改善Windows 2008安全上網(wǎng)沖浪能力

現(xiàn)在，很多單位服務(wù)器主機(jī)安裝使用的都是Windows 2008系統(tǒng)，相比傳統(tǒng)的操作系統(tǒng)，該系統(tǒng)的安全能力顯然要更強(qiáng)一些，不過(guò)，默認(rèn)狀態(tài)下較高的安全保護(hù)設(shè)置，讓管理員無(wú)法在該系統(tǒng)下，利用上網(wǎng)瀏覽方式高效快捷地獲取網(wǎng)管信息，不得已，有的管理員只好降低Windows 2008系統(tǒng)的安全防范設(shè)置，以利于方便上網(wǎng)沖浪。可是這么一來(lái)，Windows 2008系統(tǒng)在上網(wǎng)沖浪過(guò)程中，受到的安全威脅就會(huì)增大。那么如何調(diào)整Windows 2008系統(tǒng)設(shè)置，讓其既可以確保用戶上網(wǎng)沖浪方便，又能讓上網(wǎng)安全高枕無(wú)憂呢？

禁止漏洞程序上網(wǎng)

在上網(wǎng)沖浪的時(shí)候，一些惡意網(wǎng)站背后的網(wǎng)絡(luò)病毒或木馬，有時(shí)會(huì)利用安裝在Windows 2008系統(tǒng)中的特定程序漏洞，來(lái)對(duì)本地系統(tǒng)偷偷發(fā)動(dòng)非法攻擊。為了避免這種類型的非法攻擊，我們不妨巧妙通過(guò)Windows 2008系統(tǒng)內(nèi)置的高級(jí)防火墻程序，禁止網(wǎng)絡(luò)病毒或木馬程序，偷偷利用特定程序漏洞訪問(wèn)Windows 2008系統(tǒng)，下面就是詳細(xì)的操作步驟：

首先依次點(diǎn)擊Windows 2008系統(tǒng)桌面中的“開始”|“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行文本框，在其中執(zhí)行“gpedit.msc”命令，展開系統(tǒng)組策略編輯器窗口。在該窗口左側(cè)列表區(qū)域中，逐一選擇“本地計(jì)算機(jī)策略”|“計(jì)算機(jī)配置”|“Windows設(shè)置”|“安全設(shè)置”|“高級(jí)安全Windows防火墻”|“高級(jí)安全Windows防火墻——本地組策略對(duì)象”節(jié)點(diǎn)選項(xiàng)。找到該節(jié)點(diǎn)下的“入站規(guī)則”選項(xiàng)，并用鼠標(biāo)右鍵單擊之，執(zhí)行右鍵菜單中的“屬性”命令，彈出入站規(guī)則創(chuàng)建對(duì)話框。

其次按照向?qū)崾?，將入站?guī)則類型設(shè)置為“程序”，將“此程序路徑”選項(xiàng)選中，并點(diǎn)擊“瀏覽”按鈕，彈出文件選擇對(duì)話框，將存在明顯漏洞的應(yīng)用程序添加進(jìn)來(lái)，之后會(huì)出現(xiàn)如圖1所示的設(shè)置對(duì)話框，將這里的“阻止連接”選項(xiàng)選中，同時(shí)為新創(chuàng)建的入站規(guī)則定義好適當(dāng)?shù)拿Q，按下“完成”按鈕返回。

日后，當(dāng)惡意網(wǎng)站中的病毒或木馬程序，嘗試通過(guò)特定程序的漏洞攻擊Windows 2008系統(tǒng)時(shí)，對(duì)應(yīng)系統(tǒng)內(nèi)置高級(jí)防火墻程序就會(huì)禁止來(lái)自特定程序的數(shù)據(jù)包進(jìn)入本地系統(tǒng)，這樣Windows 2008系統(tǒng)的安全性就有保證了。

啟用記錄未知檢測(cè)

有道是“道高一尺，魔高一丈”，在上網(wǎng)沖浪的時(shí)候，無(wú)論怎么小心謹(jǐn)慎，有時(shí)仍然不能避免各種已知或未知的非法攻擊。這個(gè)時(shí)候，可以通過(guò)Windows 2008系統(tǒng)內(nèi)置的高級(jí)防火墻，自動(dòng)檢測(cè)和記錄各種非法攻擊，以總結(jié)出有關(guān)攻擊規(guī)律，拿出行之有效的防范辦法。

首先在Windows 2008系統(tǒng)桌面中，依次點(diǎn)擊“開始”|“運(yùn)行”選項(xiàng)，彈出系統(tǒng)運(yùn)行對(duì)話框，在其中執(zhí)行“gpedit.msc”命令，展開系統(tǒng)組策略編輯器窗口，在該窗口左側(cè)顯示區(qū)域中，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”|“計(jì)算機(jī)配置”|“管理模板”|“Windows組件”|“Windows Defender”節(jié)點(diǎn)上，找到該節(jié)點(diǎn)下的“啟用記錄已知的正確檢測(cè)”組策略，并用鼠標(biāo)雙擊之，打開如圖2所示的組策略屬性對(duì)話框，檢查“已啟用”選項(xiàng)是否處于選中狀態(tài)，要是發(fā)現(xiàn)其還沒(méi)有被選中時(shí)，應(yīng)該將其重新選中，確認(rèn)后返回，這樣Windows系統(tǒng)高級(jí)防火墻日后就能自動(dòng)檢測(cè)已知類型文件，并會(huì)將檢測(cè)結(jié)果記錄保存到系統(tǒng)日志文件中。

按照相同的操作方法，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”|“計(jì)算機(jī)配置”|“管理模板”|“Windows組件”|“Windows Defender”節(jié)點(diǎn)上，找到該節(jié)點(diǎn)下的“啟用記錄未知檢測(cè)”組策略，并用鼠標(biāo)雙擊之，在其后彈出的編輯對(duì)話框中，將“已啟用”選項(xiàng)選中，點(diǎn)擊“確定”按鈕保存設(shè)置操作，這樣Windows系統(tǒng)高級(jí)防火墻也能對(duì)未知的操作跟蹤測(cè)試，并會(huì)將檢測(cè)結(jié)果保存到系統(tǒng)日志文件中。日后，定期打開相關(guān)日志內(nèi)容，或許就能從中總結(jié)出有效的安全防范措施了。

禁止改變安全級(jí)別

很多時(shí)候，Windows 2008系統(tǒng)會(huì)被當(dāng)成服務(wù)器操作系統(tǒng)使用，而在服務(wù)器環(huán)境下，如果隨意使用IE瀏覽器上網(wǎng)沖浪時(shí)，很容易引來(lái)安全麻煩。為了保護(hù)上網(wǎng)訪問(wèn)安全，我們應(yīng)該設(shè)置Windows 2008系統(tǒng)，始終以最高的安全等級(jí)上網(wǎng)訪問(wèn)，同時(shí)要禁止普通用戶隨意修改系統(tǒng)自帶瀏覽器的安全訪問(wèn)等級(jí)，下面就是具體的設(shè)置步驟：

首先依次點(diǎn)擊“開始”|“運(yùn)行”選項(xiàng)，在彈出的系統(tǒng)運(yùn)行文本框中，執(zhí)行“gpedit.msc”命令，展開系統(tǒng)組策略編輯器窗口。在該窗口的左側(cè)列表中，逐一跳轉(zhuǎn)到“本地計(jì)算機(jī)策略”|“用戶配置”|“管理模板”|“Windows組件”|“Internet Explorer”、“Internet控制模板”節(jié)點(diǎn)上，找到該節(jié)點(diǎn)下的“禁用安全頁(yè)”組策略，并用鼠標(biāo)雙擊之，打開如圖3所示的組策略屬性對(duì)話框。選中這里的“已啟用”選項(xiàng)，單擊“確定”按鈕保存設(shè)置操作，這樣系統(tǒng)自帶瀏覽器的安全設(shè)置頁(yè)面就被隱藏起來(lái)了，日后普通用戶就無(wú)法進(jìn)入安全設(shè)置頁(yè)面，自由改動(dòng)服務(wù)器系統(tǒng)的安全上網(wǎng)級(jí)別了。

此外，要想控制普通用戶任意改變系統(tǒng)自帶瀏覽器的其他設(shè)置時(shí)，可以直接隱藏瀏覽窗口中的“Internet選項(xiàng)”命令。在進(jìn)行該操作時(shí)，先打開系統(tǒng)組策略編輯器窗口，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”|“用戶配置”|“管理模板”|“Windows組件”|“Internet Explorer”|“瀏覽器菜單”節(jié)點(diǎn)上，找到該節(jié)點(diǎn)下的禁用“Internet選項(xiàng)”組策略，并用鼠標(biāo)雙擊之，再選中其后界面中的“已啟用”選項(xiàng)，確認(rèn)后保存設(shè)置即可。

不讓網(wǎng)絡(luò)病毒藏身

面對(duì)層出不窮的網(wǎng)絡(luò)病毒，除了要用好殺毒軟件外，還要加強(qiáng)個(gè)人的安全防范意識(shí)。這不，現(xiàn)在很多狡猾、頑固的病毒程序，為了能夠避開殺毒軟件的“圍剿”，常常會(huì)努力將病毒文件隱藏在系統(tǒng)臨時(shí)文件夾，這樣殺毒軟件日后即使發(fā)現(xiàn)了病毒的“身影”，也不能將它清除，畢竟殺毒軟件無(wú)權(quán)修改系統(tǒng)臨時(shí)文件夾。為了不讓網(wǎng)絡(luò)病毒藏身于系統(tǒng)臨時(shí)文件夾中，不妨嘗試對(duì)Windows 2008系統(tǒng)進(jìn)行如下設(shè)置操作：

首先依次點(diǎn)擊“開始”|“運(yùn)行”選項(xiàng)，打開系統(tǒng)運(yùn)行文本框，在其中執(zhí)行“gpedit.msc”命令，彈出系統(tǒng)組策略編輯器界面。在該界面的左側(cè)列表中，將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”|“計(jì)算機(jī)配置”|“Windows設(shè)置”|“安全設(shè)置”|“軟件限制策略”|“其他規(guī)則”節(jié)點(diǎn)上，用鼠標(biāo)右鍵單擊“其他規(guī)則”，從彈出的右鍵菜單中點(diǎn)擊“新建路徑規(guī)則”選項(xiàng)，切換到如圖4所示的選項(xiàng)對(duì)話框。

其次點(diǎn)擊“瀏覽”按鈕，打開文件添加對(duì)話框，將Windows 2008系統(tǒng)的臨時(shí)文件夾選中并添加進(jìn)來(lái)，并設(shè)置“安全級(jí)別”為“不允許”，確認(rèn)后返回，這樣網(wǎng)絡(luò)病毒就無(wú)法在系統(tǒng)臨時(shí)文件夾中藏身了。

不讓文件自動(dòng)下載

在安全上網(wǎng)級(jí)別比較低的時(shí)候，通過(guò)Windows 2008系統(tǒng)內(nèi)置IE瀏覽器上網(wǎng)訪問(wèn)內(nèi)容時(shí)，或許會(huì)遇到一些非法程序利用網(wǎng)頁(yè)，偷偷自動(dòng)下載安裝到本地計(jì)算機(jī)中，這既容易白白浪費(fèi)有限的硬盤空間資源，又容易給服務(wù)器系統(tǒng)的安全運(yùn)行帶來(lái)麻煩。為了讓W(xué)indows 2008系統(tǒng)遠(yuǎn)離非法攻擊，我們不妨對(duì)系統(tǒng)進(jìn)行下面的修改操作，不讓網(wǎng)頁(yè)中的惡意程序利用IE瀏覽頁(yè)面，自動(dòng)下載保存到本地硬盤中：

首先依次點(diǎn)擊“開始”|“運(yùn)行”命令，打開系統(tǒng)運(yùn)行文本框，在其中執(zhí)行“gpedit.msc”命令，展開服務(wù)器系統(tǒng)的組策略控制臺(tái)窗口。在該窗口的左側(cè)列表中，將鼠標(biāo)到“本地計(jì)算機(jī)策略”|“計(jì)算機(jī)配置”|“管理模板”|“Windows組件”|“Internet Explorer”|“安全功能”|“限制文件下載”節(jié)點(diǎn)上，找到該節(jié)點(diǎn)下的“Internet Explorer進(jìn)程”組策略，并用鼠標(biāo)雙擊之，彈出如圖5所示的組策略屬性對(duì)話框。

其次看看“已啟用”選項(xiàng)是否被選中，一旦看到其還沒(méi)有被選中時(shí)，應(yīng)該及時(shí)選中它，單擊“確定”后保存設(shè)置操作，這樣任何惡意進(jìn)程日后就無(wú)法利用Internet Explorer進(jìn)程，自動(dòng)下載保存到Windows 2008系統(tǒng)中了，那么服務(wù)器系統(tǒng)受到惡意程序的攻擊機(jī)率就會(huì)大大下降。

有效防御系統(tǒng)漏洞

雖然Windows 2008系統(tǒng)安全防范能力很高，但是該系統(tǒng)仍然存在各種上網(wǎng)安全漏洞，由這些漏洞引起的各種安全麻煩就一直不停地出現(xiàn)，所以微軟公司也在一刻不停地開發(fā)補(bǔ)丁程序，以便將上網(wǎng)安全漏洞及早堵住。為了改善系統(tǒng)漏洞防御能力，我們需要及時(shí)為Windows 2008系統(tǒng)進(jìn)行在線更新，確保為服務(wù)器系統(tǒng)中的各種安全漏洞打上補(bǔ)丁。

首先在Windows 2008系統(tǒng)桌面上，逐一單擊“開始”|“Windows Update”選項(xiàng)，彈出Windows Update設(shè)置界面。點(diǎn)擊“立即啟用”按鈕，在其后界面中按下“檢查更新”按鈕，強(qiáng)制系統(tǒng)檢查下載更新，之后依照提示安裝好補(bǔ)丁程序即可。

如果希望補(bǔ)丁更新安裝操作自動(dòng)進(jìn)行，不妨在Windows Update設(shè)置界面左側(cè)列表中，點(diǎn)擊“更改設(shè)置”選項(xiàng)，在其后界面中，設(shè)置好更新時(shí)間和頻率，保證補(bǔ)丁更新安裝操作自動(dòng)進(jìn)行的同時(shí)，不影響服務(wù)器系統(tǒng)對(duì)外提供服務(wù)。

停用危險(xiǎn)網(wǎng)絡(luò)端口

Windows 2008系統(tǒng)默認(rèn)會(huì)打開許多端口，這些打開的網(wǎng)絡(luò)端口在局域網(wǎng)或Internet網(wǎng)環(huán)境中，很容易被惡意用戶通過(guò)專業(yè)工具掃描到，這樣一來(lái)它們就容易被人非法利用，從而給Windows 2008系統(tǒng)的安全運(yùn)行帶來(lái)麻煩。為了保護(hù)Windows 2008系統(tǒng)的運(yùn)行安全，我們可以進(jìn)行如下設(shè)置操作，停用那些既不常用又很危險(xiǎn)的網(wǎng)絡(luò)端口：

例如，如果想停用Windows 2008系統(tǒng)的445端口時(shí)，不妨依次點(diǎn)擊“開始”|“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行文本框中，執(zhí)行“regedit”命令，切換到系統(tǒng)注冊(cè)表編輯器界面，依次展開左側(cè)顯示區(qū)域中的HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼NetBT＼Parameters注冊(cè)表分支，用鼠標(biāo)右鍵單擊目標(biāo)分支選項(xiàng)，從彈出的快捷菜單中，逐一點(diǎn)擊“新建”|“Dword值”命令，來(lái)手工創(chuàng)建一個(gè)32位Dword值，并將其名稱取為“SMBDeviceEnabled”，再將其數(shù)值輸入為“0”，最后刷新系統(tǒng)注冊(cè)表讓設(shè)置正式生效。

如果想臨時(shí)停用Windows 2008系統(tǒng)中的139端口時(shí)，不妨依次點(diǎn)擊“開始”|“設(shè)置”|“網(wǎng)絡(luò)連接”命令，切換到網(wǎng)絡(luò)連接列表窗口，用鼠標(biāo)右鍵單擊本地連接圖標(biāo)，執(zhí)行快捷菜單中的“屬性”命令，彈出本地連接屬性對(duì)話框。選中“Internet協(xié)議版本4（TCP/IPv4）”選項(xiàng)，并按下“屬性”按鈕，再單擊“高級(jí)”按鈕，進(jìn)入如圖6所示的TCP/IPv4協(xié)議高級(jí)屬性設(shè)置框，選中“NetBios設(shè)置”設(shè)置項(xiàng)處的“禁用TCP/IP的NetBios”選項(xiàng)，確認(rèn)后保存設(shè)置操作即可。

遠(yuǎn)離Ping命令攻擊

在Windows 2008系統(tǒng)作為服務(wù)器系統(tǒng)角色工作時(shí)，需要防范惡意用戶使用Ping命令，對(duì)其不停發(fā)送大容量測(cè)試包進(jìn)行測(cè)試，這樣很容易將服務(wù)器系統(tǒng)寶貴的系統(tǒng)資源消耗殆盡，影響服務(wù)器主機(jī)的運(yùn)行穩(wěn)定性。為了讓W(xué)indows 2008服務(wù)器系統(tǒng)安全穩(wěn)定運(yùn)行，我們可以進(jìn)行如下設(shè)置操作，禁止別人使用Ping命令攻擊服務(wù)器：

首先依次點(diǎn)擊“開始”|“程序”|“管理工具”|“服務(wù)器管理器”選項(xiàng)，彈出服務(wù)器管理器窗口，將鼠標(biāo)定位到“配置”分支下的“高級(jí)安全Windows防火墻”選項(xiàng)上，切換到服務(wù)器系統(tǒng)的高級(jí)安全防火墻配置窗口。在“查看和創(chuàng)建防火墻規(guī)則”設(shè)置項(xiàng)處選擇“入站規(guī)則”選項(xiàng)，根據(jù)向?qū)崾疽来芜x擇“新規(guī)則”|“自定義”等，按下“下一步”按鈕，這個(gè)時(shí)候創(chuàng)建向?qū)?huì)要求用戶是否要選擇程序，在這里應(yīng)該選中“所有程序”選項(xiàng)。

當(dāng)創(chuàng)建向?qū)棾鋈鐖D7所示的設(shè)置界面時(shí)，必須選中“ICMPv4”選項(xiàng)，并點(diǎn)擊“下一步”按鈕，之后將正在創(chuàng)建的安全規(guī)則設(shè)置為匹配本地網(wǎng)絡(luò)的“任何IP地址”，并將遠(yuǎn)程網(wǎng)絡(luò)的“任何IP地址”設(shè)置為“阻止連接”，再為當(dāng)前安全規(guī)則取一個(gè)合適規(guī)則名稱；完成之前的各項(xiàng)設(shè)置操作后，將Windows 2008系統(tǒng)重新啟動(dòng)一下，這樣就能讓服務(wù)器系統(tǒng)遠(yuǎn)離Ping命令攻擊了。