组策略安全设置.docx
《组策略安全设置.docx》由会员分享,可在线阅读,更多相关《组策略安全设置.docx(16页珍藏版)》请在冰豆网上搜索。
组策略安全设置
尽管WindowsServer2008系统的安全性要领先其他操作系统一大步,不过默认状态下过高的安全级别常常使不少人无法顺利地在WindowsServer2008系统环境下进行各种操作,为此许多用户往往会采用手工方法来降低WindowsServer2008系统的安全访问级别。
可是,一旦降低了安全访问级别,WindowsServer2008系统遭遇安全攻击的可能性就非常大了;那么如何在安全访问级别不高的情况下,我们仍然能够让WindowsServer2008系统安全地运行?
要做到这一点,我们可以利用WindowsServer2008系统强大的组策略功能,来对相关选项参数进行有效设置!
1、禁止恶意程序“不请自来”
在WindowsServer2008系统环境中使用IE浏览器上网浏览网页内容时,时常会有一些恶意程序不请自来,偷偷下载保存到本地计算机硬盘中,这样不但会白白浪费宝贵的硬盘空间资源,而且也会给本地计算机系统的安全带来不少麻烦。
为了让WindowsServer2008系统更加安全,我们往往需要借助专业的软件工具才能禁止应用程序随意下载,很显然这样操作不但麻烦而且比较累人;其实,在WindowsServer2008系统环境中,我们只要简单地设置一下系统组策略参数,就能禁止恶意程序自动下载保存到本地计算机硬盘中了,下面就是具体的设置步骤:
首先以特权帐号进入WindowsServer2008系统环境,依次点选系统桌面中的“开始”/“运行”命令,在系统运行框中执行gpedit.msc命令,打开本地计算机的组策略编辑窗口;其次在组策略编辑窗口左侧区域展开“计算机配置”分支,再依次选择该分支下面的“管理模板”/“Windows组件”/“InternetExplorer”/“安全功能”/“限制文件下载”子项,双击“限制文件下载”子项下面的“InternetExplorer进程”组策略选项,打开如图1所示的目标组策略属性设置窗口;选中“已启用”选项,再单击“确定”按钮退出组策略属性设置窗口,这样一来我们就能成功启用限制InternetExplorer进程下载文件的策略设置,日后WindowsServer2008系统就会自动弹出阻止InternetExplorer进程的非用户初始化的文件下载提示,单击提示对话框中的“确定”按钮,恶意程序就不会通过IE浏览器窗口随意下载保存到本地计算机硬盘中了。
2、对重要文件夹进行安全审核
WindowsServer2008系统可以使用安全审核的方法来跟踪访问重要文件夹或其他对象的登录尝试、用户账号、系统关闭、重启系统以及其他一些事件。
要是我们能够充分利用WindowsServer2008系统文件夹的审核功能,就能有效保证重要文件夹的访问安全性,其他非法攻击者就无法轻易对其进行恶意破坏;在对WindowsServer2008系统中的重要文件夹进行访问审核时,我们可以按照如下步骤来进行:
首先以特权帐号进入WindowsServer2008系统环境,依次点选系统桌面中的“开始”/“运行”命令,在系统运行框中执行gpedit.msc命令,打开本地计算机的组策略编辑窗口;
其次在组策略编辑窗口左侧区域展开“计算机配置”分支,再依次选择该分支下面的“Windows设置”/“安全设置”/“本地策略”/“审核策略”选项,在对应“审核策略”选项的右侧显示区域中找到“审核对象访问”目标组策略项目,并用鼠标右键单击该项目,执行右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口;
选中该属性设置窗口中的“成功”和“失败”复选项,再单击“确定”按钮,如此一来访问重要文件夹或其他对象的登录尝试、用户账号、系统关闭、重启系统以及其他一些事件无论成功与失败,都会被WindowsServer2008系统自动记录保存到对应的日志文件中,我们只要及时查看服务器系统的相关日志文件,就能知道重要文件夹以及其他一些对象是否遭受过非法访问或攻击了,一旦发现系统存在安全隐患的话,我们只要根据日志文件中的内容及时采取针对性措施进行安全防范就可以了。
3、禁止改变本地安全访问级别
在办公室中,我们有时需要与其他同事共享使用同一台计算机,当我们对本地计算机的IE浏览器安全访问级别设置好,肯定不希望其他同事随意更改它的安全访问级别,毕竟安全级别要是设置得太低的话,会导致潜藏在网络中的各种病毒或木马对本地计算机进行恶意攻击,从而可能造成本地系统运行缓慢或者无法正常运行的故障现象。
为了防止其他人随意更改本地计算机的安全访问级别,WindowsServer2008系统允许我们进入如下设置,来保护本地系统的安全:
首先以特权帐号进入WindowsServer2008系统环境,依次点选系统桌面中的“开始”/“运行”命令,在系统运行框中执行gpedit.msc命令,打开本地计算机的组策略编辑窗口;
其次在组策略编辑窗口左侧区域展开“用户配置”分支,再依次选择该分支下面的“管理模板”/“Windows组件”/“InternetExplorer”/“Internet控制模板”选项,在对应“Internet控制模板”选项的右侧显示区域中找到“禁用安全页”目标组策略项目,并用鼠标右键单击该项目,执行右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口;
选中该属性设置窗口中的“已启用”选项,再单击“确定”按钮结束目标组策略属性设置操作,如此一来InternetExplorer的安全设置页面就会被自动隐藏起来,这样的话其他同事就无法进入该安全标签设置页面来随意更改本地系统的安全访问级别了,那么本地计算机系统的安全性也就能得到有效保证了。
当然,我们也可以通过隐藏InternetExplorer窗口中的“Internet选项”,阻止其他同事随意进入IE浏览器的选项设置界面,来调整本地系统的安全访问级别以及其他上网访问参数。
在隐藏InternetExplorer窗口中的“Internet选项”时,我们可以按照前面的操作步骤打开WindowsServer2008系统的组策略编辑窗口,将鼠标定位于“用户配置”/“管理模板”/“Windows组件”/“InternetExplorer”/“浏览器菜单”分支选项上,再将该目标分支选项下面的禁用“Internet选项”组策略的属性设置窗口打开,然后选中其中的“已启用”选项,最后单击“确定”按钮就能使设置生效了。
4、禁止超级账号名称被偷窃
许多技术高明的黑客或恶意攻击者常常会通过登录WindowsServer2008系统的SID标识,来窃取系统超级账号的名称信息,之后再利用目标账号名称尝试去暴力破解登录WindowsServer2008系统的密码,最终获得WindowsServer2008系统的所有控制权限;很明显,一旦系统的超级权限帐号名称被非法窃取使用的话,那么WindowsServer2008系统的安全性就没有任何保证了。
为了有效保证WindowsServer2008系统的安全性,我们不妨进行如下设置,禁止任何用户通过SID标识获取对应系统登录账号的名称信息:
首先以特权帐号进入WindowsServer2008系统环境,依次点选系统桌面中的“开始”/“运行”命令,在系统运行框中执行gpedit.msc命令,打开本地计算机的组策略编辑窗口;
其次在组策略编辑窗口左侧区域展开“计算机配置”分支,再依次选择该分支下面的“Windows设置”/“安全设置”/“本地策略”/“安全选项”项目,找到该分支项目下面的“网络访问:
允许匿名SID/名称转换”目标组策略选项,并用鼠标右键单击该选项,执行右键菜单中的“属性”命令打开如图4所示的目标组策略属性设置界面,选中其中的“已禁用”选项,再单击“确定”按钮退出组策略属性设置窗口,这样的话任何用户都将无法利用SID标识来窃取WindowsServer2008系统的登录账号名称信息了,那么WindowsServer2008系统受到暴力破解登录的机会就大大减少了,此时对应系统的安全性也就能得到有效保证了。
5、禁止U盘病毒“趁虚而入”
很多时候,我们都是通过U盘与其他计算机系统相互交换信息的,但遗憾的是现在Internet网络中的U盘病毒疯狂肆虐,那么对于WindowsServer2008系统来说,我们究竟该采取什么措施来禁止U盘病毒“趁虚而入”呢?
其实很简单,我们可以通过设置WindowsServer2008系统的组策略参数,来禁止本地计算机系统读取U盘,那样一来U盘中的病毒文件就无法传播出来,下面就是具体的设置步骤:
首先以特权帐号进入WindowsServer2008系统环境,依次点选系统桌面中的“开始”/“运行”命令,在系统运行框中执行gpedit.msc命令,打开本地计算机的组策略编辑窗口;
其次在组策略编辑窗口左侧区域展开“用户配置”分支,再依次选择该分支下面的“管理模板”/“系统”/“可移动存储”选项,找到该分支选项下面的“可移动磁盘:
拒绝读取权限”目标组策略选项,并用鼠标右键单击该选项,执行右键菜单中的“属性”命令打开如图5所示的目标组策略属性设置界面,选中其中的“已启用”选项,再单击“确定”按钮退出组策略属性设置窗口;
同样地,再打开“可移动磁盘:
拒绝写入权限”目标组策略选项的属性设置窗口,选中该窗口中的“已启用”选项,最后再单击“确定”按钮就能使设置生效了,此时U盘病毒就不能“趁虚而入”了,那么WindowsServer2008系统也就不会遭遇U盘病毒的非法攻击了。
6、禁止来自程序的漏洞攻击
不少用户往往会错误地认为,只要对WindowsServer2008服务器系统的补丁程序进行及时更新,就能让本地服务器系统远离网络中各种木马程序或恶意病毒的非法攻击了。
其实,为WindowsServer2008服务器系统更新补丁程序只能堵住系统自身存在的一些安全漏洞,如果安装在WindowsServer2008系统中的应用程序有明显漏洞时,那么网络中各种木马程序或恶意病毒仍然能够利用应用程序存在的安全漏洞来对WindowsServer2008系统进行非法攻击。
那么在WindowsServer2008系统环境中,我们该采取什么措施来禁止病毒或木马利用应用程序漏洞来对服务器进行非法攻击呢?
很简单!
我们可以利用WindowsServer2008服务器系统内置的高级防火墙程序来实现这一目的,下面就是具体的设置步骤:
首先以特权帐号进入WindowsServer2008系统环境,依次点选系统桌面中的“开始”/“运行”命令,在系统运行框中执行gpedit.msc命令,打开本地服务器的组策略编辑窗口;
其次在组策略编辑窗口左侧区域展开“计算机配置”分支,再依次选择该分支下面的“Windows设置”/“安全设置”/“高级安全Windows防火墙”/“高级安全Windows防火墙——本地组策略对象”选项,用鼠标右键单击该分支选项下面的“入站规则”子项,从弹出的右键菜单中执行“属性”命令打开新建入站规则向导设置界面;
根据向导界面的提示,将规则类型参数设置为“程序”,然后选中“此程序路径”选项,并单击“浏览”按钮,将存在明显漏洞的目标应用程序选中,当屏幕上出现如图6所示的向导设置界面时,我们可以选中“阻止连接”项目,最后再设置好新建规则的名称,并单击“完成”按钮,如此一来WindowsServer2008系统中的高级防火墙程序就会禁止那些存在明显安全漏洞的应用程序访问网络了,那样的话病毒或木马自然也就不能通过应用程序漏洞对本地服务器实施恶意攻击了。
(本文来源:
天极网)
WindowsServer2008利用组策略的安全设置
相信很多人都知道WindowsServer2008系统的安全功能非法强大,而它的强大之处不仅仅是新增加了一些安全功能,而且还表现在一些不起眼的传统功能上。
这不,巧妙对WindowsServer2008系统的组策略功能进行深入挖掘,我们可以发现许多安全应用秘密;现在本文就为各位朋友贡献几则这样的安全秘密,希望能对大家有用!
1、限制使用迅雷进行恶意下载
在多人共同使用相同的一台计算机进行工作时,我们肯定不希望普通用户随意使用迅雷工具进行恶意下载,这样不但容易浪费本地系统的磁盘空间资源,而且也会大大消耗本地系统的上网带宽资源。
而在WindowsServer2008系统环境下,限制普通用户随意使用迅雷工具进行恶意下载的方法有很多,例如可以利用WindowsServer2008系统新增加的高级安全防火墙功能,或者通过限制下载端口等方法来实现上述控制目的,其实除了这些方法外,我们还可以巧妙地利用该系统的软件限制策略来达到这一目的,下面就是该方法的具体实现步骤:
首先以系统管理员权限登录进入WindowsServer2008系统,打开该系统的“开始”菜单,从中点选“运行”命令,在弹出的系统运行文本框中,输入“gpedit.msc”字符串命令,进入对应系统的组策略控制台窗口;
其次在该控制台窗口的左侧位置处,依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”选项,同时用鼠标右键单击该选项,并执行快捷菜单中的“创建软件限制策略”命令;
接着在对应“软件限制策略”选项的右侧显示区域,用鼠标双击“强制”组策略项目,打开如图1所示的设置对话框,选中其中的“除本地管理员以外的所有用户”选项,其余参数都保持默认设置,再单击“确定”按钮结束上述设置操作;
图1软件限制策略
下面选中“软件限制策略”节点下面的“其他规则”选项,再用鼠标右键单击该组策略选项,从弹出的快捷菜单中点选“新建路径规则”命令,在其后出现的设置对话框中,单击“浏览”按钮选中迅雷下载程序,同时将对应该应用程序的“安全级别”参数设置为“不允许”,最后单击“确定”按钮执行参数设置保存操作;
重新启动一下WindowsServer2008系统,当用户以普通权限账号登录进入该系统后,普通用户就不能正常使用迅雷程序进行恶意下载了,不过当我们以系统管理员权限进入本地计算机系统时,仍然可以正常运行迅雷程序进行随意下载。
2、拒绝网络病毒藏于临时文件
现在Internet网络上的病毒疯狂肆虐,一些“狡猾”的网络病毒为了躲避杀毒软件的追杀,往往会想方设法地将自己隐藏于系统临时文件夹,那样一来杀毒软件即使找到了网络病毒,也对它无可奈何,因为杀毒软件对系统临时文件夹根本无权“指手划脚”。
为了防止网络病毒隐藏在系统临时文件夹中,我们可以按照下面的操作设置WindowsServer2008系统的软件限制策略:
首先打开WindowsServer2008系统的“开始”菜单,从中点选“运行”命令,在弹出的系统运行对话框中,输入组策略编辑命令“gpedit.msc”,单击“确定”按钮后,进入对应系统的组策略控制台窗口;
图2将“安全级别”参数设置为“不允许”
其次在该控制台窗口的左侧位置处,依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”/“其他规则”选项,同时用鼠标右键单击该选项,并执行快捷菜单中的“新建路径规则”命令,打开如图2所示的设置对话框;单击其中的“浏览”按钮,从弹出的文件选择对话框中,选中并导入WindowsServer2008系统的临时文件夹,同时再将“安全级别”参数设置为“不允许”,最后单击“确定”按钮保存好上述设置操作,这样一来网络病毒日后就不能躲藏到系统的临时文件夹中了。
3、禁止来自外网的非法ping攻击
我们知道,巧妙地利用Windows系统自带的ping命令,可以快速判断局域网中某台重要计算机的网络连通性;可是,ping命令在给我们带来实用的同时,也容易被一些恶意用户所利用,例如恶意用户要是借助专业工具不停地向重要计算机发送ping命令测试包时,重要计算机系统由于无法对所有测试包进行应答,从而容易出现瘫痪现象。
为了保证WindowsServer2008服务器系统的运行稳定性,我们可以修改该系统的组策略参数,来禁止来自外网的非法ping攻击:
首先以特权身份登录进入WindowsServer2008服务器系统,依次点选该系统桌面上的“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击回车键后,进入对应系统的控制台窗口;其次选中该控制台左侧列表中的“计算机配置”节点选项,并从目标节点下面逐一点选“Windows设置”、“安全设置”、“高级安全Windows防火墙”、“高级安全Windows防火墙——本地组策略对象”选项,再用鼠标选中目标选项下面的“入站规则”项目;
接着在对应“入站规则”项目右侧的“操作”列表中,点选“新规则”选项,此时系统屏幕会自动弹出新建入站规则向导对话框,依照向导屏幕的提示,先将“自定义”选项选中,再将“所有程序”项目选中,之后从协议类型列表中选中“ICMPv4”,如图3所示;
图3协议类型列表中选中“ICMPv4”
之后向导屏幕会提示我们选择什么类型的连接条件时,我们可以选中“阻止连接”选项,同时依照实际情况设置好对应入站规则的应用环境,最后为当前创建的入站规则设置一个适当的名称。
完成上面的设置任务后,将WindowsServer2008服务器系统重新启动一下,这么一来WindowsServer2008服务器系统日后就不会轻易受到来自外网的非法ping测试攻击了。
小提示:
尽管通过WindowsServer2008服务器系统自带的高级安全防火墙功能,可以实现很多安全防范目的,不过稍微懂得一点技术的非法攻击者,可以想办法修改防火墙的安全规则,那样一来我们自行定义的各种安全规则可能会发挥不了任何作用。
为了阻止非法攻击者随意修改WindowsServer2008服务器系统的防火墙安全规则,我们可以进行下面的设置操作:
首先打开WindowsServer2008服务器系统的“开始”菜单,点选“运行”命令,在弹出的系统运行文本框中执行“regedit”字符串命令,打开系统注册表控制台窗口;选中该窗口左侧显示区域处的HKEY_LOCAL_MACHINE节点选项,同时从目标分支下面选中SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules注册表子项,该子项下面保存有很多安全规则;
其次打开注册表控制台窗口中的“编辑”下拉菜单,从中点选“权限”选项,打开权限设置对话框,单击该对话框中的“添加”按钮,从其后出现的帐号选择框中选中“Everyone”帐号,同时将其导入进来;再将对应该帐号的“完全控制”权限调整为“拒绝”,最后点击“确定”按钮执行设置保存操作,如此一来非法用户日后就不能随意修改WindowsServer2008服务器系统的各种安全控制规则了。
4、禁止普通用户随意上网访问
通常WindowsServer2008系统都被安装到重要的计算机中,为了防止该计算机系统受到安全威胁,我们往往需要想办法限制普通用户在该系统中随意上网访问;但是如果简单关闭该系统的上网访问权限,又会影响特权用户正常上网,那么我们如何才能限制普通用户上网,而又不影响特权用户进行上网访问呢?
其实很简单,我们可以按照下面的操作来修改WindowsServer2008系统的组策略参数:
首先以普通权限的帐号登录WindowsServer2008系统,打开对应系统中的IE浏览器窗口,单击其中的“工具”菜单项,从下拉菜单中点选“Internet选项”命令,弹出Internet选项设置窗口;
其次点选Internet选项设置窗口中的“连接”选项卡,进入连接选项设置页面,单击该设置页面中的“局域网设置”按钮,选中其后设置页面中的“为LAN使用代理服务器”选项,再任意输入一个代理服务器的主机地址以及端口号码,再单击“确定”按钮执行参数设置保存操作;
之后注销WindowsServer2008系统,换用具有特殊权限的用户帐号重新登录进入WindowsServer2008系统,依次点选“开始”、“运行”命令,在其后出现的系统运行框中输入“gpedit.msc”命令,单击“确定”按钮后,进入对应系统的组策略控制台窗口;
图4禁止普通用户随意上网访问
选中该控制台窗口左侧位置处的“计算机配置”节点选项,再从目标节点下面依次展开“管理模板”、“Windows组件”、“InternetExplorer”、“Internet控制面板”子项,再用鼠标双击目标子项下面的“禁用连接页”组策略项目,此时系统屏幕上会弹出如图4所示的目标组策略属性设置对话框,选中“已启用”选项,再单击“确定”按钮执行设置保存操作,这么一来,普通权限的用户日后在WindowsServer2008系统中尝试访问网络时,IE浏览器会自动连接一个失效的代理服务器,那么IE浏览器自然也就不能正常显示网络页面内容了;而具有特殊权限的用户在WindowsServer2008系统中尝试进行网络访问时,IE浏览器会直接显示出目标站点的内容,不需要通过代理服务器进行中转。
5、断开远程连接恢复系统状态
很多时候,一些不怀好意的用户往往会同时建立多个远程连接,来消耗WindowsServer2008服务器系统的宝贵资源,最终达到搞垮服务器系统的目的;为此,在实际管理WindowsServer2008服务器系统的过程中,一旦我们发现服务器系统运行状态突然不正常时,可以按照下面的办法强行断开所有与WindowsServer2008服务器系统建立连接的各个远程连接,以便及时将服务器系统的工作状态恢复正常:
首先在WindowsServer2008服务器系统桌面中依次点选“开始”、“运行”选项,在弹出的系统运行对话框中,输入“gpedit.msc”命令,单击回车键后,进入目标服务器系统的组策略控制台窗口;
图5删除所有用户远程访问连接
其次选中组策略控制台窗口左侧位置处的“用户配置”节点分支,并用鼠标逐一点选目标节点分支下面的“管理模板”/“网络”/“网络连接”组策略选项,之后双击“网络连接”分支下面的“删除所有用户远程访问连接”选项,在弹出的如图5所示的选项设置对话框中,选中“已启用”选项,再单击“确定”按钮保存好上述设置,这样一来WindowsServer2008服务器系统中的的各个远程连接都会被自动断开,此时对应系统的工作状态可能会立即恢复正常。
关于windows2008的组策略设置
开始---运行----gpedit.msc---组策略----计算机配置----Windows设置----安全设置--组策略设置:
在用户权利指派下,从通过网络访问此计算机中删除PowerUsers和BackupOperators;
启用不允许匿名访问SAM帐号和共享;
启用不允许为网络验证存储凭据或Passport;
从文件共享中删除允许匿名登录的DFS$和COMCFG;
启用交互登录:
不显示上次的用户名;
启用在下一次密码变更时不存储LANMAN哈希值;
禁止IIS匿名用户在本地登录;
3.本地安全策略设置:
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略审核策略更改成功失败
审核登录事件成功失败
审核对象访问失败
审核过程跟踪无审核
审核目录服务访问失败
升级会员 