扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
来源:IT实验室 2009年3月26日
关键字: 系统安全 Windows 2008 安全策略
凭借新鲜超强的功能以及更胜一筹的安全优势,Windows Server 2008系统吸引了许多网络管理员在不知不觉中前来试用尝鲜。可是,这并不能说明Windows Server 2008系统在安全方面就可以高枕无忧了,因为在不同的使用环境下,Windows Server 2008系统表现出来的安全防范能力是不一样的,甚至该系统在某些方面没有一点安全抵抗能力,这时就需要我们自己动手来保护Windows Server 2008系统的运行安全了。下面,本文就为各位朋友总结几则保护Windows Server 2008系统安全的技巧,希望大家能从中获得一些帮助!
谨防登录密码被木马窃取
不少网络管理员为了高效登录进Windows Server 2008服务器系统,往往会将系统特权账号修改为自动登录状态,这样一来网络管理员下次登录服务器系统时不需输入帐号与密码就能直接进入系统桌面;虽然这样的自动登录操作可以大大提高工作效率,不过一些专业木马程序支持模仿登录功能,木马程序通过该功能可以非常轻松地窃取到自动登录服务器系统时所使用的特权帐号与密码,那样的话Windows Server 2008服务器系统的登录安全就会遭遇不小的威胁。为了谨防Windows Server 2008服务器系统的登录帐号与密码被专业木马程序轻松窃取,我们不妨按照如下步骤设置Windows Server 2008系统,来禁止任何用户采用自动登录方式进入服务器系统:
首先以特权帐号登录进Windows Server 2008服务器系统,依次点选该系统桌面中的“开始”、“运行”命令,在其后出现的系统运行对话框中,输入“control userpasswords2”字符串命令,单击“确定”按钮后,进入对应系统的用户账户控制对话框;
其次在该控制对话框中单击“用户”标签,之后选中对应标签页面中的“要使用本机,用户必须输入用户名和密码”选项,下面再点选“高级”标签,进入如图1所示的标签设置页面;在该页面的“安全登录”处选中“要求用户按Ctrl+Alt+Delete”选项,同时单击“确定”按钮,如此一来任何一位用户包括网络管理员在尝试登录Windows Server 2008服务器时,都需要先按下Ctrl+Alt+Delete组合键,打开服务器系统的登录验证对话框,之后在其中正确输入系统特权账号的名称、密码等信息,才能安全登录进入Windows Server 2008服务器系统桌面,而在这个登录服务器系统的过程专业木马程序是无法窃取到登录帐号与密码信息的,如此一来系统特权帐号的登录密码就不会被轻易丢失了。
强制远程用户进行网络验证
大家知道,Windows Server 2000、Windows Server 2003之类的传统服务器系统虽然也支持远程桌面功能,可是Windows Server 2008系统不但支持远程桌面功能,而且还大大提高该功能的安全防范性能,我们可以通过设置该系统的远程桌面功能来强制远程用户进行网络身份验证,以便拒绝一些恶意用户偷偷通过远程桌面连接功能来非法攻击Windows Server 2008服务器系统。要想让Windows Server 2008系统强制远程用户进行网络身份验证时,我们可以依照下面的操作来设置服务器系统:
首先以特权帐号登录进入Windows Server 2008系统,从该系统的“开始”菜单中逐一点选“程序”/“管理工具”/“服务器管理器”命令选项,进入对应系统的服务器管理器界面;
其次在服务器管理器界面的左侧子窗格中选中“服务器管理”分支选项,在目标分支选项的右侧子窗格中找到“服务器摘要”设置项,并单击该设置区域下面的“配置远程桌面”按钮,进入Windows Server 2008系统的远程桌面属性设置窗口;
在该属性设置窗口的“远程桌面”位置处,我们看到Windows Server 2008系统为远程用户提供了三个安全选项,要是我们希望局域网中的所有用户都能非常顺畅地通过远程桌面连接功能来对Windows Server 2008服务器系统进行远程控制时,那就需要将这里的“允许运行任意版本远程桌面的计算机连接”安全项目选中,不过轻易选中该安全选项,Windows Server 2008服务器系统容易遭受非法攻击。
为了防止服务器系统开通远程桌面连接功能后会给自身带来安全麻烦,Windows Server 2008系统为远程控制用户提供了“只允许运行带网络级身份验证的远程桌面的计算机连接”安全设置选项,我们只要选中该安全控制选项(如图2所示),同时单击“确定”按钮退出设置对话框,那样一来Windows Server 2008系统日后就会强行对任何一位企图通过远程桌面连接功能控制服务器的用户执行网络身份验证了,通不过网络身份验证的远程控制用户自然就不能对Windows Server 2008服务器系统进行远程管理和控制了。
拒绝漏洞应用程序连接网络
不少朋友往往会错误地认为,只要对Windows Server 2008服务器系统及时更新、安装漏洞补丁程序,就能确保对应系统不会遭遇流行病毒或木马程序的非法攻击;其实,给Windows Server 2008服务器系统更新、安装漏洞补丁程序仅仅能够防范由系统漏洞引起的安全问题,但是那些安装在Windows Server 2008服务器系统中的应用程序自身可能也会存在安全漏洞,由这些漏洞引起的安全问题我们往往是无法通过更新系统补丁来解决的。为了有效防止某些漏洞应用程序给Windows Server 2008服务器系统带来安全麻烦,我们可以利用该系统自带的防火墙功能来禁止那些存在安全漏洞的应用程序去访问或连接网络,如此一来就能实现防范由应用程序漏洞引起的服务器安全麻烦了。下面,我们就对Windows Server 2008系统内置的防火墙功能进行一下设置,来拒绝漏洞应用程序偷偷连接网络:
首先打开Windows Server 2008系统的“开始”菜单,从中依次点选“设置”、“控制面板”选项,在其后出现的系统控制面板界面中,用鼠标双击其中的Windows防火墙功能图标,再单击其后界面中的“更改设置”按钮,进入Windows Server 2008系统内置防火墙的基本配置对话框;
其次单击该基本配置对话框的“例外”选项卡,进入如图3所示的选项设置界面,在对应设置界面中我们能够一目了然地看到所有想进行网络连接的应用程序列表,其中处于选中状态的应用程序就表示Windows Server 2008系统内置的防火墙允许它进行网络连接,而那些没有处于选中状态的应用程序自然就表示Windows Server 2008系统内置的防火墙不允许它进行网络连接了;
要是我们不能从应用程序列表中看到漏洞程序的“身影”时,就需要手工将它添加进来了,在进行手工添加操作时,我们只要单击图3设置界面中的“添加程序”按钮,在其后出现的应用程序打开对话框中,将目标漏洞应用程序选择并添加进来,然后用鼠标将其选中,再单击“确定”按钮保存上述设置操作,这样一来存在安全漏洞的目标应用程序由于不能连接网络,那么Internet网络中的木马或病毒就不会通过该漏洞攻击服务器系统了。
防止系统安全级别意外降低
在公共场合下,与他人共用一台电脑的事情是经常会出现的,当我们辛辛苦苦地将本地电脑的IE浏览器安全级别调整合适后,肯定不想让其他人再随意降低它的安全级别,毕竟随意降低IE浏览器的安全级别,容易引起本地电脑遭遇网络病毒或恶意木马的袭击,最终造成所有的人都不能正常使用电脑。为了防止系统安全级别意外降低,安装了Windows Server 2008系统的电脑可以允许用户进行下面的设置操作:
首先在Windows Server 2008系统桌面中逐一点选“开始”、“运行”命令,打开对应系统的运行文本框,在其中输入“gpedit.msc”字符串命令,单击“确定”按钮后进入对应系统的组策略控制台窗口;
其次将鼠标定位于该控制台窗口左侧子窗格中的“用户配置”节点选项,再从目标节点选项下面依次展开“管理模板”、“Windows组件”、“Internet Explorer”、“Internet控制模板”组策略子项,再用鼠标双击目标组策略子项下面的“禁用安全页”选项,打开如图4所示的目标组策略属性设置对话框;
检查该设置对话框中的“已启用”选项是否处于选中状态,如果发现它还没有被选中时,我们应该及时将它重新选中,再单击“确定”按钮保存好设置操作,这样的话其他人日后即使进入到Windows Server 2008系统的Internet选项设置窗口,也不能进入其中的安全设置页面,因为该页面已经被自动隐藏起来了,如此一来其他人自然就不能随意在安全设置页面中改动本地电脑的安全访问级别了,这时Windows Server 2008系统的访问安全性也就有保证了。
此外,我们也能通过合适设置将本地电脑IE浏览器窗口中的“Internet选项”命令隐藏起来,让其他人无法打开IE浏览器的选项设置窗口,这样也能阻止恶意用户随意降低本地电脑的安全访问级别。在隐藏“Internet选项”选项命令时,我们可以先进入Windows Server 2008系统的组策略控制台窗口,依次展开其中的“用户配置”、“管理模板”、“Windows组件”、“Internet Explorer”、“浏览器菜单”分支选项,再在目标分支选项的右侧子窗格中双击“禁用Internet选项”项目,在其后出现的组策略属性界面中,选中“已启用”项目,再单击“确定”按钮就OK了。
巧妙备份系统所有账号信息
通常情况下,Windows Server 2008系统中往往会同时保存有不少用户的系统登录账号信息,这些登录账号信息在服务器系统突然遭遇崩溃故障时,很可能会永远丢失掉,日后网络管理员可能很难通过大脑记忆的方法将所有丢失的用户账号逐一恢复成功。为了防止重要用户的账号信息发生丢失,我们应该及时在Windows Server 2008系统工作正常的时候,对用户账号信息进行巧妙备份,然后将备份文件保存到其他安全的地方,日后Windows Server 2008系统要是发生故障而不能正常启动运行时,用户账号信息也不会受到任何损坏,因为到时候将备份好的用户帐号恢复一下就可以了,下面就是备份用户账号的具体步骤:
首先打开Windows Server 2008系统桌面的“开始”菜单,从中点选“运行”命令,在其后出现的系统运行对话框中,输入“credwiz”字符串命令,单击“确定”按钮后,打开如图5所示的备份还原设置对话框;
其次将其中的“备份存储的用户名和密码”项目选中,同时根据向导提示单击“下一步”按钮,在其后界面中单击“浏览”按钮,打开文件选择对话框,在这里我们需要指定好保存用户帐号的文件名称以及保存位置,之后再单击对应对话框中的“保存”按钮,如此一来在Windows Server 2008系统环境下创建的所有用户账号信息都将被自动保存到特定的文件中了,只是该文件默认会使用crd扩展名;
日后一旦发现Windows Server 2008系统的用户账号意外丢失时,我们只要将之前备份好的用户账号文件复制到Windows Server 2008系统环境下,之后再依次单击“开始”/“运行”命令,从其后出现的系统运行框中执行字符串命令“credwiz”,进入用户帐号还原向导设置窗口,选中其中的“还原存储的用户名和密码”功能选项,然后将目标用户帐号备份文件选择并加入进来,最后单击“还原”按钮,这样一来发生丢失或受到损坏的用户账号信息就能被成功恢复好了。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。