組策略對于windows系統(tǒng)的網(wǎng)絡安全性起著至關重要的作用，下文是介紹windows 2008系統(tǒng)中組策略在其安全性上如何起作用的。

盡管Windows Server 2008系統(tǒng)的安全性能已經(jīng)大幅提升了，不過這并不意味著該系統(tǒng)已經(jīng)安全無憂了，因為很多時候系統(tǒng)的一些安全參數(shù)會被偷偷修改，從而可能給系統(tǒng)造成一些安全威脅，那有什么辦法讓我們能夠防患于未然，在系統(tǒng)安全參數(shù)被修改之前就能將它禁止呢？其實巧妙設置系統(tǒng)組策略參數(shù)，就可以讓Windows Server 2008系統(tǒng)更加安全了。

嚴禁惡意程序不請自來

我們在使用Windows Server 2008系統(tǒng)自帶的IE瀏覽器上網(wǎng)訪問網(wǎng)頁內容時，時常會碰到一些惡意的控件程序，這些惡意控件程序往往不經(jīng)過我們的允許，就自動下載保存到本地系統(tǒng)硬盤中，這樣不但會消耗寶貴的磁盤空間資源，而且還可能會給Windows Server 2008系統(tǒng)帶來安全麻煩；為了讓自己的Windows Server 2008系統(tǒng)更加安全，我們可以安裝使用一些專業(yè)工具來拒絕惡意程序不請自來，可是這樣不但操作很繁瑣而且也不利于提高操作效率。事實上，Windows Server 2008系統(tǒng)在組策略中已經(jīng)添加了這種安全問題的控制選項，我們只要對相應的控制選項進行一下合適設置就可以了，下面就是具體的控制步驟：

首先在Windows Server 2008系統(tǒng)桌面中打開“開始”菜單，點選其中的“運行”命令，在彈出的系統(tǒng)運行文本框中，輸入“gpedit.msc”字符串命令，單擊“確定”按鈕，打開對應系統(tǒng)的組策略編輯窗口；

其次在該組策略編輯窗口的左側顯示區(qū)域中將鼠標定位于“計算機配置”分支，并從該分支下面逐一展開“管理模板”/“Windows組件”/“限制文件下載”/“安全功能”/“限制文件下載”子項；

圖1

下面在“限制文件下載”子項的右側顯示列表中，雙擊“Internet Explorer進程”組策略選項，打開目標組策略選項的屬性設置對話框，單擊其中的“設置”標簽，進入如圖1所示的標簽設置頁面；在這里，我們發(fā)現(xiàn)默認狀態(tài)下Windows Server 2008系統(tǒng)對文件下載操作是沒有任何限制的，此時我們應該選中“已啟用”選項，來嚴禁惡意程序不請自來。當然，有的惡意程序會自動通過FlashGet、迅雷工具等來完成下載任務，為了謹防這些程序自動執(zhí)行下載任務，我們還可以打開“所有進程”選項的屬性設置窗口，選中對應窗口中的“已啟用”選項，來禁止惡意程序無法通過任何進程完成下載任務。

拒絕調用任務管理器

在Windows Server 2008系統(tǒng)環(huán)境下，同時按下鍵盤中的Ctrl+Alt+Del組合鍵時，我們可以調用系統(tǒng)任務管理器，可以更改Windows系統(tǒng)登錄密碼，可以直接關閉、注銷計算機等，特別是在調用系統(tǒng)任務管理器后，用戶還能對Windows Server 2008系統(tǒng)中的一些重要進程進行控制。為了防止非法用戶隨意控制服務器系統(tǒng)中的一些重要進程，我們可以利用Windows Server 2008系統(tǒng)內置的組策略來拒絕普通用戶隨意調用任務管理器，下面就是具體的設置步驟：

首先打開Windows Server 2008系統(tǒng)桌面中的“開始”菜單，點選其中的“運行”命令，在彈出的系統(tǒng)運行文本框中，輸入“gpedit.msc”字符串命令，單擊“確定”按鈕，打開對應系統(tǒng)的組策略編輯窗口；

其次將鼠標定位于組策略編輯窗口左側顯示區(qū)域中的“用戶設置”分支上，并依次展開“管理模板”/“系統(tǒng)”/“Ctrl+Alt+Del”組策略子項，在對應“Ctrl+Alt+Del”組策略子項的右側顯示區(qū)域中，我們會看到刪除注銷、刪除更改密碼、刪除鎖定計算機、刪除任務管理器等多個策略；

圖2

用鼠標雙擊其中的刪除任務管理器選項，打開目標組策略選項的屬性設置對話框，單擊其中的“設置”標簽，進入如圖2所示的標簽設置頁面；在這里，我們發(fā)現(xiàn)默認狀態(tài)下Windows Server 2008系統(tǒng)是允許用戶調用任務管理器窗口的，此時我們應該選中“已啟用”選項，來禁止調用系統(tǒng)任務管理器窗口。同樣地，我們可以打開其他策略的選項設置窗口，選中“已啟用”選項，來禁止執(zhí)行注銷、更改密碼、鎖定計算機等操作。

 禁止降低IE安全等級

Windows Server 2008系統(tǒng)在默認狀態(tài)下常常會將IE瀏覽器的安全等級設置得比較高，這樣可以防止一些惡意網(wǎng)頁腳本代碼或ActiveX控件程序偷偷在服務器系統(tǒng)中運行，從而避免給系統(tǒng)帶來一些安全威脅?？墒牵趯嶋H上網(wǎng)瀏覽的過程中，不少用戶有時隨意降低IE安全等級，以便尋求瀏覽便利性，這么一來Windows Server 2008系統(tǒng)的安全性就會受到嚴重威脅；為此，我們可以按照如下步驟來禁止普通用戶隨意降低IE瀏覽安全等級：

首先按照前面的操作步驟，打開Windows Server 2008系統(tǒng)組策略編輯窗口，在該編輯窗口左側顯示區(qū)域的“本地計算機策略”中用鼠標逐一展開“用戶配置”/“管理模板”/“Windows組件”/“Internet Explorer”/“Internet Explorer控制面板”子項；

圖3

其次在“Internet Explorer控制面板”子項的右側顯示區(qū)域中，雙擊“禁用安全頁”選項，打開如圖3所示的選項設置窗口，選中其中的“已啟用”選項，再單擊“確定”按鈕，那樣一來普通用戶日后打開Internet選項設置對話框后，將無法進入到其中的安全設置頁面，這樣的話IE安全訪問等級也就不會被隨意降低了。

#p#

監(jiān)控系統(tǒng)登錄狀態(tài)

Windows Server 2008系統(tǒng)可以使用審核功能來自動監(jiān)視跟蹤系統(tǒng)登錄狀態(tài)，一旦有非法用戶偷偷登錄服務器時，我們就能從系統(tǒng)的日志記錄中找到蛛絲馬跡，并能及時采取措施預防非法用戶再次偷偷登錄服務器。要想自動監(jiān)控服務器系統(tǒng)登錄狀態(tài)，我們可以按照如下步驟來設置Windows Server 2008系統(tǒng)的組策略參數(shù)，以便讓服務器自動對系統(tǒng)登錄事件進行審核：

首先打開Windows Server 2008系統(tǒng)組策略編輯窗口，依次展開左側顯示區(qū)域中的“計算機配置”/“Windows設置”/“安全設置”/“本地策略”分支選項，然后選中該分支選項下面的“審核策略”子項；

圖4

其次在對應“審核策略”子項的右側顯示區(qū)域中，找到“審核登錄事件”選項，并用鼠標雙擊該選項，打開如圖4所示的選項設置對話框，選中其中的“成功”和“失敗”復選項，最后單擊“確定”按鈕，如此一來任何用戶無論是成功登錄進服務器系統(tǒng)，還是沒有成功登錄進服務器系統(tǒng)，Windows Server 2008系統(tǒng)的日志功能都會自動將登錄服務器系統(tǒng)的狀態(tài)記錄保存下來。

要想查看之前的系統(tǒng)登錄狀態(tài)時，我們可以依次單擊Windows Server 2008系統(tǒng)桌面中的“開始”/“設置”/“控制面板”命令，在彈出的系統(tǒng)控制面板窗口中雙擊“管理工具”圖標，之后雙擊事件查看器圖標，打開對應系統(tǒng)的事件查看器控制臺窗口，在該窗口的左側顯示區(qū)域依次展開“Windows日志”/“系統(tǒng)”分支選項，在對應“系統(tǒng)”分支選項的中間顯示區(qū)域，我們就能查看到具體的系統(tǒng)登錄狀態(tài)事件了。

禁止查看重要數(shù)據(jù)分區(qū)

Windows Server 2008服務器系統(tǒng)中的某個分區(qū)中可能保存了一些重要數(shù)據(jù)信息，這些多半是不希望讓其他用戶知道的。其實，我們根本不需要尋求專業(yè)工具來保護重要數(shù)據(jù)分區(qū)，只要巧妙地利用Windows Server 2008系統(tǒng)的組策略功能，就能很好地保護重要數(shù)據(jù)分區(qū)不被他人隨意訪問；例如，要保護D盤分區(qū)中的數(shù)據(jù)內容不被他人訪問時，我們可以按照如下步驟來設置系統(tǒng)組策略參數(shù)：

首先在Windows Server 2008系統(tǒng)運行對話框中執(zhí)行“Gpedit.msc”命令，進入服務器系統(tǒng)的組策略編輯窗口，依次展開該組策略編輯窗口左側顯示區(qū)域中的“本地計算機策略”/“用戶配置”/“管理模板”/“Windows組件”/“Windows資源管理器”組策略選項；

圖5

其次在對應“Windows資源管理器”組策略選項的右側顯示區(qū)域中，用鼠標雙擊“防止從‘我的電腦’訪問驅動器”選項，在其后彈出的目標組策略屬性設置窗口中，我們會看到“未配置”、“已啟用”、“已禁用”這幾個選項；檢查其中的“已啟用”選項是否已經(jīng)處于選中狀態(tài)，要是發(fā)現(xiàn)該選項還沒有被選中時，我們應該及時將它重新選中；之后，從驅動器下拉列表中選中驅動器D(如圖5所示)，再單擊“確定”按鈕就可以了。要是我們想將所有的驅動器都關閉時，可以從驅動器下拉列表中選中“限制所有驅動器”選項。

 禁止暴力破解登錄密碼

Windows Server 2008服務器系統(tǒng)的登錄密碼要是設置得不夠強壯時，非法攻擊者很容易通過暴力破解的方法猜出來。為了防止這種情況的發(fā)生，我們可以在Windows Server 2008系統(tǒng)的組策略編輯窗口中啟用帳戶鎖定策略，來禁止暴力破解登錄密碼，這樣一來，當非法攻擊者嘗試登錄服務器系統(tǒng)，輸入錯誤系統(tǒng)登錄密碼的次數(shù)達到指定數(shù)值時，對應系統(tǒng)登錄帳號就會被自動鎖定，下面就是具體的設置步驟：

首先打開Windows Server 2008系統(tǒng)桌面中的“開始”菜單，點選其中的“運行”命令，在彈出的系統(tǒng)運行文本框中，輸入“gpedit.msc”字符串命令，單擊“確定”按鈕，打開對應系統(tǒng)的組策略編輯窗口；

圖6

接著依次展開該組策略編輯窗口左側顯示區(qū)域中的“本地計算機策略”/“計算機設置”/“Windows設置”/“安全設置”/“帳戶策略”/“帳戶鎖定策略”選項，在對應“帳戶鎖定策略”選項的右側顯示區(qū)域中，找到“帳戶鎖定閾值”選項，并用鼠標右鍵單擊該選項，從彈出的快捷菜單中執(zhí)行“屬性”命令，打開目標組策略選項設置對話框，在這里我們可以將登錄服務器系統(tǒng)失敗的次數(shù)設置為“3”次(如圖6所示)，而缺省的“0”次表示不限制登錄次數(shù)。經(jīng)過上述設置，非法用戶一旦猜錯密碼3次，那么對應的系統(tǒng)登錄帳號將會被自動鎖定。

Windows2008安全有系統(tǒng)組策略保證，幫我們省卻很多不必要的麻煩。更多有關組策略的知識還有待于讀者去學習和掌握。

【編輯推薦】

1. 巧用Windows7的組策略
2. 如何用組策略進行軟件部署？
3. windows vista組策略中探索的新事物
4. Windows Vista組策略中新事物的探索
5. 巧用組策略輕松將常用軟件安裝到IE上