WindowsServer2008安全配置需要注意的几点.doc

Windows Server 2008安全配置基础 一、及时打补丁 二、阻止恶意Ping攻击 　　协议类型列表中选中“ICMPv4”， 　　之后向导屏幕会提示我们选择什么类型的连接条件时，我们可以选中“阻止连接”选项，同时依照实际情况设置好对应入站规则的应用环境，最后为当前创建的入站规则设置一个适当的名称。完成上面的设置任务后，将Windows Server 2008服务器系统重新启动一下，这么一来Windows Server 2008服务器系统日后就不会轻易受到来自外网的非法ping测试攻击了。 　　小提示：尽管通过Windows Server 2008服务器系统自带的高级安全防火墙功能，可以实现很多安全防范目的，不过稍微懂得一点技术的非法攻击者，可以想办法修改防火墙的安全规则，那样一来我们自行定义的各种安全规则可能会发挥不了任何作用。为了阻止非法攻击者随意修改Windows Server 2008服务器系统的防火墙安全规则，我们可以进行下面的设置操作： 　　首先打开Windows Server 2008服务器系统的“开始”菜单，点选“运行”命令，在弹出的系统运行文本框中执行“regedit”字符串命令，打开系统注册表控制台窗口;选中该窗口左侧显示区域处的HKEY_LOCAL_MACHINE节点选项，同时从目标分支下面选中SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules注册表子项，该子项下面保存有很多安全规则; 　　其次打开注册表控制台窗口中的“编辑”下拉菜单，从中点选“权限”选项，打开权限设置对话框，单击该对话框中的“添加”按钮，从其后出现的帐号选择框中选中“Everyone”帐号，同时将其导入进来;再将对应该帐号的“完全控制”权限调整为“拒绝”，最后点击“确定”按钮执行设置保存操作，如此一来非法用户日后就不能随意修改Windows Server 2008服务器系统的各种安全控制规则了。 　　加强系统安全提示 为了防止在Windows Server 2008服务器系统中不小心进行了一些不安全操作，我们建议各位还是将该系统自带的UAC功能启用起来，并且该功能还能有效防范一些木马程序自动在系统后台进行安装操作，下面就是具体的启用步骤： 　　首先以系统管理员身份进入Windows Server 2008系统，在该系统桌面中依次点选开始、运行命令，在弹出的系统运行文本框中，输入msconfig字符串命令，单击确定按钮后，进入对应系统的实用程序配置界面;　其次在实用程序配置界面中单击工具标签，进入如图4所示的标签设置页面，从该设置页面的工具列表中找到启用UAC项目，再单击启动按钮，最后单击确定按钮并重新启动一下Windows Server 2008系统，如此一来用户日后在Windows Server 2008服务器系统中不小心进行一些不安全操作时，系统就能及时弹出安全提示。 不让恶意插件偷袭 　　当我们使用Windows Server 2008系统自带的IE浏览器访问Internet网络中的站点内容时，经常会看到有一些恶意插件程序偷偷在系统后台进行安装操作，一旦安装完毕后，我们往往很难将它们从系统中清除干净，并且它们的存在直接影响着Windows Server 2008系统的工作状态以及运行安全。为了不让恶意插件程序偷袭Windows Server 2008系统，我们可以通过下面的设置操作，来阻止任何来自Internet网络中的下载文件安装保存到本地系统中： 　　首先以系统管理员身份进入Windows Server 2008系统，在该系统桌面中依次点选开始、运行命令，在弹出的系统运行文本框中，输入gpedit.msc字符串命令，单击确定按钮后，进入对应系统的组策略编辑窗口; 　　其次将鼠标定位于组策略编辑窗口左侧的计算机配置节点选项上，再从该节点选项下面依次点选管理模板、Windows组件、Internet Explorer、安全功能、限制文件下载组策略子项，在对应限制文件下载子项下面找到Internet Explorer进程目标组策略，并用鼠标双击该选项，进入如图5所示的属性设置界面; ? 　　在该属性设置界面中检查已启用选项是否处于选中状态，如果发现该选项还没有被选中时，我们应该将它重新选中，最后单击确定按钮保存上述设置操作，这样的话日后要是有恶意插件程序想偷偷下载保存到本地系统硬盘中时，我们就能看到对应的系统提示，单击提示窗口中的取消按钮就能阻止恶意插件程序下载安装到Windows Server 2008系统硬盘中了。 　拒绝网络病毒藏于临时文件 　　图2 将“安全级别”参数设置为“不允许” 　　其次在该控制