下载文档原格式
让windowsserver2008系统安全更上一层楼操作系统专栏国最大家教平台相比传统操作系统,Win2008系统最吸引人的地方可能就要算它超强的安全功能了,的确利用许多新增的安全功能,我们可以非常轻松地对本地系统进行全方位、立体式防护。
不过,这并不意味着Win2008系统的安全性能就无懈可击了,一些细节因素仍然可以威胁Win2008系统的安全;为此,我们还需要在平时多注重一些安全细节,才能让Win2008系统的安全更上层楼!1、拒绝修改防火墙安全规则我们知道,Win2008系统新增加的高级安全防火墙功能,可以允许用户根据实际需要自行定义安全规则,从而实现更加灵活的安全防护目的;不过该防火墙还有一些明显不足,我们对它进行的一些设置以及创建的安全规则,几乎都是直接存储在本地Win2008系统注册表中的,非法攻击者只需要编写简单的攻击脚本代码,就能轻松通过修改对应系统注册表中的内容,来达到修改防火墙安全规则的目的,从而可以轻松跨越高级安 家教网国最大家教平台全防火墙的限制。
那么如何才能拒绝非法攻击者通过修改系统注册表中的相关键值,来跨越高级安全防火墙功能的限制呢?其实很简单,我们只要通过下面的设置,禁止非法攻击者修改系统注册表中的相关键值就可以了:首先在Win2008系统桌面中打开“开始”菜单,从中点选“运行”命令,在弹出的系统运行对话框中,输入字符串命令“regedit”,单击回车键后,打开对应系统的注册表控制窗口;其次该控制窗口的左侧位置处,将鼠标位于H KEY_LOCAL_MACHINE节点分支上,并从目标分支下面依次展开SYSTEMControlSet001ServicesSh aredAccessParametersFirewallPolicyFirewal lRules注册表子项(如图1所示),在该注册表子项对应的右侧显示区域中保存了许多防火墙的安全规则以及设置参数; 家教网国最大家教平台很显然,如果非法攻击者具有访问Firewall Rules注册表子项的权限时,那么它就能随意修改该分支下面的各个安全规则以及设置参数了,而在默认状态下任何普通用户的确是可以访问目标分支的;为此,我们必须限制Everyone帐号来访问FirewallRules注册表子项,要做到这一点,我们必须先将鼠标选中FirewallRules注册表子项,同时用鼠标右键单击该注册表子项,并执行快捷菜单中的“权限”命令,打开目标注册表子项的权限设置对话框;单击该对话框中的“添加”按钮,打开用户帐号选择对话框,从中选中“Everyone”帐号并 家教网国最大家教平台将它添加进来,之后选中“Everyone”帐号,并将对应该帐号的“完全控制”权限调整为“拒绝”,再单击“应用”按钮,如此一来非法攻击者日后就不能随意修改Win2008系统高级安全防火墙的安全规则以及设置参数了,那么Win2008系统的安全性能也就更有保障了。
Windows2008系统安全设置编写:技术支持李岩伟1、密码设置复杂一些,例如:********2、更改administrator账户名称,例如:南关区社管服务器administrator更改为*******,更改方法:开始—运行:gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---帐户:重命名系统管理员---右键---属性---更改名称;3、更改guest账户名称,例如更改为********,更改方法:开始—运行:gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---帐户:重命名来宾帐户---右键---属性---更改名称;4、新建一无任何权限的假Administrator账户管理工具→计算机管理→系统工具→本地用户和组→用户新建一个Administrator帐户作为陷阱帐户,设置超长密码(例如:*********),并去掉所有用户组更改描述:管理计算机(域)的内置帐户5、更改远程桌面端口:开始—运行:regedit,单击“确定”按钮后,打开注册表编辑窗口;找到:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp] 双击右边PortNumber——点十进制——更改值为:XXX(例如22)——点确定。
然后找到:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp] 双击右边PortNumber——点十进制——更改值为:XXX(例如22)——点确定。
6、设置不显示最后的用户名,设置方法:开始—运行:gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---交互式登录:不显示最后的用户名---右键---属性---已启用---应用7、安全设置-->本地策略-->安全选项在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-->Windows 设置-->安全设置-->本地策略-->安全选项交互式登陆:不显示最后的用户名启用网络访问:不允许SAM帐户的匿名枚举启用已经启用网络访问:不允许SAM帐户和共享的匿名枚举启用网络访问:不允许储存网络身份验证的凭据启用网络访问:可匿名访问的共享内容全部删除网络访问:可匿名访问的命名管道内容全部删除网络访问:可远程访问的注册表路径内容全部删除网络访问:可远程访问的注册表路径和子路径内容全部删除8、安全设置-->账户策略-->账户锁定策略在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-->Windows 设置-->安全设置-->账户策略-->账户锁定策略,将账户锁定阈值设为“三次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为30分钟”。
win2008服务器安全设置部署⽂档(推荐)年前⼀直在赶项⽬,到最后⼏⽇才拿到新服务器新添加的硬盘,重做阵列配置⽣产环境,还要编写部署⽂档做好安全策略,交给测试部门与相关部门做上线前最后测试,然后将部署⽂档交给相关部门同事,让他根据部署⽂档再做⼀次系统,以保证以后其他同事能⾃⼰正常部署服务器,最后终于赶在放假前最后⼀天匆忙搞定测试后,简单的指导同事按部署⽂档将服务器重新部署了⼀次就先跑路回家了,剩下的就留给加班的同事负责将服务器托管到机房了。
年后回来上班后按⼯作计划开始做⽂档(主要对之前编写的部署⽂档进⾏修正和将相关未添加的安全策略添加进⽂档中,并在测试环境进⾏安全测试)。
等搞定后要对服务器做最后⼀次安全检查时,运营部门已将⽹站推⼴出去了,真是晕死,都不给⼈活了......只能是加班加点对已挂到公⽹的服务器⽇志和相关设置项做⼀次体检。
当然⼀检查发现挂出去的服务器有着各种各样的攻击记录,不过还好都防住了,没有什么问题,然后就是继续添加⼀些防⽕墙策略和系统安全设置。
接下来还是不停的忙,要写《服务器安全检查指引——⽇常维护说明》。
公司新项⽬要开发,得对新项⽬分析需求,编写开发⽂档,然后搭建前后端开发框架,旧系统要增加新功能,⼜得写V3、V4不同版本的功能升级开发⽂档......今天终于忙得七七⼋⼋了,回头⼀看,2⽉份就这样⼀眨眼就过去了,看来程序员⽼得快还是有道理的,时间都不是⾃⼰的了。
前⾯啰哩啰嗦的讲了⼀⼤堆费话,现在开始转⼊正题。
对于服务器的安全,相信很多开发⼈员都会碰到,但绝⼤多数⼈对安全都没有什么概念。
记得10年前我刚接⼿服务器时,仅兴奋,⼜彷徨,⽽真正⾯对时,却⽆从下⼿,上百度和⾕歌上找,也没有完整的说明介绍,对安全都是⼀头雾⽔。
刚开始配置的服务器漏洞百出,那时⼏乎吃睡在机房,也避免不了服务器给⿊的事情发⽣,⽽且⼤多被⿊后还⼀⽆所知,想想都是郁闷~~~当然经验也是在被⿊的过程中慢慢升级的,哈哈...... 下⾯就将写好的《服务器安全部署⽂档》分享出来,希望能对⼤家有所帮助。
9大方法打造安全的Win Server 20082008-10-14 10:26 来源:新浪作者:【网友评论0条发言】点击分享为了保持企业业务的连续性,IT部门必须能够找到一种有效的解决方案,不仅能够恢复数据、系统和应用,同时还能支持和整合Windows Server 2008的新功能。
目前,许多企业都将微软的Windows平台作为自己的首选平台。
而最近随着Windows Server 2008的发布,越来越多的企业正在打算升级到这个新版服务器操作系统上。
事实上,根据行业咨询机构IDC的预测,到今年年底,整个世界范围内Windows Server 2008的安装数量将会达到350多万。
随着企业对于利用Windows 平台运行关键业务应用的依赖日益增加,Windows平台的安全性、可用性的重要性也就不言而喻了。
毕竟,在目前竞争日益激烈的条件下,系统崩溃给企业带来的影响可能是灾难性的,所以如何有效地管理Windows服务器成为了企业IT 部门一项非常紧迫的事情。
幸运地是,有一些行之有效的工具和服务能够帮助企业管理自己的服务器欢迎,最大化并维护自己在Windows环境下所做的投资,即使他们选择迁移到Windows Server 2008 。
Windows Server 2008可说是迄今为止最健壮的Windows Server操作系统,它的所有功能都是围绕着为企业业务和应用提供一个更加坚实的基础平台这样一个目标设计的。
Windows Server 2008全新的可用性、虚拟化、安全性和管理能力可以帮助信息技术(IT)专业人员最大限度地控制和管理其基础设施。
例如,Windows Server 2008引入了Windows PowerShell技术。
Windows PowerShell是一个命令行外壳和脚本系统管理工具。
PowerShell是一款基于对象的shell, 建立在.Net框架之上, 能够同时支持WMI, COM, , ADSI等已有的Windows管理模型。
量身定制WindowsServer2008为我所用-电脑资料Windows 2008是微软最新发布的一款Server版操作系统,其在安全性和功能等方面较以前的Server系统更为强大,。
但作为个人用户它与大家有一定的距离,其中有些功能可能永远用不着。
作为系统爱好者有必要对Windows 2008进行打造,在功能上进行取舍,量身定做个人版的操作系统,让Windows 2008为我所用。
下面我们从四个方面来打造个人版的windows 2008。
1、登录与关闭(1)取消登录时要按Ctrl+Alt+Delete组合键点击桌面任务栏的“开始→运行”在弹出的窗口中输入gpedit.msc打开组策略编辑器。
在组策略编辑器的左框内依次序展开:计算机配置→Windows设置→安全设置→本地策略,点击“安全选项”在右侧的框内找到“交互式登录:不要按CTRL+ALT+DEL”。
右键点击“交互式登录:不要按CTRL+ALT+DEL”,在弹出的菜单中点“属性”,在属性选项卡中点选“已启用”。
点击“确定”,然后关闭窗口。
这样以后启动计算机时就不必按“CTRL+ALT+DEL”组合键登陆了。
(2)取消必须输入密码登录系统打开组策略编辑器,定位到:计算机配置→WINDOWS设置→安全设置→帐户策略→密码策略。
在这个路径下找到“密码必须符合复杂性要求”设置为禁用,“密码长度最小值”设置为0。
这样你就可以创建空密码的用户帐户。
运行control userpasswords2,打开“用户帐户”窗口,选择可以开机自动登录的用户名,比如Administrator,取消“要使用本机,用户必须输入用户名和密码”中的勾选。
(3)取消关机原因的提示打开组策略编辑器,定位到:计算机配置→管理模板→系统→显示关机事件跟踪,然后禁用该选项。
(4)取消休眠管理员权限打开cmd.exe,运行“powercfg /h off”2、改造IE(1)降低IE安全级别Win 2008默认IE的安全级别为“高”,并且不能随意调整,在浏览网页的时候有些会有一些限制,可以打开注册表编辑器进行设置,定位到注册表项,将“MinLevel”修改为“10000”(十六进制)(2)取消IE安全提示对话框通过下面的方法来让IE取消对网站安全性的检查:在系统打开安全提示页面时,将其中的“当网站的内容被堵塞时继续提示”复选项选中,在浏览界面中,用鼠标单击“工具”菜单项,从打开的下拉菜单中执行“Internet选项”命令,在弹出的选项设置界面中,你可以将系统默认状态下的最高安全级别设置为中等级别;设置时,只要在“安全”标签页面中,拖动其中的安全滑块到“中”位置处就可以了,完成设置后,单击“确定”按钮,就可以将浏览器的安全自动提示页面取消了,电脑资料《量身定制 Windows Server 2008为我所用》(https://www.)。
(1)防止黑客建立IPC$空连接打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA分支,在右边修改RestrictAnonymous为1.(2)账户问题。
首先以系统管理员身份进入Windows Server 2008系统桌面,从中依次点选"开始"/"运行"命令,打开系统运行文本框,在其中输入"gpedit.msc"字符串命令,单击回车键后,进入对应系统的组策略编辑界面;其次选中组策略编辑界面左侧列表中的"计算机配置"节点选项,再从该节点选项下面依次点选"管理模板"、"Windows组件"、"Windows登录选项"分支选项,从目标分支选项下面找到"在用户登录期间显示有关以前登录的信息"目标组策略选项,并用鼠标双击该选项,进入如图8所示的选项设置界面;(图挂了你自己猜吧) 在该选项设置界面中检查"已启用"选项有没有被选中,倘若看到该选项还没有被选中时,我们应该重新选中它,再单击"确定"按钮保存上面的设置操作,这样的话Windows Server 2008服务器系统自带的显示以前登录信息功能就被成功启用了。
日后,当有危险登录行为发生在Windows Server 2008服务器系统中时,目标危险登录账号信息就会被Windows Server 2008系统自动跟踪记忆下来,网络管理员下次重启服务器系统时,就能非常清楚地看到上次登录系统的所有账号信息,其中来自陌生账号的登录行为可能就是危险登录行为,根据这个危险登录行为网络管理员应该及时采取安全措施进行应对,以便杜绝该现象的再次发生。
(3)加强连接安全保护Windows Server 2008服务器系统自带的防火墙功能比以往进步了不少,为了让本地系统中的所有网络连接安全性及时地得到Windows防火墙的保护,我们需要对该系统环境下的组策略参数进行合适设置,来让Windows Server 2008服务器系统下的所有网络连接都处于Windows防火墙的安全保护之中,下面就是具体的设置步骤:首先以系统管理员身份进入Windows Server 2008系统桌面,从中依次点选"开始"/"运行"命令,打开系统运行文本框,在其中输入"gpedit.msc"字符串命令,单击回车键后,进入对应系统的组策略编辑界面;其次将鼠标定位于组策略编辑界面左侧列表区域中的"计算机配置"节点选项上,再从该节点选项下面依次点选"管理模板"、"网络"、"网络连接"、"Windows防火墙"、"标准配置文件"组策略子项,在目标组策略子项下面,找到"Windows防火墙:保护所有网络连接"选项,并用鼠标双击该选项,进入如图7所示的选项设置界面;(图挂了你自己猜)检查该设置界面中的"已启用"选项是否处于选中状态,要是发现该选项还没有被选中时,我们应该及时将它选中,再单击"确定"按钮保存上述设置操作,那样的话Windows Server 2008系统下的所有网络连接日后都会处于Windows防火墙的安全保护之下了。
设置Windows Server 2008系统组策略功能2013-08-22 14:26 463人阅读评论(0) 收藏举报分类:windows(63)作者同类文章X尽管Windows Server 2008系统的安全性要领先其他操作系统一大步,不过默认状态下过高的安全级别常常使不少人无法顺利地在Windows Server 2008系统环境下进行各种操作,为此许多用户往往会采用手工方法来降低Windows Server 2008系统的安全访问级别。
可是,一旦降低了安全访问级别,Windows Server 2008系统遭遇安全攻击的可能性就非常大了;那么如何在安全访问级别不高的情况下,我们仍然能够让Windows Server 2008系统安全地运行?要做到这一点,我们可以利用Windows Server 2008系统强大的组策略功能,来对相关选项参数进行有效设置!1、禁止恶意程序“不请自来”在Windows Server 2008系统环境中使用IE浏览器上网浏览网页内容时,时常会有一些恶意程序不请自来,偷偷下载保存到本地计算机硬盘中,这样不但会白白浪费宝贵的硬盘空间资源,而且也会给本地计算机系统的安全带来不少麻烦。
为了让Windows Server 2008系统更加安全,我们往往需要借助专业的软件工具才能禁止应用程序随意下载,很显然这样操作不但麻烦而且比较累人;其实,在Windows Server 2008系统环境中,我们只要简单地设置一下系统组策略参数,就能禁止恶意程序自动下载保存到本地计算机硬盘中了,下面就是具体的设置步骤:首先以特权帐号进入Windows Server 2008系统环境,依次点选系统桌面中的“开始”/“运行”命令,在系统运行框中执行gpedit.msc命令,打开本地计算机的组策略编辑窗口;其次在组策略编辑窗口左侧区域展开“计算机配置”分支,再依次选择该分支下面的“管理模板”/“Windows 组件”/“Internet Explorer”/“安全功能”/“限制文件下载”子项,双击“限制文件下载”子项下面的“Internet Explorer进程”组策略选项,打开如图1所示的目标组策略属性设置窗口;选中“已启用”选项,再单击“确定”按钮退出组策略属性设置窗口,这样一来我们就能成功启用限制Internet Explorer进程下载文件的策略设置,日后Windows Server 2008系统就会自动弹出阻止Internet Explorer进程的非用户初始化的文件下载提示,单击提示对话框中的“确定”按钮,恶意程序就不会通过IE浏览器窗口随意下载保存到本地计算机硬盘中了。
P43页Windows 2008服务器安全加固方案来源:中国红盟时间:2010-1-27 9:09:00 点击:201 今日评论:0 条Windows 2008服务器安全加固方案(一〕因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web 服务器软件之一。
但是,IIS的安全性却一直令人担忧。
如何利用IIS建立一个安全的Web 服务器,是很多人关心的话题。
要创服务器安全检测建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。
我们通过以下几个方面对您的系统进行安全加固:1. 系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。
2. IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性服务器安全加固,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。
3. 系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。
系统的安全加固:1.目录权限的配置:1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。
1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators 和SYSTEM有完全控制权。
WindowsServer2008配置系统安全策略下⾯学习Windows Server 2008配置系统安全策略在⼯作组中的计算机本地安全策略有⽤户策略,密码策略,密码过期默认42天服务账户设置成永不过期,帐户锁定策略,本地策略,审核策略,计算机记录哪些安全事件最后在域环境中使⽤组策略配置计算机安全。
1.在⼯作组中的安全策略,打开本地安全策略。
2.打开本地安全策略之后选择密码策略,可以看到有很多的策略,先看第⼀个密码复杂性要求。
3.打开密码必须符合复杂性要求,默认是打开的,我们在设置密码的时候,不能设置纯数字或者纯字母,必须要有数字加⼤⼩写。
4.密码长度最⼩值,这个是设置密码最低⼩于⼏位数,默认是0,这⾥修改为6位,在设置密码的时候必须满⾜6位,包括数字字母⼤⼩写或者特殊符号。
5.密码最短使⽤期限,默认是0天这⾥设置为30天,在30天不会提⽰你修改密码,必须要使⽤30天才能改密码。
6.密码最长使⽤期限,默认是42天,这⾥修改为60天超过60天之后会提⽰让你修改密码。
7.强制密码历史,这个选项是你修改密码时不能⼀样,默认是0,这⾥设置为3次,修改3次密码之后才能修改回第⼀次使⽤的密码。
8.打开账户锁定策略,账户锁定值默认是0次,可以设置5次超过5次就会把这个账户锁定,为了防⽌别⼈⼊侵你的电脑,等待半个⼩时之后就会⾃动解锁,或者联系管理员⾃动解锁。
9.账号锁定时间,默认是30分钟⾃动解锁,也可以⾃⼰修改,这⾥修改为3分钟⾃动解锁。
10.现在lisi这个⽤户输错五次密码,就算输⼊正确的密码,提⽰账户已锁定,⽆法登录。
11.打开服务器管理器,选择本地⽤户和组,可以查看lisi这个⽤户,输错5次密码之后账户已锁定,管理员可以⼿动把这个勾去掉,然后确定就能登⼊了,或者lisi这个⽤户等待3分钟之后账户会⾃动解锁。
12.打开本地策略,选择审核登录事件,默认是⽆审核,这⾥我勾选成功跟失败,然后确定。
13.打开事件查看器,选择安全把⾥⾯的事件先全部删除,然后使⽤lisi远程登录到这台计算机。
自力更生保证Windows 2008系统安全【IT168 专稿】凭借新鲜超强的功能以及更胜一筹的安全优势,Windows Server 2008系统吸引了许多网络管理员在不知不觉中前来试用尝鲜。
可是,这并不能说明Windows Server 2008系统在安全方面就可以高枕无忧了,因为在不同的使用环境下,Windows Server 2008系统表现出来的安全防范能力是不一样的,甚至该系统在某些方面没有一点安全抵抗能力,这时就需要我们自己动手来保护Windows Server 2008系统的运行安全了。
下面,本文就为各位朋友总结几则保护Windows Server 2008系统安全的技巧,希望大家能从中获得一些帮助!谨防登录密码被木马窃取不少网络管理员为了高效登录进Windows Server 2008服务器系统,往往会将系统特权账号修改为自动登录状态,这样一来网络管理员下次登录服务器系统时不需输入帐号与密码就能直接进入系统桌面;虽然这样的自动登录操作可以大大提高工作效率,不过一些专业木马程序支持模仿登录功能,木马程序通过该功能可以非常轻松地窃取到自动登录服务器系统时所使用的特权帐号与密码,那样的话Windows Server 2008服务器系统的登录安全就会遭遇不小的威胁。
为了谨防Windows Server 2008服务器系统的登录帐号与密码被专业木马程序轻松窃取,我们不妨按照如下步骤设置Windows Server 2008系统,来禁止任何用户采用自动登录方式进入服务器系统:首先以特权帐号登录进Windows Server 2008服务器系统,依次点选该系统桌面中的“开始”、“运行”命令,在其后出现的系统运行对话框中,输入“control userpasswords2”字符串命令,单击“确定”按钮后,进入对应系统的用户账户控制对话框;其次在该控制对话框中单击“用户”标签,之后选中对应标签页面中的“要使用本机,用户必须输入用户名和密码”选项,下面再点选“高级”标签,进入如图1所示的标签设置页面;在该页面的“安全登录”处选中“要求用户按Ctrl+Alt+Delete”选项,同时单击“确定”按钮,如此一来任何一位用户包括网络管理员在尝试登录Windows Server 2008服务器时,都需要先按下Ctrl+Alt+Delete组合键,打开服务器系统的登录验证对话框,之后在其中正确输入系统特权账号的名称、密码等信息,才能安全登录进入Windows Server 2008服务器系统桌面,而在这个登录服务器系统的过程专业木马程序是无法窃取到登录帐号与密码信息的,如此一来系统特权帐号的登录密码就不会被轻易丢失了。
强制远程用户进行网络验证大家知道,Windows Server 2000、Windows Server 2003之类的传统服务器系统虽然也支持远程桌面功能,可是Windows Server 2008系统不但支持远程桌面功能,而且还大大提高该功能的安全防范性能,我们可以通过设置该系统的远程桌面功能来强制远程用户进行网络身份验证,以便拒绝一些恶意用户偷偷通过远程桌面连接功能来非法攻击Windows Server 2008服务器系统。
要想让Windows Server 2008系统强制远程用户进行网络身份验证时,我们可以依照下面的操作来设置服务器系统:首先以特权帐号登录进入Windows Server 2008系统,从该系统的“开始”菜单中逐一点选“程序”/“管理工具”/“服务器管理器”命令选项,进入对应系统的服务器管理器界面;其次在服务器管理器界面的左侧子窗格中选中“服务器管理”分支选项,在目标分支选项的右侧子窗格中找到“服务器摘要”设置项,并单击该设置区域下面的“配置远程桌面”按钮,进入Windows Server 2008系统的远程桌面属性设置窗口;在该属性设置窗口的“远程桌面”位置处,我们看到Windows Server 2008系统为远程用户提供了三个安全选项,要是我们希望局域网中的所有用户都能非常顺畅地通过远程桌面连接功能来对Windows Server 2008服务器系统进行远程控制时,那就需要将这里的“允许运行任意版本远程桌面的计算机连接”安全项目选中,不过轻易选中该安全选项,Windows Server 2008服务器系统容易遭受非法攻击。
为了防止服务器系统开通远程桌面连接功能后会给自身带来安全麻烦,Windows Server 2008系统为远程控制用户提供了“只允许运行带网络级身份验证的远程桌面的计算机连接”安全设置选项,我们只要选中该安全控制选项(如图2所示),同时单击“确定”按钮退出设置对话框,那样一来Windows Server 2008系统日后就会强行对任何一位企图通过远程桌面连接功能控制服务器的用户执行网络身份验证了,通不过网络身份验证的远程控制用户自然就不能对Windows Server 2008服务器系统进行远程管理和控制了。
拒绝漏洞应用程序连接网络不少朋友往往会错误地认为,只要对Windows Server 2008服务器系统及时更新、安装漏洞补丁程序,就能确保对应系统不会遭遇流行病毒或木马程序的非法攻击;其实,给Windows Server 2008服务器系统更新、安装漏洞补丁程序仅仅能够防范由系统漏洞引起的安全问题,但是那些安装在Windows Server 2008服务器系统中的应用程序自身可能也会存在安全漏洞,由这些漏洞引起的安全问题我们往往是无法通过更新系统补丁来解决的。
为了有效防止某些漏洞应用程序给Windows Server 2008服务器系统带来安全麻烦,我们可以利用该系统自带的防火墙功能来禁止那些存在安全漏洞的应用程序去访问或连接网络,如此一来就能实现防范由应用程序漏洞引起的服务器安全麻烦了。
下面,我们就对Windows Server 2008系统内置的防火墙功能进行一下设置,来拒绝漏洞应用程序偷偷连接网络:首先打开Windows Server 2008系统的“开始”菜单,从中依次点选“设置”、“控制面板”选项,在其后出现的系统控制面板界面中,用鼠标双击其中的Windows防火墙功能图标,再单击其后界面中的“更改设置”按钮,进入Windows Server 2008系统内置防火墙的基本配置对话框;其次单击该基本配置对话框的“例外”选项卡,进入如图3所示的选项设置界面,在对应设置界面中我们能够一目了然地看到所有想进行网络连接的应用程序列表,其中处于选中状态的应用程序就表示Windows Server 2008系统内置的防火墙允许它进行网络连接,而那些没有处于选中状态的应用程序自然就表示Windows Server 2008系统内置的防火墙不允许它进行网络连接了;要是我们不能从应用程序列表中看到漏洞程序的“身影”时,就需要手工将它添加进来了,在进行手工添加操作时,我们只要单击图3设置界面中的“添加程序”按钮,在其后出现的应用程序打开对话框中,将目标漏洞应用程序选择并添加进来,然后用鼠标将其选中,再单击“确定”按钮保存上述设置操作,这样一来存在安全漏洞的目标应用程序由于不能连接网络,那么Internet网络中的木马或病毒就不会通过该漏洞攻击服务器系统了。
防止系统安全级别意外降低在公共场合下,与他人共用一台电脑的事情是经常会出现的,当我们辛辛苦苦地将本地电脑的IE浏览器安全级别调整合适后,肯定不想让其他人再随意降低它的安全级别,毕竟随意降低IE浏览器的安全级别,容易引起本地电脑遭遇网络病毒或恶意木马的袭击,最终造成所有的人都不能正常使用电脑。
为了防止系统安全级别意外降低,安装了Windows Server 2008系统的电脑可以允许用户进行下面的设置操作:首先在Windows Server 2008系统桌面中逐一点选“开始”、“运行”命令,打开对应系统的运行文本框,在其中输入“gpedit.msc”字符串命令,单击“确定”按钮后进入对应系统的组策略控制台窗口;其次将鼠标定位于该控制台窗口左侧子窗格中的“用户配置”节点选项,再从目标节点选项下面依次展开“管理模板”、“Windows组件”、“Internet Explorer”、“Internet控制模板”组策略子项,再用鼠标双击目标组策略子项下面的“禁用安全页”选项,打开如图4所示的目标组策略属性设置对话框;检查该设置对话框中的“已启用”选项是否处于选中状态,如果发现它还没有被选中时,我们应该及时将它重新选中,再单击“确定”按钮保存好设置操作,这样的话其他人日后即使进入到Windows Server 2008系统的Internet选项设置窗口,也不能进入其中的安全设置页面,因为该页面已经被自动隐藏起来了,如此一来其他人自然就不能随意在安全设置页面中改动本地电脑的安全访问级别了,这时Windows Server 2008系统的访问安全性也就有保证了。
此外,我们也能通过合适设置将本地电脑IE浏览器窗口中的“Internet选项”命令隐藏起来,让其他人无法打开IE浏览器的选项设置窗口,这样也能阻止恶意用户随意降低本地电脑的安全访问级别。
在隐藏“Internet选项”选项命令时,我们可以先进入Windows Server 2008系统的组策略控制台窗口,依次展开其中的“用户配置”、“管理模板”、“Windows组件”、“Internet Explorer”、“浏览器菜单”分支选项,再在目标分支选项的右侧子窗格中双击“禁用Internet选项”项目,在其后出现的组策略属性界面中,选中“已启用”项目,再单击“确定”按钮就OK了。
巧妙备份系统所有账号信息通常情况下,Windows Server 2008系统中往往会同时保存有不少用户的系统登录账号信息,这些登录账号信息在服务器系统突然遭遇崩溃故障时,很可能会永远丢失掉,日后网络管理员可能很难通过大脑记忆的方法将所有丢失的用户账号逐一恢复成功。
为了防止重要用户的账号信息发生丢失,我们应该及时在Windows Server 2008系统工作正常的时候,对用户账号信息进行巧妙备份,然后将备份文件保存到其他安全的地方,日后Windows Server 2008系统要是发生故障而不能正常启动运行时,用户账号信息也不会受到任何损坏,因为到时候将备份好的用户帐号恢复一下就可以了,下面就是备份用户账号的具体步骤:首先打开Windows Server 2008系统桌面的“开始”菜单,从中点选“运行”命令,在其后出现的系统运行对话框中,输入“credwiz”字符串命令,单击“确定”按钮后,打开如图5所示的备份还原设置对话框;其次将其中的“备份存储的用户名和密码”项目选中,同时根据向导提示单击“下一步”按钮,在其后界面中单击“浏览”按钮,打开文件选择对话框,在这里我们需要指定好保存用户帐号的文件名称以及保存位置,之后再单击对应对话框中的“保存”按钮,如此一来在Windows Server 2008系统环境下创建的所有用户账号信息都将被自动保存到特定的文件中了,只是该文件默认会使用crd 扩展名;日后一旦发现Windows Server 2008系统的用户账号意外丢失时,我们只要将之前备份好的用户账号文件复制到Windows Server 2008系统环境下,之后再依次单击“开始”/“运行”命令,从其后出现的系统运行框中执行字符串命令“credwiz”,进入用户帐号还原向导设置窗口,选中其中的“还原存储的用户名和密码”功能选项,然后将目标用户帐号备份文件选择并加入进来,最后单击“还原”按钮,这样一来发生丢失或受到损坏的用户账号信息就能被成功恢复好了。
