善用系統(tǒng)功能增強安全保護能力

相信拜讀過《生化危機》的朋友，都會希望自己能化身為功能強大的變異人，因為他們在遭遇傷害后會利用特異功能自動愈合傷口，從而成就自己的不死之身。在使用過Windows2008系統(tǒng)之后，不知道大家對該系統(tǒng)有什么樣的感覺？經(jīng)過一段時間的試用，筆者認(rèn)為該系統(tǒng)就是自己眼中的變異系統(tǒng)，因為該系統(tǒng)每次遇到安全威脅時，總能依靠自身的功能組件進行安全防范。現(xiàn)在，本文就利用Windows2008系統(tǒng)自帶的功能，來提升該系統(tǒng)的安全防范等級！

啟用系統(tǒng)備份組件

大家知道，Windows2008系統(tǒng)一般都是作為服務(wù)器系統(tǒng)使用的，因此工作中保存的許多重要數(shù)據(jù)信息往往都會存儲在該系統(tǒng)中，不過這些重要數(shù)據(jù)信息受到的安全威脅也比較大，畢竟服務(wù)器系統(tǒng)要求始終在線運行，這很容易造成硬盤損壞或系統(tǒng)宕機，這樣保存在系統(tǒng)或硬盤中的數(shù)據(jù)文件自然容易會丟失了，為了妥善保護好這些重要數(shù)據(jù)，我們應(yīng)該定期對它們進行備份。為了幫助用戶高效備份數(shù)據(jù)，Windows2008系統(tǒng)全新設(shè)計了WindowsServerBackup功能組件，巧妙利用該組件，我們能根據(jù)實際需求很靈活地備份服務(wù)器系統(tǒng)中的重要數(shù)據(jù)信息，下面就是具體的備份步驟：

首先在Windows2008系統(tǒng)桌面上依次單擊“開始”|“程序”|“管理工具”|“服務(wù)器管理器”命令，切換到服務(wù)器管理器界面中，將鼠標(biāo)定位到“功能”分支上，點擊目標(biāo)分支下的“添加功能”按鈕，彈出如圖1所示的系統(tǒng)功能組件列表界面。檢查WindowsServerBackup組件選項有沒有被選中，如果發(fā)現(xiàn)其還沒有被選中時，應(yīng)該將其重新選中，并按“下一步”按鈕，之后按照默認(rèn)設(shè)置完成組件安裝操作，這樣Windows2008系統(tǒng)的數(shù)據(jù)備份組件就被成功啟用了。

日后需要對服務(wù)器中的重要數(shù)據(jù)進行備份時，可以依次單擊“開始”|“程序”|“管理工具”命令，切換到Windows2008系統(tǒng)的管理工具列表界面，用鼠標(biāo)雙擊其中的“WindowsServerBackup”圖標(biāo)，打開備份程序主界面，點選操作列表區(qū)域中的“一次性備份”按鈕，展開備份向?qū)гO(shè)置框，依照提示逐一選中“不同選項”|“整個服務(wù)器”|“本地驅(qū)動器”等功能選項，再指定好數(shù)據(jù)備份存儲位置，并按“完成”按鈕，這樣Windows2008系統(tǒng)中整個服務(wù)器中的重要數(shù)據(jù)就會被備份保存到指定位置了。

以后，重要數(shù)據(jù)受到損壞需要恢復(fù)時，只要按前面的操作進入WindowsServerBackup主程序界面，按下操作列表區(qū)域中的“恢復(fù)”按鈕，切換到數(shù)據(jù)恢復(fù)向?qū)гO(shè)置框，設(shè)置好數(shù)據(jù)恢復(fù)類型、指定好要恢復(fù)的內(nèi)容、配置好相關(guān)恢復(fù)選項，再導(dǎo)入原始備份數(shù)據(jù)，這樣就能將受損的數(shù)據(jù)文件快速恢復(fù)了。

啟用密碼保護共享

在局域網(wǎng)工作環(huán)境中，有時為了工作需要，我們將Windows2008系統(tǒng)中的某些文件夾設(shè)置成了共享狀態(tài)，不過這些共享文件夾在給工作帶來便利的同時，也容易受到局域網(wǎng)惡意用戶的偷窺，這么說來，共享發(fā)布到網(wǎng)絡(luò)中的資源就不安全了？其實，為了保護共享文件夾安全，Windows2008系統(tǒng)特意針對共享訪問開發(fā)了密碼保護功能，我們可以對該系統(tǒng)中的共享文件夾強制進行加密保護，其他用戶只有知道訪問密碼才能進行共享訪問，不知道共享密碼的用戶在訪問時就會遇到故障。在使用密碼保護共享功能保護共享文件夾安全時，我們可以按照如下操作來設(shè)置Windows2008系統(tǒng)：

首先將密碼保護共享功能啟用起來。依次單擊Windows2008系統(tǒng)桌面上的“開始”|“設(shè)置”|“控制面板”命令，彈出系統(tǒng)控制面板界面，用鼠標(biāo)雙擊其中的網(wǎng)絡(luò)和共享中心圖標(biāo)，找到網(wǎng)絡(luò)和共享中心窗口中的“共享和發(fā)現(xiàn)”設(shè)置項，點擊“密碼保護的共享”右側(cè)的下拉按鈕，展開如圖2所示的設(shè)置區(qū)域，選擇“啟用密碼保護的共享”選項，單擊“應(yīng)用”按鈕返回。

其次為需要保護的共享文件夾設(shè)置安全的訪問密碼。依次單擊“開始”|“程序”|“附件”|“Windows資源管理器”命令，彈出系統(tǒng)資源管理器界面，從中找到需要保護的文件夾，并用鼠標(biāo)右鍵單擊該文件夾圖標(biāo)，執(zhí)行右鍵菜單中的“共享”命令，打開共享設(shè)置向?qū)υ捒?，在這里將本地計算機中設(shè)置了密碼的用戶賬號逐一導(dǎo)入添加進來，并按“確定”按鈕保存設(shè)置，這樣所有人日后只有憑密碼才能成功訪問到共享文件夾。

啟用增強安全配置

大家知道，綁定在Windows系統(tǒng)中的IE瀏覽器天生安全防范能力很差，病毒木馬程序通過它的許多漏洞，能很輕松地對本地系統(tǒng)進行非法攻擊。很明顯，想辦法對系統(tǒng)自帶IE瀏覽器的使用進行嚴(yán)格限制，能在一定程度上改善上網(wǎng)訪問時的安全防范能力。在Windows2008計算機系統(tǒng)中，我們能通過新開發(fā)的IE增強安全配置功能，來對IE瀏覽器的使用進行控制，不讓普通權(quán)限的用戶任意改變IE瀏覽器默認(rèn)較高的安全等級，從而讓本地系統(tǒng)遠(yuǎn)離網(wǎng)絡(luò)病毒或木馬程序的攻擊，下面就是IE增強安全配置功能的具體啟用步驟：

首先將已經(jīng)啟動運行的IE瀏覽程序關(guān)閉掉，并返回Windows2008系統(tǒng)桌面，逐一點選“開始”|“程序”|“管理工具”|“服務(wù)器管理器”選項，切換到Windows2008系統(tǒng)的服務(wù)器管理器窗口，將鼠標(biāo)定位到該窗口右側(cè)區(qū)域的“安全信息”節(jié)點上。

其次點選目標(biāo)節(jié)點下的“配置IEESC”選項，打開如圖3所示的IE增強安全配置對話框，在這里我們看到默認(rèn)狀態(tài)下，IE增強安全配置同時適用于Administrator組用戶和User組用戶，如果發(fā)現(xiàn)這里的“管理員”和“用戶”處的“啟用”選項還沒有選中時，應(yīng)該及時重新選中，同時按“確定”按鈕返回，這樣IE增強安全配置功能日后就會強制IE瀏覽器處于最高安全等級，該安全等級會關(guān)閉所有漏洞，這樣病毒木馬日后就無法通過IE瀏覽器進行非法攻擊了，那么用戶上網(wǎng)訪問時的安全性自然就能得到保護了。

啟用網(wǎng)絡(luò)身份驗證

作為服務(wù)器使用的Windows2008系統(tǒng)，為了增強自身安全性，特意開發(fā)設(shè)計了網(wǎng)絡(luò)級身份驗證功能，該功能會自動禁止那些版本比較低、漏洞比較多的操作系統(tǒng)與之建立遠(yuǎn)程桌面連接。很顯然，巧妙利用Windows2008系統(tǒng)的網(wǎng)絡(luò)身份驗證功能，可以禁止病毒、木馬程序靠近本地系統(tǒng)，從而達到提升Windows2008系統(tǒng)運行安全的目的，下面就是具體的啟用步驟：

首先打開Windows2008系統(tǒng)桌面中的“開始”菜單，從中依次選擇“程序”|“管理工具”|“服務(wù)器管理器”選項，彈出Windows2008系統(tǒng)的服務(wù)器管理器窗口，選中“服務(wù)器管理”分支，在目標(biāo)分支下面的“服務(wù)器摘要”處選擇“配置遠(yuǎn)程桌面”選項，切換到如圖4所示的遠(yuǎn)程桌面設(shè)置界面。

其次檢查該界面中的“只允許運行帶網(wǎng)絡(luò)級身份驗證的遠(yuǎn)程桌面的計算機連接”選項有沒有被選中，如果發(fā)現(xiàn)其沒有被選中時，應(yīng)該立即重新選中它，再單擊“確定”按鈕返回，這樣Windows2008系統(tǒng)新增的網(wǎng)絡(luò)身份驗證功能就會被成功啟用了。以后，局域網(wǎng)中有計算機想與Windows2008系統(tǒng)建立遠(yuǎn)程桌面連接時，必須確保安裝使用版本更高、漏洞更少的操作系統(tǒng)，例如Vista、Windows7系統(tǒng)等。

啟用網(wǎng)絡(luò)訪問保護

在單位局域網(wǎng)中，如果某位員工的計算機系統(tǒng)不小心被感染了病毒木馬程序，那么整個局域網(wǎng)中的其他計算機系統(tǒng)都容易被同時感染上病毒。很明顯，為了讓單位局域網(wǎng)遠(yuǎn)離病毒木馬程序的攻擊，我們應(yīng)該對普通員工的計算機系統(tǒng)網(wǎng)絡(luò)接入連接進行限制，拒絕那些感染了病毒的不安全系統(tǒng)接入到單位局域網(wǎng)中。要達到這樣的限制目的，只要利用Windows2008系統(tǒng)自帶的網(wǎng)絡(luò)訪問保護功能，來對網(wǎng)絡(luò)接入連接進行保護控制即可，下面就是這項功能的具體啟用步驟：

首先要將網(wǎng)絡(luò)訪問保護組件安裝起來。Windows2008系統(tǒng)缺省狀態(tài)下并沒有對網(wǎng)絡(luò)訪問保護組件進行安裝，我們在該系統(tǒng)的“開始”菜單中，逐一點選“程序”|“管理工具”|“服務(wù)器管理器”選項，切換到服務(wù)器管理器窗口，將鼠標(biāo)定位到“角色”分支上，按下目標(biāo)分支下的“添加角色”功能，打開添加角色向?qū)υ捒?，將“網(wǎng)絡(luò)策略和訪問服務(wù)”選項選中，同時按“安裝”按鈕，并按照默認(rèn)設(shè)置安裝好網(wǎng)絡(luò)訪問保護組件。

其次配置好計算機系統(tǒng)健康安全標(biāo)準(zhǔn)。什么樣的計算機系統(tǒng)才是安全的、健康的呢？這需要用戶通過配置來決定！比方說，通常大家都認(rèn)為計算機系統(tǒng)只要安裝了防病毒軟件、防火墻程序，以及可以在線更新病毒庫，就是安全的、健康的，那么我們只要將這些標(biāo)準(zhǔn)配置到系統(tǒng)健康驗證器中即可。在進行配置操作時，可以依次展開服務(wù)器管理器窗口中的“角色/網(wǎng)絡(luò)策略和訪問服務(wù)/NPS/網(wǎng)絡(luò)訪問保護”分支，雙擊目標(biāo)分支下的“系統(tǒng)健康驗證器”，單擊其后界面中的“配置”按鈕，再將“防病毒應(yīng)用程序已啟用”、“已為所有網(wǎng)絡(luò)連接啟用防火墻”、“防病毒程序為最新的”等選項全部選中，這樣就配置好計算機系統(tǒng)的健康安全標(biāo)準(zhǔn)了。

第三要創(chuàng)建好計算機安全與否的驗證策略。比方說，在創(chuàng)建安全計算機驗證策略時，只要將鼠標(biāo)定位到“網(wǎng)絡(luò)策略服務(wù)器/策略/健康策略”分支上，在目標(biāo)分支下按“新建”按鈕，打開如圖5所示的創(chuàng)建對話框，將新創(chuàng)建的驗證策略名稱設(shè)置為“安全計算機”，從“客戶端SHV檢查”下拉列表中，將“客戶端通過了所有SHV檢查”選中，并在“此健康策略中使用的SHV”位置處選中“Windows安全健康驗證程序”選項，該健康驗證程序其實就是剛剛配置定義的健康安全標(biāo)準(zhǔn)，再單擊“確定”按鈕返回。按照同樣的操作方法，創(chuàng)建一個不安全計算機的驗證策略，只是要從“客戶端SHV檢查”下拉列表中選擇“客戶端未能通過一個或多個SHV檢查”選項，其余設(shè)置都不變就可以了。

第四定義好網(wǎng)絡(luò)連接策略，要求計算機系統(tǒng)必須接受安全體檢。在定義網(wǎng)絡(luò)連接策略時，必須先將鼠標(biāo)定位到服務(wù)器管理器界面中的“網(wǎng)絡(luò)策略和訪問服務(wù)/NPS/策略/網(wǎng)絡(luò)策略”分支上，在目標(biāo)分支下按“新建”按鈕，在其后界面的“策略名稱”文本框中輸入“健康連接”，將“網(wǎng)絡(luò)訪問服務(wù)器類型”選擇為“DHCPServer”參數(shù)，并按“添加”按鈕，之后將“選擇條件”調(diào)整為剛剛配置好的“安全計算機”策略，下面逐一點選“僅執(zhí)行計算機健康檢查”、“已授予訪問權(quán)限”等選項，再將“策略設(shè)置”設(shè)置為“NAP強制允許完全網(wǎng)絡(luò)訪問”參數(shù)，最后單擊“完成”按鈕退出設(shè)置操作。按照同樣的操作方法，再配置一個“不健康連接”策略，具體設(shè)置與之前的完全相同，僅需將“選擇條件”調(diào)整為“不安全計算機”策略，并且將“策略設(shè)置”參數(shù)改為“拒絕訪問”即可。

到了這里，Windows2008系統(tǒng)自帶的網(wǎng)絡(luò)訪問保護功能就能為網(wǎng)絡(luò)提供安全保護了。為了讓網(wǎng)絡(luò)提供安全保護功能自動發(fā)揮作用，我們還要對局域網(wǎng)的DHCP服務(wù)進行合適配置，讓局域網(wǎng)中所有計算機的網(wǎng)絡(luò)連接請求借助DHCP服務(wù)提交給網(wǎng)絡(luò)訪問保護功能進行處理。在配置DHCP服務(wù)時，只要依次單擊Windows2008系統(tǒng)開始菜單中的“程序”|“管理工具”命令，逐一雙擊“服務(wù)器管理器”|“DHCP”圖標(biāo)，展開DHCP服務(wù)器控制臺界面，打開特定域?qū)傩栽O(shè)置框，選擇“網(wǎng)絡(luò)訪問保護”選項卡，將對應(yīng)選項設(shè)置頁面中的“對此作用域啟用”、“使用默認(rèn)網(wǎng)絡(luò)訪問保護配置文件”等選項全部選中，最后單擊“確定”按鈕完成設(shè)置操作。如此一來，局域網(wǎng)特定域中的所有計算機在連接局域網(wǎng)時，都會自動受到網(wǎng)絡(luò)訪問保護功能的檢查、驗證，那么計算機系統(tǒng)中的病毒木馬程序就不能通過網(wǎng)絡(luò)隨意傳播了。

啟用任務(wù)附加事件

黑客攻擊計算機系統(tǒng)時，經(jīng)常使用的招式，就是想方設(shè)法將木馬程序植入到本地系統(tǒng)，并利用木馬程序悄悄在本地系統(tǒng)后臺創(chuàng)建陌生登錄賬號，以后利用陌生賬號達到隨時攻擊、破壞系統(tǒng)的目的。為了讓本地系統(tǒng)遠(yuǎn)離黑客攻擊，我們不妨通過Windows2008系統(tǒng)不斷增強的任務(wù)附加事件功能，來動態(tài)監(jiān)控系統(tǒng)中用戶賬號管理事件，日后只要系統(tǒng)中有賬號刪除或賬號創(chuàng)建事件發(fā)生，該功能就能通過事先設(shè)定的報警方式通知系統(tǒng)管理員，系統(tǒng)管理員根據(jù)具體提示采取針對性措施進行防范，就能阻止黑客繼續(xù)攻擊本地系統(tǒng)了。在利用Windows2008系統(tǒng)的任務(wù)附加事件功能動態(tài)監(jiān)控賬號管理安全時，可以按如下步驟來實施：

首先從Windows2008系統(tǒng)的開始菜單中點選“運行”選項，打開系統(tǒng)運行對話框，輸入“secpol.msc”命令，單擊回車鍵后，彈出本地系統(tǒng)的安全策略編輯界面；在該界面左側(cè)列表區(qū)域逐一展開“本地策略”|“審核策略”分支，在目標(biāo)分支下用鼠標(biāo)雙擊“審核賬戶管理”策略，打開如圖6所示的策略屬性框，將“成功”、“失敗”等選項都選中，并單擊“確定”按鈕保存設(shè)置，這樣系統(tǒng)就能對賬號管理的成功操作和失敗操作進行審核記錄了。

其次從Windows2008系統(tǒng)開始菜單中逐一點選“程序”|“管理工具”|“服務(wù)器管理器”命令，進入Windows2008系統(tǒng)的服務(wù)器管理器窗口，將鼠標(biāo)定位到“配置”|“本地用戶和組”|“用戶”分支上，并用鼠標(biāo)右鍵單擊該分支選項，執(zhí)行快捷菜單中的“新用戶”命令，在其后界面中自由創(chuàng)建創(chuàng)建一個系統(tǒng)登錄賬號，該賬號創(chuàng)建操作會被系統(tǒng)的審核功能記錄保存到安全日志文件中了。

接著用鼠標(biāo)右鍵單擊Windows2008系統(tǒng)桌面中的“計算機”圖標(biāo)，執(zhí)行右鍵菜單中的“管理”命令，打開計算機管理窗口，將鼠標(biāo)定位到“系統(tǒng)工具”|“事件查看器”|“Windows日志”|“安全”分支上，從目標(biāo)分支下找到之前創(chuàng)建的用戶賬號管理事件，用鼠標(biāo)右鍵單擊目標(biāo)事件，執(zhí)行快捷菜單中的“將任務(wù)附加到此事件”命令，切換到創(chuàng)建任務(wù)設(shè)置框，依照屏幕提示定義好自動警告內(nèi)容和警告方式，同時單擊“完成”按鈕結(jié)束自動警告任務(wù)的添加操作。

如此一來，木馬程序日后嘗試偷偷在Windows2008系統(tǒng)中創(chuàng)建或刪除陌生賬號時，啟用任務(wù)附加事件功能就能自動彈出警告內(nèi)容，告訴用戶此時系統(tǒng)中賬號有異常變化，用戶看到該警告提示時，只要進入系統(tǒng)用戶賬號管理窗口，檢查是否有陌生賬號存在，一旦確認(rèn)陌生賬號是惡意賬號時，必須立即將它們刪除，這樣本地系統(tǒng)的運行安全就能得到保證了。

啟用數(shù)據(jù)執(zhí)行保護

現(xiàn)在不少應(yīng)用程序自身會有許多安全漏洞，如果將這類存在太多漏洞的程序安裝在Windows2008系統(tǒng)中時，病毒木馬程序就容易利用這些應(yīng)用程序漏洞來攻擊本地系統(tǒng)。為了切斷病毒木馬程序的攻擊通道，Windows2008系統(tǒng)特意為用戶提供了數(shù)據(jù)執(zhí)行保護功能，借助該功能我們可以很方便地對存在安全漏洞的應(yīng)用程序加以數(shù)據(jù)保護，確保它們在訪問網(wǎng)絡(luò)時不被病毒木馬利用，下面就是啟用數(shù)據(jù)執(zhí)行保護功能的具體步驟：

首先在Windows2008系統(tǒng)桌面中用鼠標(biāo)右鍵單擊“計算機”圖標(biāo)，從快捷菜單中執(zhí)行“屬性”命令，切換到系統(tǒng)屬性設(shè)置界面，按下該界面左側(cè)列表區(qū)域中的“高級系統(tǒng)設(shè)置”按鈕，彈出高級系統(tǒng)屬性設(shè)置框；

其次在“性能”設(shè)置項按下“設(shè)置”按鈕，切換到系統(tǒng)性能配置框，選擇“數(shù)據(jù)執(zhí)行保護”選項卡，打開如圖7所示的選項設(shè)置頁面，看看存在安全漏洞的應(yīng)用程序是否已經(jīng)出現(xiàn)在“為除下列選定程序之外的所有程序和服務(wù)啟用”列表中了，要是發(fā)現(xiàn)其已經(jīng)出現(xiàn)的話，只要選中這些漏洞程序，并按“刪除”按鈕依次刪除它們，最后單擊“確定”按鈕執(zhí)行設(shè)置保存操作，這樣安裝在Windows2008系統(tǒng)中的漏洞應(yīng)用程序，就能受到數(shù)據(jù)執(zhí)行保護功能提供的安全保護了，而病毒黑客或木馬將不會輕易通過應(yīng)用程序的漏洞攻擊本地系統(tǒng)了。

考慮安全起見，Windows2008系統(tǒng)默認(rèn)安裝的應(yīng)用程序很少，所以默認(rèn)狀態(tài)下數(shù)據(jù)執(zhí)行保護功能也沒有被啟動運行。在啟用這項功能時，可以從Windows2008系統(tǒng)開始菜單中逐一點選“程序”|“附件”|“命令提示符”選項，切換到MS-DOS工作窗口，在命令行中輸入字符串命令“bcdedit.exe/set{current}nxAlwaysOn”，單擊回車鍵即可。