1、-作者xxxx-日期xxxx設置Windows Server 2008系統組策略功能【精品文檔】設置Windows Server 2008系統組策略功能 2013-08-22 14:26 463人閱讀 評論(0) 收藏 舉報 本文章已收錄于： 分類： windows（63） 作者同類文章X盡管Windows Server 2008系統的安全性要領先其他操作系統一大步，不過默認狀態下過高的安全級別常常使不少人無法順利地在Windows Server 2008系統環境下進行各種操作，為此許多用戶往往會采用手工方法來降低Windows Server&

2、#160;2008系統的安全訪問級別。可是，一旦降低了安全訪問級別，Windows Server 2008系統遭遇安全攻擊的可能性就非常大了;那么如何在安全訪問級別不高的情況下，我們仍然能夠讓Windows Server 2008系統安全地運行?要做到這一點，我們可以利用Windows Server 2008系統強大的組策略功能，來對相關選項參數進行有效設置!  1、禁止惡意程序“不請自來”  在Windows Server 2008系統環境中使用IE瀏覽器上網瀏覽網頁內容時

3、，時常會有一些惡意程序不請自來，偷偷下載保存到本地計算機硬盤中，這樣不但會白白浪費寶貴的硬盤空間資源，而且也會給本地計算機系統的安全帶來不少麻煩。為了讓Windows Server 2008系統更加安全，我們往往需要借助專業的軟件工具才能禁止應用程序隨意下載，很顯然這樣操作不但麻煩而且比較累人;其實，在Windows Server 2008系統環境中，我們只要簡單地設置一下系統組策略參數，就能禁止惡意程序自動下載保存到本地計算機硬盤中了，下面就是具體的設置步驟：  首先以特權帳號進入Windows Server 2

4、008系統環境，依次點選系統桌面中的“開始”/“運行”命令，在系統運行框中執行gpedit.msc命令，打開本地計算機的組策略編輯窗口;其次在組策略編輯窗口左側區域展開“計算機配置”分支，再依次選擇該分支下面的“管理模板”/“Windows組件”/“Internet Explorer”/“安全功能”/“限制文件下載”子項，雙擊“限制文件下載”子項下面的“Internet Explorer進程”組策略選項，打開如圖1所示的目標組策略屬性設置窗口;選中“已啟用”選項，再單擊“確定”按鈕退出組策略屬性設置窗口，這樣一來我們就能成功啟用限制Internet Explorer進程下載文件的策略設置，日后

5、Windows Server 2008系統就會自動彈出阻止Internet Explorer進程的非用戶初始化的文件下載提示，單擊提示對話框中的“確定”按鈕，惡意程序就不會通過IE瀏覽器窗口隨意下載保存到本地計算機硬盤中了。  2、對重要文件夾進行安全審核  Windows Server 2008系統可以使用安全審核的方法來跟蹤訪問重要文件夾或其他對象的登錄嘗試、用戶賬號、系統關閉、重啟系統以及其他一些事件。要是我們能夠充分利用Windows Server 2008系統文件夾的審核功能，就能有效

6、保證重要文件夾的訪問安全性，其他非法攻擊者就無法輕易對其進行惡意破壞;在對Windows Server 2008系統中的重要文件夾進行訪問審核時，我們可以按照如下步驟來進行：  首先以特權帳號進入Windows Server 2008系統環境，依次點選系統桌面中的“開始”/“運行”命令，在系統運行框中執行gpedit.msc命令，打開本地計算機的組策略編輯窗口;  其次在組策略編輯窗口左側區域展開“計算機配置”分支，再依次選擇該分支下面的“Windows設置”/“安全設置”/“本地策略”/“審核策略”選項，在對應“

7、審核策略”選項的右側顯示區域中找到“審核對象訪問”目標組策略項目，并用鼠標右鍵單擊該項目，執行右鍵菜單中的“屬性”命令打開目標組策略項目的屬性設置窗口;  選中該屬性設置窗口中的“成功”和“失敗”復選項，再單擊“確定”按鈕，如此一來訪問重要文件夾或其他對象的登錄嘗試、用戶賬號、系統關閉、重啟系統以及其他一些事件無論成功與失敗，都會被Windows Server 2008系統自動記錄保存到對應的日志文件中，我們只要及時查看服務器系統的相關日志文件，就能知道重要文件夾以及其他一些對象是否遭受過非法訪問或攻擊了，一旦發現系統存在安全隱患的話，我們只要根據日志文

8、件中的內容及時采取針對性措施進行安全防范就可以了。  3、禁止改變本地安全訪問級別  在辦公室中，我們有時需要與其他同事共享使用同一臺計算機，當我們對本地計算機的IE瀏覽器安全訪問級別設置好，肯定不希望其他同事隨意更改它的安全訪問級別，畢竟安全級別要是設置得太低的話，會導致潛藏在網絡中的各種病毒或木馬對本地計算機進行惡意攻擊，從而可能造成本地系統運行緩慢或者無法正常運行的故障現象。為了防止其他人隨意更改本地計算機的安全訪問級別，Windows Server 2008系統允許我們進入如下設置，來保護本地系統的安全：  

9、;首先以特權帳號進入Windows Server 2008系統環境，依次點選系統桌面中的“開始”/“運行”命令，在系統運行框中執行gpedit.msc命令，打開本地計算機的組策略編輯窗口;  其次在組策略編輯窗口左側區域展開“用戶配置”分支，再依次選擇該分支下面的“管理模板”/“Windows組件”/“Internet Explorer”/“Internet控制模板”選項，在對應“Internet控制模板”選項的右側顯示區域中找到“禁用安全頁”目標組策略項目，并用鼠標右鍵單擊該項目，執行右鍵菜單中的“屬性”命令打開目標組策略項目的屬性設置窗口; 

10、; 選中該屬性設置窗口中的“已啟用”選項，再單擊“確定”按鈕結束目標組策略屬性設置操作，如此一來Internet Explorer的安全設置頁面就會被自動隱藏起來，這樣的話其他同事就無法進入該安全標簽設置頁面來隨意更改本地系統的安全訪問級別了，那么本地計算機系統的安全性也就能得到有效保證了。  當然，我們也可以通過隱藏Internet Explorer窗口中的“Internet選項”，阻止其他同事隨意進入IE瀏覽器的選項設置界面，來調整本地系統的安全訪問級別以及其他上網訪問參數。在隱藏Internet Explorer窗口中的“Internet選項”時，我們可以按

11、照前面的操作步驟打開Windows Server 2008系統的組策略編輯窗口，將鼠標定位于“用戶配置”/“管理模板”/“Windows組件”/“Internet Explorer”/“瀏覽器菜單”分支選項上，再將該目標分支選項下面的禁用“Internet選項”組策略的屬性設置窗口打開，然后選中其中的“已啟用”選項，最后單擊“確定”按鈕就能使設置生效了。 4、禁止超級賬號名稱被偷竊  許多技術高明的黑客或惡意攻擊者常常會通過登錄Windows Server 2008系統的SID標識，來竊取系統超級賬號的名稱信息，之后再利用目

12、標賬號名稱嘗試去暴力破解登錄Windows Server 2008系統的密碼，最終獲得Windows Server 2008系統的所有控制權限;很明顯，一旦系統的超級權限帳號名稱被非法竊取使用的話，那么Windows Server 2008系統的安全性就沒有任何保證了。為了有效保證Windows Server 2008系統的安全性，我們不妨進行如下設置，禁止任何用戶通過SID標識獲取對應系統登錄賬號的名稱信息：  首先以特權帳號進入Windows Server 2008系統環

13、境，依次點選系統桌面中的“開始”/“運行”命令，在系統運行框中執行gpedit.msc命令，打開本地計算機的組策略編輯窗口;  其次在組策略編輯窗口左側區域展開“計算機配置”分支，再依次選擇該分支下面的“Windows設置”/“安全設置”/“本地策略”/“安全選項”項目，找到該分支項目下面的“網絡訪問：允許匿名SID/名稱轉換”目標組策略選項，并用鼠標右鍵單擊該選項，執行右鍵菜單中的“屬性”命令打開如圖4所示的目標組策略屬性設置界面，選中其中的“已禁用”選項，再單擊“確定”按鈕退出組策略屬性設置窗口，這樣的話任何用戶都將無法利用SID標識來竊取Windows Se

14、rver 2008系統的登錄賬號名稱信息了，那么Windows Server 2008系統受到暴力破解登錄的機會就大大減少了，此時對應系統的安全性也就能得到有效保證了。  5、禁止U盤病毒“趁虛而入”  很多時候，我們都是通過U盤與其他計算機系統相互交換信息的，但遺憾的是現在Internet網絡中的U盤病毒瘋狂肆虐，那么對于Windows Server 2008系統來說，我們究竟該采取什么措施來禁止U盤病毒“趁虛而入”呢?其實很簡單，我們可以通過設置Windows Server 200

15、8系統的組策略參數，來禁止本地計算機系統讀取U盤，那樣一來U盤中的病毒文件就無法傳播出來，下面就是具體的設置步驟： 首先以特權帳號進入Windows Server 2008系統環境，依次點選系統桌面中的“開始”/“運行”命令，在系統運行框中執行gpedit.msc命令，打開本地計算機的組策略編輯窗口;  其次在組策略編輯窗口左側區域展開“用戶配置”分支，再依次選擇該分支下面的“管理模板”/“系統”/“可移動存儲”選項，找到該分支選項下面的“可移動磁盤：拒絕讀取權限”目標組策略選項，并用鼠標右鍵單擊該選項，執行右鍵菜單中的“屬性”命令打開如圖5所

16、示的目標組策略屬性設置界面，選中其中的“已啟用”選項，再單擊“確定”按鈕退出組策略屬性設置窗口;  同樣地，再打開“可移動磁盤：拒絕寫入權限”目標組策略選項的屬性設置窗口，選中該窗口中的“已啟用”選項，最后再單擊“確定”按鈕就能使設置生效了，此時U盤病毒就不能“趁虛而入”了，那么Windows Server 2008系統也就不會遭遇U盤病毒的非法攻擊了。  6、禁止來自程序的漏洞攻擊  不少用戶往往會錯誤地認為，只要對Windows Server 2008服務器系統的補丁程序進行及時更新，就能讓

17、本地服務器系統遠離網絡中各種木馬程序或惡意病毒的非法攻擊了。其實，為Windows Server 2008服務器系統更新補丁程序只能堵住系統自身存在的一些安全漏洞，如果安裝在Windows Server 2008系統中的應用程序有明顯漏洞時，那么網絡中各種木馬程序或惡意病毒仍然能夠利用應用程序存在的安全漏洞來對Windows Server 2008系統進行非法攻擊。那么在Windows Server 2008系統環境中，我們該采取什么措施來禁止病毒或木馬利用應用程序漏洞來對服務器進行非法攻擊呢?很簡單!我們可以利用

18、Windows Server 2008服務器系統內置的高級防火墻程序來實現這一目的，下面就是具體的設置步驟：  首先以特權帳號進入Windows Server 2008系統環境，依次點選系統桌面中的“開始”/“運行”命令，在系統運行框中執行gpedit.msc命令，打開本地服務器的組策略編輯窗口;  其次在組策略編輯窗口左側區域展開“計算機配置”分支，再依次選擇該分支下面的“Windows設置”/“安全設置”/“高級安全Windows防火墻”/“高級安全Windows防火墻本地組策略對象”選項，用鼠標右鍵單擊該分支

19、選項下面的“入站規則”子項，從彈出的右鍵菜單中執行“屬性”命令打開新建入站規則向導設置界面;  根據向導界面的提示，將規則類型參數設置為“程序”，然后選中“此程序路徑”選項，并單擊“瀏覽”按鈕，將存在明顯漏洞的目標應用程序選中，當屏幕上出現如圖6所示的向導設置界面時，我們可以選中“阻止連接”項目，最后再設置好新建規則的名稱，并單擊“完成”按鈕，如此一來Windows Server 2008系統中的高級防火墻程序就會禁止那些存在明顯安全漏洞的應用程序訪問網絡了，那樣的話病毒或木馬自然也就不能通過應用程序漏洞對本地服務器實施惡意攻擊了。組策略對于window

20、s系統的網絡安全性起著至關重要的作用，下文是介紹windows 2008系統中組策略在其安全性上如何起作用的。 盡管Windows Server 2008系統的安全性能已經大幅提升了，不過這并不意味著該系統已經安全無憂了，因為很多時候系統的一些安全參數會被偷偷修改，從而可能給系統造成一些安全威脅，那有什么辦法讓我們能夠防患于未然，在系統安全參數被修改之前就能將它禁止呢？其實巧妙設置系統組策略參數，就可以讓Windows Server 2008系統更加安全了。 嚴禁惡意程序不請自來 我們在使用Windows Server 2008系統自帶的IE瀏覽器上網訪問網頁內容時，時常會碰到一些惡意的控件程

21、序，這些惡意控件程序往往不經過我們的允許，就自動下載保存到本地系統硬盤中，這樣不但會消耗寶貴的磁盤空間資源，而且還可能會給Windows Server 2008系統帶來安全麻煩；為了讓自己的Windows Server 2008系統更加安全，我們可以安裝使用一些專業工具來拒絕惡意程序不請自來，可是這樣不但操作很繁瑣而且也不利于提高操作效率。事實上，Windows Server 2008系統在組策略中已經添加了這種安全問題的控制選項，我們只要對相應的控制選項進行一下合適設置就可以了，下面就是具體的控制步驟： 首先在Windows Server 2008系統桌面中打開“開始”菜單，點選其中的“運行

22、”命令，在彈出的系統運行文本框中，輸入“”字符串命令，單擊“確定”按鈕，打開對應系統的組策略編輯窗口； 其次在該組策略編輯窗口的左側顯示區域中將鼠標定位于“計算機配置”分支，并從該分支下面逐一展開“管理模板”/“Windows組件”/“限制文件下載”/“安全功能”/“限制文件下載”子項； 下面在“限制文件下載”子項的右側顯示列表中，雙擊“Internet Explorer進程”組策略選項，打開目標組策略選項的屬性設置對話框，單擊其中的“設置”標簽，進入如圖1所示的標簽設置頁面；在這里，我們發現默認狀態下Windows Server 2008系統對文件下載操作是沒有任何限制的，此時我們應該選中“

23、已啟用”選項，來嚴禁惡意程序不請自來。當然，有的惡意程序會自動通過FlashGet、迅雷工具等來完成下載任務，為了謹防這些程序自動執行下載任務，我們還可以打開“所有進程”選項的屬性設置窗口，選中對應窗口中的“已啟用”選項，來禁止惡意程序無法通過任何進程完成下載任務。 拒絕調用任務管理器 在Windows Server 2008系統環境下，同時按下鍵盤中的Ctrl+Alt+Del組合鍵時，我們可以調用系統任務管理器，可以更改Windows系統登錄密碼，可以直接關閉、注銷計算機等，特別是在調用系統任務管理器后，用戶還能對Windows Server 2008系統中的一些重要進程進行控制。為了防止非

24、法用戶隨意控制服務器系統中的一些重要進程，我們可以利用Windows Server 2008系統內置的組策略來拒絕普通用戶隨意調用任務管理器，下面就是具體的設置步驟： 首先打開Windows Server 2008系統桌面中的“開始”菜單，點選其中的“運行”命令，在彈出的系統運行文本框中，輸入“”字符串命令，單擊“確定”按鈕，打開對應系統的組策略編輯窗口； 其次將鼠標定位于組策略編輯窗口左側顯示區域中的“用戶設置”分支上，并依次展開“管理模板”/“系統”/“Ctrl+Alt+Del”組策略子項，在對應“Ctrl+Alt+Del”組策略子項的右側顯示區域中，我們會看到刪除注銷、刪除更改密碼、刪除

25、鎖定計算機、刪除任務管理器等多個策略； 用鼠標雙擊其中的刪除任務管理器選項，打開目標組策略選項的屬性設置對話框，單擊其中的“設置”標簽，進入如圖2所示的標簽設置頁面；在這里，我們發現默認狀態下Windows Server 2008系統是允許用戶調用任務管理器窗口的，此時我們應該選中“已啟用”選項，來禁止調用系統任務管理器窗口。同樣地，我們可以打開其他策略的選項設置窗口，選中“已啟用”選項，來禁止執行注銷、更改密碼、鎖定計算機等操作。 禁止降低IE安全等級 Windows Server 2008系統在默認狀態下常常會將IE瀏覽器的安全等級設置得比較高，這樣可以防止一些惡意網頁腳本代碼或ActiveX控件程序偷偷在服務器系統中運行，從而避免給系統帶來一些安全威脅?？墒?，在實際上網瀏覽的過程中，不少用戶有時隨意降低IE安全等級，以便尋求瀏覽便利性，這么一來Windows