控制面版”分支選項,在對應“Internet控制面版”分支選項的右側顯示區域,用鼠標雙擊“禁用連接頁”選項,打開如圖3所示的選項設置窗口,選中其中的“已啟用”選項,再單擊“確定”按鈕,最后重新啟動一下WindowsServer2008系統。
圖3禁用連接頁
如此一來,日后普通用戶在WindowsServer2008系統上網訪問時,IE瀏覽器就會去尋找使用一個根本不存在的代理服務器,這樣的話他們自然是訪問不到任何內容的;而以系統管理員身份在WindowsServer2008系統中上網訪問時,IE瀏覽器不會使用代理服務器上網,而是直接下載顯示目標網站內容。
3、用防火墻抵御應用程序入侵
盡管WindowsServer2008系統安全性能已經被提升到一個很高的層次,不過該系統仍然存在安全漏洞,那是否意味著及時更新系統補丁程序,WindowsServer2008系統就會更加安全呢?其實更新漏洞補丁程序只是讓WindowsServer2008系統沒有安全漏洞,不過要是安裝在該系統中的應用程序存在漏洞時,那單純更新漏洞補丁程序是沒有多大作用的,因此我們要抵御應用程序漏洞攻擊,就必須利用服務器系統自帶的防火墻功能來禁止存在安全漏洞的應用程序連接網絡,下面是設置防火墻抵御應用程序入侵的具體操作步驟:
首先打開WindowsServer2008系統的“開始”菜單,從中逐一點選“設置”、“控制面板”命令,在其后出現的系統控制面板窗口中,雙擊Windows防火墻圖標,在其后窗口的左側顯示區域單擊“啟用或關閉Windows防火墻”選項,打開對應系統的防火墻基本配置界面;
圖4防火墻配置
其次單擊基本配置界面中的“例外”標簽,打開如圖4所示的標簽設置頁面,在該頁面的程序或端口列表中查找一下是否存在漏洞應用程序選項,如果發現目標漏洞應用程序已經處于選中狀態時,那就意味著服務器系統允許該漏洞程序訪問外部網絡,而那些沒有處于選中狀態的應用程序是沒有權限訪問外部網絡的;
要是存在漏洞的應用程序還沒有出現在WindowsServer2008系統防火墻的應用程序列表窗口中時,我們可以單擊這里的“添加程序”按鈕,將目標應用程序添加進來,之后通過選中或取消選中的方式就能讓防火墻控制應用程序與網絡進行連接了,一旦禁止了有漏洞的應用程序與網絡連接之后,那么任何網絡病毒或木馬都將無法利用目標應用程序的漏洞來攻擊服務器系統了。
4、謹防管理員帳號被非法竊取
不少網絡管理員為了圖省事,常常將系統管理員帳號的登錄模式設置成自動登錄,殊不知在自動登錄的過程中,一些支持仿真登錄功能的網絡病毒或木馬程序很容易偷竊系統管理員帳號,這樣一來WindowsServer2008系統的安全性就會受到威脅。為了禁止系統管理員帳號信息被網絡病毒或木馬程序非法竊取,我們可以按照如下步驟修改WindowsServer2008系統的帳號參數,強迫任何用戶都需要輸入密碼才能成功登錄服務器系統:
首先打開WindowsServer2008系統的“開始”菜單,從中逐一點選“程序”/“附件”/“命令提示符”選項,再用鼠標右鍵單擊“命令提示符”選項,從彈出的快捷菜單中執行“以管理員身份運行”命令,將系統狀態切換到MS-DOS命令行狀態;
圖5系統賬號設置
其次在MS-DOS窗口的命令行中輸入“controluserpasswords2”命令,單擊回車鍵后,進入WindowsServer2008系統的用戶帳號設置對話框,單擊其中的“高級”選項卡,打開如圖5所示的選項設置頁面,選中“要求用戶按Ctrl+Alt+Delete”選項,再單擊“確定”按鈕,那樣一來任何用戶日后登錄服務器系統時都需要強制輸入密碼了,在這種登錄過程中網絡病毒或木馬程序是無法竊取到系統管理員登錄帳號的。
5、監控共享文件夾被非法修改
在服務器系統中,常常有重要的數據內容需要設置成共享狀態,來讓局域網用戶可以通過網絡進行共享訪問;然而在共享訪問文件的過程中,有一些不自覺的用戶可能會擅自修改共享文件夾中的內容,導致服務器系統中的數據安全受到破壞。其實,在WindowsServer2008系統環境下,我們可以通過下面的設置,讓服務器系統能夠自動監控共享文件夾的非法修改操作,日后網絡管理員可以通過查看系統安全日志,就能知道共享文件夾是否已經被非法修改了,一旦發現有人修改過共享內容時,網絡管理員只要將共享文件夾還原成原始狀態,就能保證其中的數據安全了:
首先以特權身份進入WindowsServer2008系統,依次單擊該系統桌面中的“開始”/“運行”命令,在彈出的系統運行對話框中,輸入字符串命令“secpol.msc”,單擊“確定”按鈕,打開對應服務器系統的本地安全策略控制臺窗口;
其次在控制臺窗口的左側顯示區域依次展開“安全設置”/“本地策略”/“審核策略”分支選項,在對應“審核策略”分支選項的右側子窗格中,雙擊“審核對象訪問”選項,在其后出現的選項設置窗口中,選中“成功”或“失敗”選項,再單擊“確定”按鈕退出審核設置操作窗口;
下面打開系統資源管理器窗口,從中找到目標共享文件夾,并用鼠標右鍵單擊該文件夾,從彈出的右鍵菜單中執行“屬性”命令,打開目標共享文件夾的屬性設置界面,單擊其中的“安全”標簽,并在對應標簽頁面中單擊“高級”按鈕,再在高級設置窗口中單擊“審核”標簽,進入審核設置頁面;
圖6目錄權限設置
接著單擊“添加”按鈕,將“everyone”帳戶加入進來,然后將對應該帳號的審核項目設置成“創建文件/寫入數據”、“刪除”等(如圖6所示),再單擊“確定”按鈕,如此一來WindowsServer2008系統就能對目標共享文件夾的非法修改操作進行自動監控了。日后,網絡管理員可以直接通過事件查看器程序打開Windows日志,從中分析對應的事件記錄內容,就能判斷目標共享文件夾是否已經被人非法修改了。當然,需要提醒各位注意的是,WindowsServer2008系統中的目標共享文件夾必須處于NTFS格式的磁盤分區中,上述監控任務才能成功。
6、禁止安全訪問等級被降低
WindowsServer2008系統在默認狀態下會要求用戶以較高的安全等級上網沖浪,以防止一些網絡病毒或木馬通過網站頁面入侵服務器系統,可是在較高安全等級下,用戶往往很難順暢訪問到網頁內容,不得已他們常常會私自降低IE瀏覽器的安全訪問等級。為了保護服務器系統的安全,我們可以按照如下設置步驟來禁止上網用戶隨意降低安全訪問等級:
首先以特權身份進入WindowsServer2008系統,依次單擊該系統桌面中的“開始”/“運行”命令,在彈出的系統運行對話框中執行“gpedit.msc”命令,打開對應系統的組策略控制臺窗口;
其次在控制臺窗口的左側顯示區域逐級展開“用戶配置”、“管理模板”、“Windows組件”、“InternetExplorer”、“Internet控制面板”分支選項,在對應目標分支選項的右側子窗格中,我們會看到“禁用安全頁”組策略選項;
圖7隱藏“安全”選項卡
用鼠標雙擊該選項,打開如圖7所示的目標組策略屬性設置窗口,選中這里的“已啟用”選項,再單擊“確定”按鈕,那樣一來WindowsServer2008系統日后會將InternetExplorer選項設置窗口中的“安全”標簽頁面隱藏起來,此時任何用戶將無法進入該頁面修改安全訪問等級參數了,這樣的話本地服務器系統的安全訪問等級就不會被隨意降低了。
當然,在降低安全訪問等級的情況下,我們仍然還可以通過其他方法來保護服務器系統不受網絡病毒或木馬程序的襲擊。例如,我們只要禁止網頁中的內容自動下載運行,就能防止一些潛藏在網頁中的惡意控件來攻擊服務器系統了,在禁止InternetExplorer自動下載網頁內容時,我們可以先將鼠標定位于系統組策略編輯窗口的“計算機配置”分支選項上,再依次點選該分支下面的“管理模板”、“Windows組件”、“InternetExplorer”、“安全功能”、“限制ActiveX安裝”子項,在對應“限制ActiveX安裝”子項的右側顯示窗格中,雙擊“所有進程”選項,打開如圖8所示的屬性設置窗口,選中其中的“已啟用”選項,再單擊“確定”按鈕,那樣一來任何網頁中的惡意控件程序都無法破壞本地服務器系統的正常運行了。
圖8限制文件下載
同樣地,我們再將鼠標定位于“計算機配置”、“管理模板”、“Windows組件”、“InternetExplorer”、“安全功能”、“限制文件下載”子項上,并用鼠標雙擊該子項下面的“所有進程”選項,在其后彈出的設置窗口中也選中“已啟用”選項,最后單擊“確定”按鈕,那樣一來任何網絡病毒或木馬程序都不會自動下載保存到本地服務器系統中了,更不會在服務器系統中自動運行了。
總結:
Windowerver2008系統的安全性的維護我們還需要自己動手,來手工防范服務器系統的安全,提高安全防御水平。希望本文能夠對讀者有所幫助,更多有關Windowerver2008的知識還有待于讀者去探索和學習。
【編輯推薦】
