活用Windows Server 2008系统的几种安全功能

　　与传统操作系统相比，Win2008系统的安全防范功能更加强大，安全防护能力自然也是高人一等，我们只要在平时善于使用该系统新增的各项安全防范功能，完全可以实现更高级别的安全保护目的。现在，本文就为大家贡献几则Win2008系统新增安全功能的应用技巧，相信下面的内容，一定能够让大家从中得到帮助!

　　1、网络访问保护功能控制安全连接

　　如果局域网中有一台计算机感染了病毒，那么整个局域网就会存在所有计算机都被“传染”病毒的危险。为了在局域网中控制普通计算机的接入安全，我们可以利用Win2008系统特有的网络访问保护功能，来禁止存在安全威胁的计算机自由接入局域网网络，下面就是具体的实现操作步骤：

　　首先安装网络访问保护功能;打开Win2008系统的“开始”菜单，从中依次选择“程序”/“管理工具”/“服务器管理器”命令，从其后出现的服务器管理器窗口左侧区域单击“角色”节点选项，并在对应该节点的右侧显示区域单击“添加角色”功能，打开角色添加向导窗口，依照提示将“网络策略和访问服务”项目选中，之后点击“安装”按钮，再按向导默认设置完成网络访问保护功能的安装任务;

　　其次创建健康安全标准;在进行这种操作时，我们可以先单击系统任务栏中的“服务器管理器”按钮，从弹出的服务器管理器窗口左侧区域处逐一点选“角色”、“网络策略和访问服务”、“NPS”、“网络访问保护”、“系统健康验证器”节点选项，再单击目标选项右侧区域中的“属性”按钮，打开安全健康验证对话框，点选“配置”按钮，选中常规的“防病毒应用程序已启用”、“已为所有网络连接启用防火墙”、“防病毒程序为最新的”等几种健康安全标准(如图1所示)，以后任何需要连接到局域网中的计算机必须同时符合上面的健康标准，Win2008系统才会认为它是健康、安全的计算机;

　　

　　图1

　　接着创建安全验证策略;在创建健康的安全验证策略时，我们可以先将鼠标定位于服务器管理器窗口左侧区域中的“网络策略服务器”节点选项，再从目标节点下面逐一展开“策略”、“健康策略”分支，在目标分支下面再点选“新建”按钮，从弹出的安全验证策略对话框中将新的“策略名称”设置为“健康计算机”，将“客户端SHV检查”参数设置为“客户端通过了所有SHV检查”，将“此健康策略中使用的SHV”参数选择为“Windows安全健康验证程序”，最后单击“确定”按钮结束健康的安全验证策略创建操作;按照同样的操作步骤，我们还可以创建一个不健康的安全验证策略，只是在创建这种策略时，我们必须将“客户端SHV检查”参数选择为“客户端未能通过一个或多个SHV检查”，其余参数都和上面相同就可以了;

　　

　　图2

　　下面创建新的网络连接策略;将鼠标先定位于服务器管理器窗口左侧区域处“网络策略和访问服务”节点上，并从该节点下面依次点选“NPS”、“策略”、“网络策略”选项，从目标选项下面点选“新建”按钮，此时系统屏幕上会出现一个如图2所示的创建网络连接策略向导窗口;在这里将“策略名称”参数设置为“健康连接”，将“网络访问服务器类型”选项选择为“DHCP Server”，再从其后界面中单击“添加”按钮，同时将“选择条件”选择为先前创建好的“健康计算机”策略，再根据向导默认提示逐一点选“已授予访问权限”、“仅执行计算机健康检查”设置选项，最后再将“策略设置”参数设置为“NAP强制允许完全网络访问”，同时单击“完成”按钮结束网络连接策略创建工作。再按照相同的操作步骤，我们创建一个“不健康连接”的网络策略，只是在进行这种操作时，我们必须将“选择条件”参数选择为“不健康计算机”策略，并且将“策略设置”参数设置为“拒绝访问”选项，其余参数跟上面一模一样;

　　最后需要对DHCP服务功能进行设置;考虑到普通计算机在访问网络时，首先需要联系局域网中的DHCP服务器，因此我们还必须设置好合适的DHCP服务参数，保证所有计算机的上网连接请求通过DHCP功能转交给Win2008系统的网络访问保护功能进行处理。依次单击服务器系统桌面中的“开始”/“程序”/“管理工具”/“服务器管理器”/“DHCP”选项，进入DHCP服务器控制台界面，打开目标作用域的属性界面，点选该界面中的“网络访问保护”选项卡，在对应选项设置页面中选中“对此作用域启用”选项，同时选中“使用默认网络访问保护配置文件”，最后单击”确定“按钮执行设置保存操作。

　　完成上面的各项设置任务后，我们日后只需要将待接入到局域网网络中的普通计算机设置成“自动获得IP地址”，那么该计算机的网络连接就会受到Win2008系统网络访问保护功能的控制了，如此一来网络病毒或木马日后就不能通过局域网网络随意“传染”给其他普通计算机了，此时整个局域网网络的运行安全性就能得到有效保证了。

　　2、高级安全防火墙控制恶意下载

　　在管理、维护局域网的过程中，网络管理员或许经常会遇到这样的一种现象，那就是一些不自觉的上网用户往往会在局域网中偷偷使用电骡、迅雷这样的P2P工具，来下载大容量的电影或其他多媒体数据，这种恶意下载操作消耗掉了局域网中有限的宝贵带宽资源，并且很容易造成整个局域网网络不能稳定地运行。事实上，我们可以利用Win2008系统新增加的高级安全防火墙功能，来控制恶意下载行为;考虑到迅雷这样的P2P工具在进行恶意下载操作时，会通过系统的3077，3078端口对外进行网络通信，我们只要让高级安全防火墙功能限制3077，3078端口对外进行网络通信，就能实现阻止上网用户偷偷使用迅雷这样的P2P工具进行恶意下载了。现在，我们就利用Win2008系统的高级安全防火墙功能创建安全访问规则，禁止电骡、迅雷这样的P2P工具进行下载连接：

　　首先以系统管理员权限进入Win2008系统桌面，依次点选“开始”菜单中的“程序”、“管理工具”、“服务器管理器”命令，从其后出现的服务器管理器窗口左侧位置处，将鼠标定位于“配置”节点选项上，再选中目标节点选项下面的“高级安全防火墙”项目;

　　其次打开“高级安全防火墙”配置界面，在该界面左侧位置处点选“出站规则”功能选项，再从对应该功能选项的右侧位置处点选“新规则”功能选项，打开安全出站规则创建向导对话框，当向导对话框询问我们要进行何种类型的控制操作时，我们应该选中这里的“端口”选项，以便让高级安全防火墙功能对本地计算机中3077、3078端口的网络连接进行限制;

　　接着单击“下一步”按钮，在其后出现的向导设置对话框中选中“TCP”功能选项，并且选中“特定本地端口”选项，此时“特定本地端口”文本框会被自动激活，在该文本框中直接输入“3077，3078”端口号码，如图3所示;

　　

　　图3

　　再单击“下一步”按钮后，向导屏幕会弹出提示询问“连接符合指定条件时应该进行什么操作”，这个时候我们必须将“阻止连接”功能选项选中，之后设置好该安全规则具体的应用范围，在这里我们可以同时选中“域”、“专用”、“公用”这几种应用环境，最后为新创建的出站规则设置一个合适的名称，再单击“完成”按钮结束安全出站规则的创建工作，这样的话任何一位上网用户在本地Win2008系统中尝试进行恶意下载时，Win2008系统自带的高级安全防火墙功能就对自动对这样的恶意下载进行拦截，那么本地网络的运行稳定性自然也就能得到有效保证了。

　　3、网络身份验证功能控制远程连接

　　为了提高工作效率，很多网络管理员总喜欢通过远程桌面功能来与局域网中的重要服务器或计算机建立远程连接，以便在局域网中的任何位置都能象在本地那样来控制远程服务器或计算机;这种远程控制功能虽然给网络管理员带来了方便，但是同时也给非法攻击者提供了一种新的非法入侵“通道”。为了提高服务器系统的安全性能，Win2008系统新推出了网络身份验证功能，该功能可以很好地预防非法攻击者随意从局域网中的任意一台计算机对目标服务器系统建立远程连接，一旦启用了该功能后，网络管理员必须在Vista、Win2008系统环境下才能通过远程桌面功能与Win2008服务器建立远程连接，其他普通计算机系统都不能与Win2008服务器系统建立远程连接，这无形之中自然会提高Win2008服务器系统的运行安全性。在启用Win2008服务器系统的网络身份验证功能时，我们可以按照下面的设置来操作：

　　首先以特权账号登录进入Win2008系统桌面，单击该系统任务栏中的“服务器管理器”功能按钮，打开对应系统的服务器管理器控制台窗口，选中该窗口左侧位置处的“服务器管理”节点选项，在目标节点选项下面的“服务器摘要”设置项处点选“配置远程桌面”选项，进入对应系统的远程桌面设置对话框;

　　

　　图4

　　其次在该设置对话框的“远程桌面”位置处，检查“只允许运行带网络级身份验证的远程桌面的计算机连接”选项是否处于选中状态(如图4所示)，如果发现该功能还没有处于选中状态时，那么局域网中的任意用户可以从任意一台计算机中来远程连接Win2008服务器系统;为了控制用户随意对Win2008服务器系统进行远程连接，我们必须将“只允许运行带网络级身份验证的远程桌面的计算机连接”选项重新选中，再单击“确定”按钮保存好上述设置操作，这么一来远程桌面连接日后就会受到网络身份验证功能的保护了。

　　4、数据执行保护功能控制程序连接

　　Internet中的一些网络病毒或木马，时常会通过安装在Win2008系统中的一些应用程序漏洞，来对本地计算机系统进行非法攻击;为了让应用程序连接网络更加安全，我们可以利用Win2008系统自带的数据执行保护功能来保护目标应用程序，下面就是具体的实现步骤：

　　首先在Win2008系统桌面中，用鼠标右键单击“计算机”图标，从弹出的快捷菜单中点选“属性”命令，打开对应系统的属性设置窗口，在该设置窗口的左侧位置处，点选“高级系统设置”按钮，进入Win2008系统的高级属性设置对话框;

　　

　　其次在该设置对话框的“性能”位置处点击“设置”按钮，进入Win2008系统的性能选项设置对话框，单击其中的“数据执行保护”选项卡，在其后出现的选项设置页面中(如图5所示)，看看“为除下列选定程序之外的所有程序和服务启用”列表中是否存在目标应用程序，一旦发现它存在的话，那就说明该应用程序日后在进行网络连接时不会受到数据执行保护功能的安全保护，此时我们必须选中该目标应用程序，同时单击“删除”按钮，再单击“确定”按钮结束数据执行保护设置操作，这么一来目标应用程序日后在连接网络时就会自动受到Win2008系统自带的数据执行保护功能的保护了。

　　5、密码保护共享功能控制共享连接

　　为了让Win2008系统中的重要资源与他人交流分享，很多人都会直接将重要资源设置成共享状态，其他人通过共享访问就能看到自己的重要资源了;不过，相当一部分人在设置共享文件夹时，常常会忘记设置共享访问密码，从而给局域网中的非法用户提供了可乘之机。为了保护共享资源的安全，我们可以启用Win2008系统的密码保护共享功能，强行要求用户必须为共享文件夹设置访问密码，日后只有知道共享密码的用户才能看到自己的共享内容，下面就是具体的设置步骤：

　　首先在Win2008系统桌面中，依次单击“开始”/“设置”/“控制面板”命令，在弹出的系统控制面板窗口中双击网络和共享中心图标，打开网络和共享中心控制窗口;

　　其次从该控制窗口中展开“共享和发现”位置处的“密码保护的共享”设置区域，选中对应区域中的“密码保护的共享”选项，再单击“应用”按钮，这么一来共享访问操作日后就必须需要输入访问密码了，那么共享访问安全性自然也就能得到有效保证了。