WindowsServer2008在安全性和可靠性方面有很多的提升，就安全策略管理方面就可以明顯看到增加了很多內(nèi)容，我們僅從截圖就明顯的可以比較出來。

Windows2003域安全設置圖 Windows2008域安全設置圖
 

從上面兩圖可以明顯看出Windows2008系統(tǒng)的安全設置比Windows2003系統(tǒng)多了高級安全Windows防火墻、網(wǎng)絡訪問保護、應用程序控制策略、高級審核策略配置等幾大類設置，當然相同設置中也有小的變化。而這些增加的項目對我們?nèi)粘５墓芾硎怯泻艽髱椭?。下面分別簡述之。

一、高級安全Windows防火墻。

大家都知道現(xiàn)在網(wǎng)絡上的危險無處不在。有各種各樣的風險（病毒、木馬、釣魚、暴力破解、誤操作、惡意刪改等等問題。）同時安全保護也是一個非常復雜的系統(tǒng)工程。微軟提出安全是要進行縱深防御多層次保護的。就像我們不能只靠小區(qū)門衛(wèi)保護我們家的安全，萬一小區(qū)門衛(wèi)疏忽了，而我們的家沒有鎖。還是會造成損失的。所以我們實際生活中有小區(qū)門衛(wèi)、小區(qū)監(jiān)控、防盜門、房門等多重防范。有一層出了問題并不會導致全線崩潰。對計算機網(wǎng)絡系統(tǒng)也是如此。公司對外有專門的防火墻保證內(nèi)網(wǎng)的安全。有專門的殺毒軟件負責殺毒?？晒馐沁@些就一定安全了嗎？其實不然，有句老話是“家賊難防”，我們也常會說堡壘總是從內(nèi)部被攻破的。實際上就算外部的威脅防住了，網(wǎng)絡內(nèi)部的危險還是很多。如內(nèi)部員工誤操作、惡意破壞等，當然有的問題我們可以通過增強其他方面的設置來解決如權(quán)限控制、加密等。當然還有一些內(nèi)部網(wǎng)絡上的問題，如果內(nèi)部某個員工用某些黑客工具進行惡意操作、用某些P2P軟件下載大量占用帶寬，由于計算機已經(jīng)在內(nèi)部網(wǎng)絡，公司對外的防火墻就很難控制了。而Windows2008系統(tǒng)中的高級安全Windows防火墻就可以發(fā)揮作用了。高級安全Windows防火墻將主機防火墻和Internet協(xié)議安全性(IPsec)結(jié)合在一起。與邊界防火墻不同，高級安全Windows防火墻在每臺運行此版本W(wǎng)indows的計算機上運行，并對可能穿越邊界網(wǎng)絡或源于組織內(nèi)部的網(wǎng)絡攻擊提供本地保護。通過允許您要求對通信進行身份驗證和數(shù)據(jù)保護，它還提供計算機到計算機的連接安全。高級安全Windows防火墻專供需要在企業(yè)環(huán)境中管理網(wǎng)絡安全的IT管理員使用。它不適于在家庭網(wǎng)絡中使用。家庭用戶應考慮使用“控制面板”中提供的“Windows防火墻”程序。舉例來說：公司中如果有員工偷偷使用P2P工具下載電影、游戲，大量占用帶寬，影響公司網(wǎng)絡正常使用就可用高級安全Windows防火墻進行控制：
考慮到P2P工具在進行惡意下載操作時，會通過系統(tǒng)的3077，3078端口對外進行網(wǎng)絡通信，我們只要讓高級安全防火墻功能限制3077，3078端口對外進行網(wǎng)絡通信，就能實現(xiàn)阻止上網(wǎng)用戶偷偷使用迅雷這樣的P2P工具進行惡意下載了?，F(xiàn)在，我們就利用Win2008系統(tǒng)的高級安全防火墻功能創(chuàng)建安全訪問規(guī)則，禁止P2P工具進行下載連接：
首先以系統(tǒng)管理員權(quán)限進入Win2008系統(tǒng)桌面，依次點選“開始”菜單中的“程序”、“管理工具”、“服務器管理器”命令，從其后出現(xiàn)的服務器管理器窗口左側(cè)位置處，將鼠標定位于“配置”節(jié)點選項上，再選中目標節(jié)點選項下面的“高級安全防火墻”項目;

其次打開“高級安全防火墻”配置界面，在該界面左側(cè)位置處點選“出站規(guī)則”功能選項，再從對應該功能選項的右側(cè)位置處點選“新規(guī)則”功能選項，打開安全出站規(guī)則創(chuàng)建向?qū)υ捒?，當向?qū)υ捒蛟儐栁覀円M行何種類型的控制操作時，我們應該選中這里的“端口”選項，以便讓高級安全防火墻功能對本地計算機中3077、3078端口的網(wǎng)絡連接進行限制;

接著單擊“下一步”按鈕，在其后出現(xiàn)的向?qū)гO置對話框中選中“TCP”功能選項，并且選中“特定本地端口”選項，此時“特定本地端口”文本框會被自動激活，在該文本框中直接輸入“3077，3078”端口號碼，
再單擊“下一步”按鈕后，向?qū)聊粫棾鎏崾驹儐?ldquo;連接符合指定條件時應該進行什么操作”，這個時候我們必須將“阻止連接”功能選項選中，之后設置好該安全規(guī)則具體的應用范圍，在這里我們可以同時選中“域”、“專用”、“公用”這幾種應用環(huán)境，最后為新創(chuàng)建的出站規(guī)則設置一個合適的名稱，再單擊“完成”按鈕結(jié)束安全出站規(guī)則的創(chuàng)建工作，這樣的話任何一位上網(wǎng)用戶在本地Win2008系統(tǒng)中嘗試進行惡意下載時，Win2008系統(tǒng)自帶的高級安全防火墻功能就對自動對這樣的惡意下載進行攔截，那么本地網(wǎng)絡的運行穩(wěn)定性自然也就能得到有效保證了。
當然除了端口協(xié)議可以控制，還可以根據(jù)應用程序、用戶、計算機、IP地址范圍及驗證方式等多方面進行控制，非常靈活。由于可以通過組策略進行設置。不需要用戶在每臺計算機上在進行安裝設置（以前可需要在客戶機上裝個人防火墻軟件），大大減輕了管理工作量

二．網(wǎng)絡訪問保護策略（NPS）

公司里有很多人用移動辦公設備，很可能各種問題：如病毒庫更新不及時、系統(tǒng)補丁沒有安裝等情況，當這樣狀態(tài)不健康的計算機接入公司內(nèi)網(wǎng)后，可能給公司網(wǎng)絡帶來危險。這時就可用NPS把關(guān)了。當然要實現(xiàn)網(wǎng)絡訪問保護策略要先安裝NPS服務，管理員可通過“服務器管理器”中的“角色添加”向?qū)止ぬ砑覰PS服務。進而在DHCP服務中進行相應設置。就可以配置NPS策略。NPS策略包含四部分的內(nèi)容，分別為：網(wǎng)絡健康驗證器、更新服務器組、健康策略和網(wǎng)絡策略，將對加入到公司網(wǎng)絡的計算機進行驗證、隔離、補救以及健康策略審核。

NAP部署后，當外出用戶回到公司登錄到公司的網(wǎng)絡時，首先進行客戶端檢測，沒有安裝最新病毒庫的計算機，自動連接到病毒庫更新服務器升級病毒庫;沒有安裝系統(tǒng)補丁的計算機，自動連接到WSUS服務器升級補丁;沒有啟用防火墻的計算機，提示客戶端啟用防火墻。當以上條件滿足后，允許客戶端連接到內(nèi)部網(wǎng)絡中，最大限度地保證網(wǎng)絡安全。

三.應用程序控制策略（AppLocker）

AppLocker是Windows7中的新功能，WindowsServer2008R2中可用于取代了軟件限制策略功能。AppLocker包含減少管理開銷的新功能和擴展（如可執(zhí)行文件、腳本、WindowsInstaller文件和DLL），幫助管理員控制用戶如何訪問和使用文件。使用AppLocker，您可以：1.基于從數(shù)字簽名派生的文件屬性（包括發(fā)布者、產(chǎn)品名稱、文件名和文件版本）定義規(guī)則。例如，可以根據(jù)更新過程中持續(xù)存在的發(fā)布者屬性創(chuàng)建規(guī)則，或者為特定版本的文件創(chuàng)建規(guī)則。2.向安全組或單個用戶分配規(guī)則。3.創(chuàng)建規(guī)則的例外。例如，可以創(chuàng)建一個規(guī)則，允許除注冊表編輯器（Regedit.exe）之外的所有Windows進程運行。4.使用僅審核模式部署策略并了解其影響，然后再強制該策略。5.導入和導出規(guī)則。導入和導出影響整個策略。例如，如果導出策略，則會導出所有規(guī)則集合中的所有規(guī)則，包括規(guī)則集合的強制設置。如果導入策略，則會覆蓋現(xiàn)有策略。6.使用AppLockerPowerShellcmdlet簡化AppLocker規(guī)則的創(chuàng)建和管理。
通過應用程序控制策略可以很容易做到：1.減少運行惡意軟件的機會，因為我們可以限制用戶運行這些應用程序（可以直接對某些可疑用戶進行限制，以前的軟件限制策略是對所有用戶）。2.可以很好地消除一些應用程序兼容性的問題，我們可以設置只運行比設定的版本號更新的應用程序。3.可以有效地提升我們的工作效率，防止和工作無關(guān)的應用程序占用太多系統(tǒng)資源，浪費無謂的工作時間。雖然AppLocker也可以通過Windows7系統(tǒng)本地設置，不過由Windows2008的域環(huán)境中的組策略設置顯然更方便管理網(wǎng)絡環(huán)境中的計算機。

簡單介紹了Windows2008系統(tǒng)中新增的部分安全設置，已經(jīng)可以看到有了這些安全策略的設置可以大大方便我們的日常管理作業(yè)。當然要想管理好，還要對這些新增策略進行更多的學習與研究試驗，才能在實際工作中把它們用得更好。

【編輯推薦】

1. Windows Server 2008 R2 與UNIX環(huán)境整合之SUA
2. 優(yōu)秀的接班人——Windows Server 2008
3. Windows Server 2008 R2虛擬化有效幫助企業(yè)降低運營成本
4. Windows Server 2008組策略安全實踐手冊
5. IIS7在Windows Server 2008 R2中的技術(shù)革新