Windows Server 2008组策略安全实践(同样适用于域控制)

时间:2021-11-14 23:21:59

Windows Server 2008系统的安全功能非法强大,而它的强大之处不仅仅是新增加了一些安全功能,而且还表现在一些不起眼的传统功能上。对Windows Server 2008系统的组策略功能进行深入挖掘,我们可以发现许多安全应用:

1、限制使用迅雷进行恶意下载

当用户随意使用迅雷工具进行恶意下载时,不但容易浪费本地系统的磁盘空间资源,而且 也会大大消耗本地系统的上网带宽资源。而在Windows Server 2008系统环境下,限制普通用户随意使用迅雷工具进行恶意下载的方法有很多,例如可以利用Windows Server 2008系统新增加的高级安全防火墙功能,或者通过限制下载端口等方法来实现上述控制目的,其实除了这些方法外,我们还可以巧妙地利用该系统的软件限制策 略来达到这一 目的,下面就是该方法的具体实现步骤:

首先以系统管理员权限登录进入Windows Server 2008系统,打开组策略控制台窗口;

其次在该控制台窗口的左侧位置处,依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”选项,同时用鼠标右键单击该选 项,并执行快捷菜单中的“创建软件限制策略”命令;

接着在对应“软件限制策略”选项的右侧显示区域,用鼠标双击“强制”组策略项目,打开如图1所示的设置对话框,选中其中的“除本地管理员以外的所有 用户”选项,其余参数都保持默认设置,再单击“确定”按钮结束上述设置操作;

图1 软件限制策略

下面选中“软件限制策略”节点下面的“其他规则”选项,再用鼠标右键单击该组策略选项,从弹出的快捷菜单中点选“新建路径规则”命令,在其后出现的 设置对话框中,单击“浏览”按钮选中迅雷下载程序,同时将对应该应用程序的“安全级别”参数设置为“不允许”,最后单击“确定”按钮执行参数设置保存操 作;

重新启动一下Windows Server 2008系统,当用户以普通权限账号登录进入该系统后,普通用户就不能正常使用迅雷程序进行恶意下载了,不过当我们以系统管理员权限进入本地计算机系统 时,仍然可以正常运行迅雷程序进行随意下载。

2、拒绝网络病毒藏于临时文件

现在Internet网络上的病毒疯狂肆虐,一些“狡猾”的网络病毒为了躲避杀毒软件的追杀,往往会想方设法地将自己隐藏于系统临时文件夹,那样一 来杀毒软件即使找到了网络病毒,也对它无可奈何,因为杀毒软件对系统临时文件夹根本无权“指手划脚”。为了防止网络病毒隐藏在系统临时文件夹中,我们可以 按照下面的操作设置Windows Server 2008系统的软件限制策略:

首先打开Windows Server 2008系统的组策略控制台窗口;

图2 将“安全级别”参数设置为“不允许”

其次在该控制台窗口的左侧位置处,依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”/“其他规则”选项,同时用鼠 标右键单击该选项,并执行快捷菜单中的“新建路径规则”命令,打开如图2所示的设置对话框;单击其中的“浏览”按钮,从弹出的文件选择对话框中,选中并导 入Windows Server 2008系统的临时文件夹,同时再将“安全级别”参数设置为“不允许”,最后单击“确定”按钮保存好上述设置操作,这样一来网络病毒日后就不能躲藏到系统 的临时文件夹中了。

3、禁止来自外网的非法ping攻击

我们知道,巧妙地利用Windows系统自带的ping命令,可以快速判断局域网中某台重要计算机的网络连通性;可是,ping命令在给我们带来实 用的同时,也容易被一些恶意用户所利用,例如恶意用户要是借助专业工具不停地向重要计算机发送ping命令测试包时,重要计算机系统由于无法对所有测试包 进行应答,从而容易出现瘫痪现象。为了保证Windows Server 2008服务器系统的运行稳定性,我们可以修改该系统的组策略参数,来禁止来自外网的非法ping攻击:

打开Windows Server 2008组策略控制台窗口;选中该控制台左侧列表中的“计算机配置”节点选项,并从目标节点下面逐一点选“Windows设置”、“安全设置”、 “高级安全Windows防火墙”、“高级安全Windows防火墙——本地组策略对象”选项,再用鼠标选中目标选项下面的“入站规则”项目;

接着在对应“入站规则”项目右侧的“操作”列表中,点选“新规则”选项,此时系统屏幕会自动弹出新建入站规则向导对话框,依照向导屏幕的提示,先将 “自定义”选项选中,再将“所有程序”项目选中,之后从协议类型列表中选中“ICMPv4”,如图3所示;

图3 协议类型列表中选中“ICMPv4”

之后向导屏幕会提示我们选择什么类型的连接条件时,我们可以选中“阻止连接”选项,同时依照实际情况设置好对应入站规则的应用环境,最后为当前创建 的入站规则设置一个适当的名称。完成上面的设置任务后,将Windows Server 2008服务器系统重新启动一下,这么一来Windows Server 2008服务器系统日后就不会轻易受到来自外网的非法ping测试攻击了。

小提示:尽管通过Windows Server 2008服务器系统自带的高级安全防火墙功能,可以实现很多安全防范目的,不过稍微懂得一点技术的非法攻击者,可以想办法修改防火墙的安全规则,那样一来 我们自行定义的各种安全规则可能会发挥不了任何作用。为了阻止非法攻击者随意修改Windows Server 2008服务器系统的防火墙安全规则,我们可以进行下面的设置操作:

首先打开Windows Server 2008服务器系统的“开始”菜单,点选“运行”命令,在弹出的系统运行文本框中执行“regedit”字符串命令,打开系统注册表控制台窗口;选中该窗 口左侧显示区域处的HKEY_LOCAL_MACHINE节点选项,同时从目标分支下面选中SYSTEM/ControlSet001/Services /SharedAccess/Parameters/FirewallPolicy/FirewallRules注册表子项,该子项下面保存有很多安全规 则;

其次打开注册表控制台窗口中的“编辑”下拉菜单,从中点选“权限”选项,打开权限设置对话框,单击该对话框中的“添加”按钮,从其后出现的帐号选择 框中选中“Everyone”帐号,同时将其导入进来;再将对应该帐号的“完全控制”权限调整为“拒绝”,最后点击“确定”按钮执行设置保存操作,如此一 来非法用户日后就不能随意修改Windows Server 2008服务器系统的各种安全控制规则了。

4、禁止普通用户随意上网访问

通常Windows Server 2008系统都被安装到重要的计算机中,为了防止该计算机系统受到安全威胁,我们往往需要想办法限制普通用户在该系统中随意上网访问;但是如果简单关闭该 系统的上网访问权限,又会影响特权用户正常上网,那么我们如何才能限制普通用户上网,而又不影响特权用户进行上网访问呢?其实很简单,我们可以按照下面的 操作来修改Windows Server 2008系统的组策略参数:

首先以普通权限的帐号登录Windows Server 2008系统,打开对应系统中的IE浏览器窗口,单击其中的“工具”菜单项,从下拉菜单中点选“Internet选项”命令,弹出Internet选项设 置窗口;

其次点选Internet选项设置窗口中的“连接”选项卡,进入连接选项设置页面,单击该设置页面中的“局域网设置”按钮,选中其后设置页面中的 “为LAN使用代理服务器”选项,再任意输入一个代理服务器的主机地址以及端口号码,再单击“确定”按钮执行参数设置保存操作;

之后注销Windows Server 2008系统,换用具有特殊权限的用户帐号重新登录进入Windows Server 2008系统,依次点选“开始”、“运行”命令,在其后出现的系统运行框中输入“gpedit.msc”命令,单击“确定”按钮后,进入对应系统的组策略 控制台窗口;

图4 禁止普通用户随意上网访问

选中该控制台窗口左侧位置处的“计算机配置”节点选项,再从目标节点下面依次展开“管理模板”、“Windows组件”、“Internet Explorer”、“Internet控制面板”子项,再用鼠标双击目标子项下面的“禁用连接页”组策略项目,此时系统屏幕上会弹出如图4所示的目标组 策略属性设置对话框,选中“已启用”选项,再单击“确定”按钮执行设置保存操作,这么一来,普通权限的用户日后在Windows Server 2008系统中尝试访问网络时,IE浏览器会自动连接一个失效的代理服务器,那么IE浏览器自然也就不能正常显示网络页面内容了;而具有特殊权限的用户在 Windows Server 2008系统中尝试进行网络访问时,IE浏览器会直接显示出目标站点的内容,不需要通过代理服务器进行中转。

5、断开远程连接恢复系统状态

很多时候,一些不怀好意的用户往往会同时建立多个远程连接,来消耗Windows Server 2008服务器系统的宝贵资源,最终达到搞垮服务器系统的目的;为此,在实际管理Windows Server 2008服务器系统的过程中,一旦我们发现服务器系统运行状态突然不正常时,可以按照下面的办法强行断开所有与Windows Server 2008服务器系统建立连接的各个远程连接,以便及时将服务器系统的工作状态恢复正常:

首先在Windows Server 2008服务器系统打开组策略控制台窗口;

图5 删除所有用户远程访问连接

其次选中组策略控制台窗口左侧位置处的“用户配置”节点分支,并用鼠标逐一点选目标节点分支下面的“管理模板”/“网络”/“网络连接”组策略选 项,之后双击“网络连接”分支下面的“删除所有用户远程访问连接”选项,在弹出的如图5所示的选项设置对话框中,选中“已启用”选项,再单击“确定”按钮 保存好上述设置,这样一来Windows Server 2008服务器系中的的各个远程连接都会被自动断开,此时对应系统的工作状态可能会立即恢复正常。

附注:以上策略同样适用于域,在2008域控里对不同的OU进行不同的应用限制同样可以做到对域内的客户端进入限制和安全控制。

原文来自:http://blog.csdn.net/wangxiaofei2006/article/details/5852004

Windows Server 2008组策略安全实践(同样适用于域控制)的更多相关文章

  1. cmd 执行Dcpromo错误:在该 SKU 上不支持 Active Directory 域服务安装向导,Windows Server 2008 R2 Enterprise 配置AD(Active Directory)域控制器

    今天,要安装AD域控制器,运行dcpromo结果提示:在该 SKU 上不支持 Active Directory 域服务安装向导. 以前弄的时候直接就通过了,这次咋回事?终于搞了大半天搞定了. 主要原因 ...

  2. 在Windows Server 2008 R2中使用web方式修改域用户账户密码

    在Windows的domain环境下,加域的客户端修改账户密码是一件很easy的事情:即使没有加域的客户端如果组织中,使用Exchange邮件系统,借助Exchange的owa也可以轻松修改账户密码. ...

  3. windows server 进入组策略管理

    方法: win+R 然后输入   gpmc.msc 即可在域服务器上进行组策略管理了.

  4. 修改Windows Server 2008密码策略,设置简单密码

    最长使用期限为0表示密码永不过期. 如果是VBOX虚拟机安装,在使用共享文件夹功能时候,需要打开控制面板--网络和共享中心--共享设置--启动网络发现.然后才能映射共享文件夹

  5. 如何打开Windows Server 2008 R2的域安全策略

    今天安装了Windows Server 2008 R2系统,并且建了域环境,在添加新用户的时候,发现用简单的密码时域安全策略提示密码复杂度不够,于是我就想在域安全策略里面把密码复杂度降低一点,但是很快 ...

  6. Windows Server 2008搭建单域环境

    前言 一个典型的单域环境由主机,DC(Domain Controller域控制器).DNS服务器组成.DNS.DC都可以有多个,以实现负载均衡和容错 域中的计算机通过DNS解析域控制器,然后向域控制器 ...

  7. Windows Server 2008 R2之六活动目录域服务的卸载

    活动目录域服务的卸载是将DC降级为独立服务器或成员服务器的过程. 在删除活动目录之前,为了防止操作失败操作系统故障,须对系统进行备份.同时,我们还必须对待删除的域控制器进行如下检查 1.是否有操作主控 ...

  8. Windows Server 2008 R2域控组策略设置禁用USB

    问题: Windows Server 2008 R2域控服务器如何禁用客户端使用USB移动存储(客户端操作系统需要 Windows Vista以上的操作系统,XP以下的操作系统不能禁用USB移动存储) ...

  9. Windows Server 2008 R2组策略设置计算机配置和用户配置

    一.认识Windows Server 2008 R2域控组策略管理 1.域控服务器zhuyu.com的组策略管理默认会读取AD用户和计算机目录下创建的OU容器(组织单元), 在对应的OU容器创建对应的 ...

随机推荐

  1. ajax请求封装

    var xmlHttp; var ajaxRequest = function (params) { xmlHttp ={}; this.url = params.url; this.method = ...

  2. 通过.net反射技术实现DataReader转换成Model实体类列表

     public static T ReaderToModel<T>(IDataReader dr) { try {  using (dr) {  if (dr.Read()) {  Typ ...

  3. FAILED java&period;lang&period;IllegalArgumentException&colon; java&period;net&period;URISyntaxException&colon; Relative path in absolute URI&colon;hdfs&colon;192&period;&ast;

    运行的参数配置 hdfs:192.168.58.180/cf/userItem.txt 应该写成 hdfs://192.*

  4. asp&period;net 验证正则表达式

    基本元字符: . 任意的一个非换行字符 [] 集合匹配,匹配一个[]中出现的字符. 是在多个字符中取一个. () 调整优先级的作用. 还有一个分组的作用 | 或的意思,测试|一下. 注意,或的优先级最 ...

  5. &lbrack;IT学习&rsqb;一些有用的工具

    1.synctoy: http://www.microsoft.com/en-us/download/details.aspx?id=15155 2.fsutil https://technet.mi ...

  6. easyui源码翻译1&period;32--ValidateBox(验证框)

    前言 使用$.fn.validatebox.defaults重写默认值对象.下载该插件翻译源码 validatebox(验证框)的设计目的是为了验证输入的表单字段是否有效.如果用户输入了无效的值,它将 ...

  7. java事件处理5(窗口,窗口坐监视器

    WindowEvent窗口事件 添加接口 addWindowListener(WindowEvent e) 接口有七个方法 public void windowActivated(WindowEven ...

  8. 最全面 Nginx 入门教程 &plus; 常用配置解析

    转自 http://blog.csdn.net/shootyou/article/details/6093562 Nginx介绍和安装 一个简单的配置文件 模块介绍 常用场景配置 进阶内容 参考资料 ...

  9. &lbrack;译&rsqb;反-反汇编 & 混淆 &num;1: 苹果没有遵循自己制定的Mach-O规范?

    原文地址:http://reverse.put.as/2012/02/02/anti-disassembly-obfuscation-1-apple-doesnt-follow-their-own-m ...

  10. 织梦dedecms单标签、双标签

    标签是dedecms的核心,dedecms的标签也跟html标签一样,同样分单标签和双标签. 我不会讲单标签有那些,双标签有那些,也不会叫大家去背那些是单标签,那些是双标签.如果去背这些标签,这样学起 ...