熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows系統管理 >> 正文

著眼組策略讓Windows2008按需運行

2013-11-11 21:37:30  來源: Windows系統管理 

  Windows Server 系統其實屬於一款服務器操作系統在默認狀態下該系統的諸多限制不利於我們工作使用為了能夠讓Windows Server 系統按需運行許多人往往會采用各種方法來對其進行合理優化設置筆者自然也不例外這不本文現在就以該系統自帶的組策略功能為例來通過合適設置其中的相關參數實現提升系統運行效率的目的

  自動記憶上次登錄系統的狀態

  Windows Server 系統可以自動記錄下我們每一次登錄服務器系統的狀態信息如此一來我們每次成功登錄進服務器系統後就可以對前後登錄服務器的狀態信息進行一下對比要是發現登錄狀態信息不一致時那就意味著可能有非法用戶曾經試圖登錄過本地服務器系統這也同時說明Windows Server 系統此時的工作狀態是不安全的當然Windows Server 系統在默認狀態下並不會自動記憶上次登錄系統的狀態我們可以按照如下設置操作來將該功能啟用起來

  首先以超級用戶權限登錄進入Windows Server 系統桌面依次單擊開始/運行命令在彈出的系統運行文本框中輸入字符串命令gpeditmsc單擊確定按鈕後打開對應服務器系統的組策略控制台窗口

  其次用鼠標展開該控制台窗口左側顯示區域中的計算機配置節點分支並從目標分支下面依次點選管理模板/Windows組件/登錄選項子項登錄選項子項下面找到在用戶登錄期間顯示有關以前登錄的信息目標組策略選項並用鼠標右鍵單擊該選項從其後出現的快捷菜單中單擊屬性命令打開在用戶登錄期間顯示有關以前登錄的信息組策略屬性設置窗口如圖所示

  

  

  圖 在用戶登錄期間顯示有關以前登錄的信息

  在目標組策略屬性設置窗口中檢查已啟用項目是否已經被選中要是發現它還沒有被選中時我們應該及時將它重新選中再單擊確定按鈕保存好上述設置操作如此一來Windows Server 系統日後就能自動記憶上次登錄系統的狀態信息了

  不讓他人非法訪問重要磁盤分區

  為了方便使用我們有時會在多個用戶共同使用同一台計算機的情況下保存一些屬於極度隱私級別的文件內容為了確保這些文件內容的安全性我們可以通過對Windows Server 系統的組策略參數進行合適設置以便禁止其他用戶非法訪問保存了重要文件內容的磁盤分區例如現在我們希望其他人不能隨意訪問Windows Server 系統下的目標磁盤分區D時就可以按照如下步驟來設置系統組策略參數

  首先按照前面的操作步驟打開系統的組策略控制台窗口將鼠標定位於該組策略控制台窗口左側顯示區域的本地計算機策略節點選項上並從目標節點選項下面依次展開用戶配置/管理模板/Windows組件/Windows資源管理器子項

  其次在Windows資源管理器子項下面找到目標組策略防止從我的電腦訪問驅動器並用鼠標右鍵單擊該組策略選項從其後出現的快捷菜單中執行屬性命令打開如圖所示的屬性設置窗口

  

  

  圖 防止從我的電腦訪問驅動器

  接著在該屬性設置窗口中檢查已啟用選項是否處於選中狀態要是發現它還沒有被選中時我們應該及時將已啟用選項重新選中這個時候在對應選項下面會自動彈出選擇驅動器下拉列表從中選擇我們需要保護的目標驅動器例如這裡我們可以選中目標磁盤分區D再單擊確定按鈕保存好上述設置操作這樣一來任何其他用戶都不能非法訪問重要的磁盤分區了要是我們想禁止用戶訪問所有驅動器時可以選中這裡的限制所有驅動器選項

  預防特權賬號名稱被意外竊取

  不少技術高明的黑客或惡意攻擊者往往會通過登錄Windows Server 系統的SID標識來偷偷竊取系統特權賬號的名稱信息之後再利用特權賬號名稱嘗試去非法破解登錄Windows Server 服務器系統的密碼最終得到Windows Server 系統的各種控制權限很顯然要是服務器系統的超級權限帳號名稱被意外竊取使用的話那麼Windows Server 系統的安全性可能就無法得到保證了為了有效確保Windows Server 系統的運行安全性我們可以嘗試進行如下設置操作預防非法用戶通過SID標識來得到對應系統登錄賬號的名稱信息

  首先以特權帳號登錄進入Windows Server 系統桌面打開開始菜單點選運行命令在彈出的系統運行文本框中輸入字符串命令gpeditmsc單擊確定按鈕進入本地服務器的組策略控制台窗口

  

  

  圖 標組策略屬性設置對話框

  其次在組策略控制台窗口左側顯示窗格選中計算機配置分支選項再從目標分支選項下面依次展開Windows設置/安全設置/本地策略/安全選項組策略子項找到目標組策略子項下面的網絡訪問允許匿名SID/名稱轉換選項並右擊該選項從彈出的右鍵菜單中執行屬性命令打開目標組策略屬性設置對話框(如圖所示)將該對話框中的已禁用選項選中再單擊確定按鈕保存好上述設置操作如此一來任何用戶都將無法通過SID標識來偷偷獲得Windows Server 服務器系統的登錄賬號名稱信息了那麼Windows Server 系統受到非法登錄的可能性也就大大減少了此時它的運行安全性自然也就能得到保證了

  謹防系統登錄密碼被惡意爆破

  當Windows Server 系統的登錄密碼不足夠健壯惡意攻擊者很容易通過不停嘗試登錄操作來出系統管理員登錄密碼很顯然這容易給服務器系統帶來比較大的安全威脅那我們該采取什麼措施來預防非法攻擊者爆破系統管理員的登錄密碼呢?

  事實上要預防這一情況的發生我們可以通過設置Windows Server 系統組策略的方法來對對應系統的帳戶策略進行鎖定就能完美解決這種問題了這個時候當某一惡意攻擊者嘗試登錄服務器系統輸入錯誤登錄密碼的次數超過規定阈值Windows Server 系統就能自動將該系統管理員登錄帳號鎖定起來同時在目標登錄帳戶鎖定期滿之前該登錄帳號將不能繼續使用除非超級管理員采用手動辦法解除帳號鎖定下面就是具體的設置辦法

  首先打開Windows Server 系統的運行對話框在其中執行符串命令Gpeditmsc進入對應系統的組策略控制台窗口在該窗口的左側顯示窗格中將鼠標定位於計算機設置節點選項上在目標節點選項下面依次展開Windows設置/安全設置/帳戶策略/帳戶鎖定策略組策略子項

  

  圖 帳戶鎖定阈值

  其次在帳戶鎖定策略組策略子項下面找到目標組策略選項帳戶鎖定阈值並用鼠標右鍵單擊該選項從彈出的快捷菜單中執行屬性命令打開目標組策略選項屬性設置窗口(如圖所示)在該設置窗口中我們可以按照需要設置觸發用戶帳戶被鎖定的登錄嘗試失敗的次數該參數數值可以被設置成之間的任意一個數字缺省狀態下該數字為表示服務器系統不會對登錄次數進行限制此時我們可以按照自己的安全要求進行個性化設置正常情況下我們可以將該數值設置成

  謹防U盤偷走本地系統重要文件

  U盤憑借攜帶方便的特性深受很多人的喜歡通過U盤從其他人的工作站中拷貝一些文件帶走是一件非常容易的事情這樣U盤對工作站中的重要文件內容就存在很大的威脅如何讓工作站只使用我們自己的U盤而不使用其他人的U盤呢?其實在Windows Server 系統中我們 根本就不用擔心這種情況我們可以對Windows Server 系統的組策略參數進行合適設置來謹防U盤偷走本地服務器系統中的重要文件內容通過合適設置我們既能阻止所有USB設備連接到本地系統中也能指定系統只使用自己的U盤設備下面就是具體的設置步驟

  首先將自己平時使用的U盤正確插入到Windows Server 系統中確保該系統能夠正常訪問U盤之後依次單擊開始/設置/控制面板命令在彈出的系統控制面板窗口中用鼠標雙擊其中的設備管理器圖標從其後出現的窗口中展開便攜設備此時我們就能從目標分支下面看見保存自己使用的U盤設備

  其次用鼠標右鍵單擊目標U盤設備從彈出的快捷菜單中執行屬性命令打開目標U盤設備的屬性設置對話框單擊其中的詳細信息選項卡然後在對應選項設置頁面中單擊屬性下拉列表中的硬件ID項目再將對應該項目下面的文本框中出現字符串內容記錄下來該內容就是我們自己使用的U盤硬件ID

  接著我們還要拷貝設備管理器窗口通用串行總線控制器分支下面USB大容量存儲設備的硬件ID進行這種操作時我們應該先打開設備管理器窗口從中依次點選通用串行總線控制器/USB大容量存儲設備分支選項再打開該選項的屬性設置窗口進入對應窗口的詳細信息選項設置頁面再從中拷貝出USB大容量存儲設備的硬件ID

  

  圖 禁止安裝未由其他策略設置描述的設備

  下面打開Windows Server 系統的運行對話框在其中輸入字符串命令Gpeditmsc單擊回車鍵後進入對應系統的組策略控制台窗口在該控制台窗口的左側顯示區域中將鼠標定位於其中的計算機配置分支選項在目標分支選項下面再依次展開管理模板/系統/設備安裝/設備安裝限制組策略子項設備安裝限制組策略子項的右側顯示區域用鼠標雙擊目標組策略禁止安裝未由其他策略設置描述的設備打開如圖所示的目標組策略屬性設置窗口

  在該屬性設置窗口中檢查已啟用選項是否處於選中狀態要是發現它還沒有被選中時我們應該及時將已啟用選項重新選中之後輸入前面記憶保存下面的U盤硬件ID再單擊確定按鈕完成設置操作如此一來Windows Server 系統日後就能只允許我們自己使用的U盤連接本地計算機了其他U盤將無法訪問Windows Server 系統

  拒絕應用程序漏洞攻擊系統

  不少朋友常常會簡單地認為只要及時在線更新Windows Server 服務器的系統補丁程序就能防止Internet網絡中的各種病毒或木馬程序非法攻擊服務器系統事實上單純更新Windows Server 服務器的系統補丁程序只能把系統自身的一些漏洞堵塞要是安裝在服務器系統中的某些應用程序存在明顯漏洞時那麼Internet網絡中各種病毒或木馬程序仍然可以利用漏洞應用程序來攻擊Windows Server 系統為了拒絕應用程序漏洞攻擊Windows Server 系統我們可以按照如下步驟設置系統組策略參數

  首先打開Windows Server 系統桌面中的開始菜單點選其中的運行命令在其後出現的系統運行文本框中輸入gpeditmsc字符串命令單擊回車鍵後進入對應服務器系統的組策略控制台窗口

  其次在組策略控制台窗口左側顯示區域選中計算機配置節點選項再從目標節點選項下面依次展開Windows設置/安全設置/高級安全Windows防火牆/高級安全Windows防火牆——本地組策略對象組策略子項同時用鼠標右鍵單擊目標組策略子項下面的入站規則選項再點選右鍵菜單的新規則命令進入新建入站規則向導窗口

  

  圖 向導窗口

  依照向導窗口的提示我們需要將規則類型調整為程序同時選中此程序路徑選項之後通過單擊浏覽按鈕打開文件選擇對話框從中將目標漏洞應用程序選中並添加進來當系統屏幕上彈出如圖所示的向導窗口時我們必須將阻止連接選項選中再為新建安全規則設置好合適的名稱最後單擊完成按鈕結束上述設置操作這麼一來Windows Server 服務器系統中的高級防火牆程序就能自動禁止那些漏洞應用程序連接外部網絡了那樣以來網絡病毒或木馬就無法通過應用程序的漏洞攻擊本地服務器系統了


From:http://tw.wingwit.com/Article/os/xtgl/201311/8837.html
  • 上一篇文章:

  • 下一篇文章:
  • Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.