WindowsServerxx下的自助安全防御電腦資料相信那些至今還沒有接觸過WindowsServerxx系統(tǒng)的朋友,多少會對該系統(tǒng)的新特性、新本領有點神往,不過要是與之親密接觸一段時間后,這些朋友也許會覺得WindowsServerxx系統(tǒng)并沒有想象中那樣美好,1.讓系統(tǒng)處于數(shù)據執(zhí)行保護中與傳統(tǒng)操作系統(tǒng)一樣,WindowsServerxx系統(tǒng)仍然內置了數(shù)據執(zhí)行保護功能,以便預防網絡病毒或其他安全攻擊對服務器系統(tǒng)造成威脅;然而,很多朋友發(fā)現(xiàn)該功能時常會破壞某些應用程序的運行穩(wěn)定性,于是自作主張地將系統(tǒng)自帶的數(shù)據執(zhí)行保護功能關閉了,那樣一來服務器系統(tǒng)遭遇網絡病毒襲擊的可能性自然也就增大了。其實,在WindowsServerxx服務器系統(tǒng)中,很少運行普通應用程序,數(shù)據執(zhí)行保護功能的關閉運行,顯然會更影響服務器系統(tǒng)的運行安全性,為此我們可以按照如下步驟強制WindowsServerxx系統(tǒng)處于數(shù)據執(zhí)行保護狀態(tài)中:首先以超級員權限進入WindowsServerxx系統(tǒng),打開該系統(tǒng)桌面中的"開始"菜單,從中逐一點選"程序"、"附件"選項,再從下級菜單中執(zhí)行"命令提示符"命令,打開服務器系統(tǒng)的MS-DOS工作窗口;圖1打開數(shù)據保護其次在該工作窗口的命令行提示符下,輸入字符串命令"bcdedit.exe/set{current}nxAlwaysOn",單擊回車鍵后,系統(tǒng)屏幕上將會出現(xiàn)如圖1所示的結果信息,該結果意味著WindowsServerxx系統(tǒng)內置的數(shù)據執(zhí)行保護功能已經被成功啟用了,日后服務器系統(tǒng)又會受到該功能的安全保護了。2.僅讓管理員有權限上網訪問由于WindowsServerxx服務器系統(tǒng)中保存有重要的數(shù)據信息,要是允許普通用戶在該系統(tǒng)中隨意上網訪問時,可能會引來網絡病毒攻擊等麻煩;而網絡管理員由于工作需要,必須要有權限在該系統(tǒng)中上網訪問。面對這樣的訪問請求,我們該如何實現(xiàn)呢?其實很簡單,我們只要按照如下步驟設置WindowsServerxx系統(tǒng)就可以了:首先以普通用戶權限進入WindowsServerxx系統(tǒng),雙擊該系統(tǒng)桌面中的IE瀏覽器圖標,在其后出現(xiàn)的瀏覽器窗口中依次單擊"工具"/"Inter選項",打開Inter選項設置對話框;圖2IE代理服務器設置其次單擊該設置對話框中的"連接"標簽,并在對應的標簽設置頁面中單擊"局域網設置"按鈕,打開如圖2所示的設置窗口,在該設置窗口中選中"為LAN使用代理服務器"選項,再在對應的文本框中隨意設置一個代理服務器的IP地址和端口號碼,最后單擊"確定"按鈕保存好上述設置操作;注銷普通用戶狀態(tài),以系統(tǒng)管理員權限重新進入WindowsServerxx系統(tǒng),依次單擊該系統(tǒng)桌面中的"開始"/"運行"命令,在彈出的系統(tǒng)運行對話框中,執(zhí)行字符串命令"gpedit.msc",打開對應系統(tǒng)的組策略窗口;接著依次展開組策略窗口左側顯示區(qū)域的"計算機配置"/"管理模板"/"Windows組件"/"InterExplorer"/"Inter控制面版"分支選項,在對應"Inter控制面版"分支選項的右側顯示區(qū)域,用鼠標雙擊"禁用連接頁"選項,打開如圖3所示的選項設置窗口,選中其中的"已啟用"選項,再單擊"確定"按鈕,最后重新啟動一下WindowsServerxx系統(tǒng)。圖3禁用連接頁如此一來,日后普通用戶在WindowsServerxx系統(tǒng)上網訪問時,IE瀏覽器就會去尋找使用一個根本不存在的代理服務器,這樣的話他們自然是訪問不到任何內容的;而以系統(tǒng)管理員身份在WindowsServerxx系統(tǒng)中上網訪問時,IE瀏覽器不會使用代理服務器上網,而是直接下載顯示目標網站內容。3.用防火墻抵御應用程序入侵盡管WindowsServerxx系統(tǒng)安全性能已經被提升到一個很高的層次,不過該系統(tǒng)仍然存在安全漏洞,那是否意味著及時更新系統(tǒng)補丁程序,WindowsServerxx系統(tǒng)就會更加安全呢?其實更新漏洞補丁程序只是讓WindowsServerxx系統(tǒng)沒有安全漏洞,不過要是安裝在該系統(tǒng)中的應用程序存在漏洞時,那單純更新漏洞補丁程序是沒有多大作用的,因此我們要抵御應用程序漏洞攻擊,就必須利用服務器系統(tǒng)自帶的防火墻功能來禁止存在安全漏洞的應用程序連接網絡,下面是設置防火墻抵御應用程序入侵的具體操作步驟:首先打開WindowsServerxx系統(tǒng)的"開始"菜單,從中逐一點選"設置"、"控制面板"命令,在其后出現(xiàn)的系統(tǒng)控制面板窗口中,雙擊Windows防火墻圖標,在其后窗口的左側顯示區(qū)域單擊"啟用或關閉Windows防火墻"選項,打開對應系統(tǒng)的防火墻基本配置界面;圖4防火墻配置其次單擊基本配置界面中的"例外"標簽,打開如圖4所示的標簽設置頁面,在該頁面的程序或端口列表中查找一下是否存在漏洞應用程序選項,如果發(fā)現(xiàn)目標漏洞應用程序已經處于選中狀態(tài)時,那就意味著服務器系統(tǒng)允許該漏洞程序訪問外部網絡,而那些沒有處于選中狀態(tài)的應用程序是沒有權限訪問外部網絡的;要是存在漏洞的應用程序還沒有出現(xiàn)在WindowsServerxx系統(tǒng)防火墻的應用程序列表窗口中時,我們可以單擊這里的"添加程序"按鈕,將目標應用程序添加進來,之后通過選中或取消選中的方式就能讓防火墻控制應用程序與網絡進行連接了,一旦禁止了有漏洞的應用程序與網絡連接之后,那么任何網絡病毒或木馬都將無法利用目標應用程序的漏洞來攻擊服務器系統(tǒng)了。4.謹防管理員帳號被非法竊取不少網絡管理員為了圖省事,常常將系統(tǒng)管理員帳號的模式設置成自動,殊不知在自動的過程中,一些支持仿真功能的網絡病毒或木馬程序很容易偷竊系統(tǒng)管理員帳號,這樣一來WindowsServerxx系統(tǒng)的安全性就會受到威脅,首先打開WindowsServerxx系統(tǒng)的"開始"菜單,從中逐一點選"程序"/"附件"/"命令提示符"選項,再用鼠標右鍵單擊"命令提示符"選項,從彈出的快捷菜單中執(zhí)行"以管理員身份運行"命令,將系統(tǒng)狀態(tài)切換到MS-DOS命令行狀態(tài);圖5系統(tǒng)賬號設置其次在MS-DOS窗口的命令行中輸入"controluserpasswords2"命令,單擊回車鍵后,進入WindowsServerxx系統(tǒng)的用戶帳號設置對話框,單擊其中的"高級"選項卡,打開如圖5所示的選項設置頁面,選中"要求用戶按Ctrl+Alt+Delete"選項,再單擊"確定"按鈕,那樣一來任何用戶日后服務器系統(tǒng)時都需要強制輸入密碼了,在這種過程中網絡病毒或木馬程序是無法竊取到系統(tǒng)管理員帳號的。5.監(jiān)控共享文件夾被非法修改在服務器系統(tǒng)中,常常有重要的數(shù)據內容需要設置成共享狀態(tài),來讓局域網用戶可以通過網絡進行共享訪問;然而在共享訪問文件的過程中,有一些不自覺的用戶可能會擅自修改共享文件夾中的內容,導致服務器系統(tǒng)中的數(shù)據安全受到破壞。其實,在WindowsServerxx系統(tǒng)環(huán)境下,我們可以通過下面的設置,讓服務器系統(tǒng)能夠自動監(jiān)控共享文件夾的非法修改操作,日后網絡管理員可以通過查看系統(tǒng)安全日志,就能知道共享文件夾是否已經被非法修改了,一旦發(fā)現(xiàn)有人修改過共享內容時,網絡管理員只要將共享文件夾還原成原始狀態(tài),就能保證其中的數(shù)據安全了:首先以特權身份進入WindowsServerxx系統(tǒng),依次單擊該系統(tǒng)桌面中的"開始"/"運行"命令,在彈出的系統(tǒng)運行對話框中,輸入字符串命令"secpol.msc",單擊"確定"按鈕,打開對應服務器系統(tǒng)的本地安全策略控制臺窗口;其次在控制臺窗口的左側顯示區(qū)域依次展開"安全設置"/"本地策略"/"審核策略"分支選項,在對應"審核策略"分支選項的右側子窗格中,雙擊"審核對象訪問"選項,在其后出現(xiàn)的選項設置窗口中,選中"成功"或"失敗"選項,再單擊"確定"按鈕退出審核設置操作窗口;下面打開系統(tǒng)資源管理器窗口,從中找到目標共享文件夾,并用鼠標右鍵單擊該文件夾,從彈出的右鍵菜單中執(zhí)行"屬性"命令,打開目標共享文件夾的屬性設置界面,單擊其中的"安全"標簽,并在對應標簽頁面中單擊"高級"按鈕,再在高級設置窗口中單擊"審核"標簽,進入審核設置頁面;圖6目錄權限設置接著單擊"添加"按鈕,將"everyone"帳戶加入進來,然后將對應該帳號的審核項目設置成"創(chuàng)建文件/寫入數(shù)據"、"刪除"等(如圖6所示),再單擊"確定"按鈕,如此一來WindowsServerxx系統(tǒng)就能對目標共享文件夾的非法修改操作進行自動監(jiān)控了。日后,網絡管理員可以直接通過事件查看器程序打開Windows日志,從中分析對應的事件記錄內容,就能判斷目標共享文件夾是否已經被人非法修改了。當然,需要提醒各位注意的是,WindowsServerxx系統(tǒng)中的目標共享文件夾必須處于NTFS格式的磁盤分區(qū)中,上述監(jiān)控任務才能成功。6.禁止安全訪問等級被降低WindowsServerxx系統(tǒng)在默認狀態(tài)下會要求用戶以較高的安全等級上網沖浪,以防止一些網絡病毒或木馬通過網站頁面入侵服務器系統(tǒng),可是在較高安全等級下,用戶往往很難順暢訪問到網頁內容,不得已他們常常會私自降低IE瀏覽器的安全訪問等級。為了保護服務器系統(tǒng)的安全,我們可以按照如下設置步驟來禁止上網用戶隨意降低安全訪問等級:首先以特權身份進入WindowsServerxx系統(tǒng),依次單擊該系統(tǒng)桌面中的"開始"/"運行"命令,在彈出的系統(tǒng)運行對話框中執(zhí)行"gpedit.msc"命令,打開對應系統(tǒng)的組策略控制臺窗口;其次在控制臺窗口的左側顯示區(qū)域逐級展開"用戶配置"、"管理模板"、"Windows組件"、"InterExplorer"、"Inter控制面板"分支選項,在對應目標分支選項的右側子窗格中,我們會看到"禁用安全頁"組策略選項;圖7隱藏"安全"選項卡用鼠標雙擊該選項,打開如圖7所示的目標組策略屬性設置窗口,選中這里的"已啟用"選項,再單擊"確定"按鈕,那樣一來WindowsServerxx系統(tǒng)日后會將InterExplorer選項設置窗口中的"安全"標簽頁面隱藏起來,此時任何用戶將無法進入該頁面修改安全訪問等級參數(shù)了,這樣的話本地服務器系統(tǒng)的安全訪問等級就不會被隨意降低了。當然,在降低安全訪問等級的情況下,我們仍然還可以通過其他方法來保護服務器系統(tǒng)不受網絡病毒或木馬程序的襲擊。例如,我們只要禁止網頁中的內容自動下載運行,就能防止一些潛藏在網頁中的惡意控件來攻擊服務器系統(tǒng)了,在禁止InterExplorer自動下載網頁內容時,我們可以先將鼠標定位于系統(tǒng)組策略窗口的"計算機配置"分支選項上,再依次點選該分支下面的"管理模板"、"Windows組件"、"InterExplorer"、"安全功能"、"限制ActiveX安裝"子項,在對應"限制ActiveX安裝"子項的右側顯示窗格中,雙擊"所有進程"選項,打開如圖8所示的屬性設置窗口,選中其中的"已啟用"選項,再單擊"確定"按鈕,那樣一來任何網頁中的惡意控件程序都無法破壞本地