組策略的功能強(qiáng)大是每個(gè)系統(tǒng)管理員眾所周知的，下文就是介紹如何巧用組策略來(lái)確保我們的網(wǎng)絡(luò)安全。

“為了達(dá)到護(hù)駕”本地網(wǎng)絡(luò)安全的目的，不少網(wǎng)絡(luò)管理人員常常會(huì)“請(qǐng)”一些專業(yè)的網(wǎng)絡(luò)安全防范工具，來(lái)加強(qiáng)本地系統(tǒng)或網(wǎng)絡(luò)的安全防范能力。不過(guò)現(xiàn)在多數(shù)專業(yè)網(wǎng)絡(luò)安全防范工具都需要耗費(fèi)我們不少的銀子，況且它們的某些安全防范“本領(lǐng)”并不能讓我們感到十分滿意，在這種情形下，我們能否從自我出發(fā)，依靠自身的力量來(lái)全力保護(hù)本地網(wǎng)絡(luò)安全呢?事實(shí)上，我們只要“請(qǐng)出”組策略這一有效武器，就能高效“護(hù)駕”好本地網(wǎng)絡(luò)安全!

1、將防火墻鎖得更牢靠

我們知道，將防火墻程序啟用起來(lái)可以有效地保護(hù)本地系統(tǒng)以及網(wǎng)絡(luò)的安全，可是這么一來(lái)有許多應(yīng)用程序可能無(wú)法正常運(yùn)行，為此許多人常常擅自做主地將防火墻程序關(guān)閉掉，這么一來(lái)本地網(wǎng)絡(luò)或系統(tǒng)將會(huì)受到極大的安全威脅。那么有什么辦法能將啟用起來(lái)的防火墻程序鎖定起來(lái)，以防止普通用戶隨意篡改呢?其實(shí)，我們只要在Windows XP工作站中，通過(guò)修改系統(tǒng)的相關(guān)組策略，就能達(dá)到阻止他人隨意關(guān)閉防火墻程序，從而實(shí)現(xiàn)保護(hù)本地網(wǎng)絡(luò)或系統(tǒng)安全的目的了，下面就是該方法的具體操作步驟：

首先單擊Windows XP系統(tǒng)桌面中的“開(kāi)始”按鈕，從彈出的系統(tǒng)“開(kāi)始”菜單中執(zhí)行“運(yùn)行”命令，打開(kāi)本地系統(tǒng)的運(yùn)行對(duì)話框，在其中輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開(kāi)本地工作站的系統(tǒng)組策略編輯窗口;

其次在該組策略編輯窗口的左側(cè)列表區(qū)域，用鼠標(biāo)雙擊其中的“計(jì)算機(jī)配置”項(xiàng)目，在隨后展開(kāi)的組策略分支下面，依次選中“管理模板”、“網(wǎng)絡(luò)”、“網(wǎng)絡(luò)連接”選項(xiàng)，在“網(wǎng)絡(luò)連接”選項(xiàng)下面我們看到有“域配置文件”子項(xiàng)和“標(biāo)準(zhǔn)配置文件”子項(xiàng)，倘若本地工作站位于局域網(wǎng)某個(gè)域中的話，那我們可以選中“域配置文件”子項(xiàng)，在對(duì)應(yīng)該子項(xiàng)的右側(cè)列表區(qū)域中，用鼠標(biāo)雙擊“Windows防火墻：保護(hù)所有網(wǎng)絡(luò)連接”項(xiàng)目，打開(kāi)如圖1所示的組策略屬性設(shè)置窗口;選中該設(shè)置窗口的“已啟用”選項(xiàng)，并單擊“確定”按鈕，這么一來(lái)當(dāng)我們?nèi)蘸笤俅未蜷_(kāi)防火墻程序的屬性設(shè)置窗口時(shí)，我們會(huì)看到其中的“啟用”選項(xiàng)處于灰色調(diào)不可修改狀態(tài)，這也就意味著其他人無(wú)法隨意關(guān)閉防火墻程序了，那樣的話本地網(wǎng)絡(luò)的安全就得到了有效保證!

圖1

2、謹(jǐn)防小孩偷偷上網(wǎng)沖浪

在節(jié)假日期間，不少小孩常常趁大人不在家的時(shí)候偷偷上網(wǎng)沖浪，瀏覽一些可能給本地系統(tǒng)或網(wǎng)絡(luò)造成不安全的網(wǎng)站信息，于是有的大人在出門(mén)之前往往會(huì)將本地系統(tǒng)中的網(wǎng)絡(luò)連接刪除掉，以便讓小孩無(wú)法進(jìn)行正常的ADSL撥號(hào)上網(wǎng)連接;不過(guò)這種方法對(duì)那些熟悉網(wǎng)絡(luò)的小孩來(lái)說(shuō)用處并不明顯，因?yàn)檫@些小孩往往會(huì)自動(dòng)動(dòng)手重新創(chuàng)建新的網(wǎng)絡(luò)連接。事實(shí)上，我們完全可以通過(guò)修改系統(tǒng)組策略的方法，來(lái)阻止小孩在本地系統(tǒng)中隨意創(chuàng)建網(wǎng)絡(luò)連接，從而確保本地系統(tǒng)或網(wǎng)絡(luò)不受非法網(wǎng)站信息的攻擊，下面就是該方法的具體實(shí)現(xiàn)步驟：

首先單擊Windows XP系統(tǒng)桌面中的“開(kāi)始”按鈕，從彈出的系統(tǒng)“開(kāi)始”菜單中執(zhí)行“運(yùn)行”命令，打開(kāi)本地系統(tǒng)的運(yùn)行對(duì)話框，在其中輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開(kāi)本地工作站的系統(tǒng)組策略編輯窗口;

其次在該組策略編輯窗口的左側(cè)列表區(qū)域，用鼠標(biāo)雙擊其中的“用戶配置”項(xiàng)目，在隨后展開(kāi)的組策略分支下面，依次選中“管理模板”、“網(wǎng)絡(luò)”、“網(wǎng)絡(luò)連接”選項(xiàng)，在“網(wǎng)絡(luò)連接”選項(xiàng)對(duì)應(yīng)的右側(cè)列表區(qū)域中，用鼠標(biāo)雙擊“禁止訪問(wèn)‘新建連接向?qū)?rsquo;”項(xiàng)目，打開(kāi)如圖2所示的組策略屬性設(shè)置窗口;選中該設(shè)置窗口的“已啟用”選項(xiàng)，并單擊“確定”按鈕，如此一來(lái)當(dāng)小孩嘗試自己創(chuàng)建新的撥號(hào)網(wǎng)絡(luò)連接時(shí)，系統(tǒng)就會(huì)彈出無(wú)權(quán)創(chuàng)建網(wǎng)絡(luò)連接的提示，那樣的話小孩就不能隨意訪問(wèn)網(wǎng)站信息，本地的網(wǎng)絡(luò)或系統(tǒng)也就不容易受到非法網(wǎng)站信息的攻擊或破壞了。

圖2

3、拒絕共享資源對(duì)外開(kāi)放

局域網(wǎng)網(wǎng)絡(luò)中的每臺(tái)計(jì)算機(jī)使用的操作系統(tǒng)可能并不完全相同，有的使用的是Windows XP操作系統(tǒng)，有的使用的是Windows 2000系統(tǒng)或Windows 2003系統(tǒng)，甚至有的計(jì)算機(jī)還在一直使用Windows 98系統(tǒng)。在缺省狀態(tài)下，Windows 2000以上版本的計(jì)算機(jī)系統(tǒng)是拒絕Windows 98計(jì)算機(jī)系統(tǒng)通過(guò)來(lái)賓身份訪問(wèn)共享資源的，所以不少網(wǎng)絡(luò)管理人員為方便交換文件，往往會(huì)直接啟用本地的來(lái)賓帳號(hào)，允許任意一位用戶都能從Windows 98系統(tǒng)訪問(wèn)其他計(jì)算機(jī)中的共享資源。不過(guò)這么一來(lái)，其他計(jì)算機(jī)系統(tǒng)之間的共享資源也相互對(duì)外開(kāi)放了，很明顯這種開(kāi)放會(huì)給局域網(wǎng)共享資源的安全性帶來(lái)很大威脅;有鑒于此，我們應(yīng)該阻止任何人員隨意啟用來(lái)賓帳號(hào)，以確保本地共享資源不隨意對(duì)外開(kāi)放，下面就是禁止任何來(lái)賓隨意訪問(wèn)共享資源的具體操作步驟：

首先單擊系統(tǒng)桌面中的“開(kāi)始”按鈕，從彈出的系統(tǒng)“開(kāi)始”菜單中執(zhí)行“運(yùn)行”命令，打開(kāi)本地系統(tǒng)的運(yùn)行對(duì)話框，在其中輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開(kāi)本地工作站的系統(tǒng)組策略編輯窗口;

其次在該組策略編輯窗口的左側(cè)列表區(qū)域，用鼠標(biāo)雙擊其中的“計(jì)算機(jī)配置”項(xiàng)目，在隨后展開(kāi)的組策略分支下面，依次選中“Windows設(shè)置”、“安全設(shè)置”、“本地策略”、“用戶權(quán)限分配”選項(xiàng)，在“用戶權(quán)限分配”選項(xiàng)對(duì)應(yīng)的右側(cè)列表區(qū)域中，用鼠標(biāo)雙擊“拒絕從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī)”項(xiàng)目，打開(kāi)如圖3所示的組策略屬性設(shè)置窗口;

圖3

在該設(shè)置窗口中，認(rèn)真檢查一下Guest帳號(hào)是否存在，要是沒(méi)有找到該帳號(hào)的話，那么我們可以單擊其中的“添加用戶或組”按鈕，打開(kāi)“選擇用戶或組”對(duì)話框，然后將Guest帳號(hào)選中并添加進(jìn)來(lái)，再單擊“確定”按鈕，這么一來(lái)任何來(lái)賓用戶都不能隨意訪問(wèn)本地局域網(wǎng)網(wǎng)絡(luò)中的共享資源了。

4、阻止暴力破解共享密碼

Windows XP工作站系統(tǒng)在默認(rèn)狀態(tài)下，會(huì)允許每一位來(lái)訪用戶通過(guò)空用戶連接方式得到本地工作站中的所有共享資源列表和所有本地用戶帳號(hào)信息，系統(tǒng)開(kāi)放該功能的原意是為了方便局域網(wǎng)用戶相互之間傳輸、交流共享信息用的;但是我們?cè)诔浞窒硎茉撃J(rèn)開(kāi)放功能帶來(lái)便利的同時(shí)，不少惡意攻擊者也能“趁機(jī)”利用該功能來(lái)偷偷得到本地所有共享資源和用戶列表信息，一旦得到這些信息后他們就會(huì)通過(guò)暴力破解方法來(lái)獲取用戶核心密碼信息，從而可能給本地系統(tǒng)或網(wǎng)絡(luò)帶來(lái)極大的安全威脅。為了阻止惡意攻擊者暴力破解共享密碼信息，我們不妨通過(guò)下面的操作方法，來(lái)拒絕普通用戶通過(guò)匿名帳號(hào)對(duì)共享資源和用戶列表信息的隨意訪問(wèn)和存取：

首先單擊系統(tǒng)桌面中的“開(kāi)始”按鈕，從彈出的系統(tǒng)“開(kāi)始”菜單中執(zhí)行“運(yùn)行”命令，打開(kāi)本地系統(tǒng)的運(yùn)行對(duì)話框，在其中輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開(kāi)本地工作站的系統(tǒng)組策略編輯窗口;

其次在該組策略編輯窗口的左側(cè)列表區(qū)域，用鼠標(biāo)雙擊其中的“計(jì)算機(jī)配置”項(xiàng)目，在隨后展開(kāi)的組策略分支下面，依次選中“Windows設(shè)置”、“安全設(shè)置”、“本地策略”、“安全選項(xiàng)”項(xiàng)目，在“安全選項(xiàng)”項(xiàng)目對(duì)應(yīng)的右側(cè)列表區(qū)域中，用鼠標(biāo)雙擊“網(wǎng)絡(luò)訪問(wèn)：不允許SAM賬號(hào)和共享的匿名枚舉”項(xiàng)目，打開(kāi)如圖4所示的組策略屬性設(shè)置窗口;在該設(shè)置窗口中將“已啟用”選中，并單擊“確定”按鈕，如此一來(lái)本地工作站日后就會(huì)禁止每一位來(lái)訪用戶通過(guò)空用戶連接方式得到本地工作站中的所有共享資源列表和所有本地用戶帳號(hào)信息，從而確保了本地共享資源的訪問(wèn)密碼不被惡意攻擊者隨意竊取了。

圖4

#p#

5、禁止匿名用戶訪問(wèn)共享

在Windows XP工作站系統(tǒng)中，匿名用戶在缺省狀態(tài)下一般會(huì)擁有和“Everyone”帳號(hào)相同的訪問(wèn)權(quán)限，倘若網(wǎng)絡(luò)管理人員隨意給“Everyone”帳號(hào)分配比較高的共享資源訪問(wèn)權(quán)限時(shí)，那么這些匿名用戶隨之也會(huì)自動(dòng)獲得對(duì)應(yīng)的共享訪問(wèn)權(quán)限，很明顯這會(huì)給共享資源的安全帶來(lái)不小的威脅。為了保證共享資源不對(duì)匿名用戶開(kāi)放，我們必須通過(guò)下面的操作方法，來(lái)禁止匿名用戶訪問(wèn)本地網(wǎng)絡(luò)中的共享資源：

首先單擊系統(tǒng)桌面中的“開(kāi)始”按鈕，從彈出的系統(tǒng)“開(kāi)始”菜單中執(zhí)行“運(yùn)行”命令，打開(kāi)本地系統(tǒng)的運(yùn)行對(duì)話框，在其中輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開(kāi)本地工作站的系統(tǒng)組策略編輯窗口;

其次在該組策略編輯窗口的左側(cè)列表區(qū)域，用鼠標(biāo)雙擊其中的“計(jì)算機(jī)配置”項(xiàng)目，在隨后展開(kāi)的組策略分支下面，依次選中“Windows設(shè)置”、“安全設(shè)置”、“本地策略”、“安全選項(xiàng)”項(xiàng)目，在“安全選項(xiàng)”項(xiàng)目對(duì)應(yīng)的右側(cè)列表區(qū)域中，用鼠標(biāo)雙擊“網(wǎng)絡(luò)訪問(wèn)：讓每個(gè)人權(quán)限應(yīng)用于匿名用戶”項(xiàng)目，打開(kāi)如圖5所示的組策略屬性設(shè)置窗口;在該設(shè)置窗口中將“已禁用”選中，并單擊“確定”按鈕，如此一來(lái)匿名用戶就沒(méi)有足夠權(quán)利訪問(wèn)到本地局域網(wǎng)中的共享資源了。

圖5

6、斷開(kāi)所有遠(yuǎn)程網(wǎng)絡(luò)連接

不少網(wǎng)絡(luò)管理人員為了提高服務(wù)器的管理效率，常常會(huì)開(kāi)通服務(wù)器的遠(yuǎn)程訪問(wèn)連接功能，以便在局域網(wǎng)的任何工作站中都能通過(guò)該功能遠(yuǎn)程管理服務(wù)器。事實(shí)上，一旦在Windows服務(wù)器系統(tǒng)中開(kāi)通了遠(yuǎn)程訪問(wèn)連接功能，許多黑客或非法攻擊者也可能利用該功能對(duì)服務(wù)器進(jìn)行非法攻擊或破壞。所以，為了將服務(wù)器的安全隱患降低到最小限度，我們必須及時(shí)切斷所有遠(yuǎn)程訪問(wèn)連接，下面就是具體的實(shí)現(xiàn)步驟：

首先單擊系統(tǒng)桌面中的“開(kāi)始”按鈕，從彈出的系統(tǒng)“開(kāi)始”菜單中執(zhí)行“運(yùn)行”命令，打開(kāi)本地系統(tǒng)的運(yùn)行對(duì)話框，在其中輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開(kāi)本地工作站的系統(tǒng)組策略編輯窗口;

其次在該組策略編輯窗口的左側(cè)列表區(qū)域，用鼠標(biāo)雙擊其中的“用戶配置”項(xiàng)目，在隨后展開(kāi)的組策略分支下面，依次選中“管理模板”、“網(wǎng)絡(luò)”、“網(wǎng)絡(luò)連接”項(xiàng)目，在“網(wǎng)絡(luò)連接”項(xiàng)目對(duì)應(yīng)的右側(cè)列表區(qū)域中，用鼠標(biāo)雙擊“刪除所有用戶遠(yuǎn)程訪問(wèn)連接”項(xiàng)目，打開(kāi)如圖6所示的組策略屬性設(shè)置窗口;在該設(shè)置窗口中將“已啟用”選中，并單擊“確定”按鈕，如此一來(lái)服務(wù)器中所有已經(jīng)創(chuàng)建的遠(yuǎn)程訪問(wèn)連接都會(huì)被強(qiáng)行斷開(kāi)了，那么黑客或非法攻擊者也就無(wú)法對(duì)服務(wù)器進(jìn)行遠(yuǎn)程攻擊或破壞了。

圖6

7、指定安全上網(wǎng)區(qū)域

在多人共享一臺(tái)工作站上網(wǎng)的辦公環(huán)境中，我們?nèi)绻孪炔恢付ò踩暇W(wǎng)區(qū)域，本地工作站很容易遭受非法網(wǎng)站的安全攻擊，從而有可能給本地局域網(wǎng)帶來(lái)安全威脅。為此，我們最好在共用工作站系統(tǒng)中，通過(guò)設(shè)置系統(tǒng)組策略的方法指定好安全的上網(wǎng)區(qū)域，下面就是具體的設(shè)置操作步驟：

首先單擊系統(tǒng)桌面中的“開(kāi)始”按鈕，從彈出的系統(tǒng)“開(kāi)始”菜單中執(zhí)行“運(yùn)行”命令，打開(kāi)本地系統(tǒng)的運(yùn)行對(duì)話框，在其中輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開(kāi)本地工作站的系統(tǒng)組策略編輯窗口;

其次在該組策略編輯窗口的左側(cè)列表區(qū)域，用鼠標(biāo)雙擊其中的“用戶配置”項(xiàng)目，在隨后展開(kāi)的組策略分支下面，依次選中“Windows設(shè)置”、“Internet Explorer維護(hù)”、“安全”項(xiàng)目，在“安全”項(xiàng)目對(duì)應(yīng)的右側(cè)列表區(qū)域中，用鼠標(biāo)雙擊“安全區(qū)域和內(nèi)容分級(jí)”項(xiàng)目，打開(kāi)如圖7所示的組策略屬性設(shè)置窗口;在該設(shè)置窗口中的“安全區(qū)域和隱私”處，選中“導(dǎo)入當(dāng)前安全區(qū)域設(shè)置”，再單擊一下對(duì)應(yīng)選項(xiàng)旁邊的“修改設(shè)置”按鈕，來(lái)重新將我們自己認(rèn)為比較安全的上網(wǎng)區(qū)域指定好，最后單擊“確定”就能使設(shè)置生效了。

圖7

8、杜絕隨意篡改上網(wǎng)參數(shù)

在多人共享一臺(tái)工作站上網(wǎng)的辦公環(huán)境中，要是他人隨意篡改本地系統(tǒng)的上網(wǎng)參數(shù)時(shí)，那么其他人可能就面臨著無(wú)法上網(wǎng)的麻煩。為此，我們同樣可以修改與上網(wǎng)參數(shù)有關(guān)的組策略選項(xiàng)，杜絕他人隨意篡改上網(wǎng)參數(shù)，下面就是該方法的具體操作步驟：

首先單擊系統(tǒng)桌面中的“開(kāi)始”按鈕，從彈出的系統(tǒng)“開(kāi)始”菜單中執(zhí)行“運(yùn)行”命令，打開(kāi)本地系統(tǒng)的運(yùn)行對(duì)話框，在其中輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開(kāi)本地工作站的系統(tǒng)組策略編輯窗口;

其次在該組策略編輯窗口的左側(cè)列表區(qū)域，用鼠標(biāo)雙擊其中的“用戶配置”項(xiàng)目，在隨后展開(kāi)的組策略分支下面，依次選中“管理模板”、“網(wǎng)絡(luò)”、“網(wǎng)絡(luò)連接”項(xiàng)目，在“網(wǎng)絡(luò)連接”項(xiàng)目對(duì)應(yīng)的右側(cè)列表區(qū)域中，用鼠標(biāo)雙擊“禁用TCP/IP高級(jí)設(shè)置”項(xiàng)目，打開(kāi)如圖8所示的組策略屬性設(shè)置窗口;在該設(shè)置窗口中將“已啟用”項(xiàng)目選中，并單擊一下“確定”，這么一來(lái)其他人日后再次進(jìn)入到本地工作站的TCP/IP屬性設(shè)置窗口中時(shí)，他們就會(huì)看到“高級(jí)”功能已經(jīng)鎖定，那樣的話他們就無(wú)法隨意調(diào)整本地工作站的上網(wǎng)參數(shù)了。

圖8

巧用組策略來(lái)確保我們本地的網(wǎng)絡(luò)安全不失為一個(gè)有效又方便的方法，大家自己動(dòng)手操作一下吧。而更多有關(guān)組策略的知識(shí)有待于管理員去學(xué)習(xí)和鞏固。

【編輯推薦】

1. 組策略之軟件限制策略的設(shè)置
2. 利用組策略從三個(gè)方面為Win7瘦身
3. 如何在Vista中設(shè)置多個(gè)本地組策略對(duì)象？
4. 通過(guò)局域網(wǎng)來(lái)修改其他電腦的組策略的方法
5. 利用組策略鎖定Windows XP系統(tǒng)分區(qū)的方法