为了让局域网网络尽可能地安全运行,许多网络管理人员可谓动足了脑筋,他们纷纷将各式各样的专业安全防范工具“请”到本地局域网中,以保证本地网络远离各种非法安全攻击。事实上,许多时候我们常常会面对手头没有任何专业安全防范工具的窘境,在这样的情形下我们难道对网络安全只能无动于衷吗?答案是否定的!其实Windows系统本身就为我们提供了许多安全设置功能,巧妙地使用这些功能,我们完全可以赤手空拳地应对网络安全问题。这不,本文现在就借助系统组策略,来向各位推荐几则保证网络安全运行的诀窍,希望下面的内容能对大家有所启发!
1、巧改组策略,禁止他人非法更改地址
在不少中小单位的局域网网络环境中,许多网络管理员一般都为普通工作站分配一个静态IP地址,然后针对不同IP地址的工作站分配相应的访问权限。正是因为不同IP地址的工作站具有不同级别的访问权限,所以单位局域网中常有非法用户通过修改IP地址的方式来获取一些特殊的操作权限。很显然,这种行为是不正当的、不安全的,很容易导致局域网网络中频繁发生IP地址冲突等故障,所以这种网络管理难题时常会困扰着每一位网络管理人员。用一种比较恰当、得体的方法限制普通用户随意修改IP地址,是解决IP地址频繁发生故障的良方。下面,我们就通过设置系统组策略,来达到禁止他人非法更改IP地址的目的:
首先依次单击本地工作站系统桌面中的“开始”/“运行”命令,在弹出的运行文本框中输入字符串命令“gpedit.msc”,单击回车键后,打开本地系统的组策略编辑窗口;
其次在组策略编辑窗口中,用鼠标逐一展开左侧列表区域中的“本地计算机策略”/“用户配置”/“管理模板”/“网络”/“网络连接”分支选项,在对应“网络连接”分支选项的右侧列表区域中用鼠标双击“禁止访问LAN连接的属性”选项,打开如图1所示的“禁止访问LAN连接的属性”设置窗口,将该设置窗口中的“已启用”项目选中,单击“确定”按钮退出组策略编辑窗口(要是日后我们想开放IP地址修改权限,只需将图1界面中的“未配置”项目选中就可以了)。
完成上面的设置操作后,我们再用鼠标双击系统任务栏右下方的本地连接图标,在其后出现的界面中我们发现属性按钮已经变成灰色,这样一来普通用户就无法打开网络属性设置窗口,自然也就不能非法修改本地工作站的IP地址了。
2、巧改组策略,禁止外人随意改防火墙
大家知道,在默认状态下工作站系统会自动启用自带防火墙程序,以便保护本地网络以及工作站的运行安全,然而这样的话有不少应用程序在默认状态下往往无法正常运行,不得已许多普通用户常常会乱做主张地将系统自带防火墙程序临时禁用掉,可是如此一来本地局域网网络可能会受到各式各样的安全威胁。那么我们该如何将防火墙程序“锁定”起来,以阻止非法用户胡乱篡改防火墙设置呢?事实上,我们可以尝试对系统的组策略进行相关设置,就能实现禁止外人随意改防火墙的目的,下面就是具体的实现方法:
首先依次单击本地工作站系统桌面中的“开始”/“运行”命令,在弹出的运行文本框中输入字符串命令“gpedit.msc”,单击回车键后,打开本地系统的组策略编辑窗口;
其次在组策略编辑窗口中,用鼠标逐一展开左侧列表区域中的“本地计算机策略”/“计算机配置”/“管理模板”/“网络”/“网络连接”分支选项,在“网络连接”分支选项下面包含“域配置文件”、“标准配置文件”这两个子项,要是本地局域网是以域形式组网的话,那我们在这里必须将“域配置文件”项目选中,之后在“域配置文件”子项所对应的右侧显示区域中,找到“Windows防火墙:保护所有网络连接”组策略项目,并用鼠标双击该项目,进入到如图2所示的“域配置文件”属性窗口,将该窗口中的“已启用”选项选中,再单击一下“确定”按钮结束“域配置文件”属性设置操作;
完成上面的设置操作后,我们可以尝试再次打开防火墙属性设置界面,此时大家将会看到该设置界面的“启用”选项已经变成灰色调了,这也就说明本地工作站中的防火墙程序已经被我们“锁定”成功了,日后任何企图修改防火墙配置的用户都将无法胡乱更改本地防火墙的参数设置了,如此一来本地局域网以及工作站的安全就能有了保障!
3、巧改组策略,谨防共享密码遭遇破解
在缺省状态下Windows工作站会允许任意一位普通访问用户利用空用户连接方式获取本地系统中的所有用户帐号以及共享资源列表信息,Windows启用该功能的初衷是为了方便普通用户在局域网环境中互相交流、传输共享信息用的;不过,在尽情享受该缺省开放功能给自己带来便利的同时,该开放功能也有可能会给我们带来一定的安全威胁,因为许多非法攻击者能偷偷利用该功能获取本地工作站中的所有用户帐号以及共享资源列表信息,要是获取到这些信息后非法用户可能就会利用暴力破解方法得到本地用户的核心密码信息,这么一来本地局域网的安全性就会受到空前的威胁。为了避免非法用户利用暴力手段破解网络共享密码信息,我们可以按照如下步骤设置系统组策略,来拒绝一般访问用户通过匿名帐号来随意访问和存取本地系统中的所有用户帐号以及共享资源列表信息:
首先依次单击本地工作站系统桌面中的“开始”/“运行”命令,在弹出的运行文本框中输入字符串命令“gpedit.msc”,单击回车键后,打开本地系统的组策略编辑窗口;
其次在组策略编辑窗口中,用鼠标逐一展开左侧列表区域中的“本地计算机策略”/“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“安全选项”分支选项,在对应“安全选项”分支选项所在的右侧显示区域中,找到“网络访问:不允许SAM账号和共享的匿名枚举”组策略选项,并用鼠标双击该选项,打开如图3所示的“网络访问:不允许SAM账号和共享的匿名枚举”属性设置窗口,选中该设置窗口中的“已启用”项目,再单击一下“确定”按钮结束组策略属性设置操作,这样的话任何一位普通访问用户日后就会无法利用空用户连接方式获取本地系统中的所有用户帐号以及共享资源列表信息了,那么本地局域网中的共享资源就不会被非法用户随意破解了。
#p#
4、巧改组策略,强行拒绝所有远程连接
为了有效提高管理与维护服务器的操作效率,许多网络管理员一般总会在服务器系统中开启远程访问连接功能,这样的话他们就能在局域网的任何位置处都可以借助远程连接功能对服务器进行远程管理与维护,而不要芝麻大的事情都跑到服务器现场了。其实,要是在Windows服务器中将远程访问连接功能启用起来的话,那么许多非法攻击者也可能利用该功能对服务器进行非法攻击或破坏。因此,为了将服务器系统的安全隐患降低到最小限度,我们可以通过设置系统组策略的方法,来将当前已经与服务器系统建立的所有远程访问连接强行断开,下面就是该方法的具体操作步骤:
首先依次单击本地工作站系统桌面中的“开始”/“运行”命令,在弹出的运行文本框中输入字符串命令“gpedit.msc”,单击回车键后,打开本地系统的组策略编辑窗口;
其次在组策略编辑窗口中,用鼠标逐一展开左侧列表区域中的“本地计算机策略”/“用户配置”/“管理模板”/“网络”/“网络连接”分支选项,在“网络连接”分支选项所对应的右侧显示区域中,找到“删除所有用户远程访问连接”组策略选项,并用鼠标双击该选项,进入到如图4所示的“删除所有用户远程访问连接”属性设置界面,选中该设置界面中的“已启用”项目,同时单击一下“确定”按钮,这样的话当前与服务器系统已经建立的远程访问连接都会自动被断开,那么非法用户企图对服务器系统实施的远程攻击自然也就进行不下去了。
5、巧改组策略,强制进入安全区域上网
在若干个用户共同使用相同的一台工作站进行网络访问时,要是我们事先不划定安全的上网区域,那么许多用户可能会在本地工作站中随意访问一些恶意网站,如此一来就可能给本地工作站甚至本地网络带来安全麻烦。所以,为了保护本地网络以及本地工作站的安全,我们可以尝试在公共计算机系统中,通过设置组策略的方法为普通用户划定安全上网区域,强制这些用户只能在这些安全区域中上网冲浪:
首先依次单击本地工作站系统桌面中的“开始”/“运行”命令,在弹出的运行文本框中输入字符串命令“gpedit.msc”,单击回车键后,打开本地系统的组策略编辑窗口;
其次在组策略编辑窗口中,用鼠标逐一展开左侧列表区域中的“本地计算机策略”/“用户配置”/“Windows设置”/“Internet Explorer维护”/“安全”分支选项,在“安全”分支选项所对应的右侧显示区域中,找到“安全区域和内容分级”组策略选项,并用鼠标右键单击该选项,弹出如图5所示的“安全区域和内容分级”属性设置界面;在该属性界面中的“安全区域和隐私”处,将“导入当前安全区域设置”项目选中,同时单击“修改设置”按钮,之后根据实际工作需要来为普通上网用户划定好安全冲浪区域,最后单击一下“确定”按钮结束组策略属性设置操作,如此一来普通用户日后在单位的公共计算机中,就不能随意访问Internet网络中的一些不安全网站了,那么本地网络以及本地工作站的安全性就能得到有效保证了。
6、巧改组策略,限制用户随意上网冲浪
在节假日或下班期间,许多员工常常趁单位领导不在办公室的时候偷偷进行共享拨号上网,去访问一些可能给本地网络或工作站带来安全威胁的陌生网站,于是不少单位领导在放假或下班之前往往会要求网络管理员将本地工作站中的拨号连接删除掉,以便让员工在下班期间无法使用拨号连接进行上网访问;可是这种方法对那些比较熟悉网络的员工来说效果并不是十分明显,毕竟许多员工能够自己动手来重建新的上网连接。其实,我们可以尝试利用修改组策略的方法,来让系统拒绝员工在本地创建网络连接:
首先依次单击本地工作站系统桌面中的“开始”/“运行”命令,在弹出的运行文本框中输入字符串命令“gpedit.msc”,单击回车键后,打开本地系统的组策略编辑窗口;
其次在组策略编辑窗口中,用鼠标逐一展开左侧列表区域中的“本地计算机策略”/“用户配置”/“管理模板”/“网络”/“网络连接”分支选项,在对应“网络连接”分支选项所在的右侧显示区域中,找到“禁止访问‘新建连接向导’”组策略选项,并用鼠标右键单击该选项,弹出如图6所示的“禁止访问‘新建连接向导’”属性设置界面;将该设置界面的“已启用”项目选中,同时单击一下“确定”按钮结束组策略的属性设置操作,那样一来当员工日后尝试在本地工作站中创建新的上网连接时,系统将自动会出现无权创建的提示信息。
7、巧改组策略,寻找共享目录访问痕迹
为了避免心术不正的非法用户在访问共享资源的过程中,做出对共享资源不安全的操作出来,我们应该想办法去跟踪追寻任何一位访问目标共享资源的用户,并对他们的访问痕迹进行全程记录;日后一旦遇到共享资源中的隐私内容被转移或删除时,我们可以通过查看相应的安全日志文件,来快速有效地找到“罪槐祸首”。通过下面的操作方法,我们就可以非常方便地跟踪普通用户访问共享资源的痕迹了:
首先打开本地工作站的资源管理器窗口,找到需要进行安全保护的目标共享目录,并用鼠标右击该共享目录图标,从其后出现的快捷菜单中单击“属性”选项,打开目标共享目录的属性设置窗口;单击该窗口中的“安全”选项卡,并在对应的选项设置页面中单击“高级”按钮,进入到目标共享资源的高级安全属性界面;在该界面中单击“审核”选项卡,再单击对应选项设置页面中的“添加”按钮。过一段时间后,工作站系统将会自动列写出所有用户帐号,此时我们不妨将有权访问该目标共享资源的用户帐号选中,同时单击“确定”按钮;在其后出现的审核项目设置界面中,我们可以按需选择一些失败和成功的审核项目,最后单击“确定”按钮结束共享目录属性设置操作。
下面依次单击本地工作站系统桌面中的“开始”/“运行”命令,在弹出的运行文本框中输入字符串命令“gpedit.msc”,单击回车键后,打开本地系统的组策略编辑窗口;在组策略编辑窗口中,用鼠标逐一展开左侧列表区域中的“本地计算机策略”/“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“审核策略”分支选项,在“审核策略”分支选项所对应的右侧显示区域中,找到“审核对象访问”选项,并用鼠标双击该选项,打开如图7所示的属性设置界面,选中该界面中的“失败”、“成功”选项,同时单击“确定”按钮结束设置操作;完成上面的设置操作后,要是我们日后发现目标共享目录遭遇什么麻烦时,就能有针对性地进入系统安全日志文件,来查看ID标号为560、562、564的相关事件记录,在这些记录文件中我们往往就能寻找到破坏共享资源安全的“痕迹”。
【编辑推荐】
