如何保护Windows Server 2008系统安全?

日期: 2010-06-16 来源:TechTarget中国

  相比传统操作系统,Win2008系统最吸引人的地方可能就要算它超强的安全功能了,的确利用许多新增的安全功能,我们可以非常轻松地对本地系统进行全方位、立体式防护。不过,这并不意味着Win2008系统的安全性能就无懈可击了,一些细节因素仍然可以威胁Win2008系统的安全;为此,我们还需要在平时多注重一些安全细节,才能让Win2008系统的安全更上层楼!

  1、拒绝修改防火墙安全规则

  我们知道,Win2008系统新增加的高级安全防火墙功能,可以允许用户根据实际需要自行定义安全规则,从而实现更加灵活的安全防护目的;不过该防火墙还有一些明显不足,我们对它进行的一些设置以及创建的安全规则,几乎都是直接存储在本地Win2008系统注册表中的,非法攻击者只需要编写简单的攻击脚本代码,就能轻松通过修改对应系统注册表中的内容,来达到修改防火墙安全规则的目的,从而可以轻松跨越高级安全防火墙的限制。那么如何才能拒绝非法攻击者通过修改系统注册表中的相关键值,来跨越高级安全防火墙功能的限制呢?其实很简单,我们只要通过下面的设置,禁止非法攻击者修改系统注册表中的相关键值就可以了:

  首先在Win2008系统桌面中打开“开始”菜单,从中点选“运行”命令,在弹出的系统运行对话框中,输入字符串命令“regedit”,单击回车键后,打开对应系统的注册表控制窗口;

  其次该控制窗口的左侧位置处,将鼠标位于HKEY_LOCAL_MACHINE节点分支上,并从目标分支下面依次展开SYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyFirewallRules注册表子项(如图1所示),在该注册表子项对应的右侧显示区域中保存了许多防火墙的安全规则以及设置参数。

  很显然,如果非法攻击者具有访问FirewallRules注册表子项的权限时,那么它就能随意修改该分支下面的各个安全规则以及设置参数了,而在默认状态下任何普通用户的确是可以访问目标分支的;为此,我们必须限制Everyone帐号来访问FirewallRules注册表子项,要做到这一点,我们必须先将鼠标选中FirewallRules注册表子项,同时用鼠标右键单击该注册表子项,并执行快捷菜单中的“权限”命令,打开目标注册表子项的权限设置对话框。

  单击该对话框中的“添加”按钮,打开用户帐号选择对话框,从中选中“Everyone”帐号并将它添加进来,之后选中“Everyone”帐号,并将对应该帐号的“完全控制”权限调整为“拒绝”,再单击“应用”按钮,如此一来非法攻击者日后就不能随意修改Win2008系统高级安全防火墙的安全规则以及设置参数了,那么Win2008系统的安全性能也就更有保障了。

  2、善用加密解密保护文件安全

  为了拒绝他人趁自己不在计算机现场时偷看重要文件,不少人往往会使用专业工具来加密、解密重要文件;事实上,Win2008系统自身就集成了加密、解密功能,只是在缺省状态下该功能使用起来很不方便,因此很少人会想到使用该功能来保护本地系统重要文件的安全。有鉴于此,我们可以通过下面的设置操作将Win2008系统自带的加密、解密功能集成到鼠标的快捷菜单中,日后我们只要打开目标文件的快捷菜单就可以轻松选用加密、解密功能来保护文件的安全了:

  首先打开Win2008系统的“开始”菜单,从中点选“运行”命令,在弹出的系统运行对话框中,直接输入“Regedit”字符串命令,单击“确定”按钮后,进入Win2008系统的注册表控制台窗口;

  其次将鼠标定位于该控制台窗口左侧位置处的HKEY_CURRENT_USER节点分支上,并从目标分支下面逐一展开目标注册表子项SoftwareMicrosoft WindowsCurrentVersionExplorerAdvanced,再用鼠标右键单击“Advanced”注册表子项,并执行快捷菜单中的“新建”/“Dword值”命令,同时将新创建的双字节值名称设置为“EncryptionContextMenu”。

  之后用鼠标双击“EncryptionContextMenu”注册表键值,打开双字节值对话框,在其中输入十进制数字“1”,再单击“确定”按钮执行保存操作,最后按F5功能键刷新一下系统注册表,如此一来我们打开某个重要文件的快捷菜单时,就能发现其中包含“加密”、“解密”等功能选项了(如图2所示),利用这些功能选项我们就能很轻松地保护文件安全了。

  3、巧妙实时监控系统运行安全

  为了能够在第一时间发现潜藏在本地系统中的安全威胁,相信很多人都安装了专业的监控工具,来对系统的运行状态进行全程监控。其实,Win2008系统也自带有实时监控程序Windows Defender,只是该程序并不像其他应用程序那样会在系统托盘区域处出现一个控制图标,不过该程序一旦看到Win2008系统遭遇间谍程序的攻击时,它往往会立即发挥作用来帮助用户解决问题。尽管Windows Defender程序平时并不显现出来,不过该程序实际上在系统后台启动了一个服务,通过该系统服务默默地保护Win2008系统的安全;我们可以按照下面的操作,确认Windows Defender程序的服务状态是否正常:

  首先依次点选Win2008系统桌面中的“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“services.msc”,单击回车键后,打开系统服务列表窗口。

  其次从系统服务列表窗口的左侧位置处,找到目标系统服务选项“Windows Defender”,并用鼠标右键单击该选项,从弹出的快捷菜单中执行“属性”命令,打开Windows Defender服务的属性设置窗口,在该窗口的“常规”标签页面中,我们可以非常清楚地看到目标系统服务的运行状态是否正常,要是发现该服务已经被关闭运行时,我们必须及时单击“启动”按钮将它重新启动起来,同时将它的启动类型参数修改为“自动”,最后单击“确定”按钮保存好上述设置操作,这么一来我们就能确保Windows Defender服务时刻来保护Win2008系统的安全了。

  为了让Windows Defender服务更有针对性地进行实时监控,我们还可以修改Win2008系统的组策略参数,让Windows Defender程序对已知文件或未知文件进行监测,同时对监测结果进行跟踪记录,下面就是具体的修改步骤:

  首先在Win2008系统桌面中依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击回车键后,打开系统的组策略控制台窗口。

  其次在该控制台窗口的左侧显示区域处,依次点选“计算机配置”/“管理模板”/“Windows组件”/“Windows Defender”组策略子项,从目标子项下面找到“启用记录已知的正确检测”选项,并用鼠标右键单击该选项,从弹出的快捷菜单中执行“属性”命令,打开目标组策略的属性设置窗口,如图3所示:

  在该设置窗口中,检查“已启用”选项是否处于选中状态,如果发现该选项还没有被选中时,我们必须及时将它重新选中,再单击“确定”按钮保存好上述设置操作。按照同样的操作步骤,我们再打开“启用记录未知检测”组策略的属性设置对话框,选中其中的“已启用”选项,这么一来Win2008系统日后就会对各种类型的文件进行自动检测、记录,我们只要定期查看记录内容就能知道本地系统是否存在安全威胁了。

  4、及时监控系统账号恶意创建

  有的时候,一些非法攻击者会利用木马程序偷偷在计算机系统中恶意创建登录帐号,以便日后可以利用该帐号来对本地系统实施非法攻击。为了及时监控本地系统中是否有新的账号被偷偷创建,我们可以巧妙利用Win2008系统的附加任务功能,针对系统帐号创建事件添加自动报警任务,确保系统中有新的登录帐号生成时,及时向系统管理员发出报警信息,确保系统管理员在第一时间判断出新创建的登录帐号是否合法,下面就是具体的实现步骤:

  首先在Win2008系统桌面中,依次点选“开始”/“运行”命令,从弹出的系统运行框中执行“secpol.msc”命令,进入本地安全策略设置界面,从该界面的左侧位置处逐一展开“安全设置”、“本地策略”、“审核策略”节点选项,再从目标节点下面找到“审核帐户管理”组策略选项,打开如图4所示的设置对话框,将该对话框中的“成功”、“失败”选项全部选中,再单击“确定”按钮保存好上述设置操作。

  其次用鼠标右键单击Win2008系统桌面中的“计算机”图标,从弹出的快捷菜单中点选“管理”命令,打开对应系统的计算机管理对话框,在该对话框的左侧显示区域依次点选“服务器管理器”/“配置”/“本地用户和组”/“用户”选项,同时用鼠标右键单击该选项,并执行快捷菜单中的“新用户”命令,在其后出现的新用户创建对话框中,随意创建一个用户账号,一旦创建成功后,系统就会自动生成一个登录账号创建成功日志记录。

  接着依次单击“开始”/“程序”/“管理工具”/“事件查看器”选项,打开事件查看器控制台窗口,从该控制台窗口的左侧位置处依次点选“Windows日志”/“系统”分支选项,并从目标分支下面找到刚刚生成的新用户账号创建成功的日志记录,再用鼠标右键单击该记录选项,同时执行右键菜单中的“将任务附加到此事件”命令,打开创建基本任务向导对话框;

  按照向导提示将基本任务名称设置为“账号创建报警”,将该任务执行的操作设置为“显示消息”,之后设置消息标题为“谨防账号被恶意创建”,将消息内容设置为“有新用户账号刚刚被创建,请系统管理员立即验证其合法性”,最后单击“完成”按钮结束基本任务的附加操作,如此一来日后本地Win2008系统中有新的用户账号被偷偷创建时,系统屏幕上会立即出现“有新用户账号刚刚被创建,请系统管理员立即验证其合法性”这样的提示信息,看到这样的提示系统管理员就能及时监控到有人在偷偷创建用户账号了,此时只要采用针对性措施进行应对就能保证本地Win2008系统的运行安全性了。

  5、巧妙限制普通用户上网访问

  在Win2008系统环境下,如果随意让拥有普通权限的用户上网访问时,可能会给本地系统带来安全威胁,而系统管理员往往由于工作原因,又必须要有权限可以上网访问,那么如何才能实现这种特殊的访问要求呢?通过下面的设置操作,我们可以很轻松地限制普通用户上网的权限,同时又可以让系统管理员的上网访问不受影响:

  首先以普通权限账号登录Win2008系统,打开对应系统的“开始”菜单,从中点选IE浏览器选项,在弹出的IE浏览器窗口中单击“工具”选项,从下拉菜单中执行“Internet选项”命令,进入Internet选项设置窗口。

  其次单击该设置窗口中的“连接”选项卡,并单击对应选项设置页面中的“局域网设置”按钮,此时系统屏幕上会出现一个如图5所示的设置对话框,选中其中的“为LAN使用代理服务器”项目,同时任意输入一个无效的代理服务器主机地址以及端口号码,再单击“确定”按钮执行参数保存作。

  接着注销Win2008系统,换以系统管理员身份重新登录系统,打开该系统桌面中的“开始”菜单,从中点选“运行”命令,从其后出现的系统运行框中执行“gpedit.msc”命令,进入对应系统的组策略控制台界面。

  选中该控制台界面左侧位置处的“计算机配置”节点分支,并从目标分支下面依次展开“管理模板”、“Windows组件”、“Internet Explorer”、“Internet控制面板”组策略子项,之后双击目标组策略子项下面的“禁用连接页”选项,选中对应设置界面中的“已启用”选项,再单击“确定”按钮保存好上述设置操作,最后将Win2008系统重新启动一下。

  这样一来,日后当用户以普通权限的账号登录Win2008系统,并在该系统环境中上网访问时,IE浏览器会自动先搜索一个无效的代理服务器,并企图通过该代理服务器进行网络访问,显然这样的访问操作是不会成功的;而用户以系统管理员权限在Win2008系统环境下访问时,IE浏览器不会优先连接代理服务器,而是直接可以进行上网访问,这样的访问当然能够看到内容。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐