盡管Windows Server 2008系統(tǒng)的安全性要領(lǐng)先其他操作系統(tǒng)一大步，不過默認(rèn)狀態(tài)下過高的安全級別常常使不少人無法順利地在Windows Server 2008系統(tǒng)環(huán)境下進(jìn)行各種操作，為此許多用戶往往會采用手工方法來降低Windows Server 2008系統(tǒng)的安全訪問級別。可是，一旦降低了安全訪問級別，Windows Server 2008系統(tǒng)遭遇安全攻擊的可能性就非常大了;那么如何在安全訪問級別不高的情況下，我們?nèi)匀荒軌蜃學(xué)indows Server 2008系統(tǒng)安全地運行?要做到這一點，我們可以利用Windows Server 2008系統(tǒng)強大的組策略功能，來對相關(guān)選項參數(shù)進(jìn)行有效設(shè)置!

　　1、禁止惡意程序“不請自來”

　　在Windows Server 2008系統(tǒng)環(huán)境中使用IE瀏覽器上網(wǎng)瀏覽網(wǎng)頁內(nèi)容時，時常會有一些惡意程序不請自來，偷偷下載保存到本地計算機硬盤中，這樣不但會白白浪費寶貴的硬盤空間資源，而且也會給本地計算機系統(tǒng)的安全帶來不少麻煩。為了讓W(xué)indows Server 2008系統(tǒng)更加安全，我們往往需要借助專業(yè)的軟件工具才能禁止應(yīng)用程序隨意下載，很顯然這樣操作不但麻煩而且比較累人;其實，在Windows Server 2008系統(tǒng)環(huán)境中，我們只要簡單地設(shè)置一下系統(tǒng)組策略參數(shù)，就能禁止惡意程序自動下載保存到本地計算機硬盤中了，下面就是具體的設(shè)置步驟：

　　首先以特權(quán)帳號進(jìn)入Windows Server 2008系統(tǒng)環(huán)境，依次點選系統(tǒng)桌面中的“開始”/“運行”命令，在系統(tǒng)運行框中執(zhí)行g(shù)pedit.msc命令，打開本地計算機的組策略編輯窗口;

　　圖1 Internet Explorer 進(jìn)程屬性

　　其次在組策略編輯窗口左側(cè)區(qū)域展開“計算機配置”分支，再依次選擇該分支下面的“管理模板”/“Windows組件”/“Internet Explorer”/“安全功能”/“限制文件下載”子項，雙擊“限制文件下載”子項下面的“Internet Explorer進(jìn)程”組策略選項，打開如圖1所示的目標(biāo)組策略屬性設(shè)置窗口;選中“已啟用”選項，再單擊“確定”按鈕退出組策略屬性設(shè)置窗口，這樣一來我們就能成功啟用限制Internet Explorer進(jìn)程下載文件的策略設(shè)置，日后Windows Server 2008系統(tǒng)就會自動彈出阻止Internet Explorer進(jìn)程的非用戶初始化的文件下載提示，單擊提示對話框中的“確定”按鈕，惡意程序就不會通過IE瀏覽器窗口隨意下載保存到本地計算機硬盤中了。

　2、對重要文件夾進(jìn)行安全審核

　　Windows Server 2008系統(tǒng)可以使用安全審核的方法來跟蹤訪問重要文件夾或其他對象的登錄嘗試、用戶賬號、系統(tǒng)關(guān)閉、重啟系統(tǒng)以及其他一些事件。要是我們能夠充分利用Windows Server 2008系統(tǒng)文件夾的審核功能，就能有效保證重要文件夾的訪問安全性，其他非法攻擊者就無法輕易對其進(jìn)行惡意破壞;在對Windows Server 2008系統(tǒng)中的重要文件夾進(jìn)行訪問審核時，我們可以按照如下步驟來進(jìn)行：

　　首先以特權(quán)帳號進(jìn)入Windows Server 2008系統(tǒng)環(huán)境，依次點選系統(tǒng)桌面中的“開始”/“運行”命令，在系統(tǒng)運行框中執(zhí)行g(shù)pedit.msc命令，打開本地計算機的組策略編輯窗口;

　　其次在組策略編輯窗口左側(cè)區(qū)域展開“計算機配置”分支，再依次選擇該分支下面的“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“審核策略”選項，在對應(yīng)“審核策略”選項的右側(cè)顯示區(qū)域中找到“審核對象訪問”目標(biāo)組策略項目，并用鼠標(biāo)右鍵單擊該項目，執(zhí)行右鍵菜單中的“屬性”命令打開目標(biāo)組策略項目的屬性設(shè)置窗口，如圖2所示;

　　圖2 組策略 審核對象訪問屬性

　　選中該屬性設(shè)置窗口中的“成功”和“失敗”復(fù)選項，再單擊“確定”按鈕，如此一來訪問重要文件夾或其他對象的登錄嘗試、用戶賬號、系統(tǒng)關(guān)閉、重啟系統(tǒng)以及其他一些事件無論成功與失敗，都會被Windows Server 2008系統(tǒng)自動記錄保存到對應(yīng)的日志文件中，我們只要及時查看服務(wù)器系統(tǒng)的相關(guān)日志文件，就能知道重要文件夾以及其他一些對象是否遭受過非法訪問或攻擊了，一旦發(fā)現(xiàn)系統(tǒng)存在安全隱患的話，我們只要根據(jù)日志文件中的內(nèi)容及時采取針對性措施進(jìn)行安全防范就可以了。

　　3、禁止改變本地安全訪問級別

　　在辦公室中，我們有時需要與其他同事共享使用同一臺計算機，當(dāng)我們對本地計算機的IE瀏覽器安全訪問級別設(shè)置好，肯定不希望其他同事隨意更改它的安全訪問級別，畢竟安全級別要是設(shè)置得太低的話，會導(dǎo)致潛藏在網(wǎng)絡(luò)中的各種病毒或木馬對本地計算機進(jìn)行惡意攻擊，從而可能造成本地系統(tǒng)運行緩慢或者無法正常運行的故障現(xiàn)象。為了防止其他人隨意更改本地計算機的安全訪問級別，Windows Server 2008系統(tǒng)允許我們進(jìn)入如下設(shè)置，來保護(hù)本地系統(tǒng)的安全：

　　首先以特權(quán)帳號進(jìn)入Windows Server 2008系統(tǒng)環(huán)境，依次點選系統(tǒng)桌面中的“開始”/“運行”命令，在系統(tǒng)運行框中執(zhí)行g(shù)pedit.msc命令，打開本地計算機的組策略編輯窗口;

　　其次在組策略編輯窗口左側(cè)區(qū)域展開“用戶配置”分支，再依次選擇該分支下面的“管理模板”/“Windows組件”/“Internet Explorer”/“Internet控制模板”選項，在對應(yīng)“Internet控制模板”選項的右側(cè)顯示區(qū)域中找到“禁用安全頁”目標(biāo)組策略項目，并用鼠標(biāo)右鍵單擊該項目，執(zhí)行右鍵菜單中的“屬性”命令打開目標(biāo)組策略項目的屬性設(shè)置窗口，如圖3所示;

　　圖3 禁用安全頁屬性

　　選中該屬性設(shè)置窗口中的“已啟用”選項，再單擊“確定”按鈕結(jié)束目標(biāo)組策略屬性設(shè)置操作，如此一來Internet Explorer的安全設(shè)置頁面就會被自動隱藏起來，這樣的話其他同事就無法進(jìn)入該安全標(biāo)簽設(shè)置頁面來隨意更改本地系統(tǒng)的安全訪問級別了，那么本地計算機系統(tǒng)的安全性也就能得到有效保證了。

　　當(dāng)然，我們也可以通過隱藏Internet Explorer窗口中的“Internet選項”，阻止其他同事隨意進(jìn)入IE瀏覽器的選項設(shè)置界面，來調(diào)整本地系統(tǒng)的安全訪問級別以及其他上網(wǎng)訪問參數(shù)。在隱藏Internet Explorer窗口中的“Internet選項”時，我們可以按照前面的操作步驟打開Windows Server 2008系統(tǒng)的組策略編輯窗口，將鼠標(biāo)定位于“用戶配置”/“管理模板”/“Windows組件”/“Internet Explorer”/“瀏覽器菜單”分支選項上，再將該目標(biāo)分支選項下面的禁用“Internet選項”組策略的屬性設(shè)置窗口打開，然后選中其中的“已啟用”選項，最后單擊“確定”按鈕就能使設(shè)置生效了。

　　4、禁止超級賬號名稱被偷竊

　　許多技術(shù)高明的黑客或惡意攻擊者常常會通過登錄Windows Server 2008系統(tǒng)的SID標(biāo)識，來竊取系統(tǒng)超級賬號的名稱信息，之后再利用目標(biāo)賬號名稱嘗試去暴力破解登錄Windows Server 2008系統(tǒng)的密碼，最終獲得Windows Server 2008系統(tǒng)的所有控制權(quán)限;很明顯，一旦系統(tǒng)的超級權(quán)限帳號名稱被非法竊取使用的話，那么Windows Server 2008系統(tǒng)的安全性就沒有任何保證了。為了有效保證Windows Server 2008系統(tǒng)的安全性，我們不妨進(jìn)行如下設(shè)置，禁止任何用戶通過SID標(biāo)識獲取對應(yīng)系統(tǒng)登錄賬號的名稱信息：

　　首先以特權(quán)帳號進(jìn)入Windows Server 2008系統(tǒng)環(huán)境，依次點選系統(tǒng)桌面中的“開始”/“運行”命令，在系統(tǒng)運行框中執(zhí)行g(shù)pedit.msc命令，打開本地計算機的組策略編輯窗口;

　　其次在組策略編輯窗口左側(cè)區(qū)域展開“計算機配置”分支，再依次選擇該分支下面的“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“安全選項”項目，找到該分支項目下面的“網(wǎng)絡(luò)訪問：允許匿名SID/名稱轉(zhuǎn)換”目標(biāo)組策略選項，并用鼠標(biāo)右鍵單擊該選項，執(zhí)行右鍵菜單中的“屬性”命令打開如圖4所示的目標(biāo)組策略屬性設(shè)置界面，選中

　　圖4 網(wǎng)絡(luò)訪問屬性

　　其中的“已禁用”選項，再單擊“確定”按鈕退出組策略屬性設(shè)置窗口，這樣的話任何用戶都將無法利用SID標(biāo)識來竊取Windows Server 2008系統(tǒng)的登錄賬號名稱信息了，那么Windows Server 2008系統(tǒng)受到暴力破解登錄的機會就大大減少了，此時對應(yīng)系統(tǒng)的安全性也就能得到有效保證了。

　　5、禁止U盤病毒“趁虛而入”

　　很多時候，我們都是通過U盤與其他計算機系統(tǒng)相互交換信息的，但遺憾的是現(xiàn)在Internet網(wǎng)絡(luò)中的U盤病毒瘋狂肆虐，那么對于Windows Server 2008系統(tǒng)來說，我們究竟該采取什么措施來禁止U盤病毒“趁虛而入”呢?其實很簡單，我們可以通過設(shè)置Windows Server 2008系統(tǒng)的組策略參數(shù)，來禁止本地計算機系統(tǒng)讀取U盤，那樣一來U盤中的病毒文件就無法傳播出來，下面就是具體的設(shè)置步驟：

　　首先以特權(quán)帳號進(jìn)入Windows Server 2008系統(tǒng)環(huán)境，依次點選系統(tǒng)桌面中的“開始”/“運行”命令，在系統(tǒng)運行框中執(zhí)行g(shù)pedit.msc命令，打開本地計算機的組策略編輯窗口;

　　其次在組策略編輯窗口左側(cè)區(qū)域展開“用戶配置”分支，再依次選擇該分支下面的“管理模板”/“系統(tǒng)”/“可移動存儲”選項，找到該分支選項下面的“可移動磁盤：拒絕讀取權(quán)限”目標(biāo)組策略選項，并用鼠標(biāo)右鍵單擊該選項，執(zhí)行右鍵菜單中的“屬性”命令打開如圖5所示的目標(biāo)組策略屬性設(shè)置界面，選中

　　圖5 可移動磁盤屬性

　　其中的“已啟用”選項，再單擊“確定”按鈕退出組策略屬性設(shè)置窗口;

　　同樣地，再打開“可移動磁盤：拒絕寫入權(quán)限”目標(biāo)組策略選項的屬性設(shè)置窗口，選中該窗口中的“已啟用”選項，最后再單擊“確定”按鈕就能使設(shè)置生效了，此時U盤病毒就不能“趁虛而入”了，那么Windows Server 2008系統(tǒng)也就不會遭遇U盤病毒的非法攻擊了。

　　6、禁止來自程序的漏洞攻擊

　　不少用戶往往會錯誤地認(rèn)為，只要對Windows Server 2008服務(wù)器系統(tǒng)的補丁程序進(jìn)行及時更新，就能讓本地服務(wù)器系統(tǒng)遠(yuǎn)離網(wǎng)絡(luò)中各種木馬程序或惡意病毒的非法攻擊了。其實，為Windows Server 2008服務(wù)器系統(tǒng)更新補丁程序只能堵住系統(tǒng)自身存在的一些安全漏洞，如果安裝在Windows Server 2008系統(tǒng)中的應(yīng)用程序有明顯漏洞時，那么網(wǎng)絡(luò)中各種木馬程序或惡意病毒仍然能夠利用應(yīng)用程序存在的安全漏洞來對Windows Server 2008系統(tǒng)進(jìn)行非法攻擊。那么在Windows Server 2008系統(tǒng)環(huán)境中，我們該采取什么措施來禁止病毒或木馬利用應(yīng)用程序漏洞來對服務(wù)器進(jìn)行非法攻擊呢?很簡單!我們可以利用Windows Server 2008服務(wù)器系統(tǒng)內(nèi)置的高級防火墻程序來實現(xiàn)這一目的，下面就是具體的設(shè)置步驟：

　　首先以特權(quán)帳號進(jìn)入Windows Server 2008系統(tǒng)環(huán)境，依次點選系統(tǒng)桌面中的“開始”/“運行”命令，在系統(tǒng)運行框中執(zhí)行g(shù)pedit.msc命令，打開本地服務(wù)器的組策略編輯窗口;

　　其次在組策略編輯窗口左側(cè)區(qū)域展開“計算機配置”分支，再依次選擇該分支下面的“Windows設(shè)置”/“安全設(shè)置”/“高級安全Windows防火墻”/“高級安全Windows防火墻——本地組策略對象”選項，用鼠標(biāo)右鍵單擊該分支選項下面的“入站規(guī)則”子項，從彈出的右鍵菜單中執(zhí)行“屬性”命令打開新建入站規(guī)則向?qū)гO(shè)置界面;

　　圖6 入站規(guī)則向?qū)?/p>

　　根據(jù)向?qū)Ы缑娴奶崾荆瑢⒁?guī)則類型參數(shù)設(shè)置為“程序”，然后選中“此程序路徑”選項，并單擊“瀏覽”按鈕，將存在明顯漏洞的目標(biāo)應(yīng)用程序選中，當(dāng)屏幕上出現(xiàn)如圖6所示的向?qū)гO(shè)置界面時，我們可以選中“阻止連接”項目，最后再設(shè)置好新建規(guī)則的名稱，并單擊“完成”按鈕，如此一來Windows Server 2008系統(tǒng)中的高級防火墻程序就會禁止那些存在明顯安全漏洞的應(yīng)用程序訪問網(wǎng)絡(luò)了，那樣的話病毒或木馬自然也就不能通過應(yīng)用程序漏洞對本地服務(wù)器實施惡意攻擊了。