设置Windows Server 2008系统组策略功能

1、设置windows server 2008系统组策略功能 2013-08-22 14:26 463人阅读 评论(0) 收藏 举报 本文章已收录于： 分类： windows（63） 作者同类文章x尽管windowsserver2008系统的安全性要领先其他操作系统一大步，不过默认状态下过高的安全级别常常使不少人无法顺利地在windowsserver2008系统环境下进行各种操作，为此许多用户往往会采用手工方法来降低windowsserver2008系统的安全访问级别。可是，一旦降低了安全访问级别，windowsserver2008系统遭遇安全攻击的可能性就非常大了;那么如何在安全访问级别不高的情

2、况下，我们仍然能够让windowsserver2008系统安全地运行?要做到这一点，我们可以利用windowsserver2008系统强大的组策略功能，来对相关选项参数进行有效设置!1、禁止恶意程序“不请自来”在windowsserver2008系统环境中使用ie浏览器上网浏览网页内容时，时常会有一些恶意程序不请自来，偷偷下载保存到本地计算机硬盘中，这样不但会白白浪费宝贵的硬盘空间资源，而且也会给本地计算机系统的安全带来不少麻烦。为了让windowsserver2008系统更加安全，我们往往需要借助专业的软件工具才能禁止应用程序随意下载，很显然这样操作不但麻烦而且比较累人;其实，在window

3、sserver2008系统环境中，我们只要简单地设置一下系统组策略参数，就能禁止恶意程序自动下载保存到本地计算机硬盘中了，下面就是具体的设置步骤：首先以特权帐号进入windowsserver2008系统环境，依次点选系统桌面中的“开始”/“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地计算机的组策略编辑窗口;其次在组策略编辑窗口左侧区域展开“计算机配置”分支，再依次选择该分支下面的“管理模板”/“windows组件”/“internet explorer”/“安全功能”/“限制文件下载”子项，双击“限制文件下载”子项下面的“internet explorer进程”组策略选项，

4、打开如图1所示的目标组策略属性设置窗口;选中“已启用”选项，再单击“确定”按钮退出组策略属性设置窗口，这样一来我们就能成功启用限制internet explorer进程下载文件的策略设置，日后windowsserver2008系统就会自动弹出阻止internet explorer进程的非用户初始化的文件下载提示，单击提示对话框中的“确定”按钮，恶意程序就不会通过ie浏览器窗口随意下载保存到本地计算机硬盘中了。2、对重要文件夹进行安全审核windowsserver2008系统可以使用安全审核的方法来跟踪访问重要文件夹或其他对象的登录尝试、用户账号、系统关闭、重启系统以及其他一些事件。要是我们能够

5、充分利用windowsserver2008系统文件夹的审核功能，就能有效保证重要文件夹的访问安全性，其他非法攻击者就无法轻易对其进行恶意破坏;在对windowsserver2008系统中的重要文件夹进行访问审核时，我们可以按照如下步骤来进行：首先以特权帐号进入windowsserver2008系统环境，依次点选系统桌面中的“开始”/“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地计算机的组策略编辑窗口;其次在组策略编辑窗口左侧区域展开“计算机配置”分支，再依次选择该分支下面的“windows设置”/“安全设置”/“本地策略”/“审核策略”选项，在对应“审核策略”选项的右侧显示

6、区域中找到“审核对象访问”目标组策略项目，并用鼠标右键单击该项目，执行右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口;选中该属性设置窗口中的“成功”和“失败”复选项，再单击“确定”按钮，如此一来访问重要文件夹或其他对象的登录尝试、用户账号、系统关闭、重启系统以及其他一些事件无论成功与失败，都会被windowsserver2008系统自动记录保存到对应的日志文件中，我们只要及时查看服务器系统的相关日志文件，就能知道重要文件夹以及其他一些对象是否遭受过非法访问或攻击了，一旦发现系统存在安全隐患的话，我们只要根据日志文件中的内容及时采取针对性措施进行安全防范就可以了。3、禁止改变本地安全访

7、问级别在办公室中，我们有时需要与其他同事共享使用同一台计算机，当我们对本地计算机的ie浏览器安全访问级别设置好，肯定不希望其他同事随意更改它的安全访问级别，毕竟安全级别要是设置得太低的话，会导致潜藏在网络中的各种病毒或木马对本地计算机进行恶意攻击，从而可能造成本地系统运行缓慢或者无法正常运行的故障现象。为了防止其他人随意更改本地计算机的安全访问级别，windowsserver2008系统允许我们进入如下设置，来保护本地系统的安全：首先以特权帐号进入windowsserver2008系统环境，依次点选系统桌面中的“开始”/“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地计算机的

8、组策略编辑窗口;其次在组策略编辑窗口左侧区域展开“用户配置”分支，再依次选择该分支下面的“管理模板”/“windows组件”/“internet explorer”/“internet控制模板”选项，在对应“internet控制模板”选项的右侧显示区域中找到“禁用安全页”目标组策略项目，并用鼠标右键单击该项目，执行右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口;选中该属性设置窗口中的“已启用”选项，再单击“确定”按钮结束目标组策略属性设置操作，如此一来internet explorer的安全设置页面就会被自动隐藏起来，这样的话其他同事就无法进入该安全标签设置页面来随意更改本地系统的安

9、全访问级别了，那么本地计算机系统的安全性也就能得到有效保证了。当然，我们也可以通过隐藏internet explorer窗口中的“internet选项”，阻止其他同事随意进入ie浏览器的选项设置界面，来调整本地系统的安全访问级别以及其他上网访问参数。在隐藏internet explorer窗口中的“internet选项”时，我们可以按照前面的操作步骤打开windowsserver2008系统的组策略编辑窗口，将鼠标定位于“用户配置”/“管理模板”/“windows组件”/“internet explorer”/“浏览器菜单”分支选项上，再将该目标分支选项下面的禁用“internet选项”组策略

10、的属性设置窗口打开，然后选中其中的“已启用”选项，最后单击“确定”按钮就能使设置生效了。4、禁止超级账号名称被偷窃许多技术高明的黑客或恶意攻击者常常会通过登录windowsserver2008系统的sid标识，来窃取系统超级账号的名称信息，之后再利用目标账号名称尝试去暴力破解登录windowsserver2008系统的密码，最终获得windowsserver2008系统的所有控制权限;很明显，一旦系统的超级权限帐号名称被非法窃取使用的话，那么windowsserver2008系统的安全性就没有任何保证了。为了有效保证windowsserver2008系统的安全性，我们不妨进行如下设置，禁止任何

11、用户通过sid标识获取对应系统登录账号的名称信息：首先以特权帐号进入windowsserver2008系统环境，依次点选系统桌面中的“开始”/“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地计算机的组策略编辑窗口;其次在组策略编辑窗口左侧区域展开“计算机配置”分支，再依次选择该分支下面的“windows设置”/“安全设置”/“本地策略”/“安全选项”项目，找到该分支项目下面的“网络访问：允许匿名sid/名称转换”目标组策略选项，并用鼠标右键单击该选项，执行右键菜单中的“属性”命令打开如图4所示的目标组策略属性设置界面，选中其中的“已禁用”选项，再单击“确定”按钮退出组策略属性

12、设置窗口，这样的话任何用户都将无法利用sid标识来窃取windowsserver2008系统的登录账号名称信息了，那么windowsserver2008系统受到暴力破解登录的机会就大大减少了，此时对应系统的安全性也就能得到有效保证了。5、禁止u盘病毒“趁虚而入”很多时候，我们都是通过u盘与其他计算机系统相互交换信息的，但遗憾的是现在internet网络中的u盘病毒疯狂肆虐，那么对于windowsserver2008系统来说，我们究竟该采取什么措施来禁止u盘病毒“趁虚而入”呢?其实很简单，我们可以通过设置windowsserver2008系统的组策略参数，来禁止本地计算机系统读取u盘，那样一来u

13、盘中的病毒文件就无法传播出来，下面就是具体的设置步骤：首先以特权帐号进入windowsserver2008系统环境，依次点选系统桌面中的“开始”/“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地计算机的组策略编辑窗口;其次在组策略编辑窗口左侧区域展开“用户配置”分支，再依次选择该分支下面的“管理模板”/“系统”/“可移动存储”选项，找到该分支选项下面的“可移动磁盘：拒绝读取权限”目标组策略选项，并用鼠标右键单击该选项，执行右键菜单中的“属性”命令打开如图5所示的目标组策略属性设置界面，选中其中的“已启用”选项，再单击“确定”按钮退出组策略属性设置窗口;同样地，再打开“可移动磁

14、盘：拒绝写入权限”目标组策略选项的属性设置窗口，选中该窗口中的“已启用”选项，最后再单击“确定”按钮就能使设置生效了，此时u盘病毒就不能“趁虚而入”了，那么windowsserver2008系统也就不会遭遇u盘病毒的非法攻击了。6、禁止来自程序的漏洞攻击不少用户往往会错误地认为，只要对windowsserver2008服务器系统的补丁程序进行及时更新，就能让本地服务器系统远离网络中各种木马程序或恶意病毒的非法攻击了。其实，为windowsserver2008服务器系统更新补丁程序只能堵住系统自身存在的一些安全漏洞，如果安装在windowsserver2008系统中的应用程序有明显漏洞时，那么网

15、络中各种木马程序或恶意病毒仍然能够利用应用程序存在的安全漏洞来对windowsserver2008系统进行非法攻击。那么在windowsserver2008系统环境中，我们该采取什么措施来禁止病毒或木马利用应用程序漏洞来对服务器进行非法攻击呢?很简单!我们可以利用windowsserver2008服务器系统内置的高级防火墙程序来实现这一目的，下面就是具体的设置步骤：首先以特权帐号进入windowsserver2008系统环境，依次点选系统桌面中的“开始”/“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地服务器的组策略编辑窗口;其次在组策略编辑窗口左侧区域展开“计算机配置”分支

16、，再依次选择该分支下面的“windows设置”/“安全设置”/“高级安全windows防火墙”/“高级安全windows防火墙本地组策略对象”选项，用鼠标右键单击该分支选项下面的“入站规则”子项，从弹出的右键菜单中执行“属性”命令打开新建入站规则向导设置界面;根据向导界面的提示，将规则类型参数设置为“程序”，然后选中“此程序路径”选项，并单击“浏览”按钮，将存在明显漏洞的目标应用程序选中，当屏幕上出现如图6所示的向导设置界面时，我们可以选中“阻止连接”项目，最后再设置好新建规则的名称，并单击“完成”按钮，如此一来windowsserver2008系统中的高级防火墙程序就会禁止那些存在明显安全漏

17、洞的应用程序访问网络了，那样的话病毒或木马自然也就不能通过应用程序漏洞对本地服务器实施恶意攻击了。组策略对于windows系统的网络安全性起着至关重要的作用，下文是介绍windows 2008系统中组策略在其安全性上如何起作用的。 尽管windows server 2008系统的安全性能已经大幅提升了，不过这并不意味着该系统已经安全无忧了，因为很多时候系统的一些安全参数会被偷偷修改，从而可能给系统造成一些安全威胁，那有什么办法让我们能够防患于未然，在系统安全参数被修改之前就能将它禁止呢？其实巧妙设置系统组策略参数，就可以让windows server 2008系统更加安全了。 严禁恶意程序不请

18、自来 我们在使用windows server 2008系统自带的ie浏览器上网访问网页内容时，时常会碰到一些恶意的控件程序，这些恶意控件程序往往不经过我们的允许，就自动下载保存到本地系统硬盘中，这样不但会消耗宝贵的磁盘空间资源，而且还可能会给windows server 2008系统带来安全麻烦；为了让自己的windows server 2008系统更加安全，我们可以安装使用一些专业工具来拒绝恶意程序不请自来，可是这样不但操作很繁琐而且也不利于提高操作效率。事实上，windows server 2008系统在组策略中已经添加了这种安全问题的控制选项，我们只要对相应的控制选项进行一下合适设置就可

19、以了，下面就是具体的控制步骤： 首先在windows server 2008系统桌面中打开“开始”菜单，点选其中的“运行”命令，在弹出的系统运行文本框中，输入“gpedit.msc”字符串命令，单击“确定”按钮，打开对应系统的组策略编辑窗口； 其次在该组策略编辑窗口的左侧显示区域中将鼠标定位于“计算机配置”分支，并从该分支下面逐一展开“管理模板”/“windows组件”/“限制文件下载”/“安全功能”/“限制文件下载”子项； 下面在“限制文件下载”子项的右侧显示列表中，双击“internet explorer进程”组策略选项，打开目标组策略选项的属性设置对话框，单击其中的“设置”标签，进入如图

20、1所示的标签设置页面；在这里，我们发现默认状态下windows server 2008系统对文件下载操作是没有任何限制的，此时我们应该选中“已启用”选项，来严禁恶意程序不请自来。当然，有的恶意程序会自动通过flashget、迅雷工具等来完成下载任务，为了谨防这些程序自动执行下载任务，我们还可以打开“所有进程”选项的属性设置窗口，选中对应窗口中的“已启用”选项，来禁止恶意程序无法通过任何进程完成下载任务。 拒绝调用任务管理器 在windows server 2008系统环境下，同时按下键盘中的ctrl+alt+del组合键时，我们可以调用系统任务管理器，可以更改windows系统登录密码，可以直

21、接关闭、注销计算机等，特别是在调用系统任务管理器后，用户还能对windows server 2008系统中的一些重要进程进行控制。为了防止非法用户随意控制服务器系统中的一些重要进程，我们可以利用windows server 2008系统内置的组策略来拒绝普通用户随意调用任务管理器，下面就是具体的设置步骤： 首先打开windows server 2008系统桌面中的“开始”菜单，点选其中的“运行”命令，在弹出的系统运行文本框中，输入“gpedit.msc”字符串命令，单击“确定”按钮，打开对应系统的组策略编辑窗口； 其次将鼠标定位于组策略编辑窗口左侧显示区域中的“用户设置”分支上，并依次展开“管

22、理模板”/“系统”/“ctrl+alt+del”组策略子项，在对应“ctrl+alt+del”组策略子项的右侧显示区域中，我们会看到删除注销、删除更改密码、删除锁定计算机、删除任务管理器等多个策略； 用鼠标双击其中的删除任务管理器选项，打开目标组策略选项的属性设置对话框，单击其中的“设置”标签，进入如图2所示的标签设置页面；在这里，我们发现默认状态下windows server 2008系统是允许用户调用任务管理器窗口的，此时我们应该选中“已启用”选项，来禁止调用系统任务管理器窗口。同样地，我们可以打开其他策略的选项设置窗口，选中“已启用”选项，来禁止执行注销、更改密码、锁定计算机等操作。 禁止降低ie安全等级 windows server 2008系统在默认状态下常常会将ie浏览器的安全等级设置得比较高，这样可以防止一些恶意网页脚本代码或activex控件程序偷偷在服务器系统中运行，从而避免给系统带来一些安全威胁。可是，在实际上网浏览的过程中，不少用户有时随意降低ie安全等级，以便寻求浏览便利性，这么一来windows server 2008系统的安全性就会受到严重威胁；为此，我们可以按照如下步骤来禁止普通用户随意降低ie浏览安全等级： 首先按照前面的操作步骤，打开w