組策略對于windows系統(tǒng)的網(wǎng)絡(luò)安全性起著至關(guān)重要的作用，下文是介紹windows 2008系統(tǒng)中組策略在其安全性上如何起作用的。

盡管Windows Server 2008系統(tǒng)的安全性能已經(jīng)大幅提升了，不過這并不意味著該系統(tǒng)已經(jīng)安全無憂了，因?yàn)楹芏鄷r(shí)候系統(tǒng)的一些安全參數(shù)會(huì)被偷偷修改，從而可能給系統(tǒng)造成一些安全威脅，那有什么辦法讓我們能夠防患于未然，在系統(tǒng)安全參數(shù)被修改之前就能將它禁止呢？其實(shí)巧妙設(shè)置系統(tǒng)組策略參數(shù)，就可以讓W(xué)indows Server 2008系統(tǒng)更加安全了。

嚴(yán)禁惡意程序不請自來

我們在使用Windows Server 2008系統(tǒng)自帶的IE瀏覽器上網(wǎng)訪問網(wǎng)頁內(nèi)容時(shí)，時(shí)常會(huì)碰到一些惡意的控件程序，這些惡意控件程序往往不經(jīng)過我們的允許，就自動(dòng)下載保存到本地系統(tǒng)硬盤中，這樣不但會(huì)消耗寶貴的磁盤空間資源，而且還可能會(huì)給Windows Server 2008系統(tǒng)帶來安全麻煩；為了讓自己的Windows Server 2008系統(tǒng)更加安全，我們可以安裝使用一些專業(yè)工具來拒絕惡意程序不請自來，可是這樣不但操作很繁瑣而且也不利于提高操作效率。事實(shí)上，Windows Server 2008系統(tǒng)在組策略中已經(jīng)添加了這種安全問題的控制選項(xiàng)，我們只要對相應(yīng)的控制選項(xiàng)進(jìn)行一下合適設(shè)置就可以了，下面就是具體的控制步驟：

首先在Windows Server 2008系統(tǒng)桌面中打開“開始”菜單，點(diǎn)選其中的“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行文本框中，輸入“gpedit.msc”字符串命令，單擊“確定”按鈕，打開對應(yīng)系統(tǒng)的組策略編輯窗口；

其次在該組策略編輯窗口的左側(cè)顯示區(qū)域中將鼠標(biāo)定位于“計(jì)算機(jī)配置”分支，并從該分支下面逐一展開“管理模板”/“Windows組件”/“限制文件下載”/“安全功能”/“限制文件下載”子項(xiàng)；

圖1

下面在“限制文件下載”子項(xiàng)的右側(cè)顯示列表中，雙擊“Internet Explorer進(jìn)程”組策略選項(xiàng)，打開目標(biāo)組策略選項(xiàng)的屬性設(shè)置對話框，單擊其中的“設(shè)置”標(biāo)簽，進(jìn)入如圖1所示的標(biāo)簽設(shè)置頁面；在這里，我們發(fā)現(xiàn)默認(rèn)狀態(tài)下Windows Server 2008系統(tǒng)對文件下載操作是沒有任何限制的，此時(shí)我們應(yīng)該選中“已啟用”選項(xiàng)，來嚴(yán)禁惡意程序不請自來。當(dāng)然，有的惡意程序會(huì)自動(dòng)通過FlashGet、迅雷工具等來完成下載任務(wù)，為了謹(jǐn)防這些程序自動(dòng)執(zhí)行下載任務(wù)，我們還可以打開“所有進(jìn)程”選項(xiàng)的屬性設(shè)置窗口，選中對應(yīng)窗口中的“已啟用”選項(xiàng)，來禁止惡意程序無法通過任何進(jìn)程完成下載任務(wù)。

拒絕調(diào)用任務(wù)管理器

在Windows Server 2008系統(tǒng)環(huán)境下，同時(shí)按下鍵盤中的Ctrl+Alt+Del組合鍵時(shí)，我們可以調(diào)用系統(tǒng)任務(wù)管理器，可以更改Windows系統(tǒng)登錄密碼，可以直接關(guān)閉、注銷計(jì)算機(jī)等，特別是在調(diào)用系統(tǒng)任務(wù)管理器后，用戶還能對Windows Server 2008系統(tǒng)中的一些重要進(jìn)程進(jìn)行控制。為了防止非法用戶隨意控制服務(wù)器系統(tǒng)中的一些重要進(jìn)程，我們可以利用Windows Server 2008系統(tǒng)內(nèi)置的組策略來拒絕普通用戶隨意調(diào)用任務(wù)管理器，下面就是具體的設(shè)置步驟：

首先打開Windows Server 2008系統(tǒng)桌面中的“開始”菜單，點(diǎn)選其中的“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行文本框中，輸入“gpedit.msc”字符串命令，單擊“確定”按鈕，打開對應(yīng)系統(tǒng)的組策略編輯窗口；

其次將鼠標(biāo)定位于組策略編輯窗口左側(cè)顯示區(qū)域中的“用戶設(shè)置”分支上，并依次展開“管理模板”/“系統(tǒng)”/“Ctrl+Alt+Del”組策略子項(xiàng)，在對應(yīng)“Ctrl+Alt+Del”組策略子項(xiàng)的右側(cè)顯示區(qū)域中，我們會(huì)看到刪除注銷、刪除更改密碼、刪除鎖定計(jì)算機(jī)、刪除任務(wù)管理器等多個(gè)策略；

圖2

用鼠標(biāo)雙擊其中的刪除任務(wù)管理器選項(xiàng)，打開目標(biāo)組策略選項(xiàng)的屬性設(shè)置對話框，單擊其中的“設(shè)置”標(biāo)簽，進(jìn)入如圖2所示的標(biāo)簽設(shè)置頁面；在這里，我們發(fā)現(xiàn)默認(rèn)狀態(tài)下Windows Server 2008系統(tǒng)是允許用戶調(diào)用任務(wù)管理器窗口的，此時(shí)我們應(yīng)該選中“已啟用”選項(xiàng)，來禁止調(diào)用系統(tǒng)任務(wù)管理器窗口。同樣地，我們可以打開其他策略的選項(xiàng)設(shè)置窗口，選中“已啟用”選項(xiàng)，來禁止執(zhí)行注銷、更改密碼、鎖定計(jì)算機(jī)等操作。

 禁止降低IE安全等級

Windows Server 2008系統(tǒng)在默認(rèn)狀態(tài)下常常會(huì)將IE瀏覽器的安全等級設(shè)置得比較高，這樣可以防止一些惡意網(wǎng)頁腳本代碼或ActiveX控件程序偷偷在服務(wù)器系統(tǒng)中運(yùn)行，從而避免給系統(tǒng)帶來一些安全威脅?？墒?，在實(shí)際上網(wǎng)瀏覽的過程中，不少用戶有時(shí)隨意降低IE安全等級，以便尋求瀏覽便利性，這么一來Windows Server 2008系統(tǒng)的安全性就會(huì)受到嚴(yán)重威脅；為此，我們可以按照如下步驟來禁止普通用戶隨意降低IE瀏覽安全等級：

首先按照前面的操作步驟，打開Windows Server 2008系統(tǒng)組策略編輯窗口，在該編輯窗口左側(cè)顯示區(qū)域的“本地計(jì)算機(jī)策略”中用鼠標(biāo)逐一展開“用戶配置”/“管理模板”/“Windows組件”/“Internet Explorer”/“Internet Explorer控制面板”子項(xiàng)；

圖3

其次在“Internet Explorer控制面板”子項(xiàng)的右側(cè)顯示區(qū)域中，雙擊“禁用安全頁”選項(xiàng)，打開如圖3所示的選項(xiàng)設(shè)置窗口，選中其中的“已啟用”選項(xiàng)，再單擊“確定”按鈕，那樣一來普通用戶日后打開Internet選項(xiàng)設(shè)置對話框后，將無法進(jìn)入到其中的安全設(shè)置頁面，這樣的話IE安全訪問等級也就不會(huì)被隨意降低了。

#p#

監(jiān)控系統(tǒng)登錄狀態(tài)

Windows Server 2008系統(tǒng)可以使用審核功能來自動(dòng)監(jiān)視跟蹤系統(tǒng)登錄狀態(tài)，一旦有非法用戶偷偷登錄服務(wù)器時(shí)，我們就能從系統(tǒng)的日志記錄中找到蛛絲馬跡，并能及時(shí)采取措施預(yù)防非法用戶再次偷偷登錄服務(wù)器。要想自動(dòng)監(jiān)控服務(wù)器系統(tǒng)登錄狀態(tài)，我們可以按照如下步驟來設(shè)置Windows Server 2008系統(tǒng)的組策略參數(shù)，以便讓服務(wù)器自動(dòng)對系統(tǒng)登錄事件進(jìn)行審核：

首先打開Windows Server 2008系統(tǒng)組策略編輯窗口，依次展開左側(cè)顯示區(qū)域中的“計(jì)算機(jī)配置”/“Windows設(shè)置”/“安全設(shè)置”/“本地策略”分支選項(xiàng)，然后選中該分支選項(xiàng)下面的“審核策略”子項(xiàng)；

圖4

其次在對應(yīng)“審核策略”子項(xiàng)的右側(cè)顯示區(qū)域中，找到“審核登錄事件”選項(xiàng)，并用鼠標(biāo)雙擊該選項(xiàng)，打開如圖4所示的選項(xiàng)設(shè)置對話框，選中其中的“成功”和“失敗”復(fù)選項(xiàng)，最后單擊“確定”按鈕，如此一來任何用戶無論是成功登錄進(jìn)服務(wù)器系統(tǒng)，還是沒有成功登錄進(jìn)服務(wù)器系統(tǒng)，Windows Server 2008系統(tǒng)的日志功能都會(huì)自動(dòng)將登錄服務(wù)器系統(tǒng)的狀態(tài)記錄保存下來。

要想查看之前的系統(tǒng)登錄狀態(tài)時(shí)，我們可以依次單擊Windows Server 2008系統(tǒng)桌面中的“開始”/“設(shè)置”/“控制面板”命令，在彈出的系統(tǒng)控制面板窗口中雙擊“管理工具”圖標(biāo)，之后雙擊事件查看器圖標(biāo)，打開對應(yīng)系統(tǒng)的事件查看器控制臺(tái)窗口，在該窗口的左側(cè)顯示區(qū)域依次展開“Windows日志”/“系統(tǒng)”分支選項(xiàng)，在對應(yīng)“系統(tǒng)”分支選項(xiàng)的中間顯示區(qū)域，我們就能查看到具體的系統(tǒng)登錄狀態(tài)事件了。

禁止查看重要數(shù)據(jù)分區(qū)

Windows Server 2008服務(wù)器系統(tǒng)中的某個(gè)分區(qū)中可能保存了一些重要數(shù)據(jù)信息，這些多半是不希望讓其他用戶知道的。其實(shí)，我們根本不需要尋求專業(yè)工具來保護(hù)重要數(shù)據(jù)分區(qū)，只要巧妙地利用Windows Server 2008系統(tǒng)的組策略功能，就能很好地保護(hù)重要數(shù)據(jù)分區(qū)不被他人隨意訪問；例如，要保護(hù)D盤分區(qū)中的數(shù)據(jù)內(nèi)容不被他人訪問時(shí)，我們可以按照如下步驟來設(shè)置系統(tǒng)組策略參數(shù)：

首先在Windows Server 2008系統(tǒng)運(yùn)行對話框中執(zhí)行“Gpedit.msc”命令，進(jìn)入服務(wù)器系統(tǒng)的組策略編輯窗口，依次展開該組策略編輯窗口左側(cè)顯示區(qū)域中的“本地計(jì)算機(jī)策略”/“用戶配置”/“管理模板”/“Windows組件”/“Windows資源管理器”組策略選項(xiàng)；

圖5

其次在對應(yīng)“Windows資源管理器”組策略選項(xiàng)的右側(cè)顯示區(qū)域中，用鼠標(biāo)雙擊“防止從‘我的電腦’訪問驅(qū)動(dòng)器”選項(xiàng)，在其后彈出的目標(biāo)組策略屬性設(shè)置窗口中，我們會(huì)看到“未配置”、“已啟用”、“已禁用”這幾個(gè)選項(xiàng)；檢查其中的“已啟用”選項(xiàng)是否已經(jīng)處于選中狀態(tài)，要是發(fā)現(xiàn)該選項(xiàng)還沒有被選中時(shí)，我們應(yīng)該及時(shí)將它重新選中；之后，從驅(qū)動(dòng)器下拉列表中選中驅(qū)動(dòng)器D(如圖5所示)，再單擊“確定”按鈕就可以了。要是我們想將所有的驅(qū)動(dòng)器都關(guān)閉時(shí)，可以從驅(qū)動(dòng)器下拉列表中選中“限制所有驅(qū)動(dòng)器”選項(xiàng)。

 禁止暴力破解登錄密碼

Windows Server 2008服務(wù)器系統(tǒng)的登錄密碼要是設(shè)置得不夠強(qiáng)壯時(shí)，非法攻擊者很容易通過暴力破解的方法猜出來。為了防止這種情況的發(fā)生，我們可以在Windows Server 2008系統(tǒng)的組策略編輯窗口中啟用帳戶鎖定策略，來禁止暴力破解登錄密碼，這樣一來，當(dāng)非法攻擊者嘗試登錄服務(wù)器系統(tǒng)，輸入錯(cuò)誤系統(tǒng)登錄密碼的次數(shù)達(dá)到指定數(shù)值時(shí)，對應(yīng)系統(tǒng)登錄帳號就會(huì)被自動(dòng)鎖定，下面就是具體的設(shè)置步驟：

首先打開Windows Server 2008系統(tǒng)桌面中的“開始”菜單，點(diǎn)選其中的“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行文本框中，輸入“gpedit.msc”字符串命令，單擊“確定”按鈕，打開對應(yīng)系統(tǒng)的組策略編輯窗口；

圖6

接著依次展開該組策略編輯窗口左側(cè)顯示區(qū)域中的“本地計(jì)算機(jī)策略”/“計(jì)算機(jī)設(shè)置”/“Windows設(shè)置”/“安全設(shè)置”/“帳戶策略”/“帳戶鎖定策略”選項(xiàng)，在對應(yīng)“帳戶鎖定策略”選項(xiàng)的右側(cè)顯示區(qū)域中，找到“帳戶鎖定閾值”選項(xiàng)，并用鼠標(biāo)右鍵單擊該選項(xiàng)，從彈出的快捷菜單中執(zhí)行“屬性”命令，打開目標(biāo)組策略選項(xiàng)設(shè)置對話框，在這里我們可以將登錄服務(wù)器系統(tǒng)失敗的次數(shù)設(shè)置為“3”次(如圖6所示)，而缺省的“0”次表示不限制登錄次數(shù)。經(jīng)過上述設(shè)置，非法用戶一旦猜錯(cuò)密碼3次，那么對應(yīng)的系統(tǒng)登錄帳號將會(huì)被自動(dòng)鎖定。

Windows2008安全有系統(tǒng)組策略保證，幫我們省卻很多不必要的麻煩。更多有關(guān)組策略的知識(shí)還有待于讀者去學(xué)習(xí)和掌握。

【編輯推薦】

1. 巧用Windows7的組策略
2. 如何用組策略進(jìn)行軟件部署？
3. windows vista組策略中探索的新事物
4. Windows Vista組策略中新事物的探索
5. 巧用組策略輕松將常用軟件安裝到IE上