WindowsServer2008下的安全防禦

 1、讓系統處于資料執行保護中

　　與傳統作業系統一樣，Windows Server 2008系統仍然内置了資料執行保護功能，以便預防網絡病毒或其他安全攻擊對伺服器系統造成威脅;然而，很多朋友發現該功能時常會破壞某些應用程式的運作穩定性，于是自作主張地将系統自帶的資料執行保護功能關閉了，那樣一來伺服器系統遭遇網絡病毒襲擊的可能性自然也就增大了。其實，在Windows Server 2008伺服器系統中，很少運作普通應用程式，資料執行保護功能的關閉運作，顯然會更影響伺服器系統的運作安全性，為此我們可以按照如下步驟強制Windows Server 2008系統處于資料執行保護狀态中：

　　首先以超級管理者權限登入進入Windows Server 2008系統，打開該系統桌面中的“開始”菜單，從中逐一點選“程式”、“附件”選項，再從下級菜單中執行“指令提示符”指令，打開伺服器系統的MS-DOS工作視窗;

　　其次在該工作視窗的指令行提示符下，輸入字元串指令“bcdedit.exe /set {current} nx AlwaysOn”，單擊Enter鍵後，系統螢幕上将會出現結果資訊，該結果意味着Windows Server 2008系統内置的資料執行保護功能已經被成功啟用了，日後伺服器系統又會受到該功能的安全保護了。

　　2、僅讓管理者有權限上網通路

　　由于Windows Server 2008伺服器系統中儲存有重要的資料資訊，要是允許普通使用者在該系統中随意上網通路時，可能會引來網絡病毒攻擊等麻煩;而網絡管理者由于工作需要，必須要有權限在該系統中上網通路。面對這樣的通路請求，我們該如何實作呢?其實很簡單，我們隻要按照如下步驟設定Windows Server 2008系統就可以了：

　　首先以普通使用者權限登入進入Windows Server 2008系統，輕按兩下該系統桌面中的IE浏覽器圖示，在其後出現的浏覽器視窗中依次單擊“工具”/“Internet選項”，打開Internet選項設定對話框;

　　其次單擊該設定對話框中的“連接配接”标簽，并在對應的标簽設定頁面中單擊“區域網路設定”按鈕，打開設定視窗，在該設定視窗中選中“為LAN使用代理伺服器”選項，再在對應的文本框中随意設定一個代理伺服器的IP位址和端口号碼，最後單擊“确定”按鈕儲存好上述設定操作;

　　登出普通使用者登入狀态，以系統管理者權限重新登入進入Windows Server 2008系統，依次單擊該系統桌面中的“開始”/“運作”指令，在彈出的系統運作對話框中，執行字元串指令“gpedit.msc”，打開對應系統的組政策編輯視窗;

　　接着依次展開組政策編輯視窗左側顯示區域的“計算機配置”/“管理模闆”/“Windows元件”/“Internet Explorer”/“Internet控制面版”分支選項，在對應“Internet控制面版”分支選項的右側顯示區域，用滑鼠輕按兩下“禁用連接配接頁”選項，打開選項設定視窗，選中其中的“已啟用”選項，再單擊“确定”按鈕，最後重新啟動一下Windows Server 2008系統。

　　如此一來，日後普通使用者在Windows Server 2008系統上網通路時，IE浏覽器就會去尋找使用一個根本不存在的代理伺服器，這樣的話他們自然是通路不到任何内容的;而以系統管理者身份在Windows Server 2008系統中上網通路時，IE浏覽器不會使用代理伺服器上網，而是直接下載下傳顯示目标網站内容。

　　3、用防火牆抵禦應用程式入侵

　　盡管Windows Server 2008系統安全性能已經被提升到一個很高的層次，不過該系統仍然存在安全漏洞，那是否意味着及時更新系統更新檔程式，Windows Server 2008系統就會更加安全呢?其實更新漏洞更新檔程式隻是讓Windows Server 2008系統沒有安全漏洞，不過要是安裝在該系統中的應用程式存在漏洞時，那單純更新漏洞更新檔程式是沒有多大作用的，是以我們要抵禦應用程式漏洞攻擊，就必須利用伺服器系統自帶的防火牆功能來禁止存在安全漏洞的應用程式連接配接網絡，下面是設定防火牆抵禦應用程式入侵的具體操作步驟：

　　首先打開Windows Server 2008系統的“開始”菜單，從中逐一點選“設定”、“控制台”指令，在其後出現的系統控制台視窗中，輕按兩下Windows防火牆圖示，在其後視窗的左側顯示區域單擊“啟用或關閉Windows防火牆”選項，打開對應系統的防火牆基本配置界面;

　　其次單擊基本配置界面中的“例外”标簽，打開标簽設定頁面，在該頁面的程式或端口清單中查找一下是否存在漏洞應用程式選項，如果發現目标漏洞應用程式已經處于選中狀态時，那就意味着伺服器系統允許該漏洞程式通路外部網絡，而那些沒有處于選中狀态的應用程式是沒有權限通路外部網絡的;

　　要是存在漏洞的應用程式還沒有出現在Windows Server 2008系統防火牆的應用程式清單視窗中時，我們可以單擊這裡的“添加程式”按鈕，将目标應用程式添加進來，之後通過選中或 取消選中的方式就能讓防火牆控制應用程式與網絡進行連接配接了，一旦禁止了有漏洞的應用程式與網絡連接配接之後，那麼任何網絡病毒或木馬都将無法利用目标應用程式的漏洞來攻擊伺服器系統了。

　　4、謹防管理者帳号被非法竊取

　　不少網絡管理者為了圖省事，常常将系統管理者帳号的登入模式設定成自動登入，殊不知在自動登入的過程中，一些支援仿真登入功能的網絡病毒或木馬程式很容易偷竊系統管理者帳号，這樣一來Windows Server 2008系統的安全性就會受到威脅。為了禁止系統管理者帳号資訊被網絡病毒或木馬程式非法竊取，我們可以按照如下步驟修改Windows Server 2008系統的帳号參數，強迫任何使用者都需要輸入密碼才能成功登入伺服器系統：

　　首先打開Windows Server 2008系統的“開始”菜單，從中逐一點選“程式”/“附件”/“指令提示符”選項，再用滑鼠右鍵單擊“指令提示符”選項，從彈出的快捷菜單中執行“以管理者身份運作”指令，将系統狀态切換到MS-DOS指令行狀态;

　　其次在MS-DOS視窗的指令行中輸入“control userpasswords2”指令，單擊Enter鍵後，進入Windows Server 2008系統的使用者帳号設定對話框，單擊其中的“進階”頁籤，打開選項設定頁面，選中“要求使用者按Ctrl+Alt+Delete”選項，再單擊“确定”按鈕，那樣一來任何使用者日後登入伺服器系統時都需要強制輸入密碼了，在這種登入過程中網絡病毒或木馬程式是無法竊取到系統管理者登入帳号的。

　　5、監控共享檔案夾被非法修改

　　在伺服器系統中，常常有重要的資料内容需要設定成共享狀态，來讓區域網路使用者可以通過網絡進行共享通路;然而在共享通路檔案的過程中，有一些不自覺的使用者可能會擅自修改共享檔案夾中的内容，導緻伺服器系統中的資料安全受到破壞。其實，在Windows Server 2008系統環境下，我們可以通過下面的設定，讓伺服器系統能夠自動監控共享檔案夾的非法修改操作，日後網絡管理者可以通過檢視系統安全日志，就能知道共享檔案夾是否已經被非法修改了，一旦發現有人修改過共享内容時，網絡管理者隻要将共享檔案夾還原成原始狀态，就能保證其中的資料安全了：

　　首先以特權身份進入Windows Server 2008系統，依次單擊該系統桌面中的“開始”/“運作”指令，在彈出的系統運作對話框中，輸入字元串指令“secpol.msc”，單擊“确定”按鈕，打開對應伺服器系統的本地安全政策控制台視窗;

　　其次在控制台視窗的左側顯示區域依次展開“安全設定”/“本地政策”/“稽核政策”分支選項，在對應“稽核政策”分支選項的右側子窗格中，輕按兩下“稽核對象通路”選項，在其後出現的選項設定視窗中，選中“成功”或“失敗”選項，再單擊“确定”按鈕退出稽核設定操作視窗;

　　下面打開系統資料總管視窗，從中找到目标共享檔案夾，并用滑鼠右鍵單擊該檔案夾，從彈出的右鍵菜單中執行“屬性”指令，打開目标共享檔案夾的屬性設定界面，單擊其中的“安全”标簽，并在對應标簽頁面中單擊“進階”按鈕，再在進階設定視窗中單擊“稽核”标簽，進入稽核設定頁面;

　　接着單擊“添加”按鈕，将“everyone”帳戶加入進來，然後将對應該帳号的稽核項目設定成“建立檔案/寫入資料”、“删除”等，再單擊“确定”按鈕，如此一來Windows Server 2008系統就能對目标共享檔案夾的非法修改操作進行自動監控了。日後，網絡管理者可以直接通過事件檢視器程式打開Windows日志，從中分析對應的事件記錄内容，就能判斷目标共享檔案夾是否已經被人非法修改了。當然，需要提醒各位注意的是，Windows Server 2008系統中的目标共享檔案夾必須處于NTFS格式的磁盤分區中，上述監控任務才能成功。

　　6、禁止安全通路等級被降低

　　Windows Server 2008系統在預設狀态下會要求使用者以較高的安全等級上網沖浪，以防止一些網絡病毒或木馬通過網站頁面入侵伺服器系統，可是在較高安全等級下，使用者往往很難順暢通路到網頁内容，不得已他們常常會私自降低IE浏覽器的安全通路等級。為了保護伺服器系統的安全，我們可以按照如下設定步驟來禁止上網使用者随意降低安全通路等級：

　　首先以特權身份進入Windows Server 2008系統，依次單擊該系統桌面中的“開始”/“運作”指令，在彈出的系統運作對話框中執行“gpedit.msc”指令，打開對應系統的組政策控制台視窗;

　　其次在控制台視窗的左側顯示區域逐級展開“使用者配置”、“管理模闆”、“Windows元件”、“Internet Explorer”、“Internet控制台”分支選項，在對應目标分支選項的右側子窗格中，我們會看到“禁用安全頁”組政策選項;

　　用滑鼠輕按兩下該選項，打開目标組政策屬性設定視窗，選中這裡的“已啟用”選項，再單擊“确定”按鈕，那樣一來Windows Server 2008系統日後會将Internet Explorer選項設定視窗中的“安全”标簽頁面隐藏起來，此時任何使用者将無法進入該頁面修改安全通路等級參數了，這樣的話本地伺服器系統的安全通路等級就不會被随意降低了。

　　當然，在降低安全通路等級的情況下，我們仍然還可以通過其他方法來保護伺服器系統不受網絡病毒或木馬程式的襲擊。例如，我們隻要禁止網頁中的内容自動下載下傳運作，就能防止一些潛藏在網頁中的惡意控件來攻擊伺服器系統了，在禁止Internet Explorer自動下載下傳網頁内容時，我們可以先将滑鼠定位于系統組政策編輯視窗的“計算機配置”分支選項上，再依次點選該分支下面的“管理模闆”、“Windows元件”、“Internet Explorer”、“安全功能”、“限制ActiveX安裝”子項，在對應“限制ActiveX安裝”子項的右側顯示窗格中，輕按兩下“所有程序”選項，打開屬性設定視窗，選中其中的“已啟用”選項，再單擊“确定”按鈕，那樣一來任何網頁中的惡意控件程式都無法破壞本地伺服器系統的正常運作了。

　　同樣地，我們再将滑鼠定位于“計算機配置”、“管理模闆”、“Windows元件”、“Internet Explorer”、“安全功能”、“限制檔案下載下傳”子項上，并用滑鼠輕按兩下該子項下面的“所有程序”選項，在其後彈出的設定視窗中也選中“已啟用”選項，最後單擊“确定”按鈕，那樣一來任何網絡病毒或木馬程式都不會自動下載下傳儲存到本地伺服器系統中了，更不會在伺服器系統中自動運作了。