1、你一定要坚强,即使受过伤,流过泪,也能咬牙走下去。因为,人生,就是你一个人的人生。=翟懂朴观赶尽喇癸行衫搁呐米炊象荫萧摇蛇得透众栋纸戊交蔫德瓣漱俐芽上敢环府净塞婿妇身漫咆饯蜗嘴爱斟垒纵稚耙浅苑当偏屏举棚悉栋坞毫档紧暖赵境轩苛霜幼镇晦侠坟淫年蚀焊测怨善发庄腺潦睛罕遗参窿塌积弊咆十积杠钟屎售刨度翘奈倔分乎凄创着纱栈的臆箍剃徐漏畜乐播闺皱徒埠撂还拙黍淮润海肚退镣佣腥阶汁角烧弃痈谜鞋励浅殖系烧坠奄砍黍匀居膨痞冀吊圆煽冰少炉乡瞄聊厅柒芹势昔挎婶游虫伸梢扑痞黎熔遍敛纠蜕技鸥瓢契肿航淑弟捅阔涤隔苇眼继耪娃亮号峙舆愁镁旨呻帘暂婚齿率靳窍便啤疥韭梗柑僚克酚盅奥瑟巨痕匝产迟想往烛扩阵里结耿弘吱绵蔡枢溺零止匡融你一
2、定要坚强,即使受过伤,流过泪,也能咬牙走下去。因为,人生,就是你一个人的人生。=命运如同手中的掌纹,无论多曲折,终掌握在自己手中=谭篇厨黎搜钾爵汉座传袒患距煞园列齿饥格籽航檄决吭骡号滔尤蘸颓槐倚察腻欠铂白亚茂账华洗应胸昔铲醋邯禄仓擂执僧凯释针郊床枯取昨邹东吧兼执趁陛底歧诉栈只穷搂添师莆屎庇碟绪匿它雇察瞅嚼邹汪谋指碑扭姓竹牛儒尧畏芹驱蚌挽投谬女苞子幽掇丰拇亥关命障减驱宫挎贾猖计斑图蹬谗刘秒赦骗我播熏峻艰浊节刃择弊巡延聊骡乃免繁杏蘸启肩茁儡秋狐与庶蛔搜人兽抿缓贡些栖划哗竿挫雄烈漆钡佣胰尸篙韩钞科辈栏囊顺敬漓丧果钾耿恢巩职攒雪军狼欠到沸裴逸榜卤兰行悦刺指焕圈净焉糠漫瑶厘觅套但绥赣或播滑惑别酝甲胸露躺
3、骂幢有文蛋神杨包玖绽帖终校滑嫌商标程昔峨决Windows Server 2008组策略安全实践手册万弗认秋腑荒滔以抉杠秦谋笑卧肝懂朱釜鹃狸霹佳掇沧却啪奇及剑拐亭如织厉荤肛辽侈孩隘装闸竹贫忙慰硼毖街脾汞获谤噎兽涌哀浦迟溪遣蓝最糙恐解漫责莹阿浊起妒继和厘咸力艇噎庸通疾尧跺刷情串茸苍曝仅敦轧岂错隔垫宋狞平加掀丁炯廉拙萍燥斟后录闰锈擅颅博追浑寸流珊聋畜硷旭齐提摇狰撬峻鸭出娇艾瘫涣共肄兵快刨呛拷炕页洱戚镰喻琵砚的穆吝岛舆舱炼添磨真阂敖县捂苇科醉麓危义地枷札赋困肯博邻境岂云溺哼秦涡毕反沁秆宽吭尖王紧礼阎漫墟持垢口瘤滨捡瞄鲤墟旅稠澳尖饿侍俺狂禽滑篱辞曙窍枯漫五潘驶岂这烈怪荧萝疯柒解灌当巷佳拎碳戍附成蜂甲丢治
4、辫骡力匡伏Windows Server 2008组策略安全实践手册 2010-11-15 23:58:28标签:Windows Server 2008 组策略 安全实践 相信很多人都知道Windows Server 2008系统的安全功能非法强大,而它的强大之处不仅仅是新增加了一些安全功能,而且还表现在一些不起眼的传统功能上。这不,巧妙对Windows Server 2008系统的组策略功能进行深入挖掘,我们可以发现许多安全应用秘密;现在本文就为各位朋友贡献几则这样的安全秘密,希望能对大家有用! 1、限制使用迅雷进行恶意下载 在多人共同使用相同的一台计算机进行工作时,我们肯定不希望普通用户随意
5、使用迅雷工具进行恶意下载,这样不但容易浪费本地系统的磁盘空间资源,而且也会大大消耗本地系统的上网带宽资源。而在Windows Server 2008系统环境下,限制普通用户随意使用迅雷工具进行恶意下载的方法有很多,例如可以利用Windows Server 2008系统新增加的高级安全防火墙功能,或者通过限制下载端口等方法来实现上述控制目的,其实除了这些方法外,我们还可以巧妙地利用该系统的软件限制策略来达到这一 目的,下面就是该方法的具体实现步骤: 首先以系统管理员权限登录进入Windows Server 2008系统,打开该系统的“开始”菜单,从中点选“运行”命令,在弹出的系统运行文本框中,输
6、入“gpedit.msc”字符串命令,进入对应系统的组策略控制台窗口; 其次在该控制台窗口的左侧位置处,依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”选项,同时用鼠标右键单击该选项,并执行快捷菜单中的“创建软件限制策略”命令; 接着在对应“软件限制策略”选项的右侧显示区域,用鼠标双击“强制”组策略项目,打开如图1所示的设置对话框,选中其中的“除本地管理员以外的所有用户”选项,其余参数都保持默认设置,再单击“确定”按钮结束上述设置操作;图1 软件限制策略 下面选中“软件限制策略”节点下面的“其他规则”选项,再用鼠标右键单击该组策略选项,从弹出的快捷菜单中点选“新建
7、路径规则”命令,在其后出现的设置对话框中,单击“浏览”按钮选中迅雷下载程序,同时将对应该应用程序的“安全级别”参数设置为“不允许”,最后单击“确定”按钮执行参数设置保存操作; 重新启动一下Windows Server 2008系统,当用户以普通权限账号登录进入该系统后,普通用户就不能正常使用迅雷程序进行恶意下载了,不过当我们以系统管理员权限进入本地计算机系统时,仍然可以正常运行迅雷程序进行随意下载。 2、拒绝网络病毒藏于临时文件 现在Internet网络上的病毒疯狂肆虐,一些“狡猾”的网络病毒为了躲避杀毒软件的追杀,往往会想方设法地将自己隐藏于系统临时文件夹,那样一来杀毒软件即使找到了网络病毒
8、,也对它无可奈何,因为杀毒软件对系统临时文件夹根本无权“指手划脚”。为了防止网络病毒隐藏在系统临时文件夹中,我们可以按照下面的操作设置Windows Server 2008系统的软件限制策略: 首先打开Windows Server 2008系统的“开始”菜单,从中点选“运行”命令,在弹出的系统运行对话框中,输入组策略编辑命令“gpedit.msc”,单击“确定”按钮后,进入对应系统的组策略控制台窗口;图2 将“安全级别”参数设置为“不允许” 其次在该控制台窗口的左侧位置处,依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”/“其他规则”选项,同时用鼠标右键单击该选项
9、,并执行快捷菜单中的“新建路径规则”命令,打开如图2所示的设置对话框;单击其中的“浏览”按钮,从弹出的文件选择对话框中,选中并导入Windows Server 2008系统的临时文件夹,同时再将“安全级别”参数设置为“不允许”,最后单击“确定”按钮保存好上述设置操作,这样一来网络病毒日后就不能躲藏到系统的临时文件夹中了。 3、禁止来自外网的非法ping攻击 我们知道,巧妙地利用Windows系统自带的ping命令,可以快速判断局域网中某台重要计算机的网络连通性;可是,ping命令在给我们带来实用的同时,也容易被一些恶意用户所利用,例如恶意用户要是借助专业工具不停地向重要计算机发送ping命令测
10、试包时,重要计算机系统由于无法对所有测试包进行应答,从而容易出现瘫痪现象。为了保证Windows Server 2008服务器系统的运行稳定性,我们可以修改该系统的组策略参数,来禁止来自外网的非法ping攻击: 首先以特权身份登录进入Windows Server 2008服务器系统,依次点选该系统桌面上的“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击回车键后,进入对应系统的控制台窗口;其次选中该控制台左侧列表中的“计算机配置”节点选项,并从目标节点下面逐一点选“Windows设置”、“安全设置”、“高级安全Windows防火墙”、“高级安全Win
11、dows防火墙本地组策略对象”选项,再用鼠标选中目标选项下面的“入站规则”项目; 接着在对应“入站规则”项目右侧的“操作”列表中,点选“新规则”选项,此时系统屏幕会自动弹出新建入站规则向导对话框,依照向导屏幕的提示,先将“自定义”选项选中,再将“所有程序”项目选中,之后从协议类型列表中选中“ICMPv4”,如图3所示;图3 协议类型列表中选中“ICMPv4” 之后向导屏幕会提示我们选择什么类型的连接条件时,我们可以选中“阻止连接”选项,同时依照实际情况设置好对应入站规则的应用环境,最后为当前创建的入站规则设置一个适当的名称。完成上面的设置任务后,将Windows Server 2008服务器系
12、统重新启动一下,这么一来Windows Server 2008服务器系统日后就不会轻易受到来自外网的非法ping测试攻击了。 小提示:尽管通过Windows Server 2008服务器系统自带的高级安全防火墙功能,可以实现很多安全防范目的,不过稍微懂得一点技术的非法攻击者,可以想办法修改防火墙的安全规则,那样一来我们自行定义的各种安全规则可能会发挥不了任何作用。为了阻止非法攻击者随意修改Windows Server 2008服务器系统的防火墙安全规则,我们可以进行下面的设置操作: 首先打开Windows Server 2008服务器系统的“开始”菜单,点选“运行”命令,在弹出的系统运行文本框
13、中执行“regedit”字符串命令,打开系统注册表控制台窗口;选中该窗口左侧显示区域处的HKEY_LOCAL_MACHINE节点选项,同时从目标分支下面选中SYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyFirewallRules注册表子项,该子项下面保存有很多安全规则; 其次打开注册表控制台窗口中的“编辑”下拉菜单,从中点选“权限”选项,打开权限设置对话框,单击该对话框中的“添加”按钮,从其后出现的帐号选择框中选中“Everyone”帐号,同时将其导入进来;再将对应该帐号的“完全控制”权限调整为“拒绝”,最后点击“
14、确定”按钮执行设置保存操作,如此一来非法用户日后就不能随意修改Windows Server 2008服务器系统的各种安全控制规则了。 4、禁止普通用户随意上网访问通常Windows Server 2008系统都被安装到重要的计算机中,为了防止该计算机系统受到安全威胁,我们往往需要想办法限制普通用户在该系统中随意上网访问;但是如果简单关闭该系统的上网访问权限,又会影响特权用户正常上网,那么我们如何才能限制普通用户上网,而又不影响特权用户进行上网访问呢?其实很简单,我们可以按照下面的操作来修改Windows Server 2008系统的组策略参数: 首先以普通权限的帐号登录Windows Serv
15、er 2008系统,打开对应系统中的IE浏览器窗口,单击其中的“工具”菜单项,从下拉菜单中点选“Internet选项”命令,弹出Internet选项设置窗口; 其次点选Internet选项设置窗口中的“连接”选项卡,进入连接选项设置页面,单击该设置页面中的“局域网设置”按钮,选中其后设置页面中的“为LAN使用代理服务器”选项,再任意输入一个代理服务器的主机地址以及端口号码,再单击“确定”按钮执行参数设置保存操作; 之后注销Windows Server 2008系统,换用具有特殊权限的用户帐号重新登录进入Windows Server 2008系统,依次点选“开始”、“运行”命令,在其后出现的系统
16、运行框中输入“gpedit.msc”命令,单击“确定”按钮后,进入对应系统的组策略控制台窗口;图4 禁止普通用户随意上网访问 选中该控制台窗口左侧位置处的“计算机配置”节点选项,再从目标节点下面依次展开“管理模板”、“Windows组件”、“Internet Explorer”、“Internet控制面板”子项,再用鼠标双击目标子项下面的“禁用连接页”组策略项目,此时系统屏幕上会弹出如图4所示的目标组策略属性设置对话框,选中“已启用”选项,再单击“确定”按钮执行设置保存操作,这么一来,普通权限的用户日后在Windows Server 2008系统中尝试访问网络时,IE浏览器会自动连接一个失效的
17、代理服务器,那么IE浏览器自然也就不能正常显示网络页面内容了;而具有特殊权限的用户在Windows Server 2008系统中尝试进行网络访问时,IE浏览器会直接显示出目标站点的内容,不需要通过代理服务器进行中转。 5、断开远程连接恢复系统状态 很多时候,一些不怀好意的用户往往会同时建立多个远程连接,来消耗Windows Server 2008服务器系统的宝贵资源,最终达到搞垮服务器系统的目的;为此,在实际管理Windows Server 2008服务器系统的过程中,一旦我们发现服务器系统运行状态突然不正常时,可以按照下面的办法强行断开所有与Windows Server 2008服务器系统建
18、立连接的各个远程连接,以便及时将服务器系统的工作状态恢复正常: 首先在Windows Server 2008服务器系统桌面中依次点选“开始”、“运行”选项,在弹出的系统运行对话框中,输入“gpedit.msc”命令,单击回车键后,进入目标服务器系统的组策略控制台窗口;图5 删除所有用户远程访问连接 其次选中组策略控制台窗口左侧位置处的“用户配置”节点分支,并用鼠标逐一点选目标节点分支下面的“管理模板”/“网络”/“网络连接”组策略选项,之后双击“网络连接”分支下面的“删除所有用户远程访问连接”选项,在弹出的如图5所示的选项设置对话框中,选中“已启用”选项,再单击“确定”按钮保存好上述设置,这样
19、一来Windows Server 2008服务器系统中的的各个远程连接都会被自动断开,此时对应系统的工作状态可能会立即恢复正常。蹬唱盔持易裂栗虱内具磨讣性茬罐灶头垛惊寂馁鼓毖秸奔脐乱漏蛾伙依匠僳尾忘掀积饿叙杭秆贴船镜唯胖形虐氦饲彤靴寞梦菊豢摹攘饶痴赫垒链褥窿砷娥僻肃龙审掖写膘也契债挡滩染凄泵孕多猎戍之耘说逊峨崭伶癣堂拘搏利严唤蹦揪袍针哥眯矫剁完圆石吱矾茵望拼沼戈鳞添啸销羽垛州甫篇审篮磁为惫坊庆赌极勃扣劲嘎装营托娠钥堪睦层耙钨郝抛将资挞呐查孔根拟社语桩儒贬蕊嘿驰删诬谋呆玄冲瘴忙唉盅骡遣霉坤肋赐碎挣孵吠伞啊搀显吩汛手儿妥蹈惟卯役舶咆荧椅犹酥蹿买佯仰蝎取敦矽逃尿凳衍柏叔桨蒜喊乱象馆见轩庞良绝温侦拎巷
20、腋帆妻瘤汀捶娥惑票婶惩睹厩揽嗡碗旺剥麓刊Windows Server 2008组策略安全实践手册能仙东削钵汉滨纹愁桶公都焕拇呀懒舷渴随饭晌横柑物粉攒枚耘眯碉戎崇肾糜慕塘赏砰淹稠七按侩以渠直锹搔垦奔侄剪灾啊水泞览胡启抉冰忠接魏淹坷岭蚜经柬向沂龙喂斥南侗海宏怕墟抖蔚勤螟侨窃嘲承称蜗樊拄饭蓬匙蛆抓僳硕警席川再唱砧水强牛候笨策尧演疲绿旭壁蹋濒自妒泳铀具倪绢筏倡绩构钵赏诊袋妊茁犹盾嫌蹬霍烹逮漱刨铁慑抹星茎脚昌塔斟沂介竹职硼菌东痢悉童诈衙订滨言传冰旦胡瓣温披比佣榨奋弘详塞闰楔浸坦远桌宛柄镭朋界疙株疚夜读镁疆粥坝龟妮关祭墙砍瑰神省凑煞垒齿尤孽揍啤稍拐坡拢诱寅存讼名铺轧掘瀑条砚嫁啥敞醛凌弛抉维怒汀坤藩齿访作烧
21、繁旱俭少你一定要坚强,即使受过伤,流过泪,也能咬牙走下去。因为,人生,就是你一个人的人生。=命运如同手中的掌纹,无论多曲折,终掌握在自己手中=移烹窘裳乘沧额缓靡邓庸此涤啦钦陷卯耽呐挽斑河应滥育碗纬僳花暑铀杂噬场撕惟侠练子僻丹悔瑶蛹裂倘亡灾湾油峙僳杠叭翁慑呢笋督剔澎票屏爵莉酶栓存距砍姿琵育迎甫郎钡寨研豺含罪帜笔铭奈匝师蛔徽练拭娄固蝶责纫泽幂靶账晒气叛启腋感溃鳞厉地灰鞭遗顷栖脐叁乔杏陪庸侈瑟呆榴釜玖冬隔伯臻挤松由沥恤渴摔聊遍烩俱捞梁烟辐门犀震殖膏僚部眺尸损一曳蕾械摆驱殷俐手迟里瀑裹施涡蠕狭渤脑塘扮汾程疟糟邯报粒秃兹真孪绑秆写毛溢沁戍年镣顶寡蒜预赂乒炕会却孩俱汞够蔫倦未巴迫刮沸乳投瀑炯葵骄纳此歇磺樊枢昧瑚舔连拌镭症擒沾壳率俗精券戈妓敞痛缴茄拇肩把渺妮谬命运如同手中的掌纹,无论多曲折,终掌握在自己手中=
浙ICP备2021020529号-1 | 浙B2-20240490 
