改善Windows 2008安全上网冲浪能力.docVIP

改善Windows 2008安全上网冲浪能力 　　现在，很多单位服务器主机安装使用的都是Windows 2008系统，相比传统的操作系统，该系统的安全能力显然要更强一些，不过，默认状态下较高的安全保护设置，让管理员无法在该系统下，利用上网浏览方式高效快捷地获取网管信息，不得已，有的管理员只好降低Windows 2008系统的安全防范设置，以利于方便上网冲浪。可是这么一来，Windows 2008系统在上网冲浪过程中，受到的安全威胁就会增大。那么如何调整Windows 2008系统设置，让其既可以确保用户上网冲浪方便，又能让上网安全高枕无忧呢？ 　　禁止漏洞程序上网 　　在上网冲浪的时候，一些恶意网站背后的网络病毒或木马，有时会利用安装在Windows 2008系统中的特定程序漏洞，来对本地系统偷偷发动非法攻击。为了避免这种类型的非法攻击，我们不妨巧妙通过Windows 2008系统内置的高级防火墙程序，禁止网络病毒或木马程序，偷偷利用特定程序漏洞访问Windows 2008系统，下面就是详细的操作步骤： 　　首先依次点击Windows 2008系统桌面中的“开始”|“运行”命令，弹出系统运行文本框，在其中执行“gpedit.msc”命令，展开系统组策略编辑器窗口。在该窗口左侧列表区域中，逐一选择“本地计算机策略”|“计算机配置”|“Windows设置”|“安全设置”|“高级安全Windows防火墙”|“高级安全Windows防火墙——本地组策略对象”节点选项。找到该节点下的“入站规则”选项，并用鼠标右键单击之，执行右键菜单中的“属性”命令，弹出入站规则创建对话框。 　　其次按照向导提示，将入站规则类型设置为“程序”，将“此程序路径”选项选中，并点击“浏览”按钮，弹出文件选择对话框，将存在明显漏洞的应用程序添加进来，之后会出现如图1所示的设置对话框，将这里的“阻止连接”选项选中，同时为新创建的入站规则定义好适当的名称，按下“完成”按钮返回。 　　日后，当恶意网站中的病毒或木马程序，尝试通过特定程序的漏洞攻击Windows 2008系统时，对应系统内置高级防火墙程序就会禁止来自特定程序的数据包进入本地系统，这样Windows 2008系统的安全性就有保证了。 　　启用记录未知检测 　　有道是“道高一尺，魔高一丈”，在上网冲浪的时候，无论怎么小心谨慎，有时仍然不能避免各种已知或未知的非法攻击。这个时候，可以通过Windows 2008系统内置的高级防火墙，自动检测和记录各种非法攻击，以总结出有关攻击规律，拿出行之有效的防范办法。 　　首先在Windows 2008系统桌面中，依次点击“开始”|“运行”选项，弹出系统运行对话框，在其中执行“gpedit.msc”命令，展开系统组策略编辑器窗口，在该窗口左侧显示区域中，将鼠标定位到“本地计算机策略”|“计算机配置”|“管理模板”|“Windows组件”|“Windows Defender”节点上，找到该节点下的“启用记录已知的正确检测”组策略，并用鼠标双击之，打开如图2所示的组策略属性对话框，检查“已启用”选项是否处于选中状态，要是发现其还没有被选中时，应该将其重新选中，确认后返回，这样Windows系统高级防火墙日后就能自动检测已知类型文件，并会将检测结果记录保存到系统日志文件中。 　　按照相同的操作方法，将鼠标定位到“本地计算机策略”|“计算机配置”|“管理模板”|“Windows组件”|“Windows Defender”节点上，找到该节点下的“启用记录未知检测”组策略，并用鼠标双击之，在其后弹出的编辑对话框中，将“已启用”选项选中，点击“确定”按钮保存设置操作，这样Windows系统高级防火墙也能对未知的操作跟踪测试，并会将检测结果保存到系统日志文件中。日后，定期打开相关日志内容，或许就能从中总结出有效的安全防范措施了。 　　禁止改变安全级别 　　很多时候，Windows 2008系统会被当成服务器操作系统使用，而在服务器环境下，如果随意使用IE浏览器上网冲浪时，很容易引来安全麻烦。为了保护上网访问安全，我们应该设置Windows 2008系统，始终以最高的安全等级上网访问，同时要禁止普通用户随意修改系统自带浏览器的安全访问等级，下面就是具体的设置步骤： 　　首先依次点击“开始”|“运行”选项，在弹出的系统运行文本框中，执行“gpedit.msc”命令，展开系统组策略编辑器窗口。在该窗口的左侧列表中，逐一跳转到“本地计算机策略”|“用户配置”|“管理模板”|“Windows组件”|“Internet Explorer”、“Internet控制模板”节点上，找到该节点下的“禁用安全页”组策略，并用鼠标双击之，打开如图3所示的组策略属性对话框。选中这里的“已启