為了保護(hù)工作站系統(tǒng)的安全，不少朋友往往會(huì)下意識(shí)地想到使用系統(tǒng)自帶的或第三方防火墻，來對(duì)系統(tǒng)進(jìn)行多方面的安全“護(hù)衛(wèi)”。可是在實(shí)際保護(hù)系統(tǒng)安全的過程中，我們有時(shí)會(huì)遇到系統(tǒng)防火墻因受到意外損壞而無法啟用的現(xiàn)象，這樣一來系統(tǒng)的安全就缺少了防火墻的“護(hù)衛(wèi)”，那么系統(tǒng)受到非法攻擊的可能性就會(huì)大大增加。事實(shí)上，在防火墻無法“護(hù)衛(wèi)”系統(tǒng)安全的情況下，我們完全可以變換思路，從系統(tǒng)組策略出發(fā)，來讓系統(tǒng)仍然享受防火墻級(jí)別的安全“護(hù)衛(wèi)”!

1、預(yù)防遠(yuǎn)程入侵連接

為了有效制止非法攻擊者通過網(wǎng)絡(luò)隨意攻擊或訪問本地工作站系統(tǒng)，第三方專業(yè)防火墻工具往往都會(huì)為我們提供關(guān)閉遠(yuǎn)程網(wǎng)絡(luò)連接的功能，通過該功能我們可以隨時(shí)阻止非法攻擊者的入侵連接，從而保護(hù)系統(tǒng)的安全。但即使沒有第三方專業(yè)防火墻的安全“護(hù)衛(wèi)”，我們只要按照如下操作步驟修改系統(tǒng)的組策略，仍然能夠讓系統(tǒng)享受到這種安全“護(hù)衛(wèi)”待遇：

首先依次單擊本地工作站系統(tǒng)桌面中的“開始”、“運(yùn)行”菜單命令，從彈出的系統(tǒng)運(yùn)行對(duì)話框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開本地系統(tǒng)的組策略編輯窗口;

其次在該編輯窗口的左側(cè)顯示區(qū)域中，用鼠標(biāo)逐一展開“本地計(jì)算機(jī)策略”、“用戶配置”、“管理模板”、“網(wǎng)絡(luò)”、“網(wǎng)絡(luò)連接”分支選項(xiàng)，在“網(wǎng)絡(luò)連接”分支選項(xiàng)所在的右側(cè)顯示區(qū)域中，找到“刪除所有用戶遠(yuǎn)程訪問連接”項(xiàng)目，并用鼠標(biāo)雙擊該項(xiàng)目，打開如圖1所示的組策略屬性設(shè)置對(duì)話框;

接著檢查該對(duì)話框中的“已啟用”選項(xiàng)是否處于選中狀態(tài)，要是發(fā)現(xiàn)該選項(xiàng)還沒有被啟用的話，那我們必須重新將它選中，最后單擊“確定”按鈕，如此一來本地工作站系統(tǒng)日后就能享受到防火墻級(jí)別的關(guān)閉遠(yuǎn)程連接功能了。以后，非法攻擊者企圖通過遠(yuǎn)程連接方式來入侵本地工作站系統(tǒng)時(shí)，關(guān)閉遠(yuǎn)程連接功能就會(huì)強(qiáng)行斷開非法攻擊者創(chuàng)建的連接，那樣的話工作站系統(tǒng)就更為安全了。#p#

2、為資源訪問設(shè)立關(guān)卡

在局域網(wǎng)工作環(huán)境中，對(duì)共享文件進(jìn)行訪問是常有的事情，為了限制任何用戶隨意訪問共享文件，系統(tǒng)自帶的防火墻或第三方專業(yè)防火墻都為共享資源的訪問設(shè)立了關(guān)卡，禁止任何來賓用戶直接訪問共享內(nèi)容，必須憑訪問帳號(hào)才能進(jìn)行共享訪問。要實(shí)現(xiàn)這種防火墻級(jí)別的安全“護(hù)衛(wèi)”目的，我們只要按照如下步驟修改工作站的組策略就可以了：

首先依次單擊本地工作站系統(tǒng)桌面中的“開始”、“運(yùn)行”菜單命令，從彈出的系統(tǒng)運(yùn)行對(duì)話框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開本地系統(tǒng)的組策略編輯窗口;

其次將鼠標(biāo)定位于編輯窗口左側(cè)的“計(jì)算機(jī)配置”分支上，再用鼠標(biāo)依次選中該分支下面的“Windows設(shè)置”、“安全設(shè)置”、“本地策略”、“用戶權(quán)利指派”項(xiàng)目，在對(duì)應(yīng)“用戶權(quán)利指派”項(xiàng)目的右側(cè)顯示區(qū)域中，雙擊“拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”策略，打開如圖2所示的組策略屬性設(shè)置對(duì)話框;

檢查來賓用戶“Guest”帳號(hào)是否出現(xiàn)在了該對(duì)話框的列表中，倘若沒有看到該帳號(hào)的話，我們必須單擊其中的“添加用戶或組”按鈕，來將“Guest”帳號(hào)加入到該對(duì)話框中，最后單擊“確定”按鈕退出設(shè)置對(duì)話框，這樣一來以后任何一位來賓用戶就無法直接訪問到本地工作站中的共享資源了，只有擁有訪問帳號(hào)的用戶才能看到共享內(nèi)容。#p#

3、預(yù)防暴力破解密碼

安裝了Windows XP系統(tǒng)的工作站在缺省狀態(tài)下，允許每一位用戶通過空用戶連接方式來獲取本地系統(tǒng)中的各類帳號(hào)信息和資源列表信息，這個(gè)功能本意是為方便管理員管理系統(tǒng)資源用的，而非法攻擊者常常通過該功能來破壞系統(tǒng)安全，他們通過一些專業(yè)的黑客軟件來暴力破解用戶的密碼信息，從而可能會(huì)給本地工作站或整個(gè)網(wǎng)絡(luò)帶來非常大的安全隱患。有鑒于此，許多專業(yè)的防火墻一般都為我們提供了預(yù)防暴力破解共享訪問密碼的功能，事實(shí)上簡(jiǎn)單地對(duì)系統(tǒng)組策略進(jìn)行編輯，也能達(dá)到預(yù)防暴力破解密碼的目的，下面就是修改組策略的具體步驟：

首先依次單擊本地工作站系統(tǒng)桌面中的“開始”、“運(yùn)行”菜單命令，從彈出的系統(tǒng)運(yùn)行對(duì)話框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開本地系統(tǒng)的組策略編輯窗口;

其次在該編輯窗口的左側(cè)顯示區(qū)域，用鼠標(biāo)依次選中“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows設(shè)置”、“安全設(shè)置”、“本地策略”、“安全選項(xiàng)”項(xiàng)目，在“安全選項(xiàng)”項(xiàng)目所對(duì)應(yīng)的右側(cè)列表區(qū)域中，找到“網(wǎng)絡(luò)訪問：不允許SAM帳號(hào)和共享的匿名枚舉”選項(xiàng)，并用鼠標(biāo)雙擊該選項(xiàng)，打開如圖3所示的組策略屬性設(shè)置對(duì)話框;

下面檢查一下該對(duì)話框中的“已啟用”選項(xiàng)是否處于選中狀態(tài)，要是發(fā)現(xiàn)該選項(xiàng)還沒有被啟用的話，那我們必須重新將它選中，最后單擊“確定”按鈕，如此一來本地工作站中的共享資源訪問密碼就不大容易被暴力破解了。#p#

4、限制運(yùn)行特定程序

無論是系統(tǒng)自帶的防火墻還是第三方防火墻都具有限制運(yùn)行特定應(yīng)用程序的功能，該功能能夠有效地限制外人在自己的工作站中隨意運(yùn)行應(yīng)用程序，比方說當(dāng)我們不希望他人在自己的工作站中運(yùn)行FlashGet程序，來隨意從網(wǎng)上下載內(nèi)容時(shí)，我們就可以按照下面的操作來實(shí)現(xiàn)防火墻所具有的限制運(yùn)行特定程序的安全“護(hù)衛(wèi)”目的：

首先依次單擊本地工作站系統(tǒng)桌面中的“開始”、“運(yùn)行”菜單命令，從彈出的系統(tǒng)運(yùn)行對(duì)話框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開本地系統(tǒng)的組策略編輯窗口;

其次將鼠標(biāo)定位于編輯窗口左側(cè)的“計(jì)算機(jī)配置”分支上，再用鼠標(biāo)依次選中該分支下面的“Windows設(shè)置”、“安全設(shè)置”、“軟件限制策略”、“其他規(guī)則”項(xiàng)目，在“其他規(guī)則”項(xiàng)目所對(duì)應(yīng)的右側(cè)顯示區(qū)域中，用鼠標(biāo)右鍵單擊空白區(qū)域處，從彈出的快捷菜單中單擊“新路徑規(guī)則”命令，打開如圖4所示的設(shè)置對(duì)話框;

下面，在該對(duì)話框的“路徑”文本框中輸入FlashGet程序的具體路徑，或者直接單擊“瀏覽”按鈕，進(jìn)入到FlashGet程序所在的文件夾，從中選擇FlashGet.exe文件;之后單擊“安全級(jí)別”處的下拉按鈕，從彈出的下拉列表中選擇“不允許的”選項(xiàng)，最后單擊“確定”按鈕，這樣一來本地工作站就不允許用戶隨意使用FlashGet程序來下載內(nèi)容了。#p#

5、提高內(nèi)置防火墻安全性能

Windows系統(tǒng)自帶的防火墻在默認(rèn)狀態(tài)下，與一些專業(yè)的第三方防火墻在安全性能方面還是有不小的差距;不過，我們只要對(duì)系統(tǒng)的組策略進(jìn)行有針對(duì)性地修改，就能有效提高系統(tǒng)內(nèi)置防火墻的安全性能：

首先依次單擊本地工作站系統(tǒng)桌面中的“開始”、“運(yùn)行”菜單命令，從彈出的系統(tǒng)運(yùn)行對(duì)話框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開本地系統(tǒng)的組策略編輯窗口;

其次將鼠標(biāo)定位于編輯窗口左側(cè)的“計(jì)算機(jī)配置”分支上，再用鼠標(biāo)依次選中該分支下面的“管理模板”、“網(wǎng)絡(luò)”、“網(wǎng)絡(luò)連接”、“Windows防火墻”、“標(biāo)準(zhǔn)配置文件”選項(xiàng)，在對(duì)應(yīng)“標(biāo)準(zhǔn)配置文件”選項(xiàng)的右側(cè)顯示區(qū)域中雙擊“Windows防火墻：保護(hù)所有網(wǎng)絡(luò)連接”項(xiàng)目，打開如圖5所示的組策略屬性設(shè)置對(duì)話框;

下面檢查一下該對(duì)話框中的“已啟用”選項(xiàng)是否處于選中狀態(tài)，要是發(fā)現(xiàn)該選項(xiàng)還沒有被啟用的話，那我們必須重新將它選中，最后單擊“確定”按鈕，這樣的話我們就能防止他人隨意關(guān)閉本地防火墻，從而給工作站系統(tǒng)帶來安全威脅了。

此外，我們還可以將“Windows防火墻：允許UPnP框架例外”功能啟用起來，將“Windows防火墻：允許文件和打印機(jī)共享例外”功能啟用起來，這些功能都能充分發(fā)揮防火墻的安全“護(hù)衛(wèi)”作用。

【編輯推薦】

1. 網(wǎng)絡(luò)管理向系統(tǒng)組策略要安全
2. 用組策略加固網(wǎng)絡(luò)