為了保護工作站系統(tǒng)的安全，不少朋友往往會下意識地想到使用系統(tǒng)自帶的或第三方防火墻，來對系統(tǒng)進行多方面的安全“護衛(wèi)”?？墒窃趯嶋H保護系統(tǒng)安全的過程中，我們有時會遇到系統(tǒng)防火墻因受到意外損壞而無法啟用的現(xiàn)象，這樣一來系統(tǒng)的安全就缺少了防火墻的“護衛(wèi)”，那么系統(tǒng)受到非法攻擊的可能性就會大大增加。事實上，在防火墻無法“護衛(wèi)”系統(tǒng)安全的情況下，我們完全可以變換思路，從系統(tǒng)組策略出發(fā)，來讓系統(tǒng)仍然享受防火墻級別的安全“護衛(wèi)”!

1、預(yù)防遠程入侵連接

為了有效制止非法攻擊者通過網(wǎng)絡(luò)隨意攻擊或訪問本地工作站系統(tǒng)，第三方專業(yè)防火墻工具往往都會為我們提供關(guān)閉遠程網(wǎng)絡(luò)連接的功能，通過該功能我們可以隨時阻止非法攻擊者的入侵連接，從而保護系統(tǒng)的安全。但即使沒有第三方專業(yè)防火墻的安全“護衛(wèi)”，我們只要按照如下操作步驟修改系統(tǒng)的組策略，仍然能夠讓系統(tǒng)享受到這種安全“護衛(wèi)”待遇：

首先依次單擊本地工作站系統(tǒng)桌面中的“開始”、“運行”菜單命令，從彈出的系統(tǒng)運行對話框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開本地系統(tǒng)的組策略編輯窗口;

其次在該編輯窗口的左側(cè)顯示區(qū)域中，用鼠標(biāo)逐一展開“本地計算機策略”、“用戶配置”、“管理模板”、“網(wǎng)絡(luò)”、“網(wǎng)絡(luò)連接”分支選項，在“網(wǎng)絡(luò)連接”分支選項所在的右側(cè)顯示區(qū)域中，找到“刪除所有用戶遠程訪問連接”項目，并用鼠標(biāo)雙擊該項目，打開如圖1所示的組策略屬性設(shè)置對話框;

接著檢查該對話框中的“已啟用”選項是否處于選中狀態(tài)，要是發(fā)現(xiàn)該選項還沒有被啟用的話，那我們必須重新將它選中，最后單擊“確定”按鈕，如此一來本地工作站系統(tǒng)日后就能享受到防火墻級別的關(guān)閉遠程連接功能了。以后，非法攻擊者企圖通過遠程連接方式來入侵本地工作站系統(tǒng)時，關(guān)閉遠程連接功能就會強行斷開非法攻擊者創(chuàng)建的連接，那樣的話工作站系統(tǒng)就更為安全了。#p#

2、為資源訪問設(shè)立關(guān)卡

在局域網(wǎng)工作環(huán)境中，對共享文件進行訪問是常有的事情，為了限制任何用戶隨意訪問共享文件，系統(tǒng)自帶的防火墻或第三方專業(yè)防火墻都為共享資源的訪問設(shè)立了關(guān)卡，禁止任何來賓用戶直接訪問共享內(nèi)容，必須憑訪問帳號才能進行共享訪問。要實現(xiàn)這種防火墻級別的安全“護衛(wèi)”目的，我們只要按照如下步驟修改工作站的組策略就可以了：

首先依次單擊本地工作站系統(tǒng)桌面中的“開始”、“運行”菜單命令，從彈出的系統(tǒng)運行對話框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開本地系統(tǒng)的組策略編輯窗口;

其次將鼠標(biāo)定位于編輯窗口左側(cè)的“計算機配置”分支上，再用鼠標(biāo)依次選中該分支下面的“Windows設(shè)置”、“安全設(shè)置”、“本地策略”、“用戶權(quán)利指派”項目，在對應(yīng)“用戶權(quán)利指派”項目的右側(cè)顯示區(qū)域中，雙擊“拒絕從網(wǎng)絡(luò)訪問這臺計算機”策略，打開如圖2所示的組策略屬性設(shè)置對話框;

檢查來賓用戶“Guest”帳號是否出現(xiàn)在了該對話框的列表中，倘若沒有看到該帳號的話，我們必須單擊其中的“添加用戶或組”按鈕，來將“Guest”帳號加入到該對話框中，最后單擊“確定”按鈕退出設(shè)置對話框，這樣一來以后任何一位來賓用戶就無法直接訪問到本地工作站中的共享資源了，只有擁有訪問帳號的用戶才能看到共享內(nèi)容。#p#

3、預(yù)防暴力破解密碼

安裝了Windows XP系統(tǒng)的工作站在缺省狀態(tài)下，允許每一位用戶通過空用戶連接方式來獲取本地系統(tǒng)中的各類帳號信息和資源列表信息，這個功能本意是為方便管理員管理系統(tǒng)資源用的，而非法攻擊者常常通過該功能來破壞系統(tǒng)安全，他們通過一些專業(yè)的黑客軟件來暴力破解用戶的密碼信息，從而可能會給本地工作站或整個網(wǎng)絡(luò)帶來非常大的安全隱患。有鑒于此，許多專業(yè)的防火墻一般都為我們提供了預(yù)防暴力破解共享訪問密碼的功能，事實上簡單地對系統(tǒng)組策略進行編輯，也能達到預(yù)防暴力破解密碼的目的，下面就是修改組策略的具體步驟：

首先依次單擊本地工作站系統(tǒng)桌面中的“開始”、“運行”菜單命令，從彈出的系統(tǒng)運行對話框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開本地系統(tǒng)的組策略編輯窗口;

其次在該編輯窗口的左側(cè)顯示區(qū)域，用鼠標(biāo)依次選中“本地計算機策略”、“計算機配置”、“Windows設(shè)置”、“安全設(shè)置”、“本地策略”、“安全選項”項目，在“安全選項”項目所對應(yīng)的右側(cè)列表區(qū)域中，找到“網(wǎng)絡(luò)訪問：不允許SAM帳號和共享的匿名枚舉”選項，并用鼠標(biāo)雙擊該選項，打開如圖3所示的組策略屬性設(shè)置對話框;

下面檢查一下該對話框中的“已啟用”選項是否處于選中狀態(tài)，要是發(fā)現(xiàn)該選項還沒有被啟用的話，那我們必須重新將它選中，最后單擊“確定”按鈕，如此一來本地工作站中的共享資源訪問密碼就不大容易被暴力破解了。#p#

4、限制運行特定程序

無論是系統(tǒng)自帶的防火墻還是第三方防火墻都具有限制運行特定應(yīng)用程序的功能，該功能能夠有效地限制外人在自己的工作站中隨意運行應(yīng)用程序，比方說當(dāng)我們不希望他人在自己的工作站中運行FlashGet程序，來隨意從網(wǎng)上下載內(nèi)容時，我們就可以按照下面的操作來實現(xiàn)防火墻所具有的限制運行特定程序的安全“護衛(wèi)”目的：

首先依次單擊本地工作站系統(tǒng)桌面中的“開始”、“運行”菜單命令，從彈出的系統(tǒng)運行對話框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開本地系統(tǒng)的組策略編輯窗口;

其次將鼠標(biāo)定位于編輯窗口左側(cè)的“計算機配置”分支上，再用鼠標(biāo)依次選中該分支下面的“Windows設(shè)置”、“安全設(shè)置”、“軟件限制策略”、“其他規(guī)則”項目，在“其他規(guī)則”項目所對應(yīng)的右側(cè)顯示區(qū)域中，用鼠標(biāo)右鍵單擊空白區(qū)域處，從彈出的快捷菜單中單擊“新路徑規(guī)則”命令，打開如圖4所示的設(shè)置對話框;

下面，在該對話框的“路徑”文本框中輸入FlashGet程序的具體路徑，或者直接單擊“瀏覽”按鈕，進入到FlashGet程序所在的文件夾，從中選擇FlashGet.exe文件;之后單擊“安全級別”處的下拉按鈕，從彈出的下拉列表中選擇“不允許的”選項，最后單擊“確定”按鈕，這樣一來本地工作站就不允許用戶隨意使用FlashGet程序來下載內(nèi)容了。#p#

5、提高內(nèi)置防火墻安全性能

Windows系統(tǒng)自帶的防火墻在默認狀態(tài)下，與一些專業(yè)的第三方防火墻在安全性能方面還是有不小的差距;不過，我們只要對系統(tǒng)的組策略進行有針對性地修改，就能有效提高系統(tǒng)內(nèi)置防火墻的安全性能：

首先依次單擊本地工作站系統(tǒng)桌面中的“開始”、“運行”菜單命令，從彈出的系統(tǒng)運行對話框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開本地系統(tǒng)的組策略編輯窗口;

其次將鼠標(biāo)定位于編輯窗口左側(cè)的“計算機配置”分支上，再用鼠標(biāo)依次選中該分支下面的“管理模板”、“網(wǎng)絡(luò)”、“網(wǎng)絡(luò)連接”、“Windows防火墻”、“標(biāo)準(zhǔn)配置文件”選項，在對應(yīng)“標(biāo)準(zhǔn)配置文件”選項的右側(cè)顯示區(qū)域中雙擊“Windows防火墻：保護所有網(wǎng)絡(luò)連接”項目，打開如圖5所示的組策略屬性設(shè)置對話框;

下面檢查一下該對話框中的“已啟用”選項是否處于選中狀態(tài)，要是發(fā)現(xiàn)該選項還沒有被啟用的話，那我們必須重新將它選中，最后單擊“確定”按鈕，這樣的話我們就能防止他人隨意關(guān)閉本地防火墻，從而給工作站系統(tǒng)帶來安全威脅了。

此外，我們還可以將“Windows防火墻：允許UPnP框架例外”功能啟用起來，將“Windows防火墻：允許文件和打印機共享例外”功能啟用起來，這些功能都能充分發(fā)揮防火墻的安全“護衛(wèi)”作用。

【編輯推薦】

1. 網(wǎng)絡(luò)管理向系統(tǒng)組策略要安全
2. 用組策略加固網(wǎng)絡(luò)