位置: 编程技术 - 正文

用组策略保护Windows Server 2008系统安全(组策略win7)

编辑:rootadmin

推荐整理分享用组策略保护Windows Server 2008系统安全(组策略win7),希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:组策略启用windows defender,windows组策略a-g-dl-p,windows组策略,windows组策略,windows2016组策略,windows组策略a-g-dl-p,组策略windows defender,windows组策略,内容如对您有帮助,希望把文章链接给更多的朋友!

  尽管Windows Server 系统的安全性要领先其他操作系统一大步,不过默认状态下过高的安全级别常常使不少人无法顺利地在Windows Server 系统环境下进行各种操作,为此许多用户往往会采用手工方法来降低Windows Server 系统的安全访问级别。可是,一旦降低了安全访问级别,Windows Server 系统遭遇安全攻击的可能性就非常大了;那么如何在安全访问级别不高的情况下,我们仍然能够让Windows Server 系统安全地运行?要做到这一点,我们可以利用Windows Server 系统强大的组策略功能,来对相关选项参数进行有效设置!

  1、禁止恶意程序“不请自来”

  在Windows Server 系统环境中使用IE浏览器上网浏览网页内容时,时常会有一些恶意程序不请自来,偷偷下载保存到本地计算机硬盘中,这样不但会白白浪费宝贵的硬盘空间资源,而且也会给本地计算机系统的安全带来不少麻烦。为了让Windows Server 系统更加安全,我们往往需要借助专业的软件工具才能禁止应用程序随意下载,很显然这样操作不但麻烦而且比较累人;其实,在Windows Server 系统环境中,我们只要简单地设置一下系统组策略参数,就能禁止恶意程序自动下载保存到本地计算机硬盘中了,下面就是具体的设置步骤:

  首先以特权帐号进入Windows Server 系统环境,依次点选系统桌面中的“开始”/“运行”命令,在系统运行框中执行gpedit.msc命令,打开本地计算机的组策略编辑窗口;

  

  图1 Internet Explorer 进程属性

  其次在组策略编辑窗口左侧区域展开“计算机配置”分支,再依次选择该分支下面的“管理模板”/“Windows组件”/“Internet Explorer”/“安全功能”/“限制文件下载”子项,双击“限制文件下载”子项下面的“Internet Explorer进程”组策略选项,打开如图1所示的目标组策略属性设置窗口;选中“已启用”选项,再单击“确定”按钮退出组策略属性设置窗口,这样一来我们就能成功启用限制Internet Explorer进程下载文件的策略设置,日后Windows Server 系统就会自动弹出阻止Internet Explorer进程的非用户初始化的文件下载提示,单击提示对话框中的“确定”按钮,恶意程序就不会通过IE浏览器窗口随意下载保存到本地计算机硬盘中了。

 2、对重要文件夹进行安全审核

  Windows Server 系统可以使用安全审核的方法来跟踪访问重要文件夹或其他对象的登录尝试、用户账号、系统关闭、重启系统以及其他一些事件。要是我们能够充分利用Windows Server 系统文件夹的审核功能,就能有效保证重要文件夹的访问安全性,其他非法攻击者就无法轻易对其进行恶意破坏;在对Windows Server 系统中的重要文件夹进行访问审核时,我们可以按照如下步骤来进行:

  首先以特权帐号进入Windows Server 系统环境,依次点选系统桌面中的“开始”/“运行”命令,在系统运行框中执行gpedit.msc命令,打开本地计算机的组策略编辑窗口;

  其次在组策略编辑窗口左侧区域展开“计算机配置”分支,再依次选择该分支下面的“Windows设置”/“安全设置”/“本地策略”/“审核策略”选项,在对应“审核策略”选项的右侧显示区域中找到“审核对象访问”目标组策略项目,并用鼠标右键单击该项目,执行右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口,如图2所示;

  

  图2 组策略 审核对象访问属性

  选中该属性设置窗口中的“成功”和“失败”复选项,再单击“确定”按钮,如此一来访问重要文件夹或其他对象的登录尝试、用户账号、系统关闭、重启系统以及其他一些事件无论成功与失败,都会被Windows Server 系统自动记录保存到对应的日志文件中,我们只要及时查看服务器系统的相关日志文件,就能知道重要文件夹以及其他一些对象是否遭受过非法访问或攻击了,一旦发现系统存在安全隐患的话,我们只要根据日志文件中的内容及时采取针对性措施进行安全防范就可以了。

  3、禁止改变本地安全访问级别

  在办公室中,我们有时需要与其他同事共享使用同一台计算机,当我们对本地计算机的IE浏览器安全访问级别设置好,肯定不希望其他同事随意更改它的安全访问级别,毕竟安全级别要是设置得太低的话,会导致潜藏在网络中的各种病毒或木马对本地计算机进行恶意攻击,从而可能造成本地系统运行缓慢或者无法正常运行的故障现象。为了防止其他人随意更改本地计算机的安全访问级别,Windows Server 系统允许我们进入如下设置,来保护本地系统的安全:

  首先以特权帐号进入Windows Server 系统环境,依次点选系统桌面中的“开始”/“运行”命令,在系统运行框中执行gpedit.msc命令,打开本地计算机的组策略编辑窗口;

  其次在组策略编辑窗口左侧区域展开“用户配置”分支,再依次选择该分支下面的“管理模板”/“Windows组件”/“Internet Explorer”/“Internet控制模板”选项,在对应“Internet控制模板”选项的右侧显示区域中找到“禁用安全页”目标组策略项目,并用鼠标右键单击该项目,执行右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口,如图3所示;

  

  图3 禁用安全页属性

  选中该属性设置窗口中的“已启用”选项,再单击“确定”按钮结束目标组策略属性设置操作,如此一来Internet Explorer的安全设置页面就会被自动隐藏起来,这样的话其他同事就无法进入该安全标签设置页面来随意更改本地系统的安全访问级别了,那么本地计算机系统的安全性也就能得到有效保证了。

用组策略保护Windows Server 2008系统安全(组策略win7)

  当然,我们也可以通过隐藏Internet Explorer窗口中的“Internet选项”,阻止其他同事随意进入IE浏览器的选项设置界面,来调整本地系统的安全访问级别以及其他上网访问参数。在隐藏Internet Explorer窗口中的“Internet选项”时,我们可以按照前面的操作步骤打开Windows Server 系统的组策略编辑窗口,将鼠标定位于“用户配置”/“管理模板”/“Windows组件”/“Internet Explorer”/“浏览器菜单”分支选项上,再将该目标分支选项下面的禁用“Internet选项”组策略的属性设置窗口打开,然后选中其中的“已启用”选项,最后单击“确定”按钮就能使设置生效了。

  4、禁止超级账号名称被偷窃

  许多技术高明的黑客或恶意攻击者常常会通过登录Windows Server 系统的SID标识,来窃取系统超级账号的名称信息,之后再利用目标账号名称尝试去暴力破解登录Windows Server 系统的密码,最终获得Windows Server 系统的所有控制权限;很明显,一旦系统的超级权限帐号名称被非法窃取使用的话,那么Windows Server 系统的安全性就没有任何保证了。为了有效保证Windows Server 系统的安全性,我们不妨进行如下设置,禁止任何用户通过SID标识获取对应系统登录账号的名称信息:

  首先以特权帐号进入Windows Server 系统环境,依次点选系统桌面中的“开始”/“运行”命令,在系统运行框中执行gpedit.msc命令,打开本地计算机的组策略编辑窗口;

  其次在组策略编辑窗口左侧区域展开“计算机配置”分支,再依次选择该分支下面的“Windows设置”/“安全设置”/“本地策略”/“安全选项”项目,找到该分支项目下面的“网络访问:允许匿名SID/名称转换”目标组策略选项,并用鼠标右键单击该选项,执行右键菜单中的“属性”命令打开如图4所示的目标组策略属性设置界面,选中

  

  图4 网络访问属性

  其中的“已禁用”选项,再单击“确定”按钮退出组策略属性设置窗口,这样的话任何用户都将无法利用SID标识来窃取Windows Server 系统的登录账号名称信息了,那么Windows Server 系统受到暴力破解登录的机会就大大减少了,此时对应系统的安全性也就能得到有效保证了。

  5、禁止U盘病毒“趁虚而入”

  很多时候,我们都是通过U盘与其他计算机系统相互交换信息的,但遗憾的是现在Internet网络中的U盘病毒疯狂肆虐,那么对于Windows Server 系统来说,我们究竟该采取什么措施来禁止U盘病毒“趁虚而入”呢?其实很简单,我们可以通过设置Windows Server 系统的组策略参数,来禁止本地计算机系统读取U盘,那样一来U盘中的病毒文件就无法传播出来,下面就是具体的设置步骤:

  首先以特权帐号进入Windows Server 系统环境,依次点选系统桌面中的“开始”/“运行”命令,在系统运行框中执行gpedit.msc命令,打开本地计算机的组策略编辑窗口;

  其次在组策略编辑窗口左侧区域展开“用户配置”分支,再依次选择该分支下面的“管理模板”/“系统”/“可移动存储”选项,找到该分支选项下面的“可移动磁盘:拒绝读取权限”目标组策略选项,并用鼠标右键单击该选项,执行右键菜单中的“属性”命令打开如图5所示的目标组策略属性设置界面,选中

  

  图5 可移动磁盘属性

  其中的“已启用”选项,再单击“确定”按钮退出组策略属性设置窗口;

  同样地,再打开“可移动磁盘:拒绝写入权限”目标组策略选项的属性设置窗口,选中该窗口中的“已启用”选项,最后再单击“确定”按钮就能使设置生效了,此时U盘病毒就不能“趁虚而入”了,那么Windows Server 系统也就不会遭遇U盘病毒的非法攻击了。

  6、禁止来自程序的漏洞攻击

  不少用户往往会错误地认为,只要对Windows Server 服务器系统的补丁程序进行及时更新,就能让本地服务器系统远离网络中各种木马程序或恶意病毒的非法攻击了。其实,为Windows Server 服务器系统更新补丁程序只能堵住系统自身存在的一些安全漏洞,如果安装在Windows Server 系统中的应用程序有明显漏洞时,那么网络中各种木马程序或恶意病毒仍然能够利用应用程序存在的安全漏洞来对Windows Server 系统进行非法攻击。那么在Windows Server 系统环境中,我们该采取什么措施来禁止病毒或木马利用应用程序漏洞来对服务器进行非法攻击呢?很简单!我们可以利用Windows Server 服务器系统内置的高级防火墙程序来实现这一目的,下面就是具体的设置步骤:

  首先以特权帐号进入Windows Server 系统环境,依次点选系统桌面中的“开始”/“运行”命令,在系统运行框中执行gpedit.msc命令,打开本地服务器的组策略编辑窗口;

  其次在组策略编辑窗口左侧区域展开“计算机配置”分支,再依次选择该分支下面的“Windows设置”/“安全设置”/“高级安全Windows防火墙”/“高级安全Windows防火墙——本地组策略对象”选项,用鼠标右键单击该分支选项下面的“入站规则”子项,从弹出的右键菜单中执行“属性”命令打开新建入站规则向导设置界面;

  

  图6 入站规则向导

  根据向导界面的提示,将规则类型参数设置为“程序”,然后选中“此程序路径”选项,并单击“浏览”按钮,将存在明显漏洞的目标应用程序选中,当屏幕上出现如图6所示的向导设置界面时,我们可以选中“阻止连接”项目,最后再设置好新建规则的名称,并单击“完成”按钮,如此一来Windows Server 系统中的高级防火墙程序就会禁止那些存在明显安全漏洞的应用程序访问网络了,那样的话病毒或木马自然也就不能通过应用程序漏洞对本地服务器实施恶意攻击了。

Windows 如何迁移到Windows 一、现有环境首先请把安转好的Windows服务器加入到原有的Windows域环境。

高效管理Windows Server 的卷影副本 【IT专家网独家其实,卷影副本(ShadowCopies)并不是WindowsServer才有的功能。但是,对于WindowsServer这样的Server系统平台,卷影副本的使用更有重要意义

Windows Server R2中IIS 7.5的改进 根据微软的路线图,下一代服务器操作系统WindowsServerR2的正式版将在年发布。虽说微软将WinServerR2独立出来,作为继Win后的下一代服务器操

标签: 组策略win7

本文链接地址:https://www.jiuchutong.com/biancheng/352563.html 转载请保留说明!

上一篇:Windows Server 2008脱机文件配置攻略

下一篇:Windows 2003如何迁移到Windows 2008(迁移windows)

  • 货品调拨的意义
  • 应付利润借方有余额怎么处理
  • 等额本息还款的特点
  • 什么是居民纳税人
  • 土地转让如何缴纳增值税
  • 企业零申报怎么申报
  • 收到未税货款怎么入账
  • 发票额开多了多出的金额怎么处理?
  • 应交税费明细科目设置
  • 企业销售矿产是否需要缴纳资源税呢?
  • 委托加工物资的账务处理例题
  • 年终奖可以分几次发吗?
  • 工作服清洗费要交个税那
  • 投资收益涉及税种
  • 公司为什么要成立工会委员会
  • 药企会计租金进项税不能抵扣
  • 公司购买的商品给别的企业用了,企业所得税能列支吗
  • 增值税返还收入冲减进项税
  • 银行开户存入的钱怎么取
  • 小规模纳税人代理销售税率是多少
  • 资产总额和净资本的关系
  • 客户回款扣除的费用
  • 小规模纳税人个税怎么申报
  • win10开机黑屏几秒
  • 如何修改自己电脑物理地址
  • pavmail.exe - pavmail进程是什么文件 有什么用
  • 一本书装订费多少钱
  • 电脑时间同步不了解决方法
  • nkvmon.exe - nkvmon是什么进程 有什么用
  • php查询今天日期
  • 生产加工型企业安全隐患排查内容
  • 国有企业正常60岁退休到什么鉴字
  • php访问mysql的五个基本步骤
  • 汽车购置税计算公式
  • 场地租赁费需要计提吗
  • 训练自己的GPT模型 中文改英文
  • thinkphp框架搭建
  • php验证表单方法有哪些
  • 猿创设计科技有限公司
  • ios14.5ipad
  • 小规模纳税人在什么情况下会成为一般纳税人
  • 公司分红给个人
  • php sql 教程
  • 织梦相关文章调用
  • 母子公司关联交易规定
  • 补交增值税税款怎么做账
  • 报销烟酒的分录是什么
  • 费用会计处理
  • 加计抵减10%政策适用范围
  • mysql基于什么模型
  • mysql索引优化是什么意思
  • sqlserver数据库怎么导出
  • mysql5.5解压版安装教程
  • windows server 2008 r2离线激活
  • soft version
  • mac osx 10.12
  • U盘安装centos 7出现unknown chipset
  • 在windows xp
  • win7开机一直显示配置windows请勿关机怎么办
  • win7打开游戏显示已停止工作
  • win10怎么关掉
  • ie6浏览器兼容模式怎么设置在哪里
  • cocos2d schedule
  • cocos2d setTextureRect用法
  • 批处理判断一个文件是否存在
  • django中的setting.py的作用
  • c和unity3d
  • jQuery插件库
  • bootstrap入门教程
  • 游戏引擎在游戏开发中的核心作用
  • jquery获取页面元素
  • python函数判断
  • android editText inputType 各个字段的含义
  • Python中字符串的定界符
  • 国家税务总局公告2022年第9号
  • 黑龙江省国家税务局通用定额发票
  • 上海如何用电子医保卡
  • 税务上门核查要看什么
  • 石狮纳税企业排名
  • 陕西陉阳县税务局官网
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设