WindowsServer2008系統(tǒng)到底有多安全？可以讓我們安心使用嗎？答案是否定的，下文就介紹了Windowerver2008下的自助安全防御的方法，具體內(nèi)容如下所述。

相信那些至今還沒有接觸過WindowsServer2008系統(tǒng)的朋友，多少會對該系統(tǒng)的新特性、新本領(lǐng)有點神往，不過要是與之親密接觸一段時間后，這些朋友也許會覺得WindowsServer2008系統(tǒng)并沒有想象中那樣美好。這不，自稱安全功能十分強大的WindowsServer2008系統(tǒng)，在安全性能方面并沒有真正做到無懈可擊，很多時候我們還需要自己動手，來手工防范服務(wù)器系統(tǒng)的安全。

1、讓系統(tǒng)處于數(shù)據(jù)執(zhí)行保護中

與傳統(tǒng)操作系統(tǒng)一樣，WindowsServer2008系統(tǒng)仍然內(nèi)置了數(shù)據(jù)執(zhí)行保護功能，以便預(yù)防網(wǎng)絡(luò)病毒或其他安全攻擊對服務(wù)器系統(tǒng)造成威脅;然而，很多朋友發(fā)現(xiàn)該功能時常會破壞某些應(yīng)用程序的運行穩(wěn)定性，于是自作主張地將系統(tǒng)自帶的數(shù)據(jù)執(zhí)行保護功能關(guān)閉了，那樣一來服務(wù)器系統(tǒng)遭遇網(wǎng)絡(luò)病毒襲擊的可能性自然也就增大了。其實，在WindowsServer2008服務(wù)器系統(tǒng)中，很少運行普通應(yīng)用程序，數(shù)據(jù)執(zhí)行保護功能的關(guān)閉運行，顯然會更影響服務(wù)器系統(tǒng)的運行安全性，為此我們可以按照如下步驟強制WindowsServer2008系統(tǒng)處于數(shù)據(jù)執(zhí)行保護狀態(tài)中：

首先以超級管理員權(quán)限登錄進入WindowsServer2008系統(tǒng)，打開該系統(tǒng)桌面中的“開始”菜單，從中逐一點選“程序”、“附件”選項，再從下級菜單中執(zhí)行“命令提示符”命令，打開服務(wù)器系統(tǒng)的MS-DOS工作窗口;

圖1打開數(shù)據(jù)保護

其次在該工作窗口的命令行提示符下，輸入字符串命令“bcdedit.exe/set{current}nxAlwaysOn”，單擊回車鍵后，系統(tǒng)屏幕上將會出現(xiàn)如圖1所示的結(jié)果信息，該結(jié)果意味著WindowsServer2008系統(tǒng)內(nèi)置的數(shù)據(jù)執(zhí)行保護功能已經(jīng)被成功啟用了，日后服務(wù)器系統(tǒng)又會受到該功能的安全保護了。

2、僅讓管理員有權(quán)限上網(wǎng)訪問

由于WindowsServer2008服務(wù)器系統(tǒng)中保存有重要的數(shù)據(jù)信息，要是允許普通用戶在該系統(tǒng)中隨意上網(wǎng)訪問時，可能會引來網(wǎng)絡(luò)病毒攻擊等麻煩;而網(wǎng)絡(luò)管理員由于工作需要，必須要有權(quán)限在該系統(tǒng)中上網(wǎng)訪問。面對這樣的訪問請求，我們該如何實現(xiàn)呢?其實很簡單，我們只要按照如下步驟設(shè)置WindowsServer2008系統(tǒng)就可以了：

首先以普通用戶權(quán)限登錄進入WindowsServer2008系統(tǒng)，雙擊該系統(tǒng)桌面中的IE瀏覽器圖標(biāo)，在其后出現(xiàn)的瀏覽器窗口中依次單擊“工具”/“Internet選項”，打開Internet選項設(shè)置對話框;

圖2IE代理服務(wù)器設(shè)置

其次單擊該設(shè)置對話框中的“連接”標(biāo)簽，并在對應(yīng)的標(biāo)簽設(shè)置頁面中單擊“局域網(wǎng)設(shè)置”按鈕，打開如圖2所示的設(shè)置窗口，在該設(shè)置窗口中選中“為LAN使用代理服務(wù)器”選項，再在對應(yīng)的文本框中隨意設(shè)置一個代理服務(wù)器的IP地址和端口號碼，最后單擊“確定”按鈕保存好上述設(shè)置操作;

注銷普通用戶登錄狀態(tài)，以系統(tǒng)管理員權(quán)限重新登錄進入WindowsServer2008系統(tǒng)，依次單擊該系統(tǒng)桌面中的“開始”/“運行”命令，在彈出的系統(tǒng)運行對話框中，執(zhí)行字符串命令“gpedit.msc”，打開對應(yīng)系統(tǒng)的組策略編輯窗口;

接著依次展開組策略編輯窗口左側(cè)顯示區(qū)域的“計算機配置”/“管理模板”/“Windows組件”/“InternetExplorer”/“Internet控制面版”分支選項，在對應(yīng)“Internet控制面版”分支選項的右側(cè)顯示區(qū)域，用鼠標(biāo)雙擊“禁用連接頁”選項，打開如圖3所示的選項設(shè)置窗口，選中其中的“已啟用”選項，再單擊“確定”按鈕，最后重新啟動一下WindowsServer2008系統(tǒng)。

圖3禁用連接頁

如此一來，日后普通用戶在WindowsServer2008系統(tǒng)上網(wǎng)訪問時，IE瀏覽器就會去尋找使用一個根本不存在的代理服務(wù)器，這樣的話他們自然是訪問不到任何內(nèi)容的;而以系統(tǒng)管理員身份在WindowsServer2008系統(tǒng)中上網(wǎng)訪問時，IE瀏覽器不會使用代理服務(wù)器上網(wǎng)，而是直接下載顯示目標(biāo)網(wǎng)站內(nèi)容。

3、用防火墻抵御應(yīng)用程序入侵

盡管WindowsServer2008系統(tǒng)安全性能已經(jīng)被提升到一個很高的層次，不過該系統(tǒng)仍然存在安全漏洞，那是否意味著及時更新系統(tǒng)補丁程序，WindowsServer2008系統(tǒng)就會更加安全呢?其實更新漏洞補丁程序只是讓W(xué)indowsServer2008系統(tǒng)沒有安全漏洞，不過要是安裝在該系統(tǒng)中的應(yīng)用程序存在漏洞時，那單純更新漏洞補丁程序是沒有多大作用的，因此我們要抵御應(yīng)用程序漏洞攻擊，就必須利用服務(wù)器系統(tǒng)自帶的防火墻功能來禁止存在安全漏洞的應(yīng)用程序連接網(wǎng)絡(luò)，下面是設(shè)置防火墻抵御應(yīng)用程序入侵的具體操作步驟：

首先打開WindowsServer2008系統(tǒng)的“開始”菜單，從中逐一點選“設(shè)置”、“控制面板”命令，在其后出現(xiàn)的系統(tǒng)控制面板窗口中，雙擊Windows防火墻圖標(biāo)，在其后窗口的左側(cè)顯示區(qū)域單擊“啟用或關(guān)閉Windows防火墻”選項，打開對應(yīng)系統(tǒng)的防火墻基本配置界面;

圖4防火墻配置

其次單擊基本配置界面中的“例外”標(biāo)簽，打開如圖4所示的標(biāo)簽設(shè)置頁面，在該頁面的程序或端口列表中查找一下是否存在漏洞應(yīng)用程序選項，如果發(fā)現(xiàn)目標(biāo)漏洞應(yīng)用程序已經(jīng)處于選中狀態(tài)時，那就意味著服務(wù)器系統(tǒng)允許該漏洞程序訪問外部網(wǎng)絡(luò)，而那些沒有處于選中狀態(tài)的應(yīng)用程序是沒有權(quán)限訪問外部網(wǎng)絡(luò)的;

要是存在漏洞的應(yīng)用程序還沒有出現(xiàn)在WindowsServer2008系統(tǒng)防火墻的應(yīng)用程序列表窗口中時，我們可以單擊這里的“添加程序”按鈕，將目標(biāo)應(yīng)用程序添加進來，之后通過選中或取消選中的方式就能讓防火墻控制應(yīng)用程序與網(wǎng)絡(luò)進行連接了，一旦禁止了有漏洞的應(yīng)用程序與網(wǎng)絡(luò)連接之后，那么任何網(wǎng)絡(luò)病毒或木馬都將無法利用目標(biāo)應(yīng)用程序的漏洞來攻擊服務(wù)器系統(tǒng)了。

4、謹(jǐn)防管理員帳號被非法竊取

不少網(wǎng)絡(luò)管理員為了圖省事，常常將系統(tǒng)管理員帳號的登錄模式設(shè)置成自動登錄，殊不知在自動登錄的過程中，一些支持仿真登錄功能的網(wǎng)絡(luò)病毒或木馬程序很容易偷竊系統(tǒng)管理員帳號，這樣一來WindowsServer2008系統(tǒng)的安全性就會受到威脅。為了禁止系統(tǒng)管理員帳號信息被網(wǎng)絡(luò)病毒或木馬程序非法竊取，我們可以按照如下步驟修改WindowsServer2008系統(tǒng)的帳號參數(shù)，強迫任何用戶都需要輸入密碼才能成功登錄服務(wù)器系統(tǒng)：

首先打開WindowsServer2008系統(tǒng)的“開始”菜單，從中逐一點選“程序”/“附件”/“命令提示符”選項，再用鼠標(biāo)右鍵單擊“命令提示符”選項，從彈出的快捷菜單中執(zhí)行“以管理員身份運行”命令，將系統(tǒng)狀態(tài)切換到MS-DOS命令行狀態(tài);

圖5系統(tǒng)賬號設(shè)置

其次在MS-DOS窗口的命令行中輸入“controluserpasswords2”命令，單擊回車鍵后，進入WindowsServer2008系統(tǒng)的用戶帳號設(shè)置對話框，單擊其中的“高級”選項卡，打開如圖5所示的選項設(shè)置頁面，選中“要求用戶按Ctrl+Alt+Delete”選項，再單擊“確定”按鈕，那樣一來任何用戶日后登錄服務(wù)器系統(tǒng)時都需要強制輸入密碼了，在這種登錄過程中網(wǎng)絡(luò)病毒或木馬程序是無法竊取到系統(tǒng)管理員登錄帳號的。

5、監(jiān)控共享文件夾被非法修改

在服務(wù)器系統(tǒng)中，常常有重要的數(shù)據(jù)內(nèi)容需要設(shè)置成共享狀態(tài)，來讓局域網(wǎng)用戶可以通過網(wǎng)絡(luò)進行共享訪問;然而在共享訪問文件的過程中，有一些不自覺的用戶可能會擅自修改共享文件夾中的內(nèi)容，導(dǎo)致服務(wù)器系統(tǒng)中的數(shù)據(jù)安全受到破壞。其實，在WindowsServer2008系統(tǒng)環(huán)境下，我們可以通過下面的設(shè)置，讓服務(wù)器系統(tǒng)能夠自動監(jiān)控共享文件夾的非法修改操作，日后網(wǎng)絡(luò)管理員可以通過查看系統(tǒng)安全日志，就能知道共享文件夾是否已經(jīng)被非法修改了，一旦發(fā)現(xiàn)有人修改過共享內(nèi)容時，網(wǎng)絡(luò)管理員只要將共享文件夾還原成原始狀態(tài)，就能保證其中的數(shù)據(jù)安全了：

首先以特權(quán)身份進入WindowsServer2008系統(tǒng)，依次單擊該系統(tǒng)桌面中的“開始”/“運行”命令，在彈出的系統(tǒng)運行對話框中，輸入字符串命令“secpol.msc”，單擊“確定”按鈕，打開對應(yīng)服務(wù)器系統(tǒng)的本地安全策略控制臺窗口;

其次在控制臺窗口的左側(cè)顯示區(qū)域依次展開“安全設(shè)置”/“本地策略”/“審核策略”分支選項，在對應(yīng)“審核策略”分支選項的右側(cè)子窗格中，雙擊“審核對象訪問”選項，在其后出現(xiàn)的選項設(shè)置窗口中，選中“成功”或“失敗”選項，再單擊“確定”按鈕退出審核設(shè)置操作窗口;

下面打開系統(tǒng)資源管理器窗口，從中找到目標(biāo)共享文件夾，并用鼠標(biāo)右鍵單擊該文件夾，從彈出的右鍵菜單中執(zhí)行“屬性”命令，打開目標(biāo)共享文件夾的屬性設(shè)置界面，單擊其中的“安全”標(biāo)簽，并在對應(yīng)標(biāo)簽頁面中單擊“高級”按鈕，再在高級設(shè)置窗口中單擊“審核”標(biāo)簽，進入審核設(shè)置頁面;

圖6目錄權(quán)限設(shè)置

接著單擊“添加”按鈕，將“everyone”帳戶加入進來，然后將對應(yīng)該帳號的審核項目設(shè)置成“創(chuàng)建文件/寫入數(shù)據(jù)”、“刪除”等(如圖6所示)，再單擊“確定”按鈕，如此一來WindowsServer2008系統(tǒng)就能對目標(biāo)共享文件夾的非法修改操作進行自動監(jiān)控了。日后，網(wǎng)絡(luò)管理員可以直接通過事件查看器程序打開Windows日志，從中分析對應(yīng)的事件記錄內(nèi)容，就能判斷目標(biāo)共享文件夾是否已經(jīng)被人非法修改了。當(dāng)然，需要提醒各位注意的是，WindowsServer2008系統(tǒng)中的目標(biāo)共享文件夾必須處于NTFS格式的磁盤分區(qū)中，上述監(jiān)控任務(wù)才能成功。

6、禁止安全訪問等級被降低

WindowsServer2008系統(tǒng)在默認(rèn)狀態(tài)下會要求用戶以較高的安全等級上網(wǎng)沖浪，以防止一些網(wǎng)絡(luò)病毒或木馬通過網(wǎng)站頁面入侵服務(wù)器系統(tǒng)，可是在較高安全等級下，用戶往往很難順暢訪問到網(wǎng)頁內(nèi)容，不得已他們常常會私自降低IE瀏覽器的安全訪問等級。為了保護服務(wù)器系統(tǒng)的安全，我們可以按照如下設(shè)置步驟來禁止上網(wǎng)用戶隨意降低安全訪問等級：

首先以特權(quán)身份進入WindowsServer2008系統(tǒng)，依次單擊該系統(tǒng)桌面中的“開始”/“運行”命令，在彈出的系統(tǒng)運行對話框中執(zhí)行“gpedit.msc”命令，打開對應(yīng)系統(tǒng)的組策略控制臺窗口;

其次在控制臺窗口的左側(cè)顯示區(qū)域逐級展開“用戶配置”、“管理模板”、“Windows組件”、“InternetExplorer”、“Internet控制面板”分支選項，在對應(yīng)目標(biāo)分支選項的右側(cè)子窗格中，我們會看到“禁用安全頁”組策略選項;

圖7隱藏“安全”選項卡

用鼠標(biāo)雙擊該選項，打開如圖7所示的目標(biāo)組策略屬性設(shè)置窗口，選中這里的“已啟用”選項，再單擊“確定”按鈕，那樣一來WindowsServer2008系統(tǒng)日后會將InternetExplorer選項設(shè)置窗口中的“安全”標(biāo)簽頁面隱藏起來，此時任何用戶將無法進入該頁面修改安全訪問等級參數(shù)了，這樣的話本地服務(wù)器系統(tǒng)的安全訪問等級就不會被隨意降低了。

當(dāng)然，在降低安全訪問等級的情況下，我們?nèi)匀贿€可以通過其他方法來保護服務(wù)器系統(tǒng)不受網(wǎng)絡(luò)病毒或木馬程序的襲擊。例如，我們只要禁止網(wǎng)頁中的內(nèi)容自動下載運行，就能防止一些潛藏在網(wǎng)頁中的惡意控件來攻擊服務(wù)器系統(tǒng)了，在禁止InternetExplorer自動下載網(wǎng)頁內(nèi)容時，我們可以先將鼠標(biāo)定位于系統(tǒng)組策略編輯窗口的“計算機配置”分支選項上，再依次點選該分支下面的“管理模板”、“Windows組件”、“InternetExplorer”、“安全功能”、“限制ActiveX安裝”子項，在對應(yīng)“限制ActiveX安裝”子項的右側(cè)顯示窗格中，雙擊“所有進程”選項，打開如圖8所示的屬性設(shè)置窗口，選中其中的“已啟用”選項，再單擊“確定”按鈕，那樣一來任何網(wǎng)頁中的惡意控件程序都無法破壞本地服務(wù)器系統(tǒng)的正常運行了。

圖8限制文件下載

同樣地，我們再將鼠標(biāo)定位于“計算機配置”、“管理模板”、“Windows組件”、“InternetExplorer”、“安全功能”、“限制文件下載”子項上，并用鼠標(biāo)雙擊該子項下面的“所有進程”選項，在其后彈出的設(shè)置窗口中也選中“已啟用”選項，最后單擊“確定”按鈕，那樣一來任何網(wǎng)絡(luò)病毒或木馬程序都不會自動下載保存到本地服務(wù)器系統(tǒng)中了，更不會在服務(wù)器系統(tǒng)中自動運行了。

總結(jié)：

Windowerver2008系統(tǒng)的安全性的維護我們還需要自己動手，來手工防范服務(wù)器系統(tǒng)的安全，提高安全防御水平。希望本文能夠?qū)ψx者有所幫助，更多有關(guān)Windowerver2008的知識還有待于讀者去探索和學(xué)習(xí)。

【編輯推薦】

1. 十招WindowsVista系統(tǒng)安全技巧
2. 如何使Windows 2008服務(wù)器實現(xiàn)數(shù)據(jù)安全 ？
3. WindowsServer2008R2系統(tǒng)啟用審計功能的記錄事件
4.  巧用WindowsServer2008中的事件查看器來審計AD管理員
5. WindowsServer2008服務(wù)器系統(tǒng)如何保證遠(yuǎn)程控制的安全？