人人书

杂志

保存到桌面 | 繁体人人书 | 手机版
传记回忆文学理论侦探推理惊悚悬疑诗歌戏曲杂文随笔小故事书评杂志
人人书 > 杂志 > 改善Windows 2008安全上网冲浪能力

改善Windows 2008安全上网冲浪能力

时间:2024-10-31 10:26:49

当恶意网站中的病毒或木马程序,尝试通过特定程序的漏洞攻击Windows2008系统时,对应系统内置高级防火墙程序就会禁止来自特定程序的数据包进入本地系统,这样Windows2008系统的安全性就有保证了。

现在,很多单位服务器主机安装使用的都是Windows2008系统,相比传统的操作系统,该系统的安全能力显然要更强一些,不过,默认状态下较高的安全保护设置,让管理员无法在该系统下,利用上网浏览方式高效快捷地获取网管信息,不得已,有的管理员只好降低Windows2008系统的安全防范设置,以利于方便上网冲浪。可是这么一来,Windows2008系统在上网冲浪过程中,受到的安全威胁就会增大。那么如何调整Windows2008系统设置,让其既可以确保用户上网冲浪方便,又能让上网安全高枕无忧呢?

禁止漏洞程序上网

在上网冲浪的时候,一些恶意网站背后的网络病毒或木马,有时会利用安装在Windows2008系统中的特定程序漏洞,来对本地系统偷偷发动非法攻击。为了避免这种类型的非法攻击,我们不妨巧妙通过Windows2008系统内置的高级防火墙程序,禁止网络病毒或木马程序,偷偷利用特定程序漏洞访问Windows2008系统,下面就是详细的操作步骤:

首先依次点击Windows2008系统桌面中的“开始”|“运行”命令,弹出系统运行文本框,在其中执行“gpedit.msc”命令,展开系统组策略编辑器窗口。在该窗口左侧列表区域中,逐一选择“本地计算机策略”|“计算机配置”|“Windows设置”|“安全设置”|“高级安全Windows防火墙”|“高级安全Windows防火墙——本地组策略对象”节点选项。找到该节点下的“入站规则”选项,并用鼠标右键单击之,执行右键菜单中的“属性”命令,弹出入站规则创建对话框。

其次按照向导提示,将入站规则类型设置为“程序”,将“此程序路径”选项选中,并点击“浏览”按钮,弹出文件选择对话框,将存在明显漏洞的应用程序添加进来,之后会出现如图1所示的设置对话框,将这里的“阻止连接”选项选中,同时为新创建的入站规则定义好适当的名称,按下“完成”按钮返回。

日后,当恶意网站中的病毒或木马程序,尝试通过特定程序的漏洞攻击Windows2008系统时,对应系统内置高级防火墙程序就会禁止来自特定程序的数据包进入本地系统,这样Windows2008系统的安全性就有保证了。

启用记录未知检测

有道是“道高一尺,魔高一丈”,在上网冲浪的时候,无论怎么小心谨慎,有时仍然不能避免各种已知或未知的非法攻击。这个时候,可以通过Windows2008系统内置的高级防火墙,自动检测和记录各种非法攻击,以总结出有关攻击规律,拿出行之有效的防范办法。

首先在Windows2008系统桌面中,依次点击“开始”|“运行”选项,弹出系统运行对话框,在其中执行“gpedit.msc”命令,展开系统组策略编辑器窗口,在该窗口左侧显示区域中,将鼠标定位到“本地计算机策略”|“计算机配置”|“管理模板”|“Windows组件”|“WindowsDefender”节点上,找到该节点下的“启用记录已知的正确检测”组策略,并用鼠标双击之,打开如图2所示的组策略属性对话框,检查“已启用”选项是否处于选中状态,要是发现其还没有被选中时,应该将其重新选中,确认后返回,这样Windows系统高级防火墙日后就能自动检测已知类型文件,并会将检测结果记录保存到系统日志文件中。

按照相同的操作方法,将鼠标定位到“本地计算机策略”|“计算机配置”|“管理模板”|“Windows组件”|“WindowsDefender”节点上,找到该节点下的“启用记录未知检测”组策略,并用鼠标双击之,在其后弹出的编辑对话框中,将“已启用”选项选中,点击“确定”按钮保存设置操作,这样Windows系统高级防火墙也能对未知的操作跟踪测试,并会将检测结果保存到系统日志文件中。日后,定期打开相关日志内容,或许就能从中总结出有效的安全防范措施了。

禁止改变安全级别很多时候,Windows2008系统会被当成服务器操作系统使用,而在服务器环境下,如果随意使用IE浏览器上网冲浪时,很容易引来安全麻烦。为了保护上网访问安全,我们应该设置Windows2008系统,始终以最高的安全等级上网访问,同时要禁止普通用户随意修改系统自带浏览器的安全访问等级,下面就是具体的设置步骤:首先依次点击“开始”|“运行”选项,在弹出的系统运行文本框中,执行“gpedit.msc”命令,展开系统组策略编辑器窗口。在该窗口的左侧列表中,逐一跳转到“本地计算机策略”|“用户配置”|“管理模板”|“Windows组件”|“InternetExplorer”、“Internet控制模板”节点上,找到该节点下的“禁用安全页”组策略,并用鼠标双击之,打开如图3所示的组策略属性对话框。选中这里的“已启用”选项,单击“确定”按钮保存设置操作,这样系统自带浏览器的安全设置页面就被隐藏起来了,日后普通用户就无法进入安全设置页面,自由改动服务器系统的安全上网级别了。

此外,要想控制普通用户任意改变系统自带浏览器的其他设置时,可以直接隐藏浏览窗口中的“Internet选项”命令。在进行该操作时,先打开系统组策略编辑器窗口,将鼠标定位到“本地计算机策略”|“用户配置”|“管理模板”|“Windows组件”|“InternetExplorer”|“浏览器菜单”节点上,找到该节点下的禁用“Internet选项”组策略,并用鼠标双击之,再选中其后界面中的“已启用”选项,确认后保存设置即可。不让网络病毒藏身

面对层出不穷的网络病毒,除了要用好杀毒软件外,还要加强个人的安全防范意识。这不,现在很多狡猾、顽固的病毒程序,为了能够避开杀毒软件的“围剿”,常常会努力将病毒文件隐藏在系统临时文件夹,这样杀毒软件日后即使发现了病毒的“身影”,也不能将它清除,毕竟杀毒软件无权修改系统临时文件夹。为了不让网络病毒藏身于系统临时文件夹中,不妨尝试对Windows2008系统进行如下设置操作:

首先依次点击“开始”|“运行”选项,打开系统运行文本框,在其中执行“gpedit.msc”命令,弹出系统组策略编辑器界面。在该界面的左侧列表中,将鼠标定位到“本地计算机策略”|“计算机配置”|“Windows设置”|“安全设置”|“软件限制策略”|“其他规则”节点上,用鼠标右键单击“其他规则”,从弹出的右键菜单中点击“新建路径规则”选项,切换到如图4所示的选项对话框。

其次点击“浏览”按钮,打开文件添加对话框,将Windows2008系统的临时文件夹选中并添加进来,并设置“安全级别”为“不允许”,确认后返回,这样网络病毒就无法在系统临时文件夹中藏身了。不让文件自动下载

在安全上网级别比较低的时候,通过Windows2008系统内置IE浏览器上网访问内容时,或许会遇到一些非法程序利用网页,偷偷自动下载安装到本地计算机中,这既容易白白浪费有限的硬盘空间资源,又容易给服务器系统的安全运行带来麻烦。为了让Windows2008系统远离非法攻击,我们不妨对系统进行下面的修改操作,不让网页中的恶意程序利用IE浏览页面,自动下载保存到本地硬盘中:

首先依次点击“开始”|“运行”命令,打开系统运行文本框,在其中执行“gpedit.msc”命令,展开服务器系统的组策略控制台窗口。在该窗口的左侧列表中,将鼠标到“本地计算机策略”|“计算机配置”|“管理模板”|“Windows组件”|“InternetExplorer”|“安全功能”|“限制文件下载”节点上,找到该节点下的“InternetExplorer进程”组策略,并用鼠标双击之,弹出如图5所示的组策略属性对话框。

其次看看“已启用”选项是否被选中,一旦看到其还没有被选中时,应该及时选中它,单击“确定”后保存设置操作,这样任何恶意进程日后就无法利用InternetExplorer进程,自动下载保存到Windows2008系统中了,那么服务器系统受到恶意程序的攻击机率就会大大下降。有效防御系统漏洞虽然Windows2008系统安全防范能力很高,但是该系统仍然存在各种上网安全漏洞,由这些漏洞引起的各种安全麻烦就一直不停地出现,所以微软公司也在一刻不停地开发补丁程序,以便将上网安全漏洞及早堵住。为了改善系统漏洞防御能力,我们需要及时为Windows2008系统进行在线更新,确保为服务器系统中的各种安全漏洞打上补丁。首先在Windows2008系统桌面上,逐一单击“开始”|“WindowsUpdate”选项,弹出WindowsUpdate设置界面。点击“立即启用”按钮,在其后界面中按下“检查更新”按钮,强制系统检查下载更新,之后依照提示安装好补丁程序即可。如果希望补丁更新安装操作自动进行,不妨在WindowsUpdate设置界面左侧列表中,点击“更改设置”选项,在其后界面中,设置好更新时间和频率,保证补丁更新安装操作自动进行的同时,不影响服务器系统对外提供服务。

停用危险网络端口

Windows2008系统默认会打开许多端口,这些打开的网络端口在局域网或Internet网环境中,很容易被恶意用户通过专业工具扫描到,这样一来它们就容易被人非法利用,从而给Windows2008系统的安全运行带来麻烦。为了保护Windows2008系统的运行安全,我们可以进行如下设置操作,停用那些既不常用又很危险的网络端口:

例如,如果想停用Windows2008系统的445端口时,不妨依次点击“开始”|“运行”命令,在弹出的系统运行文本框中,执行“regedit”命令,切换到系统注册表编辑器界面,依次展开左侧显示区域中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters注册表分支,用鼠标右键单击目标分支选项,从弹出的快捷菜单中,逐一点击“新建”|“Dword值”命令,来手工创建一个32位Dword值,并将其名称取为“SMBDeviceEnabled”,再将其数值输入为“0”,最后刷新系统注册表让设置正式生效。

如果想临时停用Windows2008系统中的139端口时,不妨依次点击“开始”|“设置”|“网络连接”命令,切换到网络连接列表窗口,用鼠标右键单击本地连接图标,执行快捷菜单中的“属性”命令,弹出本地连接属性对话框。选中“Internet协议版本4(TCP/IPv4)”选项,并按下“属性”按钮,再单击“高级”按钮,进入如图6所示的TCP/IPv4协议高级属性设置框,选中“NetBios设置”设置项处的“禁用TCP/IP的NetBios”选项,确认后保存设置操作即可。

远离Ping命令攻击

在Windows2008系统作为服务器系统角色工作时,需要防范恶意用户使用Ping命令,对其不停发送大容量测试包进行测试,这样很容易将服务器系统宝贵的系统资源消耗殆尽,影响服务器主机的运行稳定性。为了让Windows2008服务器系统安全稳定运行,我们可以进行如下设置操作,禁止别人使用Ping命令攻击服务器:

首先依次点击“开始”|“程序”|“管理工具”|“服务器管理器”选项,弹出服务器管理器窗口,将鼠标定位到“配置”分支下的“高级安全Windows防火墙”选项上,切换到服务器系统的高级安全防火墙配置窗口。在“查看和创建防火墙规则”设置项处选择“入站规则”选项,根据向导提示依次选择“新规则”|“自定义”等,按下“下一步”按钮,这个时候创建向导会要求用户是否要选择程序,在这里应该选中“所有程序”选项。

当创建向导弹出如图7所示的设置界面时,必须选中“ICMPv4”选项,并点击“下一步”按钮,之后将正在创建的安全规则设置为匹配本地网络的“任何IP地址”,并将远程网络的“任何IP地址”设置为“阻止连接”,再为当前安全规则取一个合适规则名称;完成之前的各项设置操作后,将Windows2008系统重新启动一下,这样就能让服务器系统远离Ping命令攻击了。
   

热门书籍

热门文章