引言:在管理維護(hù)局域網(wǎng)的過程中,很多管理員都有這樣的體會(huì),網(wǎng)絡(luò)管理的難點(diǎn)不在服務(wù)器系統(tǒng),而是在于形形色色的終端系統(tǒng),常常給網(wǎng)絡(luò)運(yùn)維操作帶來不可預(yù)知的麻煩。為了確保網(wǎng)絡(luò)運(yùn)行穩(wěn)定,我們需要控制終端用戶的一些操作權(quán)限,不讓可能存在的“暗礁”影響網(wǎng)絡(luò)工作狀態(tài)。
為了維護(hù)整個(gè)網(wǎng)絡(luò)的運(yùn)行穩(wěn)定,我們不妨進(jìn)行如下設(shè)置操作,修改Windows系統(tǒng)默認(rèn)的共享訪問模式,不讓終端用戶私自跳過共享認(rèn)證:
圖1 選項(xiàng)設(shè)置duihuak
首先以超級(jí)用戶權(quán)限登錄共享資源所在主機(jī)系統(tǒng),依次單擊“開始”、“運(yùn)行”命令,彈出系統(tǒng)運(yùn)行對(duì)話框,在其中執(zhí)行“gpedit.msc”命令,開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。在該界面左側(cè)列表中,將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows 設(shè)置”、“安 全設(shè)置”、“本地策略”、“安全選項(xiàng)”節(jié)點(diǎn)上,找到該節(jié)點(diǎn)下的“網(wǎng)絡(luò)訪問:本地帳戶的共享和安全模型”組策略。
其次用鼠標(biāo)雙擊目標(biāo)組策略選項(xiàng),彈出如圖1所示的選項(xiàng)設(shè)置對(duì)話框,選中“經(jīng)典—對(duì)本地用戶進(jìn)行身份驗(yàn)證,不改變其本來身份”選項(xiàng),單擊“確定”按鈕退出設(shè)置對(duì)話框。這樣,Windows系統(tǒng)日后就會(huì)不允許用戶私自跳過共享訪問驗(yàn)證了。
如果讓終端用戶私自在自己的計(jì)算機(jī)系統(tǒng)中進(jìn)行惡意BT下載操作時(shí),那么局域網(wǎng)的上網(wǎng)出口帶寬資源很容易被過度消耗掉,嚴(yán)重的時(shí)候能影響整個(gè)局域網(wǎng)的運(yùn)行穩(wěn)定。為了防止上述現(xiàn)象影響網(wǎng)絡(luò)穩(wěn)定,我們必須嚴(yán)格限制終端用戶在終端系統(tǒng)中私自進(jìn)行BT下載操作,確保網(wǎng)絡(luò)帶寬資源得到有效保護(hù),詳細(xì)的設(shè)置步驟如下:
首先逐一點(diǎn)擊“開始”、“運(yùn)行”選項(xiàng),展開系統(tǒng)運(yùn)行對(duì)話框,輸入“gpedit.msc”命令并回車,開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。在該編輯窗口左側(cè)列表中,將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“Windows設(shè)置”、“安全設(shè)置”、“軟件限制策略”節(jié)點(diǎn)上,用鼠標(biāo)右鍵單擊“軟件限制策略”選項(xiàng),執(zhí)行快捷菜單中的“創(chuàng)建軟件限制策略”命令。
下面依次選中“軟件限制策略”、“強(qiáng)制”選項(xiàng),并用鼠標(biāo)雙擊目標(biāo)選項(xiàng),選中“所有用戶”選項(xiàng),確認(rèn)后保存設(shè)置操作。再打開“其他規(guī)則”選項(xiàng)的右鍵菜單,單擊“新建路徑規(guī)則”命令,按下“瀏覽”按鈕,將迅雷下載、網(wǎng)際快車之類的BT工具選中并添加進(jìn)來,同時(shí)將“安全級(jí)別”參數(shù)設(shè)置為“不允許”(如圖2所示),確認(rèn)后退出設(shè)置對(duì)話框即可。
圖2 路徑設(shè)置對(duì)話框
圖3 Don't Sleep界面
有的終端用戶在訪問完服務(wù)器系統(tǒng)中的共享資源后,有時(shí)會(huì)下意識(shí)地對(duì)其執(zhí)行關(guān)機(jī)操作,這容易給局域網(wǎng)中的其他終端用戶共享訪問帶來干擾。為了保證服務(wù)器訪問穩(wěn)定,我們可以通過“Don't Sleep”這款外力工具,控制普通權(quán)限的終端用戶,不能私自注銷、重啟、關(guān)閉局域網(wǎng)中的服務(wù)器系統(tǒng),以避免服務(wù)器系統(tǒng)被私自關(guān)閉現(xiàn)象。
開啟“Don't Sleep”工具的運(yùn)行狀態(tài)后,選中如圖3所示界面中“Blocking”設(shè)置項(xiàng)處的所有選項(xiàng),同時(shí)選中“Enabled”選 項(xiàng),按 下“Options”按 鈕,切換 到“Don't Sleep”工 具的選項(xiàng)設(shè)置對(duì)話框,選中“Start Don't Sleep with Windows”選項(xiàng),讓目標(biāo)工具日后可以跟隨Windows系統(tǒng)一起自動(dòng)啟動(dòng)。
要是開啟了服務(wù)器系統(tǒng)中的自動(dòng)開關(guān)機(jī)功能,要求每天早晨8點(diǎn)鐘自動(dòng)啟動(dòng)運(yùn)行,晚上9點(diǎn)鐘自動(dòng)執(zhí)行關(guān)機(jī)操作,這就意味著在每天8點(diǎn)鐘到21點(diǎn)鐘這一時(shí)間范圍內(nèi),終端用戶是不能私自關(guān)閉服務(wù)器系統(tǒng)的。
要實(shí)現(xiàn)上述控制目的,不妨選中“Timer”位置處的“Use Timer”選項(xiàng),同時(shí)按下“#”按鈕,選中其后菜單中的“10h”選項(xiàng),按下“OK”按鈕退出設(shè)置對(duì)話框。接著單擊“To-Tray”按鈕,讓“Don't Sleep”工具躲到系統(tǒng)后臺(tái)運(yùn)行,這樣服務(wù)器系統(tǒng)在正常運(yùn)行期間,就不會(huì)發(fā)生被終端用戶私自關(guān)閉現(xiàn)象了。即使有終端用戶因?yàn)椴僮鞑恍⌒模馔獍聪隆瓣P(guān)閉”系統(tǒng)命令,服務(wù)器系統(tǒng)也不會(huì)自動(dòng)執(zhí)行關(guān)機(jī)操作,仍然會(huì)繼續(xù)正常運(yùn)行。
如果對(duì)上網(wǎng)安全性要求很高,那管理員肯定不希望終端用戶私自創(chuàng)建網(wǎng)絡(luò)連接,隨意進(jìn)行上網(wǎng)訪問,而只希望他們使用事先指定的專用連接上網(wǎng)。那么如何才能限制終端用戶隨意創(chuàng)建連接上網(wǎng)訪問呢?只要進(jìn)行如下設(shè)置操作,關(guān)閉網(wǎng)絡(luò)連接創(chuàng)建向?qū)Чδ?,就能輕松達(dá)到不讓私自創(chuàng)建網(wǎng)絡(luò)連接目的了:
首先依次點(diǎn)擊“開始”、“運(yùn)行”命令,彈出系統(tǒng)運(yùn)行對(duì)話框,輸入字符串命令“gpedit.msc”并回車,開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。在該編輯窗口左側(cè)列表中,將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“用戶配置”、“管理模板”、“網(wǎng)絡(luò)”、“網(wǎng)絡(luò)連接”節(jié)點(diǎn)上,找到指定節(jié)點(diǎn)下的“禁止訪問‘新建連接向?qū)А苯M策略選項(xiàng),并用鼠標(biāo)雙擊之,彈出如圖4所示的組策略選項(xiàng)設(shè)置對(duì)話框。
圖4 組策略選項(xiàng)設(shè)置對(duì)話框
圖5 組策略屬性對(duì)話框
接著查看該選項(xiàng)設(shè)置對(duì)話框中的“已啟用”選項(xiàng)是否已被選中,如果發(fā)現(xiàn)其沒有被選中時(shí),應(yīng)該及時(shí)重新選中它,確認(rèn)后退出設(shè)置對(duì)話框。這樣一來,普通用戶日后嘗試自行創(chuàng)建網(wǎng)絡(luò)連接上網(wǎng)訪問時(shí),就會(huì)看到網(wǎng)絡(luò)連接不能創(chuàng)建成功。
使用過Windows 2008系統(tǒng)的用戶都知道,該系統(tǒng)默認(rèn)會(huì)使用較高的安全等級(jí)進(jìn)行上網(wǎng)訪問,以避免潛藏在網(wǎng)頁背后的病毒木馬攻擊服務(wù)器系統(tǒng)。不過,在默認(rèn)狀態(tài)下上網(wǎng)訪問時(shí),用戶一般會(huì)感覺到上網(wǎng)不順暢,為此很多用戶會(huì)私自降低對(duì)應(yīng)系統(tǒng)的安全訪問等級(jí),這容易給局域網(wǎng)的穩(wěn)定運(yùn)行帶來很大威脅。為了避免這種現(xiàn)象的發(fā)生,我們不妨進(jìn)行下面的設(shè)置操作,來禁止終端用戶自由調(diào)整上網(wǎng)安全等級(jí):
首先以超級(jí)用戶權(quán)限登錄Windows 2008系統(tǒng),逐一點(diǎn)擊“開始”、“運(yùn)行”選項(xiàng),展開系統(tǒng)運(yùn)行文本框,輸入“gpedit.msc”命令并回車,開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。
在該編輯界面左側(cè)列表中,將鼠標(biāo)定位到“本地計(jì)算機(jī)策略”、“用戶配置”、“管理模板”、“Windows組件”、“Internet Explorer”、“Internet控制面板”節(jié)點(diǎn)上,找到該節(jié)點(diǎn)下面的“禁用安全頁”組策略選項(xiàng)。
接著用鼠標(biāo)雙擊目標(biāo)組策略,彈出如圖5所示的組策略屬性對(duì)話框,選中“已啟用”選項(xiàng),確認(rèn)后保存設(shè)置操作。這樣,普通用戶日后就能進(jìn)入Internet Explorer的“安全”選項(xiàng)設(shè)置頁面,私自調(diào)整安全訪問等級(jí)配置了,那么終端系統(tǒng)自然也就不會(huì)被輕易攻擊了。