與傳統(tǒng)操作系統(tǒng)相比，Win2008系統(tǒng)的安全防范功能更加強大，安全防護能力自然也是高人一等，我們只要在平時善于使用該系統(tǒng)新增的各項安全防范功能，完全可以實現(xiàn)更高級別的安全保護目的?，F(xiàn)在，本文就為大家貢獻幾則Win2008系統(tǒng)新增安全功能的應(yīng)用技巧，相信下面的內(nèi)容，一定能夠讓大家從中得到幫助!

1、網(wǎng)絡(luò)訪問保護功能控制安全連接

如果局域網(wǎng)中有一臺計算機感染了病毒，那么整個局域網(wǎng)就會存在所有計算機都被“傳染”病毒的危險。為了在局域網(wǎng)中控制普通計算機的接入安全，我們可以利用Win2008系統(tǒng)特有的網(wǎng)絡(luò)訪問保護功能，來禁止存在安全威脅的計算機自由接入局域網(wǎng)網(wǎng)絡(luò)，下面就是具體的實現(xiàn)操作步驟：

首先安裝網(wǎng)絡(luò)訪問保護功能;打開Win2008系統(tǒng)的“開始”菜單，從中依次選擇“程序”/“管理工具”/“服務(wù)器管理器”命令，從其后出現(xiàn)的服務(wù)器管理器窗口左側(cè)區(qū)域單擊“角色”節(jié)點選項，并在對應(yīng)該節(jié)點的右側(cè)顯示區(qū)域單擊“添加角色”功能，打開角色添加向?qū)Т翱?，依照提示將“網(wǎng)絡(luò)策略和訪問服務(wù)”項目選中，之后點擊“安裝”按鈕，再按向?qū)J設(shè)置完成網(wǎng)絡(luò)訪問保護功能的安裝任務(wù);

其次創(chuàng)建健康安全標準;在進行這種操作時，我們可以先單擊系統(tǒng)任務(wù)欄中的“服務(wù)器管理器”按鈕，從彈出的服務(wù)器管理器窗口左側(cè)區(qū)域處逐一點選“角色”、“網(wǎng)絡(luò)策略和訪問服務(wù)”、“NPS”、“網(wǎng)絡(luò)訪問保護”、“系統(tǒng)健康驗證器”節(jié)點選項，再單擊目標選項右側(cè)區(qū)域中的“屬性”按鈕，打開安全健康驗證對話框，點選“配置”按鈕，選中常規(guī)的“防病毒應(yīng)用程序已啟用”、“已為所有網(wǎng)絡(luò)連接啟用防火墻”、“防病毒程序為最新的”等幾種健康安全標準(如圖1所示)，以后任何需要連接到局域網(wǎng)中的計算機必須同時符合上面的健康標準，Win2008系統(tǒng)才會認為它是健康、安全的計算機;

ppp

接著創(chuàng)建安全驗證策略;在創(chuàng)建健康的安全驗證策略時，我們可以先將鼠標定位于服務(wù)器管理器窗口左側(cè)區(qū)域中的“網(wǎng)絡(luò)策略服務(wù)器”節(jié)點選項，再從目標節(jié)點下面逐一展開“策略”、“健康策略”分支，在目標分支下面再點選“新建”按鈕，從彈出的安全驗證策略對話框中將新的“策略名稱”設(shè)置為“健康計算機”，將“客戶端SHV檢查”參數(shù)設(shè)置為“客戶端通過了所有SHV檢查”，將“此健康策略中使用的SHV”參數(shù)選擇為“Windows安全健康驗證程序”，最后單擊“確定”按鈕結(jié)束健康的安全驗證策略創(chuàng)建操作;按照同樣的操作步驟，我們還可以創(chuàng)建一個不健康的安全驗證策略，只是在創(chuàng)建這種策略時，我們必須將“客戶端SHV檢查”參數(shù)選擇為“客戶端未能通過一個或多個SHV檢查”，其余參數(shù)都和上面相同就可以了;

下面創(chuàng)建新的網(wǎng)絡(luò)連接策略;將鼠標先定位于服務(wù)器管理器窗口左側(cè)區(qū)域處“網(wǎng)絡(luò)策略和訪問服務(wù)”節(jié)點上，并從該節(jié)點下面依次點選“NPS”、“策略”、“網(wǎng)絡(luò)策略”選項，從目標選項下面點選“新建”按鈕，此時系統(tǒng)屏幕上會出現(xiàn)一個如圖2所示的創(chuàng)建網(wǎng)絡(luò)連接策略向?qū)Т翱?在這里將“策略名稱”參數(shù)設(shè)置為“健康連接”，將“網(wǎng)絡(luò)訪問服務(wù)器類型”選項選擇為“DHCP Server”，再從其后界面中單擊“添加”按鈕，同時將“選擇條件”選擇為先前創(chuàng)建好的“健康計算機”策略，再根據(jù)向?qū)J提示逐一點選“已授予訪問權(quán)限”、“僅執(zhí)行計算機健康檢查”設(shè)置選項，最后再將“策略設(shè)置”參數(shù)設(shè)置為“NAP強制允許完全網(wǎng)絡(luò)訪問”，同時單擊“完成”按鈕結(jié)束網(wǎng)絡(luò)連接策略創(chuàng)建工作。再按照相同的操作步驟，我們創(chuàng)建一個“不健康連接”的網(wǎng)絡(luò)策略，只是在進行這種操作時，我們必須將“選擇條件”參數(shù)選擇為“不健康計算機”策略，并且將“策略設(shè)置”參數(shù)設(shè)置為“拒絕訪問”選項，其余參數(shù)跟上面一模一樣;

最后需要對DHCP服務(wù)功能進行設(shè)置;考慮到普通計算機在訪問網(wǎng)絡(luò)時，首先需要聯(lián)系局域網(wǎng)中的DHCP服務(wù)器，因此我們還必須設(shè)置好合適的DHCP服務(wù)參數(shù)，保證所有計算機的上網(wǎng)連接請求通過DHCP功能轉(zhuǎn)交給Win2008系統(tǒng)的網(wǎng)絡(luò)訪問保護功能進行處理。依次單擊服務(wù)器系統(tǒng)桌面中的“開始”/“程序”/“管理工具”/“服務(wù)器管理器”/“DHCP”選項，進入DHCP服務(wù)器控制臺界面，打開目標作用域的屬性界面，點選該界面中的“網(wǎng)絡(luò)訪問保護”選項卡，在對應(yīng)選項設(shè)置頁面中選中“對此作用域啟用”選項，同時選中“使用默認網(wǎng)絡(luò)訪問保護配置文件”，最后單擊”確定“按鈕執(zhí)行設(shè)置保存操作。

完成上面的各項設(shè)置任務(wù)后，我們?nèi)蘸笾恍枰獙⒋尤氲骄钟蚓W(wǎng)網(wǎng)絡(luò)中的普通計算機設(shè)置成“自動獲得IP地址”，那么該計算機的網(wǎng)絡(luò)連接就會受到Win2008系統(tǒng)網(wǎng)絡(luò)訪問保護功能的控制了，如此一來網(wǎng)絡(luò)病毒或木馬日后就不能通過局域網(wǎng)網(wǎng)絡(luò)隨意“傳染”給其他普通計算機了，此時整個局域網(wǎng)網(wǎng)絡(luò)的運行安全性就能得到有效保證了。

2、高級安全防火墻控制惡意下載

在管理、維護局域網(wǎng)的過程中，網(wǎng)絡(luò)管理員或許經(jīng)常會遇到這樣的一種現(xiàn)象，那就是一些不自覺的上網(wǎng)用戶往往會在局域網(wǎng)中偷偷使用電騾、迅雷這樣的P2P工具，來下載大容量的電影或其他多媒體數(shù)據(jù)，這種惡意下載操作消耗掉了局域網(wǎng)中有限的寶貴帶寬資源，并且很容易造成整個局域網(wǎng)網(wǎng)絡(luò)不能穩(wěn)定地運行。事實上，我們可以利用Win2008系統(tǒng)新增加的高級安全防火墻功能，來控制惡意下載行為;考慮到迅雷這樣的P2P工具在進行惡意下載操作時，會通過系統(tǒng)的3077，3078端口對外進行網(wǎng)絡(luò)通信，我們只要讓高級安全防火墻功能限制3077，3078端口對外進行網(wǎng)絡(luò)通信，就能實現(xiàn)阻止上網(wǎng)用戶偷偷使用迅雷這樣的P2P工具進行惡意下載了。現(xiàn)在，我們就利用Win2008系統(tǒng)的高級安全防火墻功能創(chuàng)建安全訪問規(guī)則，禁止電騾、迅雷這樣的P2P工具進行下載連接：

首先以系統(tǒng)管理員權(quán)限進入Win2008系統(tǒng)桌面，依次點選“開始”菜單中的“程序”、“管理工具”、“服務(wù)器管理器”命令，從其后出現(xiàn)的服務(wù)器管理器窗口左側(cè)位置處，將鼠標定位于“配置”節(jié)點選項上，再選中目標節(jié)點選項下面的“高級安全防火墻”項目;

其次打開“高級安全防火墻”配置界面，在該界面左側(cè)位置處點選“出站規(guī)則”功能選項，再從對應(yīng)該功能選項的右側(cè)位置處點選“新規(guī)則”功能選項，打開安全出站規(guī)則創(chuàng)建向?qū)υ捒颍斚驅(qū)υ捒蛟儐栁覀円M行何種類型的控制操作時，我們應(yīng)該選中這里的“端口”選項，以便讓高級安全防火墻功能對本地計算機中3077、3078端口的網(wǎng)絡(luò)連接進行限制;

接著單擊“下一步”按鈕，在其后出現(xiàn)的向?qū)гO(shè)置對話框中選中“TCP”功能選項，并且選中“特定本地端口”選項，此時“特定本地端口”文本框會被自動激活，在該文本框中直接輸入“3077，3078”端口號碼，如圖3所示;

再單擊“下一步”按鈕后，向?qū)聊粫棾鎏崾驹儐枴斑B接符合指定條件時應(yīng)該進行什么操作”，這個時候我們必須將“阻止連接”功能選項選中，之后設(shè)置好該安全規(guī)則具體的應(yīng)用范圍，在這里我們可以同時選中“域”、“專用”、“公用”這幾種應(yīng)用環(huán)境，最后為新創(chuàng)建的出站規(guī)則設(shè)置一個合適的名稱，再單擊“完成”按鈕結(jié)束安全出站規(guī)則的創(chuàng)建工作，這樣的話任何一位上網(wǎng)用戶在本地Win2008系統(tǒng)中嘗試進行惡意下載時，Win2008系統(tǒng)自帶的高級安全防火墻功能就對自動對這樣的惡意下載進行攔截，那么本地網(wǎng)絡(luò)的運行穩(wěn)定性自然也就能得到有效保證了。

3、網(wǎng)絡(luò)身份驗證功能控制遠程連接

為了提高工作效率，很多網(wǎng)絡(luò)管理員總喜歡通過遠程桌面功能來與局域網(wǎng)中的重要服務(wù)器或計算機建立遠程連接，以便在局域網(wǎng)中的任何位置都能象在本地那樣來控制遠程服務(wù)器或計算機;這種遠程控制功能雖然給網(wǎng)絡(luò)管理員帶來了方便，但是同時也給非法攻擊者提供了一種新的非法入侵“通道”。為了提高服務(wù)器系統(tǒng)的安全性能，Win2008系統(tǒng)新推出了網(wǎng)絡(luò)身份驗證功能，該功能可以很好地預(yù)防非法攻擊者隨意從局域網(wǎng)中的任意一臺計算機對目標服務(wù)器系統(tǒng)建立遠程連接，一旦啟用了該功能后，網(wǎng)絡(luò)管理員必須在Vista、Win2008系統(tǒng)環(huán)境下才能通過遠程桌面功能與Win2008服務(wù)器建立遠程連接，其他普通計算機系統(tǒng)都不能與Win2008服務(wù)器系統(tǒng)建立遠程連接，這無形之中自然會提高Win2008服務(wù)器系統(tǒng)的運行安全性。在啟用Win2008服務(wù)器系統(tǒng)的網(wǎng)絡(luò)身份驗證功能時，我們可以按照下面的設(shè)置來操作：

首先以特權(quán)賬號登錄進入Win2008系統(tǒng)桌面，單擊該系統(tǒng)任務(wù)欄中的“服務(wù)器管理器”功能按鈕，打開對應(yīng)系統(tǒng)的服務(wù)器管理器控制臺窗口，選中該窗口左側(cè)位置處的“服務(wù)器管理”節(jié)點選項，在目標節(jié)點選項下面的“服務(wù)器摘要”設(shè)置項處點選“配置遠程桌面”選項，進入對應(yīng)系統(tǒng)的遠程桌面設(shè)置對話框;

其次在該設(shè)置對話框的“遠程桌面”位置處，檢查“只允許運行帶網(wǎng)絡(luò)級身份驗證的遠程桌面的計算機連接”選項是否處于選中狀態(tài)，如果發(fā)現(xiàn)該功能還沒有處于選中狀態(tài)時，那么局域網(wǎng)中的任意用戶可以從任意一臺計算機中來遠程連接Win2008服務(wù)器系統(tǒng);為了控制用戶隨意對Win2008服務(wù)器系統(tǒng)進行遠程連接，我們必須將“只允許運行帶網(wǎng)絡(luò)級身份驗證的遠程桌面的計算機連接”選項重新選中，再單擊“確定”按鈕保存好上述設(shè)置操作，這么一來遠程桌面連接日后就會受到網(wǎng)絡(luò)身份驗證功能的保護了。

4、數(shù)據(jù)執(zhí)行保護功能控制程序連接

Internet中的一些網(wǎng)絡(luò)病毒或木馬，時常會通過安裝在Win2008系統(tǒng)中的一些應(yīng)用程序漏洞，來對本地計算機系統(tǒng)進行非法攻擊;為了讓應(yīng)用程序連接網(wǎng)絡(luò)更加安全，我們可以利用Win2008系統(tǒng)自帶的數(shù)據(jù)執(zhí)行保護功能來保護目標應(yīng)用程序，下面就是具體的實現(xiàn)步驟：

首先在Win2008系統(tǒng)桌面中，用鼠標右鍵單擊“計算機”圖標，從彈出的快捷菜單中點選“屬性”命令，打開對應(yīng)系統(tǒng)的屬性設(shè)置窗口，在該設(shè)置窗口的左側(cè)位置處，點選“高級系統(tǒng)設(shè)置”按鈕，進入Win2008系統(tǒng)的高級屬性設(shè)置對話框;

其次在該設(shè)置對話框的“性能”位置處點擊“設(shè)置”按鈕，進入Win2008系統(tǒng)的性能選項設(shè)置對話框，單擊其中的“數(shù)據(jù)執(zhí)行保護”選項卡，在其后出現(xiàn)的選項設(shè)置頁面中，看看“為除下列選定程序之外的所有程序和服務(wù)啟用”列表中是否存在目標應(yīng)用程序，一旦發(fā)現(xiàn)它存在的話，那就說明該應(yīng)用程序日后在進行網(wǎng)絡(luò)連接時不會受到數(shù)據(jù)執(zhí)行保護功能的安全保護，此時我們必須選中該目標應(yīng)用程序，同時單擊“刪除”按鈕，再單擊“確定”按鈕結(jié)束數(shù)據(jù)執(zhí)行保護設(shè)置操作，這么一來目標應(yīng)用程序日后在連接網(wǎng)絡(luò)時就會自動受到Win2008系統(tǒng)自帶的數(shù)據(jù)執(zhí)行保護功能的保護了。

5、密碼保護共享功能控制共享連接

為了讓W(xué)in2008系統(tǒng)中的重要資源與他人交流分享，很多人都會直接將重要資源設(shè)置成共享狀態(tài)，其他人通過共享訪問就能看到自己的重要資源了;不過，相當一部分人在設(shè)置共享文件夾時，常常會忘記設(shè)置共享訪問密碼，從而給局域網(wǎng)中的非法用戶提供了可乘之機。為了保護共享資源的安全，我們可以啟用Win2008系統(tǒng)的密碼保護共享功能，強行要求用戶必須為共享文件夾設(shè)置訪問密碼，日后只有知道共享密碼的用戶才能看到自己的共享內(nèi)容，下面就是具體的設(shè)置步驟：

首先在Win2008系統(tǒng)桌面中，依次單擊“開始”/“設(shè)置”/“控制面板”命令，在彈出的系統(tǒng)控制面板窗口中雙擊網(wǎng)絡(luò)和共享中心圖標，打開網(wǎng)絡(luò)和共享中心控制窗口;

其次從該控制窗口中展開“共享和發(fā)現(xiàn)”位置處的“密碼保護的共享”設(shè)置區(qū)域，選中對應(yīng)區(qū)域中的“密碼保護的共享”選項，再單擊“應(yīng)用”按鈕，這么一來共享訪問操作日后就必須需要輸入訪問密碼了，那么共享訪問安全性自然也就能得到有效保證了。

【編輯推薦】

1. 解除遠程桌面管理Windows Server 2008重重關(guān)卡(圖)
2. 策略Windows Server 2008系統(tǒng)安全
3. 掃清Windows Server 2008共享障礙