|
Windows Server 2008系统其实属于一款服务器操作系统,在默认状态下该系统的诸多限制不利于我们工作使用。为了能够让Windows Server 2008系统按需运行,许多人往往会采用各种方法来对其进行合理优化、设置,笔者自然也不例外;这不,本文现在就以该系统自带的组策略功能为例,来通过合适设置其中的相关参数,实现提升系统运行效率的目的。 自动记忆上次登录系统的状态 Windows Server 2008系统可以自动记录下我们每一次登录服务器系统的状态信息,如此一来我们每次成功登录进服务器系统后,就可以对前后登录服务器的状态信息进行一下对比,要是发现登录状态信息不一致时,那就意味着可能有非法用户曾经试图登录过本地服务器系统,这也同时说明Windows Server 2008系统此时的工作状态是不安全的。当然,Windows Server 2008系统在默认状态下,并不会自动记忆上次登录系统的状态,我们可以按照如下设置操作,来将该功能启用起来: 首先以超级用户权限登录进入Windows Server 2008系统桌面,依次单击“开始”/“运行”命令,在弹出的系统运行文本框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开对应服务器系统的组策略控制台窗口; 其次用鼠标展开该控制台窗口左侧显示区域中的“计算机配置”节点分支,并从目标分支下面依次点选“管理模板”/“Windows组件”/“登录选项”子项,在“登录选项”子项下面找到“在用户登录期间显示有关以前登录的信息”目标组策略选项,并用鼠标右键单击该选项,从其后出现的快捷菜单中单击“属性”命令,打开“在用户登录期间显示有关以前登录的信息”组策略属性设置窗口,如图1所示;
在目标组策略属性设置窗口中,检查“已启用”项目是否已经被选中,要是发现它还没有被选中时,我们应该及时将它重新选中,再单击“确定”按钮保存好上述设置操作,如此一来Windows Server 2008系统日后就能自动记忆上次登录系统的状态信息了。 不让他人非法访问重要磁盘分区 为了方便使用,我们有时会在多个用户共同使用同一台计算机的情况下,保存一些属于极度隐私级别的文件内容,为了确保这些文件内容的安全性,我们可以通过对Windows Server 2008系统的组策略参数进行合适设置,以便禁止其他用户非法访问保存了重要文件内容的磁盘分区,例如现在我们希望其他人不能随意访问Windows Server 2008系统下的目标磁盘分区D时,就可以按照如下步骤来设置系统组策略参数: 首先按照前面的操作步骤,打开系统的组策略控制台窗口,将鼠标定位于该组策略控制台窗口左侧显示区域的“本地计算机策略”节点选项上,并从目标节点选项下面依次展开“用户配置”/“管理模板”/“Windows组件”/“Windows资源管理器”子项; 其次在“Windows资源管理器”子项下面,找到目标组策略“防止从‘我的电脑’访问驱动器”,并用鼠标右键单击该组策略选项,从其后出现的快捷菜单中执行“属性”命令,打开如图2所示的属性设置窗口;
接着在该属性设置窗口中检查“已启用”选项是否处于选中状态,要是发现它还没有被选中时,我们应该及时将“已启用”选项重新选中,这个时候在对应选项下面会自动弹出选择驱动器下拉列表,从中选择我们需要保护的目标驱动器,例如这里我们可以选中目标磁盘分区“D”,再单击“确定”按钮保存好上述设置操作,这样一来任何其他用户都不能非法访问重要的磁盘分区了。要是我们想禁止用户访问所有驱动器时,可以选中这里的“限制所有驱动器”选项。 预防特权账号名称被意外窃取 不少技术高明的黑客或恶意攻击者往往会通过登录Windows Server 2008系统的SID标识,来偷偷窃取系统特权账号的名称信息,之后再利用特权账号名称尝试去非法破解登录Windows Server 2008服务器系统的密码,最终得到Windows Server 2008系统的各种控制权限;很显然,要是服务器系统的超级权限帐号名称被意外窃取使用的话,那么Windows Server 2008系统的安全性可能就无法得到保证了。为了有效确保Windows Server 2008系统的运行安全性,我们可以尝试进行如下设置操作,预防非法用户通过SID标识来得到对应系统登录账号的名称信息: 首先以特权帐号登录进入Windows Server 2008系统桌面,打开“开始”菜单,点选“运行”命令,在弹出的系统运行文本框中输入字符串命令gpedit.msc,单击“确定”按钮进入本地服务器的组策略控制台窗口;
谨防系统登录密码被恶意爆破 当Windows Server 2008系统的登录密码不足够“健壮”时,恶意攻击者很容易通过不停尝试登录操作来“猜”出系统管理员登录密码,很显然这容易给服务器系统带来比较大的安全威胁。那我们该采取什么措施,来预防非法攻击者爆破系统管理员的登录密码呢? 事实上,要预防这一情况的发生,我们可以通过设置Windows Server 2008系统组策略的方法,来对对应系统的帐户策略进行锁定就能完美解决这种问题了,这个时候当某一恶意攻击者尝试登录服务器系统,输入错误登录密码的次数超过规定阈值,Windows Server 2008系统就能自动将该系统管理员登录帐号锁定起来,同时在目标登录帐户锁定期满之前,该登录帐号将不能继续使用,除非超级管理员采用手动办法解除帐号锁定,下面就是具体的设置办法: 首先打开Windows Server 2008系统的运行对话框,在其中执行符串命令“Gpedit.msc”,进入对应系统的组策略控制台窗口,在该窗口的左侧显示窗格中将鼠标定位于“计算机设置”节点选项上,在目标节点选项下面依次展开“Windows设置”/“安全设置”/“帐户策略”/“帐户锁定策略”组策略子项;
其次在“帐户锁定策略”组策略子项下面,找到目标组策略选项“帐户锁定阈值”,并用鼠标右键单击该选项,从弹出的快捷菜单中执行“属性”命令,打开目标组策略选项属性设置窗口(如图4所示),在该设置窗口中我们可以按照需要设置触发用户帐户被锁定的登录尝试失败的次数。该参数数值可以被设置成0到999之间的任意一个数字,缺省状态下该数字为“0”,表示服务器系统不会对登录次数进行限制,此时我们可以按照自己的安全要求进行个性化设置,正常情况下我们可以将该数值设置成“5”。 谨防U盘偷走本地系统重要文件 U盘凭借携带方便的特性,深受很多人的喜欢,通过U盘从其他人的工作站中拷贝一些文件带走,是一件非常容易的事情,这样U盘对工作站中的重要文件内容就存在很大的威胁,如何让工作站只使用我们自己的U盘,而不使用其他人的U盘呢?其实在Windows Server 2008系统中我们 根本就不用担心这种情况,我们可以对Windows Server 2008系统的组策略参数进行合适设置,来谨防U盘偷走本地服务器系统中的重要文件内容,通过合适设置我们既能阻止所有USB设备连接到本地系统中,也能指定系统只使用自己的U盘设备,下面就是具体的设置步骤: 首先将自己平时使用的U盘正确插入到Windows Server 2008系统中,确保该系统能够正常访问U盘,之后依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,用鼠标双击其中的“设备管理器”图标,从其后出现的窗口中展开便携设备,此时我们就能从目标分支下面看见保存自己使用的U盘设备; 其次用鼠标右键单击目标U盘设备,从弹出的快捷菜单中执行“属性”命令,打开目标U盘设备的属性设置对话框,单击其中的“详细信息”选项卡,然后在对应选项设置页面中单击“属性”下拉列表中的“硬件ID”项目,再将对应该项目下面的“值”文本框中出现字符串内容记录下来,该内容就是我们自己使用的U盘硬件ID; 接着我们还要拷贝设备管理器窗口“通用串行总线控制器”分支下面“USB大容量存储设备”的硬件ID,进行这种操作时,我们应该先打开“设备管理器”窗口,从中依次点选“通用串行总线控制器”/“USB大容量存储设备”分支选项,再打开该选项的属性设置窗口,进入对应窗口的“详细信息”选项设置页面,再从中拷贝出USB大容量存储设备的硬件ID;
下面打开Windows Server 2008系统的运行对话框,在其中输入字符串命令“Gpedit.msc”,单击回车键后,进入对应系统的组策略控制台窗口,在该控制台窗口的左侧显示区域中,将鼠标定位于其中的“计算机配置”分支选项,在目标分支选项下面再依次展开“管理模板”/“系统”/“设备安装”/“设备安装限制”组策略子项,在“设备安装限制”组策略子项的右侧显示区域,用鼠标双击目标组策略“禁止安装未由其他策略设置描述的设备”,打开如图5所示的目标组策略属性设置窗口; 拒绝应用程序漏洞攻击系统 不少朋友常常会简单地认为,只要及时在线更新Windows Server 2008服务器的系统补丁程序,就能防止Internet网络中的各种病毒或木马程序非法攻击服务器系统。事实上,单纯更新Windows Server 2008服务器的系统补丁程序,只能把系统自身的一些漏洞“堵塞”住,要是安装在服务器系统中的某些应用程序存在明显漏洞时,那么Internet网络中各种病毒或木马程序仍然可以利用漏洞应用程序来攻击Windows Server 2008系统。为了拒绝应用程序漏洞攻击Windows Server 2008系统,我们可以按照如下步骤设置系统组策略参数:
|
正在阅读:着眼组策略 让Windows08按需运行着眼组策略 让Windows08按需运行
2009-03-11 10:52
出处:PConline原创
责任编辑:wenzhicheng
