為了保護工作站系統的安全，不少朋友往往會下意識地想到使用系統自帶的或第三方防火墻，來對系統進行多方面的安全“護衛”。可是在實際保護系統安全的過程中，我們有時會遇到系統防火墻因受到意外損壞而無法啟用的現象，這樣一來系統的安全就缺少了防火墻的“護衛”，那么系統受到非法攻擊的可能性就會大大增加。事實上，在防火墻無法“護衛”系統安全的情況下，我們完全可以變換思路，從系統組策略出發，來讓系統仍然享受防火墻級別的安全“護衛”!

1、預防遠程入侵連接

為了有效制止非法攻擊者通過網絡隨意攻擊或訪問本地工作站系統，第三方專業防火墻工具往往都會為我們提供關閉遠程網絡連接的功能，通過該功能我們可以隨時阻止非法攻擊者的入侵連接，從而保護系統的安全。但即使沒有第三方專業防火墻的安全“護衛”，我們只要按照如下操作步驟修改系統的組策略，仍然能夠讓系統享受到這種安全“護衛”待遇：

首先依次單擊本地工作站系統桌面中的“開始”、“運行”菜單命令，從彈出的系統運行對話框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開本地系統的組策略編輯窗口;

其次在該編輯窗口的左側顯示區域中，用鼠標逐一展開“本地計算機策略”、“用戶配置”、“管理模板”、“網絡”、“網絡連接”分支選項，在“網絡連接”分支選項所在的右側顯示區域中，找到“刪除所有用戶遠程訪問連接”項目，并用鼠標雙擊該項目，打開如圖1所示的組策略屬性設置對話框;

接著檢查該對話框中的“已啟用”選項是否處于選中狀態，要是發現該選項還沒有被啟用的話，那我們必須重新將它選中，最后單擊“確定”按鈕，如此一來本地工作站系統日后就能享受到防火墻級別的關閉遠程連接功能了。以后，非法攻擊者企圖通過遠程連接方式來入侵本地工作站系統時，關閉遠程連接功能就會強行斷開非法攻擊者創建的連接，那樣的話工作站系統就更為安全了。#p#

2、為資源訪問設立關卡

在局域網工作環境中，對共享文件進行訪問是常有的事情，為了限制任何用戶隨意訪問共享文件，系統自帶的防火墻或第三方專業防火墻都為共享資源的訪問設立了關卡，禁止任何來賓用戶直接訪問共享內容，必須憑訪問帳號才能進行共享訪問。要實現這種防火墻級別的安全“護衛”目的，我們只要按照如下步驟修改工作站的組策略就可以了：

首先依次單擊本地工作站系統桌面中的“開始”、“運行”菜單命令，從彈出的系統運行對話框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開本地系統的組策略編輯窗口;

其次將鼠標定位于編輯窗口左側的“計算機配置”分支上，再用鼠標依次選中該分支下面的“Windows設置”、“安全設置”、“本地策略”、“用戶權利指派”項目，在對應“用戶權利指派”項目的右側顯示區域中，雙擊“拒絕從網絡訪問這臺計算機”策略，打開如圖2所示的組策略屬性設置對話框;

檢查來賓用戶“Guest”帳號是否出現在了該對話框的列表中，倘若沒有看到該帳號的話，我們必須單擊其中的“添加用戶或組”按鈕，來將“Guest”帳號加入到該對話框中，最后單擊“確定”按鈕退出設置對話框，這樣一來以后任何一位來賓用戶就無法直接訪問到本地工作站中的共享資源了，只有擁有訪問帳號的用戶才能看到共享內容。#p#

3、預防暴力破解密碼

安裝了Windows XP系統的工作站在缺省狀態下，允許每一位用戶通過空用戶連接方式來獲取本地系統中的各類帳號信息和資源列表信息，這個功能本意是為方便管理員管理系統資源用的，而非法攻擊者常常通過該功能來破壞系統安全，他們通過一些專業的黑客軟件來暴力破解用戶的密碼信息，從而可能會給本地工作站或整個網絡帶來非常大的安全隱患。有鑒于此，許多專業的防火墻一般都為我們提供了預防暴力破解共享訪問密碼的功能，事實上簡單地對系統組策略進行編輯，也能達到預防暴力破解密碼的目的，下面就是修改組策略的具體步驟：

首先依次單擊本地工作站系統桌面中的“開始”、“運行”菜單命令，從彈出的系統運行對話框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開本地系統的組策略編輯窗口;

其次在該編輯窗口的左側顯示區域，用鼠標依次選中“本地計算機策略”、“計算機配置”、“Windows設置”、“安全設置”、“本地策略”、“安全選項”項目，在“安全選項”項目所對應的右側列表區域中，找到“網絡訪問：不允許SAM帳號和共享的匿名枚舉”選項，并用鼠標雙擊該選項，打開如圖3所示的組策略屬性設置對話框;

下面檢查一下該對話框中的“已啟用”選項是否處于選中狀態，要是發現該選項還沒有被啟用的話，那我們必須重新將它選中，最后單擊“確定”按鈕，如此一來本地工作站中的共享資源訪問密碼就不大容易被暴力破解了。#p#

4、限制運行特定程序

無論是系統自帶的防火墻還是第三方防火墻都具有限制運行特定應用程序的功能，該功能能夠有效地限制外人在自己的工作站中隨意運行應用程序，比方說當我們不希望他人在自己的工作站中運行FlashGet程序，來隨意從網上下載內容時，我們就可以按照下面的操作來實現防火墻所具有的限制運行特定程序的安全“護衛”目的：

首先依次單擊本地工作站系統桌面中的“開始”、“運行”菜單命令，從彈出的系統運行對話框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開本地系統的組策略編輯窗口;

其次將鼠標定位于編輯窗口左側的“計算機配置”分支上，再用鼠標依次選中該分支下面的“Windows設置”、“安全設置”、“軟件限制策略”、“其他規則”項目，在“其他規則”項目所對應的右側顯示區域中，用鼠標右鍵單擊空白區域處，從彈出的快捷菜單中單擊“新路徑規則”命令，打開如圖4所示的設置對話框;

下面，在該對話框的“路徑”文本框中輸入FlashGet程序的具體路徑，或者直接單擊“瀏覽”按鈕，進入到FlashGet程序所在的文件夾，從中選擇FlashGet.exe文件;之后單擊“安全級別”處的下拉按鈕，從彈出的下拉列表中選擇“不允許的”選項，最后單擊“確定”按鈕，這樣一來本地工作站就不允許用戶隨意使用FlashGet程序來下載內容了。#p#

5、提高內置防火墻安全性能

Windows系統自帶的防火墻在默認狀態下，與一些專業的第三方防火墻在安全性能方面還是有不小的差距;不過，我們只要對系統的組策略進行有針對性地修改，就能有效提高系統內置防火墻的安全性能：

首先依次單擊本地工作站系統桌面中的“開始”、“運行”菜單命令，從彈出的系統運行對話框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，打開本地系統的組策略編輯窗口;

其次將鼠標定位于編輯窗口左側的“計算機配置”分支上，再用鼠標依次選中該分支下面的“管理模板”、“網絡”、“網絡連接”、“Windows防火墻”、“標準配置文件”選項，在對應“標準配置文件”選項的右側顯示區域中雙擊“Windows防火墻：保護所有網絡連接”項目，打開如圖5所示的組策略屬性設置對話框;

下面檢查一下該對話框中的“已啟用”選項是否處于選中狀態，要是發現該選項還沒有被啟用的話，那我們必須重新將它選中，最后單擊“確定”按鈕，這樣的話我們就能防止他人隨意關閉本地防火墻，從而給工作站系統帶來安全威脅了。

此外，我們還可以將“Windows防火墻：允許UPnP框架例外”功能啟用起來，將“Windows防火墻：允許文件和打印機共享例外”功能啟用起來，這些功能都能充分發揮防火墻的安全“護衛”作用。

【編輯推薦】

1. 網絡管理向系統組策略要安全
2. 用組策略加固網絡