Windows Server 系统其实属于一款服务器操作系统在默认状态下该系统的诸多限制不利于我们工作使用为了能够让Windows Server 系统按需运行许多人往往会采用各种方法来对其进行合理优化设置笔者自然也不例外这不本文现在就以该系统自带的组策略功能为例来通过合适设置其中的相关参数实现提升系统运行效率的目的 自动记忆上次登录系统的状态 Windows Server 系统可以自动记录下我们每一次登录服务器系统的状态信息如此一来我们每次成功登录进服务器系统后就可以对前后登录服务器的状态信息进行一下对比要是发现登录状态信息不一致时那就意味着可能有非法用户曾经试图登录过本地服务器系统这也同时说明Windows Server 系统此时的工作状态是不安全的当然Windows Server 系统在默认状态下并不会自动记忆上次登录系统的状态我们可以按照如下设置操作来将该功能启用起来 首先以超级用户权限登录进入Windows Server 系统桌面依次单击开始/运行命令在弹出的系统运行文本框中输入字符串命令gpeditmsc单击确定按钮后打开对应服务器系统的组策略控制台窗口 其次用鼠标展开该控制台窗口左侧显示区域中的计算机配置节点分支并从目标分支下面依次点选管理模板/Windows组件/登录选项子项在登录选项子项下面找到在用户登录期间显示有关以前登录的信息目标组策略选项并用鼠标右键单击该选项从其后出现的快捷菜单中单击属性命令打开在用户登录期间显示有关以前登录的信息组策略属性设置窗口如图所示 图 在用户登录期间显示有关以前登录的信息 在目标组策略属性设置窗口中检查已启用项目是否已经被选中要是发现它还没有被选中时我们应该及时将它重新选中再单击确定按钮保存好上述设置操作如此一来Windows Server 系统日后就能自动记忆上次登录系统的状态信息了 不让他人非法访问重要磁盘分区 为了方便使用我们有时会在多个用户共同使用同一台计算机的情况下保存一些属于极度隐私级别的文件内容为了确保这些文件内容的安全性我们可以通过对Windows Server 系统的组策略参数进行合适设置以便禁止其他用户非法访问保存了重要文件内容的磁盘分区例如现在我们希望其他人不能随意访问Windows Server 系统下的目标磁盘分区D时就可以按照如下步骤来设置系统组策略参数 首先按照前面的操作步骤打开系统的组策略控制台窗口将鼠标定位于该组策略控制台窗口左侧显示区域的本地计算机策略节点选项上并从目标节点选项下面依次展开用户配置/管理模板/Windows组件/Windows资源管理器子项 其次在Windows资源管理器子项下面找到目标组策略防止从我的电脑访问驱动器并用鼠标右键单击该组策略选项从其后出现的快捷菜单中执行属性命令打开如图所示的属性设置窗口 图 防止从我的电脑访问驱动器 接着在该属性设置窗口中检查已启用选项是否处于选中状态要是发现它还没有被选中时我们应该及时将已启用选项重新选中这个时候在对应选项下面会自动弹出选择驱动器下拉列表从中选择我们需要保护的目标驱动器例如这里我们可以选中目标磁盘分区D再单击确定按钮保存好上述设置操作这样一来任何其他用户都不能非法访问重要的磁盘分区了要是我们想禁止用户访问所有驱动器时可以选中这里的限制所有驱动器选项 预防特权账号名称被意外窃取 不少技术高明的黑客或恶意攻击者往往会通过登录Windows Server 系统的SID标识来偷偷窃取系统特权账号的名称信息之后再利用特权账号名称尝试去非法破解登录Windows Server 服务器系统的密码最终得到Windows Server 系统的各种控制权限很显然要是服务器系统的超级权限帐号名称被意外窃取使用的话那么Windows Server 系统的安全性可能就无法得到保证了为了有效确保Windows Server 系统的运行安全性我们可以尝试进行如下设置操作预防非法用户通过SID标识来得到对应系统登录账号的名称信息 首先以特权帐号登录进入Windows Server 系统桌面打开开始菜单点选运行命令在弹出的系统运行文本框中输入字符串命令gpeditmsc单击确定按钮进入本地服务器的组策略控制台窗口 图 标组策略属性设置对话框 其次在组策略控制台窗口左侧显示窗格选中计算机配置分支选项再从目标分支选项下面依次展开Windows设置/安全设置/本地策略/安全选项组策略子项找到目标组策略子项下面的网络访问允许匿名SID/名称转换选项并右击该选项从弹出的右键菜单中执行属性命令打开目标组策略属性设置对话框(如图所示)将该对话框中的已禁用选项选中再单击确定按钮保存好上述设置操作如此一来任何用户都将无法通过SID标识来偷偷获得Windows Server 服务器系统的登录账号名称信息了那么Windows Server 系统受到非法登录的可能性也就大大减少了此时它的运行安全性自然也就能得到保证了 谨防系统登录密码被恶意爆破 当Windows Server 系统的登录密码不足够健壮时恶意攻击者很容易通过不停尝试登录操作来猜出系统管理员登录密码很显然这容易给服务器系统带来比较大的安全威胁那我们该采取什么措施来预防非法攻击者爆破系统管理员的登录密码呢? 事实上要预防这一情况的发生我们可以通过设置Windows Server 系统组策略的方法来对对应系统的帐户策略进行锁定就能完美解决这种问题了这个时候当某一恶意攻击者尝试登录服务器系统输入错误登录密码的次数超过规定阈值Windows Server 系统就能自动将该系统管理员登录帐号锁定起来同时在目标登录帐户锁定期满之前该登录帐号将不能继续使用除非超级管理员采用手动办法解除帐号锁定下面就是具体的设置办法 首先打开Windows Server 系统的运行对话框在其中执行符串命令Gpeditmsc进入对应系统的组策略控制台窗口在该窗口的左侧显示窗格中将鼠标定位于计算机设置节点选项上在目标节点选项下面依次展开Windows设置/安全设置/帐户策略/帐户锁定策略组策略子项 图 帐户锁定阈值 其次在帐户锁定策略组策略子项下面找到目标组策略选项帐户锁定阈值并用鼠标右键单击该选项从弹出的快捷菜单中执行属性命令打开目标组策略选项属性设置窗口(如图所示)在该设置窗口中我们可以按照需要设置触发用户帐户被锁定的登录尝试失败的次数该参数数值可以被设置成到之间的任意一个数字缺省状态下该数字为表示服务器系统不会对登录次数进行限制此时我们可以按照自己的安全要求进行个性化设置正常情况下我们可以将该数值设置成 谨防U盘偷走本地系统重要文件 U盘凭借携带方便的特性深受很多人的喜欢通过U盘从其他人的工作站中拷贝一些文件带走是一件非常容易的事情这样U盘对工作站中的重要文件内容就存在很大的威胁如何让工作站只使用我们自己的U盘而不使用其他人的U盘呢?其实在Windows Server 系统中我们 根本就不用担心这种情况我们可以对Windows Server 系统的组策略参数进行合适设置来谨防U盘偷走本地服务器系统中的重要文件内容通过合适设置我们既能阻止所有USB设备连接到本地系统中也能指定系统只使用自己的U盘设备下面就是具体的设置步骤 首先将自己平时使用的U盘正确插入到Windows Server 系统中确保该系统能够正常访问U盘之后依次单击开始/设置/控制面板命令在弹出的系统控制面板窗口中用鼠标双击其中的设备管理器图标从其后出现的窗口中展开便携设备此时我们就能从目标分支下面看见保存自己使用的U盘设备 其次用鼠标右键单击目标U盘设备从弹出的快捷菜单中执行属性命令打开目标U盘设备的属性设置对话框单击其中的详细信息选项卡然后在对应选项设置页面中单击属性下拉列表中的硬件ID项目再将对应该项目下面的值文本框中出现字符串内容记录下来该内容就是我们自己使用的U盘硬件ID 接着我们还要拷贝设备管理器窗口通用串行总线控制器分支下面USB大容量存储设备的硬件ID进行这种操作时我们应该先打开设备管理器窗口从中依次点选通用串行总线控制器/USB大容量存储设备分支选项再打开该选项的属性设置窗口进入对应窗口的详细信息选项设置页面再从中拷贝出USB大容量存储设备的硬件ID 图 禁止安装未由其他策略设置描述的设备 下面打开Windows Server 系统的运行对话框在其中输入字符串命令Gpeditmsc单击回车键后进入对应系统的组策略控制台窗口在该控制台窗口的左侧显示区域中将鼠标定位于其中的计算机配置分支选项在目标分支选项下面再依次展开管理模板/系统/设备安装/设备安装限制组策略子项在设备安装限制组策略子项的右侧显示区域用鼠标双击目标组策略禁止安装未由其他策略设置描述的设备打开如图所示的目标组策略属性设置窗口 在该属性设置窗口中检查已启用选项是否处于选中状态要是发现它还没有被选中时我们应该及时将已启用选项重新选中之后输入前面记忆保存下面的U盘硬件ID再单击确定按钮完成设置操作如此一来Windows Server 系统日后就能只允许我们自己使用的U盘连接本地计算机了其他U盘将无法访问Windows Server 系统 拒绝应用程序漏洞攻击系统 不少朋友常常会简单地认为只要及时在线更新Windows Server 服务器的系统补丁程序就能防止Internet网络中的各种病毒或木马程序非法攻击服务器系统事实上单纯更新Windows Server 服务器的系统补丁程序只能把系统自身的一些漏洞堵塞住要是安装在服务器系统中的某些应用程序存在明显漏洞时那么Internet网络中各种病毒或木马程序仍然可以利用漏洞应用程序来攻击Windows Server 系统为了拒绝应用程序漏洞攻击Windows Server 系统我们可以按照如下步骤设置系统组策略参数 首先打开Windows Server 系统桌面中的开始菜单点选其中的运行命令在其后出现的系统运行文本框中输入gpeditmsc字符串命令单击回车键后进入对应服务器系统的组策略控制台窗口 其次在组策略控制台窗口左侧显示区域选中计算机配置节点选项再从目标节点选项下面依次展开Windows设置/安全设置/高级安全Windows防火墙/高级安全Windows防火墙——本地组策略对象组策略子项同时用鼠标右键单击目标组策略子项下面的入站规则选项再点选右键菜单的新规则命令进入新建入站规则向导窗口 图 向导窗口 依照向导窗口的提示我们需要将规则类型调整为程序同时选中此程序路径选项之后通过单击浏览按钮打开文件选择对话框从中将目标漏洞应用程序选中并添加进来当系统屏幕上弹出如图所示的向导窗口时我们必须将阻止连接选项选中再为新建安全规则设置好合适的名称最后单击完成按钮结束上述设置操作这么一来Windows Server 服务器系统中的高级防火墙程序就能自动禁止那些漏洞应用程序连接外部网络了那样以来网络病毒或木马就无法通过应用程序的漏洞攻击本地服务器系统了 |