Windows Server 2008下的自助安全防御

　　相信那些至今还没有接触过Windows Server 2008系统的朋友，多少会对该系统的新特性、新本领有点神往，不过要是与之亲密接触一段时间后，这些朋友也许会觉得Windows Server 2008系统并没有想象中那样美好。这不，自称安全功能十分强大的Windows Server 2008系统，在安全性能方面并没有真正做到无懈可击，很多时候我们还需要自己动手，来手工防范服务器系统的安全。

　　

　　与传统操作系统一样，Windows Server 2008系统仍然内置了数据执行保护功能，以便预防网络病毒或其他安全攻击对服务器系统造成威胁;然而，很多朋友发现该功能时常会破坏某些应用程序的运行稳定性，于是自作主张地将系统自带的数据执行保护功能关闭了，那样一来服务器系统遭遇网络病毒袭击的可能性自然也就增大了。其实，在Windows Server 2008服务器系统中，很少运行普通应用程序，数据执行保护功能的关闭运行，显然会更影响服务器系统的运行安全性，为此我们可以按照如下步骤强制Windows Server 2008系统处于数据执行保护状态中：

　　首先以超级管理员权限登录进入Windows Server 2008系统，打开该系统桌面中的“开始”菜单，从中逐一点选“程序”、“附件”选项，再从下级菜单中执行“命令提示符”命令，打开服务器系统的MS-DOS工作窗口;

　　

　　图1 打开数据保护

　　其次在该工作窗口的命令行提示符下，输入字符串命令“bcdedit.exe /set {current} nx AlwaysOn”，单击回车键后，系统屏幕上将会出现如图1所示的结果信息，该结果意味着Windows Server 2008系统内置的数据执行保护功能已经被成功启用了，日后服务器系统又会受到该功能的安全保护了。

　　

　　由于Windows Server 2008服务器系统中保存有重要的数据信息，要是允许普通用户在该系统中随意上网访问时，可能会引来网络病毒攻击等麻烦;而网络管理员由于工作需要，必须要有权限在该系统中上网访问。面对这样的访问请求，我们该如何实现呢?其实很简单，我们只要按照如下步骤设置Windows Server 2008系统就可以了：

　　首先以普通用户权限登录进入Windows Server 2008系统，双击该系统桌面中的IE浏览器图标，在其后出现的浏览器窗口中依次单击“工具”/“Internet选项”，打开Internet选项设置对话框;

　　

　　图2 IE代理服务器设置

　　其次单击该设置对话框中的“连接”标签，并在对应的标签设置页面中单击“局域网设置”按钮，打开如图2所示的设置窗口，在该设置窗口中选中“为LAN使用代理服务器”选项，再在对应的文本框中随意设置一个代理服务器的IP地址和端口号码，最后单击“确定”按钮保存好上述设置操作;

　　注销普通用户登录状态，以系统管理员权限重新登录进入Windows Server 2008系统，依次单击该系统桌面中的“开始”/“运行”命令，在弹出的系统运行对话框中，执行字符串命令“gpedit.msc”，打开对应系统的组策略编辑窗口;

　　接着依次展开组策略编辑窗口左侧显示区域的“计算机配置”/“管理模板”/“Windows组件”/“Internet Explorer”/“Internet控制面版”分支选项，在对应“Internet控制面版”分支选项的右侧显示区域，用鼠标双击“禁用连接页”选项，打开如图3所示的选项设置窗口，选中其中的“已启用”选项，再单击“确定”按钮，最后重新启动一下Windows Server 2008系统。

　　

　　图3 禁用连接页

　　如此一来，日后普通用户在Windows Server 2008系统上网访问时，IE浏览器就会去寻找使用一个根本不存在的代理服务器，这样的话他们自然是访问不到任何内容的;而以系统管理员身份在Windows Server 2008系统中上网访问时，IE浏览器不会使用代理服务器上网，而是直接下载显示目标网站内容。

　　

　　尽管Windows Server 2008系统安全性能已经被提升到一个很高的层次，不过该系统仍然存在安全漏洞，那是否意味着及时更新系统补丁程序，Windows Server 2008系统就会更加安全呢?其实更新漏洞补丁程序只是让Windows Server 2008系统没有安全漏洞，不过要是安装在该系统中的应用程序存在漏洞时，那单纯更新漏洞补丁程序是没有多大作用的，因此我们要抵御应用程序漏洞攻击，就必须利用服务器系统自带的防火墙功能来禁止存在安全漏洞的应用程序连接网络，下面是设置防火墙抵御应用程序入侵的具体操作步骤：

　　首先打开Windows Server 2008系统的“开始”菜单，从中逐一点选“设置”、“控制面板”命令，在其后出现的系统控制面板窗口中，双击Windows防火墙图标，在其后窗口的左侧显示区域单击“启用或关闭Windows防火墙”选项，打开对应系统的防火墙基本配置界面;

　　

　　图4 防火墙配置

　　其次单击基本配置界面中的“例外”标签，打开如图4所示的标签设置页面，在该页面的程序或端口列表中查找一下是否存在漏洞应用程序选项，如果发现目标漏洞应用程序已经处于选中状态时，那就意味着服务器系统允许该漏洞程序访问外部网络，而那些没有处于选中状态的应用程序是没有权限访问外部网络的;

　　要是存在漏洞的应用程序还没有出现在Windows Server 2008系统防火墙的应用程序列表窗口中时，我们可以单击这里的“添加程序”按钮，将目标应用程序添加进来，之后通过选中或 取消选中的方式就能让防火墙控制应用程序与网络进行连接了，一旦禁止了有漏洞的应用程序与网络连接之后，那么任何网络病毒或木马都将无法利用目标应用程序的漏洞来攻击服务器系统了。

　　

　　不少网络管理员为了图省事，常常将系统管理员帐号的登录模式设置成自动登录，殊不知在自动登录的过程中，一些支持仿真登录功能的网络病毒或木马程序很容易偷窃系统管理员帐号，这样一来Windows Server 2008系统的安全性就会受到威胁。为了禁止系统管理员帐号信息被网络病毒或木马程序非法窃取，我们可以按照如下步骤修改Windows Server 2008系统的帐号参数，强迫任何用户都需要输入密码才能成功登录服务器系统：

　　首先打开Windows Server 2008系统的“开始”菜单，从中逐一点选“程序”/“附件”/“命令提示符”选项，再用鼠标右键单击“命令提示符”选项，从弹出的快捷菜单中执行“以管理员身份运行”命令，将系统状态切换到MS-DOS命令行状态;

　　

　　图5 系统账号设置

　　其次在MS-DOS窗口的命令行中输入“control userpasswords2”命令，单击回车键后，进入Windows Server 2008系统的用户帐号设置对话框，单击其中的“高级”选项卡，打开如图5所示的选项设置页面，选中“要求用户按Ctrl Alt Delete”选项，再单击“确定”按钮，那样一来任何用户日后登录服务器系统时都需要强制输入密码了，在这种登录过程中网络病毒或木马程序是无法窃取到系统管理员登录帐号的。

　　

　　在服务器系统中，常常有重要的数据内容需要设置成共享状态，来让局域网用户可以通过网络进行共享访问;然而在共享访问文件的过程中，有一些不自觉的用户可能会擅自修改共享文件夹中的内容，导致服务器系统中的数据安全受到破坏。其实，在Windows Server 2008系统环境下，我们可以通过下面的设置，让服务器系统能够自动监控共享文件夹的非法修改操作，日后网络管理员可以通过查看系统安全日志，就能知道共享文件夹是否已经被非法修改了，一旦发现有人修改过共享内容时，网络管理员只要将共享文件夹还原成原始状态，就能保证其中的数据安全了：

　　首先以特权身份进入Windows Server 2008系统，依次单击该系统桌面中的“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“secpol.msc”，单击“确定”按钮，打开对应服务器系统的本地安全策略控制台窗口;

　　其次在控制台窗口的左侧显示区域依次展开“安全设置”/“本地策略”/“审核策略”分支选项，在对应“审核策略”分支选项的右侧子窗格中，双击“审核对象访问”选项，在其后出现的选项设置窗口中，选中“成功”或“失败”选项，再单击“确定”按钮退出审核设置操作窗口;

　　下面打开系统资源管理器窗口，从中找到目标共享文件夹，并用鼠标右键单击该文件夹，从弹出的右键菜单中执行“属性”命令，打开目标共享文件夹的属性设置界面，单击其中的“安全”标签，并在对应标签页面中单击“高级”按钮，再在高级设置窗口中单击“审核”标签，进入审核设置页面;

　　

　　图6 目录权限设置

　　接着单击“添加”按钮，将“everyone”帐户加入进来，然后将对应该帐号的审核项目设置成“创建文件/写入数据”、“删除”等(如图6所示)，再单击“确定”按钮，如此一来Windows Server 2008系统就能对目标共享文件夹的非法修改操作进行自动监控了。日后，网络管理员可以直接通过事件查看器程序打开Windows日志，从中分析对应的事件记录内容，就能判断目标共享文件夹是否已经被人非法修改了。当然，需要提醒各位注意的是，Windows Server 2008系统中的目标共享文件夹必须处于NTFS格式的磁盘分区中，上述监控任务才能成功。

　　

　　Windows Server 2008系统在默认状态下会要求用户以较高的安全等级上网冲浪，以防止一些网络病毒或木马通过网站页面入侵服务器系统，可是在较高安全等级下，用户往往很难顺畅访问到网页内容，不得已他们常常会私自降低IE浏览器的安全访问等级。为了保护服务器系统的安全，我们可以按照如下设置步骤来禁止上网用户随意降低安全访问等级：

　　首先以特权身份进入Windows Server 2008系统，依次单击该系统桌面中的“开始”/“运行”命令，在弹出的系统运行对话框中执行“gpedit.msc”命令，打开对应系统的组策略控制台窗口;

　　其次在控制台窗口的左侧显示区域逐级展开“用户配置”、“管理模板”、“Windows组件”、“Internet Explorer”、“Internet控制面板”分支选项，在对应目标分支选项的右侧子窗格中，我们会看到“禁用安全页”组策略选项;

　　

　　图7隐藏“安全”选项卡

　　用鼠标双击该选项，打开如图7所示的目标组策略属性设置窗口，选中这里的“已启用”选项，再单击“确定”按钮，那样一来Windows Server 2008系统日后会将Internet Explorer选项设置窗口中的“安全”标签页面隐藏起来，此时任何用户将无法进入该页面修改安全访问等级参数了，这样的话本地服务器系统的安全访问等级就不会被随意降低了。

　　当然，在降低安全访问等级的情况下，我们仍然还可以通过其他方法来保护服务器系统不受网络病毒或木马程序的袭击。例如，我们只要禁止网页中的内容自动下载运行，就能防止一些潜藏在网页中的恶意控件来攻击服务器系统了，在禁止Internet Explorer自动下载网页内容时，我们可以先将鼠标定位于系统组策略编辑窗口的“计算机配置”分支选项上，再依次点选该分支下面的“管理模板”、“Windows组件”、“Internet Explorer”、“安全功能”、“限制ActiveX安装”子项，在对应“限制ActiveX安装”子项的右侧显示窗格中，双击“所有进程”选项，打开如图8所示的属性设置窗口，选中其中的“已启用”选项，再单击“确定”按钮，那样一来任何网页中的恶意控件程序都无法破坏本地服务器系统的正常运行了。

　　

　　图8 限制文件下载

　　同样地，我们再将鼠标定位于“计算机配置”、“管理模板”、“Windows组件”、“Internet Explorer”、“安全功能”、“限制文件下载”子项上，并用鼠标双击该子项下面的“所有进程”选项，在其后弹出的设置窗口中也选中“已启用”选项，最后单击“确定”按钮，那样一来任何网络病毒或木马程序都不会自动下载保存到本地服务器系统中了，更不会在服务器系统中自动运行了。