為了讓局域網(wǎng)網(wǎng)絡(luò)盡可能地安全運(yùn)行，許多網(wǎng)絡(luò)管理人員可謂動(dòng)足了腦筋，他們紛紛將各式各樣的專業(yè)安全防范工具“請(qǐng)”到本地局域網(wǎng)中，以保證本地網(wǎng)絡(luò)遠(yuǎn)離各種非法安全攻擊。事實(shí)上，許多時(shí)候我們常常會(huì)面對(duì)手頭沒(méi)有任何專業(yè)安全防范工具的窘境，在這樣的情形下我們難道對(duì)網(wǎng)絡(luò)安全只能無(wú)動(dòng)于衷嗎?答案是否定的!其實(shí)Windows系統(tǒng)本身就為我們提供了許多安全設(shè)置功能，巧妙地使用這些功能，我們完全可以赤手空拳地應(yīng)對(duì)網(wǎng)絡(luò)安全問(wèn)題。這不，本文現(xiàn)在就借助系統(tǒng)組策略，來(lái)向各位推薦幾則保證網(wǎng)絡(luò)安全運(yùn)行的訣竅，希望下面的內(nèi)容能對(duì)大家有所啟發(fā)!

1、巧改組策略，禁止他人非法更改地址

在不少中小單位的局域網(wǎng)網(wǎng)絡(luò)環(huán)境中，許多網(wǎng)絡(luò)管理員一般都為普通工作站分配一個(gè)靜態(tài)IP地址，然后針對(duì)不同IP地址的工作站分配相應(yīng)的訪問(wèn)權(quán)限。正是因?yàn)椴煌琁P地址的工作站具有不同級(jí)別的訪問(wèn)權(quán)限，所以單位局域網(wǎng)中常有非法用戶通過(guò)修改IP地址的方式來(lái)獲取一些特殊的操作權(quán)限。很顯然，這種行為是不正當(dāng)?shù)?、不安全的，很容易?dǎo)致局域網(wǎng)網(wǎng)絡(luò)中頻繁發(fā)生IP地址沖突等故障，所以這種網(wǎng)絡(luò)管理難題時(shí)常會(huì)困擾著每一位網(wǎng)絡(luò)管理人員。用一種比較恰當(dāng)、得體的方法限制普通用戶隨意修改IP地址，是解決IP地址頻繁發(fā)生故障的良方。下面，我們就通過(guò)設(shè)置系統(tǒng)組策略，來(lái)達(dá)到禁止他人非法更改IP地址的目的：

首先依次單擊本地工作站系統(tǒng)桌面中的“開始”/“運(yùn)行”命令，在彈出的運(yùn)行文本框中輸入字符串命令“gpedit.msc”，單擊回車鍵后，打開本地系統(tǒng)的組策略編輯窗口;

其次在組策略編輯窗口中，用鼠標(biāo)逐一展開左側(cè)列表區(qū)域中的“本地計(jì)算機(jī)策略”/“用戶配置”/“管理模板”/“網(wǎng)絡(luò)”/“網(wǎng)絡(luò)連接”分支選項(xiàng)，在對(duì)應(yīng)“網(wǎng)絡(luò)連接”分支選項(xiàng)的右側(cè)列表區(qū)域中用鼠標(biāo)雙擊“禁止訪問(wèn)LAN連接的屬性”選項(xiàng)，打開如圖1所示的“禁止訪問(wèn)LAN連接的屬性”設(shè)置窗口，將該設(shè)置窗口中的“已啟用”項(xiàng)目選中，單擊“確定”按鈕退出組策略編輯窗口(要是日后我們想開放IP地址修改權(quán)限，只需將圖1界面中的“未配置”項(xiàng)目選中就可以了)。

完成上面的設(shè)置操作后，我們?cè)儆檬髽?biāo)雙擊系統(tǒng)任務(wù)欄右下方的本地連接圖標(biāo)，在其后出現(xiàn)的界面中我們發(fā)現(xiàn)屬性按鈕已經(jīng)變成灰色，這樣一來(lái)普通用戶就無(wú)法打開網(wǎng)絡(luò)屬性設(shè)置窗口，自然也就不能非法修改本地工作站的IP地址了。

2、巧改組策略，禁止外人隨意改防火墻

大家知道，在默認(rèn)狀態(tài)下工作站系統(tǒng)會(huì)自動(dòng)啟用自帶防火墻程序，以便保護(hù)本地網(wǎng)絡(luò)以及工作站的運(yùn)行安全，然而這樣的話有不少應(yīng)用程序在默認(rèn)狀態(tài)下往往無(wú)法正常運(yùn)行，不得已許多普通用戶常常會(huì)亂做主張地將系統(tǒng)自帶防火墻程序臨時(shí)禁用掉，可是如此一來(lái)本地局域網(wǎng)網(wǎng)絡(luò)可能會(huì)受到各式各樣的安全威脅。那么我們?cè)撊绾螌⒎阑饓Τ绦颉版i定”起來(lái)，以阻止非法用戶胡亂篡改防火墻設(shè)置呢?事實(shí)上，我們可以嘗試對(duì)系統(tǒng)的組策略進(jìn)行相關(guān)設(shè)置，就能實(shí)現(xiàn)禁止外人隨意改防火墻的目的，下面就是具體的實(shí)現(xiàn)方法：

首先依次單擊本地工作站系統(tǒng)桌面中的“開始”/“運(yùn)行”命令，在彈出的運(yùn)行文本框中輸入字符串命令“gpedit.msc”，單擊回車鍵后，打開本地系統(tǒng)的組策略編輯窗口;

其次在組策略編輯窗口中，用鼠標(biāo)逐一展開左側(cè)列表區(qū)域中的“本地計(jì)算機(jī)策略”/“計(jì)算機(jī)配置”/“管理模板”/“網(wǎng)絡(luò)”/“網(wǎng)絡(luò)連接”分支選項(xiàng)，在“網(wǎng)絡(luò)連接”分支選項(xiàng)下面包含“域配置文件”、“標(biāo)準(zhǔn)配置文件”這兩個(gè)子項(xiàng)，要是本地局域網(wǎng)是以域形式組網(wǎng)的話，那我們?cè)谶@里必須將“域配置文件”項(xiàng)目選中，之后在“域配置文件”子項(xiàng)所對(duì)應(yīng)的右側(cè)顯示區(qū)域中，找到“Windows防火墻：保護(hù)所有網(wǎng)絡(luò)連接”組策略項(xiàng)目，并用鼠標(biāo)雙擊該項(xiàng)目，進(jìn)入到如圖2所示的“域配置文件”屬性窗口，將該窗口中的“已啟用”選項(xiàng)選中，再單擊一下“確定”按鈕結(jié)束“域配置文件”屬性設(shè)置操作;

完成上面的設(shè)置操作后，我們可以嘗試再次打開防火墻屬性設(shè)置界面，此時(shí)大家將會(huì)看到該設(shè)置界面的“啟用”選項(xiàng)已經(jīng)變成灰色調(diào)了，這也就說(shuō)明本地工作站中的防火墻程序已經(jīng)被我們“鎖定”成功了，日后任何企圖修改防火墻配置的用戶都將無(wú)法胡亂更改本地防火墻的參數(shù)設(shè)置了，如此一來(lái)本地局域網(wǎng)以及工作站的安全就能有了保障!

3、巧改組策略，謹(jǐn)防共享密碼遭遇破解

在缺省狀態(tài)下Windows工作站會(huì)允許任意一位普通訪問(wèn)用戶利用空用戶連接方式獲取本地系統(tǒng)中的所有用戶帳號(hào)以及共享資源列表信息，Windows啟用該功能的初衷是為了方便普通用戶在局域網(wǎng)環(huán)境中互相交流、傳輸共享信息用的;不過(guò)，在盡情享受該缺省開放功能給自己帶來(lái)便利的同時(shí)，該開放功能也有可能會(huì)給我們帶來(lái)一定的安全威脅，因?yàn)樵S多非法攻擊者能偷偷利用該功能獲取本地工作站中的所有用戶帳號(hào)以及共享資源列表信息，要是獲取到這些信息后非法用戶可能就會(huì)利用暴力破解方法得到本地用戶的核心密碼信息，這么一來(lái)本地局域網(wǎng)的安全性就會(huì)受到空前的威脅。為了避免非法用戶利用暴力手段破解網(wǎng)絡(luò)共享密碼信息，我們可以按照如下步驟設(shè)置系統(tǒng)組策略，來(lái)拒絕一般訪問(wèn)用戶通過(guò)匿名帳號(hào)來(lái)隨意訪問(wèn)和存取本地系統(tǒng)中的所有用戶帳號(hào)以及共享資源列表信息：

首先依次單擊本地工作站系統(tǒng)桌面中的“開始”/“運(yùn)行”命令，在彈出的運(yùn)行文本框中輸入字符串命令“gpedit.msc”，單擊回車鍵后，打開本地系統(tǒng)的組策略編輯窗口;

其次在組策略編輯窗口中，用鼠標(biāo)逐一展開左側(cè)列表區(qū)域中的“本地計(jì)算機(jī)策略”/“計(jì)算機(jī)配置”/“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“安全選項(xiàng)”分支選項(xiàng)，在對(duì)應(yīng)“安全選項(xiàng)”分支選項(xiàng)所在的右側(cè)顯示區(qū)域中，找到“網(wǎng)絡(luò)訪問(wèn)：不允許SAM賬號(hào)和共享的匿名枚舉”組策略選項(xiàng)，并用鼠標(biāo)雙擊該選項(xiàng)，打開如圖3所示的“網(wǎng)絡(luò)訪問(wèn)：不允許SAM賬號(hào)和共享的匿名枚舉”屬性設(shè)置窗口，選中該設(shè)置窗口中的“已啟用”項(xiàng)目，再單擊一下“確定”按鈕結(jié)束組策略屬性設(shè)置操作，這樣的話任何一位普通訪問(wèn)用戶日后就會(huì)無(wú)法利用空用戶連接方式獲取本地系統(tǒng)中的所有用戶帳號(hào)以及共享資源列表信息了，那么本地局域網(wǎng)中的共享資源就不會(huì)被非法用戶隨意破解了。

#p#

4、巧改組策略，強(qiáng)行拒絕所有遠(yuǎn)程連接

為了有效提高管理與維護(hù)服務(wù)器的操作效率，許多網(wǎng)絡(luò)管理員一般總會(huì)在服務(wù)器系統(tǒng)中開啟遠(yuǎn)程訪問(wèn)連接功能，這樣的話他們就能在局域網(wǎng)的任何位置處都可以借助遠(yuǎn)程連接功能對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理與維護(hù)，而不要芝麻大的事情都跑到服務(wù)器現(xiàn)場(chǎng)了。其實(shí)，要是在Windows服務(wù)器中將遠(yuǎn)程訪問(wèn)連接功能啟用起來(lái)的話，那么許多非法攻擊者也可能利用該功能對(duì)服務(wù)器進(jìn)行非法攻擊或破壞。因此，為了將服務(wù)器系統(tǒng)的安全隱患降低到最小限度，我們可以通過(guò)設(shè)置系統(tǒng)組策略的方法，來(lái)將當(dāng)前已經(jīng)與服務(wù)器系統(tǒng)建立的所有遠(yuǎn)程訪問(wèn)連接強(qiáng)行斷開，下面就是該方法的具體操作步驟：

首先依次單擊本地工作站系統(tǒng)桌面中的“開始”/“運(yùn)行”命令，在彈出的運(yùn)行文本框中輸入字符串命令“gpedit.msc”，單擊回車鍵后，打開本地系統(tǒng)的組策略編輯窗口;

其次在組策略編輯窗口中，用鼠標(biāo)逐一展開左側(cè)列表區(qū)域中的“本地計(jì)算機(jī)策略”/“用戶配置”/“管理模板”/“網(wǎng)絡(luò)”/“網(wǎng)絡(luò)連接”分支選項(xiàng)，在“網(wǎng)絡(luò)連接”分支選項(xiàng)所對(duì)應(yīng)的右側(cè)顯示區(qū)域中，找到“刪除所有用戶遠(yuǎn)程訪問(wèn)連接”組策略選項(xiàng)，并用鼠標(biāo)雙擊該選項(xiàng)，進(jìn)入到如圖4所示的“刪除所有用戶遠(yuǎn)程訪問(wèn)連接”屬性設(shè)置界面，選中該設(shè)置界面中的“已啟用”項(xiàng)目，同時(shí)單擊一下“確定”按鈕，這樣的話當(dāng)前與服務(wù)器系統(tǒng)已經(jīng)建立的遠(yuǎn)程訪問(wèn)連接都會(huì)自動(dòng)被斷開，那么非法用戶企圖對(duì)服務(wù)器系統(tǒng)實(shí)施的遠(yuǎn)程攻擊自然也就進(jìn)行不下去了。

5、巧改組策略，強(qiáng)制進(jìn)入安全區(qū)域上網(wǎng)

在若干個(gè)用戶共同使用相同的一臺(tái)工作站進(jìn)行網(wǎng)絡(luò)訪問(wèn)時(shí)，要是我們事先不劃定安全的上網(wǎng)區(qū)域，那么許多用戶可能會(huì)在本地工作站中隨意訪問(wèn)一些惡意網(wǎng)站，如此一來(lái)就可能給本地工作站甚至本地網(wǎng)絡(luò)帶來(lái)安全麻煩。所以，為了保護(hù)本地網(wǎng)絡(luò)以及本地工作站的安全，我們可以嘗試在公共計(jì)算機(jī)系統(tǒng)中，通過(guò)設(shè)置組策略的方法為普通用戶劃定安全上網(wǎng)區(qū)域，強(qiáng)制這些用戶只能在這些安全區(qū)域中上網(wǎng)沖浪：

首先依次單擊本地工作站系統(tǒng)桌面中的“開始”/“運(yùn)行”命令，在彈出的運(yùn)行文本框中輸入字符串命令“gpedit.msc”，單擊回車鍵后，打開本地系統(tǒng)的組策略編輯窗口;

其次在組策略編輯窗口中，用鼠標(biāo)逐一展開左側(cè)列表區(qū)域中的“本地計(jì)算機(jī)策略”/“用戶配置”/“Windows設(shè)置”/“Internet Explorer維護(hù)”/“安全”分支選項(xiàng)，在“安全”分支選項(xiàng)所對(duì)應(yīng)的右側(cè)顯示區(qū)域中，找到“安全區(qū)域和內(nèi)容分級(jí)”組策略選項(xiàng)，并用鼠標(biāo)右鍵單擊該選項(xiàng)，彈出如圖5所示的“安全區(qū)域和內(nèi)容分級(jí)”屬性設(shè)置界面;在該屬性界面中的“安全區(qū)域和隱私”處，將“導(dǎo)入當(dāng)前安全區(qū)域設(shè)置”項(xiàng)目選中，同時(shí)單擊“修改設(shè)置”按鈕，之后根據(jù)實(shí)際工作需要來(lái)為普通上網(wǎng)用戶劃定好安全沖浪區(qū)域，最后單擊一下“確定”按鈕結(jié)束組策略屬性設(shè)置操作，如此一來(lái)普通用戶日后在單位的公共計(jì)算機(jī)中，就不能隨意訪問(wèn)Internet網(wǎng)絡(luò)中的一些不安全網(wǎng)站了，那么本地網(wǎng)絡(luò)以及本地工作站的安全性就能得到有效保證了。

6、巧改組策略，限制用戶隨意上網(wǎng)沖浪

在節(jié)假日或下班期間，許多員工常常趁單位領(lǐng)導(dǎo)不在辦公室的時(shí)候偷偷進(jìn)行共享?yè)芴?hào)上網(wǎng)，去訪問(wèn)一些可能給本地網(wǎng)絡(luò)或工作站帶來(lái)安全威脅的陌生網(wǎng)站，于是不少單位領(lǐng)導(dǎo)在放假或下班之前往往會(huì)要求網(wǎng)絡(luò)管理員將本地工作站中的撥號(hào)連接刪除掉，以便讓員工在下班期間無(wú)法使用撥號(hào)連接進(jìn)行上網(wǎng)訪問(wèn);可是這種方法對(duì)那些比較熟悉網(wǎng)絡(luò)的員工來(lái)說(shuō)效果并不是十分明顯，畢竟許多員工能夠自己動(dòng)手來(lái)重建新的上網(wǎng)連接。其實(shí)，我們可以嘗試?yán)眯薷慕M策略的方法，來(lái)讓系統(tǒng)拒絕員工在本地創(chuàng)建網(wǎng)絡(luò)連接：

首先依次單擊本地工作站系統(tǒng)桌面中的“開始”/“運(yùn)行”命令，在彈出的運(yùn)行文本框中輸入字符串命令“gpedit.msc”，單擊回車鍵后，打開本地系統(tǒng)的組策略編輯窗口;

其次在組策略編輯窗口中，用鼠標(biāo)逐一展開左側(cè)列表區(qū)域中的“本地計(jì)算機(jī)策略”/“用戶配置”/“管理模板”/“網(wǎng)絡(luò)”/“網(wǎng)絡(luò)連接”分支選項(xiàng)，在對(duì)應(yīng)“網(wǎng)絡(luò)連接”分支選項(xiàng)所在的右側(cè)顯示區(qū)域中，找到“禁止訪問(wèn)‘新建連接向?qū)А苯M策略選項(xiàng)，并用鼠標(biāo)右鍵單擊該選項(xiàng)，彈出如圖6所示的“禁止訪問(wèn)‘新建連接向?qū)А睂傩栽O(shè)置界面;將該設(shè)置界面的“已啟用”項(xiàng)目選中，同時(shí)單擊一下“確定”按鈕結(jié)束組策略的屬性設(shè)置操作，那樣一來(lái)當(dāng)員工日后嘗試在本地工作站中創(chuàng)建新的上網(wǎng)連接時(shí)，系統(tǒng)將自動(dòng)會(huì)出現(xiàn)無(wú)權(quán)創(chuàng)建的提示信息。

7、巧改組策略，尋找共享目錄訪問(wèn)痕跡

為了避免心術(shù)不正的非法用戶在訪問(wèn)共享資源的過(guò)程中，做出對(duì)共享資源不安全的操作出來(lái)，我們應(yīng)該想辦法去跟蹤追尋任何一位訪問(wèn)目標(biāo)共享資源的用戶，并對(duì)他們的訪問(wèn)痕跡進(jìn)行全程記錄;日后一旦遇到共享資源中的隱私內(nèi)容被轉(zhuǎn)移或刪除時(shí)，我們可以通過(guò)查看相應(yīng)的安全日志文件，來(lái)快速有效地找到“罪槐禍?zhǔn)住?。通過(guò)下面的操作方法，我們就可以非常方便地跟蹤普通用戶訪問(wèn)共享資源的痕跡了：

首先打開本地工作站的資源管理器窗口，找到需要進(jìn)行安全保護(hù)的目標(biāo)共享目錄，并用鼠標(biāo)右擊該共享目錄圖標(biāo)，從其后出現(xiàn)的快捷菜單中單擊“屬性”選項(xiàng)，打開目標(biāo)共享目錄的屬性設(shè)置窗口;單擊該窗口中的“安全”選項(xiàng)卡，并在對(duì)應(yīng)的選項(xiàng)設(shè)置頁(yè)面中單擊“高級(jí)”按鈕，進(jìn)入到目標(biāo)共享資源的高級(jí)安全屬性界面;在該界面中單擊“審核”選項(xiàng)卡，再單擊對(duì)應(yīng)選項(xiàng)設(shè)置頁(yè)面中的“添加”按鈕。過(guò)一段時(shí)間后，工作站系統(tǒng)將會(huì)自動(dòng)列寫出所有用戶帳號(hào)，此時(shí)我們不妨將有權(quán)訪問(wèn)該目標(biāo)共享資源的用戶帳號(hào)選中，同時(shí)單擊“確定”按鈕;在其后出現(xiàn)的審核項(xiàng)目設(shè)置界面中，我們可以按需選擇一些失敗和成功的審核項(xiàng)目，最后單擊“確定”按鈕結(jié)束共享目錄屬性設(shè)置操作。

下面依次單擊本地工作站系統(tǒng)桌面中的“開始”/“運(yùn)行”命令，在彈出的運(yùn)行文本框中輸入字符串命令“gpedit.msc”，單擊回車鍵后，打開本地系統(tǒng)的組策略編輯窗口;在組策略編輯窗口中，用鼠標(biāo)逐一展開左側(cè)列表區(qū)域中的“本地計(jì)算機(jī)策略”/“計(jì)算機(jī)配置”/“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“審核策略”分支選項(xiàng)，在“審核策略”分支選項(xiàng)所對(duì)應(yīng)的右側(cè)顯示區(qū)域中，找到“審核對(duì)象訪問(wèn)”選項(xiàng)，并用鼠標(biāo)雙擊該選項(xiàng)，打開如圖7所示的屬性設(shè)置界面，選中該界面中的“失敗”、“成功”選項(xiàng)，同時(shí)單擊“確定”按鈕結(jié)束設(shè)置操作;完成上面的設(shè)置操作后，要是我們?nèi)蘸蟀l(fā)現(xiàn)目標(biāo)共享目錄遭遇什么麻煩時(shí)，就能有針對(duì)性地進(jìn)入系統(tǒng)安全日志文件，來(lái)查看ID標(biāo)號(hào)為560、562、564的相關(guān)事件記錄，在這些記錄文件中我們往往就能尋找到破壞共享資源安全的“痕跡”。

【編輯推薦】

1. 利用組策略實(shí)現(xiàn)文件夾重定向保護(hù)文件安全
2. 組策略管理難點(diǎn)之應(yīng)用控制