組策略的功能強大是每個系統(tǒng)管理員眾所周知的，下文就是介紹如何巧用組策略來確保我們的網(wǎng)絡安全。

“為了達到護駕”本地網(wǎng)絡安全的目的，不少網(wǎng)絡管理人員常常會“請”一些專業(yè)的網(wǎng)絡安全防范工具，來加強本地系統(tǒng)或網(wǎng)絡的安全防范能力。不過現(xiàn)在多數(shù)專業(yè)網(wǎng)絡安全防范工具都需要耗費我們不少的銀子，況且它們的某些安全防范“本領(lǐng)”并不能讓我們感到十分滿意，在這種情形下，我們能否從自我出發(fā)，依靠自身的力量來全力保護本地網(wǎng)絡安全呢?事實上，我們只要“請出”組策略這一有效武器，就能高效“護駕”好本地網(wǎng)絡安全!

1、將防火墻鎖得更牢靠

我們知道，將防火墻程序啟用起來可以有效地保護本地系統(tǒng)以及網(wǎng)絡的安全，可是這么一來有許多應用程序可能無法正常運行，為此許多人常常擅自做主地將防火墻程序關(guān)閉掉，這么一來本地網(wǎng)絡或系統(tǒng)將會受到極大的安全威脅。那么有什么辦法能將啟用起來的防火墻程序鎖定起來，以防止普通用戶隨意篡改呢?其實，我們只要在Windows XP工作站中，通過修改系統(tǒng)的相關(guān)組策略，就能達到阻止他人隨意關(guān)閉防火墻程序，從而實現(xiàn)保護本地網(wǎng)絡或系統(tǒng)安全的目的了，下面就是該方法的具體操作步驟：

首先單擊Windows XP系統(tǒng)桌面中的“開始”按鈕，從彈出的系統(tǒng)“開始”菜單中執(zhí)行“運行”命令，打開本地系統(tǒng)的運行對話框，在其中輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開本地工作站的系統(tǒng)組策略編輯窗口;

其次在該組策略編輯窗口的左側(cè)列表區(qū)域，用鼠標雙擊其中的“計算機配置”項目，在隨后展開的組策略分支下面，依次選中“管理模板”、“網(wǎng)絡”、“網(wǎng)絡連接”選項，在“網(wǎng)絡連接”選項下面我們看到有“域配置文件”子項和“標準配置文件”子項，倘若本地工作站位于局域網(wǎng)某個域中的話，那我們可以選中“域配置文件”子項，在對應該子項的右側(cè)列表區(qū)域中，用鼠標雙擊“Windows防火墻：保護所有網(wǎng)絡連接”項目，打開如圖1所示的組策略屬性設(shè)置窗口;選中該設(shè)置窗口的“已啟用”選項，并單擊“確定”按鈕，這么一來當我們?nèi)蘸笤俅未蜷_防火墻程序的屬性設(shè)置窗口時，我們會看到其中的“啟用”選項處于灰色調(diào)不可修改狀態(tài)，這也就意味著其他人無法隨意關(guān)閉防火墻程序了，那樣的話本地網(wǎng)絡的安全就得到了有效保證!

圖1

2、謹防小孩偷偷上網(wǎng)沖浪

在節(jié)假日期間，不少小孩常常趁大人不在家的時候偷偷上網(wǎng)沖浪，瀏覽一些可能給本地系統(tǒng)或網(wǎng)絡造成不安全的網(wǎng)站信息，于是有的大人在出門之前往往會將本地系統(tǒng)中的網(wǎng)絡連接刪除掉，以便讓小孩無法進行正常的ADSL撥號上網(wǎng)連接;不過這種方法對那些熟悉網(wǎng)絡的小孩來說用處并不明顯，因為這些小孩往往會自動動手重新創(chuàng)建新的網(wǎng)絡連接。事實上，我們完全可以通過修改系統(tǒng)組策略的方法，來阻止小孩在本地系統(tǒng)中隨意創(chuàng)建網(wǎng)絡連接，從而確保本地系統(tǒng)或網(wǎng)絡不受非法網(wǎng)站信息的攻擊，下面就是該方法的具體實現(xiàn)步驟：

首先單擊Windows XP系統(tǒng)桌面中的“開始”按鈕，從彈出的系統(tǒng)“開始”菜單中執(zhí)行“運行”命令，打開本地系統(tǒng)的運行對話框，在其中輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開本地工作站的系統(tǒng)組策略編輯窗口;

其次在該組策略編輯窗口的左側(cè)列表區(qū)域，用鼠標雙擊其中的“用戶配置”項目，在隨后展開的組策略分支下面，依次選中“管理模板”、“網(wǎng)絡”、“網(wǎng)絡連接”選項，在“網(wǎng)絡連接”選項對應的右側(cè)列表區(qū)域中，用鼠標雙擊“禁止訪問‘新建連接向?qū)?rsquo;”項目，打開如圖2所示的組策略屬性設(shè)置窗口;選中該設(shè)置窗口的“已啟用”選項，并單擊“確定”按鈕，如此一來當小孩嘗試自己創(chuàng)建新的撥號網(wǎng)絡連接時，系統(tǒng)就會彈出無權(quán)創(chuàng)建網(wǎng)絡連接的提示，那樣的話小孩就不能隨意訪問網(wǎng)站信息，本地的網(wǎng)絡或系統(tǒng)也就不容易受到非法網(wǎng)站信息的攻擊或破壞了。

圖2

3、拒絕共享資源對外開放

局域網(wǎng)網(wǎng)絡中的每臺計算機使用的操作系統(tǒng)可能并不完全相同，有的使用的是Windows XP操作系統(tǒng)，有的使用的是Windows 2000系統(tǒng)或Windows 2003系統(tǒng)，甚至有的計算機還在一直使用Windows 98系統(tǒng)。在缺省狀態(tài)下，Windows 2000以上版本的計算機系統(tǒng)是拒絕Windows 98計算機系統(tǒng)通過來賓身份訪問共享資源的，所以不少網(wǎng)絡管理人員為方便交換文件，往往會直接啟用本地的來賓帳號，允許任意一位用戶都能從Windows 98系統(tǒng)訪問其他計算機中的共享資源。不過這么一來，其他計算機系統(tǒng)之間的共享資源也相互對外開放了，很明顯這種開放會給局域網(wǎng)共享資源的安全性帶來很大威脅;有鑒于此，我們應該阻止任何人員隨意啟用來賓帳號，以確保本地共享資源不隨意對外開放，下面就是禁止任何來賓隨意訪問共享資源的具體操作步驟：

首先單擊系統(tǒng)桌面中的“開始”按鈕，從彈出的系統(tǒng)“開始”菜單中執(zhí)行“運行”命令，打開本地系統(tǒng)的運行對話框，在其中輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開本地工作站的系統(tǒng)組策略編輯窗口;

其次在該組策略編輯窗口的左側(cè)列表區(qū)域，用鼠標雙擊其中的“計算機配置”項目，在隨后展開的組策略分支下面，依次選中“Windows設(shè)置”、“安全設(shè)置”、“本地策略”、“用戶權(quán)限分配”選項，在“用戶權(quán)限分配”選項對應的右側(cè)列表區(qū)域中，用鼠標雙擊“拒絕從網(wǎng)絡訪問這臺計算機”項目，打開如圖3所示的組策略屬性設(shè)置窗口;

圖3

在該設(shè)置窗口中，認真檢查一下Guest帳號是否存在，要是沒有找到該帳號的話，那么我們可以單擊其中的“添加用戶或組”按鈕，打開“選擇用戶或組”對話框，然后將Guest帳號選中并添加進來，再單擊“確定”按鈕，這么一來任何來賓用戶都不能隨意訪問本地局域網(wǎng)網(wǎng)絡中的共享資源了。

4、阻止暴力破解共享密碼

Windows XP工作站系統(tǒng)在默認狀態(tài)下，會允許每一位來訪用戶通過空用戶連接方式得到本地工作站中的所有共享資源列表和所有本地用戶帳號信息，系統(tǒng)開放該功能的原意是為了方便局域網(wǎng)用戶相互之間傳輸、交流共享信息用的;但是我們在充分享受該默認開放功能帶來便利的同時，不少惡意攻擊者也能“趁機”利用該功能來偷偷得到本地所有共享資源和用戶列表信息，一旦得到這些信息后他們就會通過暴力破解方法來獲取用戶核心密碼信息，從而可能給本地系統(tǒng)或網(wǎng)絡帶來極大的安全威脅。為了阻止惡意攻擊者暴力破解共享密碼信息，我們不妨通過下面的操作方法，來拒絕普通用戶通過匿名帳號對共享資源和用戶列表信息的隨意訪問和存?。?/p>

首先單擊系統(tǒng)桌面中的“開始”按鈕，從彈出的系統(tǒng)“開始”菜單中執(zhí)行“運行”命令，打開本地系統(tǒng)的運行對話框，在其中輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開本地工作站的系統(tǒng)組策略編輯窗口;

其次在該組策略編輯窗口的左側(cè)列表區(qū)域，用鼠標雙擊其中的“計算機配置”項目，在隨后展開的組策略分支下面，依次選中“Windows設(shè)置”、“安全設(shè)置”、“本地策略”、“安全選項”項目，在“安全選項”項目對應的右側(cè)列表區(qū)域中，用鼠標雙擊“網(wǎng)絡訪問：不允許SAM賬號和共享的匿名枚舉”項目，打開如圖4所示的組策略屬性設(shè)置窗口;在該設(shè)置窗口中將“已啟用”選中，并單擊“確定”按鈕，如此一來本地工作站日后就會禁止每一位來訪用戶通過空用戶連接方式得到本地工作站中的所有共享資源列表和所有本地用戶帳號信息，從而確保了本地共享資源的訪問密碼不被惡意攻擊者隨意竊取了。

圖4

#p#

5、禁止匿名用戶訪問共享

在Windows XP工作站系統(tǒng)中，匿名用戶在缺省狀態(tài)下一般會擁有和“Everyone”帳號相同的訪問權(quán)限，倘若網(wǎng)絡管理人員隨意給“Everyone”帳號分配比較高的共享資源訪問權(quán)限時，那么這些匿名用戶隨之也會自動獲得對應的共享訪問權(quán)限，很明顯這會給共享資源的安全帶來不小的威脅。為了保證共享資源不對匿名用戶開放，我們必須通過下面的操作方法，來禁止匿名用戶訪問本地網(wǎng)絡中的共享資源：

首先單擊系統(tǒng)桌面中的“開始”按鈕，從彈出的系統(tǒng)“開始”菜單中執(zhí)行“運行”命令，打開本地系統(tǒng)的運行對話框，在其中輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開本地工作站的系統(tǒng)組策略編輯窗口;

其次在該組策略編輯窗口的左側(cè)列表區(qū)域，用鼠標雙擊其中的“計算機配置”項目，在隨后展開的組策略分支下面，依次選中“Windows設(shè)置”、“安全設(shè)置”、“本地策略”、“安全選項”項目，在“安全選項”項目對應的右側(cè)列表區(qū)域中，用鼠標雙擊“網(wǎng)絡訪問：讓每個人權(quán)限應用于匿名用戶”項目，打開如圖5所示的組策略屬性設(shè)置窗口;在該設(shè)置窗口中將“已禁用”選中，并單擊“確定”按鈕，如此一來匿名用戶就沒有足夠權(quán)利訪問到本地局域網(wǎng)中的共享資源了。

圖5

6、斷開所有遠程網(wǎng)絡連接

不少網(wǎng)絡管理人員為了提高服務器的管理效率，常常會開通服務器的遠程訪問連接功能，以便在局域網(wǎng)的任何工作站中都能通過該功能遠程管理服務器。事實上，一旦在Windows服務器系統(tǒng)中開通了遠程訪問連接功能，許多黑客或非法攻擊者也可能利用該功能對服務器進行非法攻擊或破壞。所以，為了將服務器的安全隱患降低到最小限度，我們必須及時切斷所有遠程訪問連接，下面就是具體的實現(xiàn)步驟：

首先單擊系統(tǒng)桌面中的“開始”按鈕，從彈出的系統(tǒng)“開始”菜單中執(zhí)行“運行”命令，打開本地系統(tǒng)的運行對話框，在其中輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開本地工作站的系統(tǒng)組策略編輯窗口;

其次在該組策略編輯窗口的左側(cè)列表區(qū)域，用鼠標雙擊其中的“用戶配置”項目，在隨后展開的組策略分支下面，依次選中“管理模板”、“網(wǎng)絡”、“網(wǎng)絡連接”項目，在“網(wǎng)絡連接”項目對應的右側(cè)列表區(qū)域中，用鼠標雙擊“刪除所有用戶遠程訪問連接”項目，打開如圖6所示的組策略屬性設(shè)置窗口;在該設(shè)置窗口中將“已啟用”選中，并單擊“確定”按鈕，如此一來服務器中所有已經(jīng)創(chuàng)建的遠程訪問連接都會被強行斷開了，那么黑客或非法攻擊者也就無法對服務器進行遠程攻擊或破壞了。

圖6

7、指定安全上網(wǎng)區(qū)域

在多人共享一臺工作站上網(wǎng)的辦公環(huán)境中，我們?nèi)绻孪炔恢付ò踩暇W(wǎng)區(qū)域，本地工作站很容易遭受非法網(wǎng)站的安全攻擊，從而有可能給本地局域網(wǎng)帶來安全威脅。為此，我們最好在共用工作站系統(tǒng)中，通過設(shè)置系統(tǒng)組策略的方法指定好安全的上網(wǎng)區(qū)域，下面就是具體的設(shè)置操作步驟：

首先單擊系統(tǒng)桌面中的“開始”按鈕，從彈出的系統(tǒng)“開始”菜單中執(zhí)行“運行”命令，打開本地系統(tǒng)的運行對話框，在其中輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開本地工作站的系統(tǒng)組策略編輯窗口;

其次在該組策略編輯窗口的左側(cè)列表區(qū)域，用鼠標雙擊其中的“用戶配置”項目，在隨后展開的組策略分支下面，依次選中“Windows設(shè)置”、“Internet Explorer維護”、“安全”項目，在“安全”項目對應的右側(cè)列表區(qū)域中，用鼠標雙擊“安全區(qū)域和內(nèi)容分級”項目，打開如圖7所示的組策略屬性設(shè)置窗口;在該設(shè)置窗口中的“安全區(qū)域和隱私”處，選中“導入當前安全區(qū)域設(shè)置”，再單擊一下對應選項旁邊的“修改設(shè)置”按鈕，來重新將我們自己認為比較安全的上網(wǎng)區(qū)域指定好，最后單擊“確定”就能使設(shè)置生效了。

圖7

8、杜絕隨意篡改上網(wǎng)參數(shù)

在多人共享一臺工作站上網(wǎng)的辦公環(huán)境中，要是他人隨意篡改本地系統(tǒng)的上網(wǎng)參數(shù)時，那么其他人可能就面臨著無法上網(wǎng)的麻煩。為此，我們同樣可以修改與上網(wǎng)參數(shù)有關(guān)的組策略選項，杜絕他人隨意篡改上網(wǎng)參數(shù)，下面就是該方法的具體操作步驟：

首先單擊系統(tǒng)桌面中的“開始”按鈕，從彈出的系統(tǒng)“開始”菜單中執(zhí)行“運行”命令，打開本地系統(tǒng)的運行對話框，在其中輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開本地工作站的系統(tǒng)組策略編輯窗口;

其次在該組策略編輯窗口的左側(cè)列表區(qū)域，用鼠標雙擊其中的“用戶配置”項目，在隨后展開的組策略分支下面，依次選中“管理模板”、“網(wǎng)絡”、“網(wǎng)絡連接”項目，在“網(wǎng)絡連接”項目對應的右側(cè)列表區(qū)域中，用鼠標雙擊“禁用TCP/IP高級設(shè)置”項目，打開如圖8所示的組策略屬性設(shè)置窗口;在該設(shè)置窗口中將“已啟用”項目選中，并單擊一下“確定”，這么一來其他人日后再次進入到本地工作站的TCP/IP屬性設(shè)置窗口中時，他們就會看到“高級”功能已經(jīng)鎖定，那樣的話他們就無法隨意調(diào)整本地工作站的上網(wǎng)參數(shù)了。

圖8

巧用組策略來確保我們本地的網(wǎng)絡安全不失為一個有效又方便的方法，大家自己動手操作一下吧。而更多有關(guān)組策略的知識有待于管理員去學習和鞏固。

【編輯推薦】

1. 組策略之軟件限制策略的設(shè)置
2. 利用組策略從三個方面為Win7瘦身
3. 如何在Vista中設(shè)置多個本地組策略對象？
4. 通過局域網(wǎng)來修改其他電腦的組策略的方法
5. 利用組策略鎖定Windows XP系統(tǒng)分區(qū)的方法