現(xiàn)在，很多單位服務(wù)器主機安裝使用的都是Windows 2008系統(tǒng)，相比傳統(tǒng)的操作系統(tǒng)，該系統(tǒng)的安全能力顯然要更強一些，不過，默認(rèn)狀態(tài)下較高的安全保護設(shè)置，讓管理員無法在該系統(tǒng)下，利用上網(wǎng)瀏覽方式高效快捷地獲取網(wǎng)管信息，不得已，有的管理員只好降低Windows 2008系統(tǒng)的安全防范設(shè)置，以利于方便上網(wǎng)沖浪?？墒沁@么一來，Windows 2008系統(tǒng)在上網(wǎng)沖浪過程中，受到的安全威脅就會增大。那么如何調(diào)整Windows 2008系統(tǒng)設(shè)置，讓其既可以確保用戶上網(wǎng)沖浪方便，又能讓上網(wǎng)安全高枕無憂呢？

禁止漏洞程序上網(wǎng)

在上網(wǎng)沖浪的時候，一些惡意網(wǎng)站背后的網(wǎng)絡(luò)病毒或木馬，有時會利用安裝在Windows 2008系統(tǒng)中的特定程序漏洞，來對本地系統(tǒng)偷偷發(fā)動非法攻擊。為了避免這種類型的非法攻擊，我們不妨巧妙通過Windows 2008系統(tǒng)內(nèi)置的高級防火墻程序，禁止網(wǎng)絡(luò)病毒或木馬程序，偷偷利用特定程序漏洞訪問Windows 2008系統(tǒng)，下面就是詳細(xì)的操作步驟：

首先依次點擊Windows 2008系統(tǒng)桌面中的“開始”|“運行”命令，彈出系統(tǒng)運行文本框，在其中執(zhí)行“gpedit.msc”命令，展開系統(tǒng)組策略編輯器窗口。在該窗口左側(cè)列表區(qū)域中，逐一選擇“本地計算機策略”|“計算機配置”|“Windows設(shè)置”|“安全設(shè)置”|“高級安全Windows防火墻”|“高級安全Windows防火墻——本地組策略對象”節(jié)點選項。找到該節(jié)點下的“入站規(guī)則”選項，并用鼠標(biāo)右鍵單擊之，執(zhí)行右鍵菜單中的“屬性”命令，彈出入站規(guī)則創(chuàng)建對話框。

其次按照向?qū)崾?，將入站?guī)則類型設(shè)置為“程序”，將“此程序路徑”選項選中，并點擊“瀏覽”按鈕，彈出文件選擇對話框，將存在明顯漏洞的應(yīng)用程序添加進來，之后會出現(xiàn)如圖1所示的設(shè)置對話框，將這里的“阻止連接”選項選中，同時為新創(chuàng)建的入站規(guī)則定義好適當(dāng)?shù)拿Q，按下“完成”按鈕返回。

日后，當(dāng)惡意網(wǎng)站中的病毒或木馬程序，嘗試通過特定程序的漏洞攻擊Windows 2008系統(tǒng)時，對應(yīng)系統(tǒng)內(nèi)置高級防火墻程序就會禁止來自特定程序的數(shù)據(jù)包進入本地系統(tǒng)，這樣Windows 2008系統(tǒng)的安全性就有保證了。

啟用記錄未知檢測

有道是“道高一尺，魔高一丈”，在上網(wǎng)沖浪的時候，無論怎么小心謹(jǐn)慎，有時仍然不能避免各種已知或未知的非法攻擊。這個時候，可以通過Windows 2008系統(tǒng)內(nèi)置的高級防火墻，自動檢測和記錄各種非法攻擊，以總結(jié)出有關(guān)攻擊規(guī)律，拿出行之有效的防范辦法。

首先在Windows 2008系統(tǒng)桌面中，依次點擊“開始”|“運行”選項，彈出系統(tǒng)運行對話框，在其中執(zhí)行“gpedit.msc”命令，展開系統(tǒng)組策略編輯器窗口，在該窗口左側(cè)顯示區(qū)域中，將鼠標(biāo)定位到“本地計算機策略”|“計算機配置”|“管理模板”|“Windows組件”|“Windows Defender”節(jié)點上，找到該節(jié)點下的“啟用記錄已知的正確檢測”組策略，并用鼠標(biāo)雙擊之，打開如圖2所示的組策略屬性對話框，檢查“已啟用”選項是否處于選中狀態(tài)，要是發(fā)現(xiàn)其還沒有被選中時，應(yīng)該將其重新選中，確認(rèn)后返回，這樣Windows系統(tǒng)高級防火墻日后就能自動檢測已知類型文件，并會將檢測結(jié)果記錄保存到系統(tǒng)日志文件中。

按照相同的操作方法，將鼠標(biāo)定位到“本地計算機策略”|“計算機配置”|“管理模板”|“Windows組件”|“Windows Defender”節(jié)點上，找到該節(jié)點下的“啟用記錄未知檢測”組策略，并用鼠標(biāo)雙擊之，在其后彈出的編輯對話框中，將“已啟用”選項選中，點擊“確定”按鈕保存設(shè)置操作，這樣Windows系統(tǒng)高級防火墻也能對未知的操作跟蹤測試，并會將檢測結(jié)果保存到系統(tǒng)日志文件中。日后，定期打開相關(guān)日志內(nèi)容，或許就能從中總結(jié)出有效的安全防范措施了。

禁止改變安全級別

很多時候，Windows 2008系統(tǒng)會被當(dāng)成服務(wù)器操作系統(tǒng)使用，而在服務(wù)器環(huán)境下，如果隨意使用IE瀏覽器上網(wǎng)沖浪時，很容易引來安全麻煩。為了保護上網(wǎng)訪問安全，我們應(yīng)該設(shè)置Windows 2008系統(tǒng)，始終以最高的安全等級上網(wǎng)訪問，同時要禁止普通用戶隨意修改系統(tǒng)自帶瀏覽器的安全訪問等級，下面就是具體的設(shè)置步驟：

首先依次點擊“開始”|“運行”選項，在彈出的系統(tǒng)運行文本框中，執(zhí)行“gpedit.msc”命令，展開系統(tǒng)組策略編輯器窗口。在該窗口的左側(cè)列表中，逐一跳轉(zhuǎn)到“本地計算機策略”|“用戶配置”|“管理模板”|“Windows組件”|“Internet Explorer”、“Internet控制模板”節(jié)點上，找到該節(jié)點下的“禁用安全頁”組策略，并用鼠標(biāo)雙擊之，打開如圖3所示的組策略屬性對話框。選中這里的“已啟用”選項，單擊“確定”按鈕保存設(shè)置操作，這樣系統(tǒng)自帶瀏覽器的安全設(shè)置頁面就被隱藏起來了，日后普通用戶就無法進入安全設(shè)置頁面，自由改動服務(wù)器系統(tǒng)的安全上網(wǎng)級別了。

此外，要想控制普通用戶任意改變系統(tǒng)自帶瀏覽器的其他設(shè)置時，可以直接隱藏瀏覽窗口中的“Internet選項”命令。在進行該操作時，先打開系統(tǒng)組策略編輯器窗口，將鼠標(biāo)定位到“本地計算機策略”|“用戶配置”|“管理模板”|“Windows組件”|“Internet Explorer”|“瀏覽器菜單”節(jié)點上，找到該節(jié)點下的禁用“Internet選項”組策略，并用鼠標(biāo)雙擊之，再選中其后界面中的“已啟用”選項，確認(rèn)后保存設(shè)置即可。

不讓網(wǎng)絡(luò)病毒藏身

面對層出不窮的網(wǎng)絡(luò)病毒，除了要用好殺毒軟件外，還要加強個人的安全防范意識。這不，現(xiàn)在很多狡猾、頑固的病毒程序，為了能夠避開殺毒軟件的“圍剿”，常常會努力將病毒文件隱藏在系統(tǒng)臨時文件夾，這樣殺毒軟件日后即使發(fā)現(xiàn)了病毒的“身影”，也不能將它清除，畢竟殺毒軟件無權(quán)修改系統(tǒng)臨時文件夾。為了不讓網(wǎng)絡(luò)病毒藏身于系統(tǒng)臨時文件夾中，不妨嘗試對Windows 2008系統(tǒng)進行如下設(shè)置操作：

首先依次點擊“開始”|“運行”選項，打開系統(tǒng)運行文本框，在其中執(zhí)行“gpedit.msc”命令，彈出系統(tǒng)組策略編輯器界面。在該界面的左側(cè)列表中，將鼠標(biāo)定位到“本地計算機策略”|“計算機配置”|“Windows設(shè)置”|“安全設(shè)置”|“軟件限制策略”|“其他規(guī)則”節(jié)點上，用鼠標(biāo)右鍵單擊“其他規(guī)則”，從彈出的右鍵菜單中點擊“新建路徑規(guī)則”選項，切換到如圖4所示的選項對話框。

其次點擊“瀏覽”按鈕，打開文件添加對話框，將Windows 2008系統(tǒng)的臨時文件夾選中并添加進來，并設(shè)置“安全級別”為“不允許”，確認(rèn)后返回，這樣網(wǎng)絡(luò)病毒就無法在系統(tǒng)臨時文件夾中藏身了。

不讓文件自動下載

在安全上網(wǎng)級別比較低的時候，通過Windows 2008系統(tǒng)內(nèi)置IE瀏覽器上網(wǎng)訪問內(nèi)容時，或許會遇到一些非法程序利用網(wǎng)頁，偷偷自動下載安裝到本地計算機中，這既容易白白浪費有限的硬盤空間資源，又容易給服務(wù)器系統(tǒng)的安全運行帶來麻煩。為了讓W(xué)indows 2008系統(tǒng)遠(yuǎn)離非法攻擊，我們不妨對系統(tǒng)進行下面的修改操作，不讓網(wǎng)頁中的惡意程序利用IE瀏覽頁面，自動下載保存到本地硬盤中：

首先依次點擊“開始”|“運行”命令，打開系統(tǒng)運行文本框，在其中執(zhí)行“gpedit.msc”命令，展開服務(wù)器系統(tǒng)的組策略控制臺窗口。在該窗口的左側(cè)列表中，將鼠標(biāo)到“本地計算機策略”|“計算機配置”|“管理模板”|“Windows組件”|“Internet Explorer”|“安全功能”|“限制文件下載”節(jié)點上，找到該節(jié)點下的“Internet Explorer進程”組策略，并用鼠標(biāo)雙擊之，彈出如圖5所示的組策略屬性對話框。

其次看看“已啟用”選項是否被選中，一旦看到其還沒有被選中時，應(yīng)該及時選中它，單擊“確定”后保存設(shè)置操作，這樣任何惡意進程日后就無法利用Internet Explorer進程，自動下載保存到Windows 2008系統(tǒng)中了，那么服務(wù)器系統(tǒng)受到惡意程序的攻擊機率就會大大下降。

有效防御系統(tǒng)漏洞

雖然Windows 2008系統(tǒng)安全防范能力很高，但是該系統(tǒng)仍然存在各種上網(wǎng)安全漏洞，由這些漏洞引起的各種安全麻煩就一直不停地出現(xiàn)，所以微軟公司也在一刻不停地開發(fā)補丁程序，以便將上網(wǎng)安全漏洞及早堵住。為了改善系統(tǒng)漏洞防御能力，我們需要及時為Windows 2008系統(tǒng)進行在線更新，確保為服務(wù)器系統(tǒng)中的各種安全漏洞打上補丁。

首先在Windows 2008系統(tǒng)桌面上，逐一單擊“開始”|“Windows Update”選項，彈出Windows Update設(shè)置界面。點擊“立即啟用”按鈕，在其后界面中按下“檢查更新”按鈕，強制系統(tǒng)檢查下載更新，之后依照提示安裝好補丁程序即可。

如果希望補丁更新安裝操作自動進行，不妨在Windows Update設(shè)置界面左側(cè)列表中，點擊“更改設(shè)置”選項，在其后界面中，設(shè)置好更新時間和頻率，保證補丁更新安裝操作自動進行的同時，不影響服務(wù)器系統(tǒng)對外提供服務(wù)。

停用危險網(wǎng)絡(luò)端口

Windows 2008系統(tǒng)默認(rèn)會打開許多端口，這些打開的網(wǎng)絡(luò)端口在局域網(wǎng)或Internet網(wǎng)環(huán)境中，很容易被惡意用戶通過專業(yè)工具掃描到，這樣一來它們就容易被人非法利用，從而給Windows 2008系統(tǒng)的安全運行帶來麻煩。為了保護Windows 2008系統(tǒng)的運行安全，我們可以進行如下設(shè)置操作，停用那些既不常用又很危險的網(wǎng)絡(luò)端口：

例如，如果想停用Windows 2008系統(tǒng)的445端口時，不妨依次點擊“開始”|“運行”命令，在彈出的系統(tǒng)運行文本框中，執(zhí)行“regedit”命令，切換到系統(tǒng)注冊表編輯器界面，依次展開左側(cè)顯示區(qū)域中的HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼NetBT＼Parameters注冊表分支，用鼠標(biāo)右鍵單擊目標(biāo)分支選項，從彈出的快捷菜單中，逐一點擊“新建”|“Dword值”命令，來手工創(chuàng)建一個32位Dword值，并將其名稱取為“SMBDeviceEnabled”，再將其數(shù)值輸入為“0”，最后刷新系統(tǒng)注冊表讓設(shè)置正式生效。

如果想臨時停用Windows 2008系統(tǒng)中的139端口時，不妨依次點擊“開始”|“設(shè)置”|“網(wǎng)絡(luò)連接”命令，切換到網(wǎng)絡(luò)連接列表窗口，用鼠標(biāo)右鍵單擊本地連接圖標(biāo)，執(zhí)行快捷菜單中的“屬性”命令，彈出本地連接屬性對話框。選中“Internet協(xié)議版本4（TCP/IPv4）”選項，并按下“屬性”按鈕，再單擊“高級”按鈕，進入如圖6所示的TCP/IPv4協(xié)議高級屬性設(shè)置框，選中“NetBios設(shè)置”設(shè)置項處的“禁用TCP/IP的NetBios”選項，確認(rèn)后保存設(shè)置操作即可。

遠(yuǎn)離Ping命令攻擊

在Windows 2008系統(tǒng)作為服務(wù)器系統(tǒng)角色工作時，需要防范惡意用戶使用Ping命令，對其不停發(fā)送大容量測試包進行測試，這樣很容易將服務(wù)器系統(tǒng)寶貴的系統(tǒng)資源消耗殆盡，影響服務(wù)器主機的運行穩(wěn)定性。為了讓W(xué)indows 2008服務(wù)器系統(tǒng)安全穩(wěn)定運行，我們可以進行如下設(shè)置操作，禁止別人使用Ping命令攻擊服務(wù)器：

首先依次點擊“開始”|“程序”|“管理工具”|“服務(wù)器管理器”選項，彈出服務(wù)器管理器窗口，將鼠標(biāo)定位到“配置”分支下的“高級安全Windows防火墻”選項上，切換到服務(wù)器系統(tǒng)的高級安全防火墻配置窗口。在“查看和創(chuàng)建防火墻規(guī)則”設(shè)置項處選擇“入站規(guī)則”選項，根據(jù)向?qū)崾疽来芜x擇“新規(guī)則”|“自定義”等，按下“下一步”按鈕，這個時候創(chuàng)建向?qū)笥脩羰欠褚x擇程序，在這里應(yīng)該選中“所有程序”選項。

當(dāng)創(chuàng)建向?qū)棾鋈鐖D7所示的設(shè)置界面時，必須選中“ICMPv4”選項，并點擊“下一步”按鈕，之后將正在創(chuàng)建的安全規(guī)則設(shè)置為匹配本地網(wǎng)絡(luò)的“任何IP地址”，并將遠(yuǎn)程網(wǎng)絡(luò)的“任何IP地址”設(shè)置為“阻止連接”，再為當(dāng)前安全規(guī)則取一個合適規(guī)則名稱；完成之前的各項設(shè)置操作后，將Windows 2008系統(tǒng)重新啟動一下，這樣就能讓服務(wù)器系統(tǒng)遠(yuǎn)離Ping命令攻擊了。