活用Windows Server 2008系統的幾種安全功能
與傳統操作系統相比,Win2008系統的安全防范功能更加強大,安全防護能力自然也是高人一等,我們只要在平時善于使用該系統新增的各項安全防范功能,完全可以實現更高級別的安全保護目的。現在,本文就為大家貢獻幾則Win2008系統新增安全功能的應用技巧,相信下面的內容,一定能夠讓大家從中得到幫助!
1、網絡訪問保護功能控制安全連接
如果局域網中有一臺計算機感染了病毒,那么整個局域網就會存在所有計算機都被“傳染”病毒的危險。為了在局域網中控制普通計算機的接入安全,我們可以利用Win2008系統特有的網絡訪問保護功能,來禁止存在安全威脅的計算機自由接入局域網網絡,下面就是具體的實現操作步驟:
首先安裝網絡訪問保護功能;打開Win2008系統的“開始”菜單,從中依次選擇“程序”/“管理工具”/“服務器管理器”命令,從其后出現的服務器管理器窗口左側區域單擊“角色”節點選項,并在對應該節點的右側顯示區域單擊“添加角色”功能,打開角色添加向導窗口,依照提示將“網絡策略和訪問服務”項目選中,之后點擊“安裝”按鈕,再按向導默認設置完成網絡訪問保護功能的安裝任務;
其次創建健康安全標準;在進行這種操作時,我們可以先單擊系統任務欄中的“服務器管理器”按鈕,從彈出的服務器管理器窗口左側區域處逐一點選“角色”、“網絡策略和訪問服務”、“NPS”、“網絡訪問保護”、“系統健康驗證器”節點選項,再單擊目標選項右側區域中的“屬性”按鈕,打開安全健康驗證對話框,點選“配置”按鈕,選中常規的“防病毒應用程序已啟用”、“已為所有網絡連接啟用防火墻”、“防病毒程序為最新的”等幾種健康安全標準(如圖1所示),以后任何需要連接到局域網中的計算機必須同時符合上面的健康標準,Win2008系統才會認為它是健康、安全的計算機;
ppp
接著創建安全驗證策略;在創建健康的安全驗證策略時,我們可以先將鼠標定位于服務器管理器窗口左側區域中的“網絡策略服務器”節點選項,再從目標節點下面逐一展開“策略”、“健康策略”分支,在目標分支下面再點選“新建”按鈕,從彈出的安全驗證策略對話框中將新的“策略名稱”設置為“健康計算機”,將“客戶端SHV檢查”參數設置為“客戶端通過了所有SHV檢查”,將“此健康策略中使用的SHV”參數選擇為“Windows安全健康驗證程序”,最后單擊“確定”按鈕結束健康的安全驗證策略創建操作;按照同樣的操作步驟,我們還可以創建一個不健康的安全驗證策略,只是在創建這種策略時,我們必須將“客戶端SHV檢查”參數選擇為“客戶端未能通過一個或多個SHV檢查”,其余參數都和上面相同就可以了;
下面創建新的網絡連接策略;將鼠標先定位于服務器管理器窗口左側區域處“網絡策略和訪問服務”節點上,并從該節點下面依次點選“NPS”、“策略”、“網絡策略”選項,從目標選項下面點選“新建”按鈕,此時系統屏幕上會出現一個如圖2所示的創建網絡連接策略向導窗口;在這里將“策略名稱”參數設置為“健康連接”,將“網絡訪問服務器類型”選項選擇為“DHCP Server”,再從其后界面中單擊“添加”按鈕,同時將“選擇條件”選擇為先前創建好的“健康計算機”策略,再根據向導默認提示逐一點選“已授予訪問權限”、“僅執行計算機健康檢查”設置選項,最后再將“策略設置”參數設置為“NAP強制允許完全網絡訪問”,同時單擊“完成”按鈕結束網絡連接策略創建工作。再按照相同的操作步驟,我們創建一個“不健康連接”的網絡策略,只是在進行這種操作時,我們必須將“選擇條件”參數選擇為“不健康計算機”策略,并且將“策略設置”參數設置為“拒絕訪問”選項,其余參數跟上面一模一樣;
最后需要對DHCP服務功能進行設置;考慮到普通計算機在訪問網絡時,首先需要聯系局域網中的DHCP服務器,因此我們還必須設置好合適的DHCP服務參數,保證所有計算機的上網連接請求通過DHCP功能轉交給Win2008系統的網絡訪問保護功能進行處理。依次單擊服務器系統桌面中的“開始”/“程序”/“管理工具”/“服務器管理器”/“DHCP”選項,進入DHCP服務器控制臺界面,打開目標作用域的屬性界面,點選該界面中的“網絡訪問保護”選項卡,在對應選項設置頁面中選中“對此作用域啟用”選項,同時選中“使用默認網絡訪問保護配置文件”,最后單擊”確定“按鈕執行設置保存操作。
完成上面的各項設置任務后,我們日后只需要將待接入到局域網網絡中的普通計算機設置成“自動獲得IP地址”,那么該計算機的網絡連接就會受到Win2008系統網絡訪問保護功能的控制了,如此一來網絡病毒或木馬日后就不能通過局域網網絡隨意“傳染”給其他普通計算機了,此時整個局域網網絡的運行安全性就能得到有效保證了。
2、高級安全防火墻控制惡意下載
在管理、維護局域網的過程中,網絡管理員或許經常會遇到這樣的一種現象,那就是一些不自覺的上網用戶往往會在局域網中偷偷使用電騾、迅雷這樣的P2P工具,來下載大容量的電影或其他多媒體數據,這種惡意下載操作消耗掉了局域網中有限的寶貴帶寬資源,并且很容易造成整個局域網網絡不能穩定地運行。事實上,我們可以利用Win2008系統新增加的高級安全防火墻功能,來控制惡意下載行為;考慮到迅雷這樣的P2P工具在進行惡意下載操作時,會通過系統的3077,3078端口對外進行網絡通信,我們只要讓高級安全防火墻功能限制3077,3078端口對外進行網絡通信,就能實現阻止上網用戶偷偷使用迅雷這樣的P2P工具進行惡意下載了。現在,我們就利用Win2008系統的高級安全防火墻功能創建安全訪問規則,禁止電騾、迅雷這樣的P2P工具進行下載連接:
#p#首先以系統管理員權限進入Win2008系統桌面,依次點選“開始”菜單中的“程序”、“管理工具”、“服務器管理器”命令,從其后出現的服務器管理器窗口左側位置處,將鼠標定位于“配置”節點選項上,再選中目標節點選項下面的“高級安全防火墻”項目;
其次打開“高級安全防火墻”配置界面,在該界面左側位置處點選“出站規則”功能選項,再從對應該功能選項的右側位置處點選“新規則”功能選項,打開安全出站規則創建向導對話框,當向導對話框詢問我們要進行何種類型的控制操作時,我們應該選中這里的“端口”選項,以便讓高級安全防火墻功能對本地計算機中3077、3078端口的網絡連接進行限制;
接著單擊“下一步”按鈕,在其后出現的向導設置對話框中選中“TCP”功能選項,并且選中“特定本地端口”選項,此時“特定本地端口”文本框會被自動激活,在該文本框中直接輸入“3077,3078”端口號碼,如圖3所示;
再單擊“下一步”按鈕后,向導屏幕會彈出提示詢問“連接符合指定條件時應該進行什么操作”,這個時候我們必須將“阻止連接”功能選項選中,之后設置好該安全規則具體的應用范圍,在這里我們可以同時選中“域”、“專用”、“公用”這幾種應用環境,最后為新創建的出站規則設置一個合適的名稱,再單擊“完成”按鈕結束安全出站規則的創建工作,這樣的話任何一位上網用戶在本地Win2008系統中嘗試進行惡意下載時,Win2008系統自帶的高級安全防火墻功能就對自動對這樣的惡意下載進行攔截,那么本地網絡的運行穩定性自然也就能得到有效保證了。
3、網絡身份驗證功能控制遠程連接
為了提高工作效率,很多網絡管理員總喜歡通過遠程桌面功能來與局域網中的重要服務器或計算機建立遠程連接,以便在局域網中的任何位置都能象在本地那樣來控制遠程服務器或計算機;這種遠程控制功能雖然給網絡管理員帶來了方便,但是同時也給非法攻擊者提供了一種新的非法入侵“通道”。為了提高服務器系統的安全性能,Win2008系統新推出了網絡身份驗證功能,該功能可以很好地預防非法攻擊者隨意從局域網中的任意一臺計算機對目標服務器系統建立遠程連接,一旦啟用了該功能后,網絡管理員必須在Vista、Win2008系統環境下才能通過遠程桌面功能與Win2008服務器建立遠程連接,其他普通計算機系統都不能與Win2008服務器系統建立遠程連接,這無形之中自然會提高Win2008服務器系統的運行安全性。在啟用Win2008服務器系統的網絡身份驗證功能時,我們可以按照下面的設置來操作:
首先以特權賬號登錄進入Win2008系統桌面,單擊該系統任務欄中的“服務器管理器”功能按鈕,打開對應系統的服務器管理器控制臺窗口,選中該窗口左側位置處的“服務器管理”節點選項,在目標節點選項下面的“服務器摘要”設置項處點選“配置遠程桌面”選項,進入對應系統的遠程桌面設置對話框;
其次在該設置對話框的“遠程桌面”位置處,檢查“只允許運行帶網絡級身份驗證的遠程桌面的計算機連接”選項是否處于選中狀態,如果發現該功能還沒有處于選中狀態時,那么局域網中的任意用戶可以從任意一臺計算機中來遠程連接Win2008服務器系統;為了控制用戶隨意對Win2008服務器系統進行遠程連接,我們必須將“只允許運行帶網絡級身份驗證的遠程桌面的計算機連接”選項重新選中,再單擊“確定”按鈕保存好上述設置操作,這么一來遠程桌面連接日后就會受到網絡身份驗證功能的保護了。
#p#4、數據執行保護功能控制程序連接
Internet中的一些網絡病毒或木馬,時常會通過安裝在Win2008系統中的一些應用程序漏洞,來對本地計算機系統進行非法攻擊;為了讓應用程序連接網絡更加安全,我們可以利用Win2008系統自帶的數據執行保護功能來保護目標應用程序,下面就是具體的實現步驟:
首先在Win2008系統桌面中,用鼠標右鍵單擊“計算機”圖標,從彈出的快捷菜單中點選“屬性”命令,打開對應系統的屬性設置窗口,在該設置窗口的左側位置處,點選“高級系統設置”按鈕,進入Win2008系統的高級屬性設置對話框;
其次在該設置對話框的“性能”位置處點擊“設置”按鈕,進入Win2008系統的性能選項設置對話框,單擊其中的“數據執行保護”選項卡,在其后出現的選項設置頁面中,看看“為除下列選定程序之外的所有程序和服務啟用”列表中是否存在目標應用程序,一旦發現它存在的話,那就說明該應用程序日后在進行網絡連接時不會受到數據執行保護功能的安全保護,此時我們必須選中該目標應用程序,同時單擊“刪除”按鈕,再單擊“確定”按鈕結束數據執行保護設置操作,這么一來目標應用程序日后在連接網絡時就會自動受到Win2008系統自帶的數據執行保護功能的保護了。
5、密碼保護共享功能控制共享連接
為了讓Win2008系統中的重要資源與他人交流分享,很多人都會直接將重要資源設置成共享狀態,其他人通過共享訪問就能看到自己的重要資源了;不過,相當一部分人在設置共享文件夾時,常常會忘記設置共享訪問密碼,從而給局域網中的非法用戶提供了可乘之機。為了保護共享資源的安全,我們可以啟用Win2008系統的密碼保護共享功能,強行要求用戶必須為共享文件夾設置訪問密碼,日后只有知道共享密碼的用戶才能看到自己的共享內容,下面就是具體的設置步驟:
首先在Win2008系統桌面中,依次單擊“開始”/“設置”/“控制面板”命令,在彈出的系統控制面板窗口中雙擊網絡和共享中心圖標,打開網絡和共享中心控制窗口;
其次從該控制窗口中展開“共享和發現”位置處的“密碼保護的共享”設置區域,選中對應區域中的“密碼保護的共享”選項,再單擊“應用”按鈕,這么一來共享訪問操作日后就必須需要輸入訪問密碼了,那么共享訪問安全性自然也就能得到有效保證了。
【編輯推薦】
