細(xì)說Win2008強(qiáng)大的安全技巧

　　Windows Server2008推出已有很多的年頭了，與其他傳統(tǒng)的系統(tǒng)相比較，Windows Server2008在防護(hù)的安全措施上的確更加的強(qiáng)大，在安全性和穩(wěn)定性上都深受用戶的喜愛。所以，我們只需要在平時善于利用此系統(tǒng)的安全功能，便能很好地實(shí)現(xiàn)安全保護(hù)目標(biāo)，現(xiàn)在我們便一起來細(xì)說下Windows Server2008那強(qiáng)大的安全防護(hù)功能吧。

　　1、限制使用迅雷進(jìn)行惡意下載

　　在多人共同使用相同的一臺計(jì)算機(jī)進(jìn)行工作時，肯定不希望普通用戶隨意使用迅雷工具進(jìn)行惡意下載，這樣不但容易浪費(fèi)本地系統(tǒng)的磁盤空間資源，而且也會大大消耗本地系統(tǒng)的上網(wǎng)帶寬資源。而在Windows Server 2008系統(tǒng)環(huán)境下，限制普通用戶隨意使用迅雷工具進(jìn)行惡意下載的方法有很多，例如可以利用Windows Server 2008系統(tǒng)新增加的高級安全防火墻功能，或者通過限制下載端口等方法來實(shí)現(xiàn)上述控制目的，其實(shí)除了這些方法外，我們還可以巧妙地利用該系統(tǒng)的軟件限制策略來達(dá)到這一目的，下面就是該方法的具體實(shí)現(xiàn)步驟：

　　首先以系統(tǒng)管理員權(quán)限登錄進(jìn)入Windows Server 2008系統(tǒng)，打開該系統(tǒng)的“開始”菜單，從中點(diǎn)選“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行文本框中，輸入“gpedit.msc”字符串命令，進(jìn)入對應(yīng)系統(tǒng)的組策略控制臺窗口;

　　其次在該控制臺窗口的左側(cè)位置處，依次選中“計(jì)算機(jī)配置”/“Windows設(shè)置”/“安全設(shè)置”/“軟件限制策略”選項(xiàng)，同時用鼠標(biāo)右鍵單擊該選項(xiàng)，并執(zhí)行快捷菜單中的“創(chuàng)建軟件限制策略”命令;

　　接著在對應(yīng)“軟件限制策略”選項(xiàng)的右側(cè)顯示區(qū)域，用鼠標(biāo)雙擊“強(qiáng)制”組策略項(xiàng)目，打開設(shè)置對話框，選中其中的“除本地管理員以外的所有用戶”選項(xiàng)，其余參數(shù)都保持默認(rèn)設(shè)置，再單擊“確定”按鈕結(jié)束上述設(shè)置操作;

　　下面選中“軟件限制策略”節(jié)點(diǎn)下面的“其他規(guī)則”選項(xiàng)，再用鼠標(biāo)右鍵單擊該組策略選項(xiàng)，從彈出的快捷菜單中點(diǎn)選“新建路徑規(guī)則”命令，在其后出現(xiàn)的設(shè)置對話框中，單擊“瀏覽”按鈕選中迅雷下載程序，同時將對應(yīng)該應(yīng)用程序的“安全級別”參數(shù)設(shè)置為“不允許”，最后單擊“確定”按鈕執(zhí)行參數(shù)設(shè)置保存操作;

　　重新啟動一下Windows Server 2008系統(tǒng)，當(dāng)用戶以普通權(quán)限賬號登錄進(jìn)入該系統(tǒng)后，普通用戶就不能正常使用迅雷程序進(jìn)行惡意下載了，不過當(dāng)我們以系統(tǒng)管理員權(quán)限進(jìn)入本地計(jì)算機(jī)系統(tǒng)時，仍然可以正常運(yùn)行迅雷程序進(jìn)行隨意下載。

　　2、拒絕網(wǎng)絡(luò)病毒藏于臨時文件

　　現(xiàn)在Internet網(wǎng)絡(luò)上的病毒瘋狂肆虐，一些“狡猾”的網(wǎng)絡(luò)病毒為了躲避殺毒軟件的追殺，往往會想方設(shè)法地將自己隱藏于系統(tǒng)臨時文件夾，那樣一來殺毒軟件即使找到了網(wǎng)絡(luò)病毒，也對它無可奈何，因?yàn)闅⒍拒浖�對系統(tǒng)臨時文件夾根本無權(quán)“指手劃腳”。為了防止網(wǎng)絡(luò)病毒隱藏在系統(tǒng)臨時文件夾中，我們可以按照下面的操作設(shè)置Windows Server 2008系統(tǒng)的軟件限制策略：

　　首先打開Windows Server 2008系統(tǒng)的“開始”菜單，從中點(diǎn)選“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行對話框中，輸入組策略編輯命令“gpedit.msc”，單擊“確定”按鈕后，進(jìn)入對應(yīng)系統(tǒng)的組策略控制臺窗口;

　　其次在該控制臺窗口的左側(cè)位置處，依次選中“計(jì)算機(jī)配置”/“Windows設(shè)置”/“安全設(shè)置”/“軟件限制策略”/“其他規(guī)則”選項(xiàng)，同時用鼠標(biāo)右鍵單擊該選項(xiàng)，并執(zhí)行快捷菜單中的“新建路徑規(guī)則”命令，打開設(shè)置對話框;單擊其中的“瀏覽”按鈕，從彈出的文件選擇對話框中，選中并導(dǎo)入Windows Server 2008系統(tǒng)的臨時文件夾，同時再將“安全級別”參數(shù)設(shè)置為“不允許”，最后單擊“確定”按鈕保存好上述設(shè)置操作，這樣一來網(wǎng)絡(luò)病毒日后就不能躲藏到系統(tǒng)的臨時文件夾中了。

　　3、禁止來自外網(wǎng)的非法ping攻擊

　　我們知道，巧妙地利用Windows系統(tǒng)自帶的ping命令，可以快速判斷局域網(wǎng)中某臺重要計(jì)算機(jī)的網(wǎng)絡(luò)連通性;可是，ping命令在給我們帶來實(shí)用的同時，也容易被一些惡意用戶所利用，例如惡意用戶要是借助專業(yè)工具不停地向重要計(jì)算機(jī)發(fā)送ping命令測試包時，重要計(jì)算機(jī)系統(tǒng)由于無法對所有測試包進(jìn)行應(yīng)答，從而容易出現(xiàn)癱瘓現(xiàn)象。為了保證Windows Server 2008服務(wù)器系統(tǒng)的運(yùn)行穩(wěn)定性，我們可以修改該系統(tǒng)的組策略參數(shù)，來禁止來自外網(wǎng)的非法ping攻擊：

　　首先以特權(quán)身份登錄進(jìn)入Windows Server 2008服務(wù)器系統(tǒng)，依次點(diǎn)選該系統(tǒng)桌面上的“開始”/“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行對話框中，輸入字符串命令“gpedit.msc”，單擊回車鍵后，進(jìn)入對應(yīng)系統(tǒng)的控制臺窗口;

　　其次選中該控制臺左側(cè)列表中的“計(jì)算機(jī)配置”節(jié)點(diǎn)選項(xiàng)，并從目標(biāo)節(jié)點(diǎn)下面逐一點(diǎn)選“Windows設(shè)置”、“安全設(shè)置”、“高級安全Windows防火墻”、“高級安全Windows防火墻——本地組策略對象”選項(xiàng)，再用鼠標(biāo)選中目標(biāo)選項(xiàng)下面的“入站規(guī)則”項(xiàng)目;