组策略的功能强大是每个系统管理员众所周知的,下文就是介绍如何巧用组策略来确保我们的网络安全。
“为了达到护驾”本地网络安全的目的,不少网络管理人员常常会“请”一些专业的网络安全防范工具,来加强本地系统或网络的安全防范能力。不过现在多数专业网络安全防范工具都需要耗费我们不少的银子,况且它们的某些安全防范“本领”并不能让我们感到十分满意,在这种情形下,我们能否从自我出发,依靠自身的力量来全力保护本地网络安全呢?事实上,我们只要“请出”组策略这一有效武器,就能高效“护驾”好本地网络安全!
1、将防火墙锁得更牢靠
我们知道,将防火墙程序启用起来可以有效地保护本地系统以及网络的安全,可是这么一来有许多应用程序可能无法正常运行,为此许多人常常擅自做主地将防火墙程序关闭掉,这么一来本地网络或系统将会受到极大的安全威胁。那么有什么办法能将启用起来的防火墙程序锁定起来,以防止普通用户随意篡改呢?其实,我们只要在Windows XP工作站中,通过修改系统的相关组策略,就能达到阻止他人随意关闭防火墙程序,从而实现保护本地网络或系统安全的目的了,下面就是该方法的具体操作步骤:
首先单击Windows XP系统桌面中的“开始”按钮,从弹出的系统“开始”菜单中执行“运行”命令,打开本地系统的运行对话框,在其中输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开本地工作站的系统组策略编辑窗口;
其次在该组策略编辑窗口的左侧列表区域,用鼠标双击其中的“计算机配置”项目,在随后展开的组策略分支下面,依次选中“管理模板”、“网络”、“网络连接”选项,在“网络连接”选项下面我们看到有“域配置文件”子项和“标准配置文件”子项,倘若本地工作站位于局域网某个域中的话,那我们可以选中“域配置文件”子项,在对应该子项的右侧列表区域中,用鼠标双击“Windows防火墙:保护所有网络连接”项目,打开如图1所示的组策略属性设置窗口;选中该设置窗口的“已启用”选项,并单击“确定”按钮,这么一来当我们日后再次打开防火墙程序的属性设置窗口时,我们会看到其中的“启用”选项处于灰色调不可修改状态,这也就意味着其他人无法随意关闭防火墙程序了,那样的话本地网络的安全就得到了有效保证!
图1
2、谨防小孩偷偷上网冲浪
在节假日期间,不少小孩常常趁大人不在家的时候偷偷上网冲浪,浏览一些可能给本地系统或网络造成不安全的网站信息,于是有的大人在出门之前往往会将本地系统中的网络连接删除掉,以便让小孩无法进行正常的ADSL拨号上网连接;不过这种方法对那些熟悉网络的小孩来说用处并不明显,因为这些小孩往往会自动动手重新创建新的网络连接。事实上,我们完全可以通过修改系统组策略的方法,来阻止小孩在本地系统中随意创建网络连接,从而确保本地系统或网络不受非法网站信息的攻击,下面就是该方法的具体实现步骤:
首先单击Windows XP系统桌面中的“开始”按钮,从弹出的系统“开始”菜单中执行“运行”命令,打开本地系统的运行对话框,在其中输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开本地工作站的系统组策略编辑窗口;
其次在该组策略编辑窗口的左侧列表区域,用鼠标双击其中的“用户配置”项目,在随后展开的组策略分支下面,依次选中“管理模板”、“网络”、“网络连接”选项,在“网络连接”选项对应的右侧列表区域中,用鼠标双击“禁止访问‘新建连接向导’”项目,打开如图2所示的组策略属性设置窗口;选中该设置窗口的“已启用”选项,并单击“确定”按钮,如此一来当小孩尝试自己创建新的拨号网络连接时,系统就会弹出无权创建网络连接的提示,那样的话小孩就不能随意访问网站信息,本地的网络或系统也就不容易受到非法网站信息的攻击或破坏了。
图2
3、拒绝共享资源对外开放
局域网网络中的每台计算机使用的操作系统可能并不完全相同,有的使用的是Windows XP操作系统,有的使用的是Windows 2000系统或Windows 2003系统,甚至有的计算机还在一直使用Windows 98系统。在缺省状态下,Windows 2000以上版本的计算机系统是拒绝Windows 98计算机系统通过来宾身份访问共享资源的,所以不少网络管理人员为方便交换文件,往往会直接启用本地的来宾帐号,允许任意一位用户都能从Windows 98系统访问其他计算机中的共享资源。不过这么一来,其他计算机系统之间的共享资源也相互对外开放了,很明显这种开放会给局域网共享资源的安全性带来很大威胁;有鉴于此,我们应该阻止任何人员随意启用来宾帐号,以确保本地共享资源不随意对外开放,下面就是禁止任何来宾随意访问共享资源的具体操作步骤:
首先单击系统桌面中的“开始”按钮,从弹出的系统“开始”菜单中执行“运行”命令,打开本地系统的运行对话框,在其中输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开本地工作站的系统组策略编辑窗口;
其次在该组策略编辑窗口的左侧列表区域,用鼠标双击其中的“计算机配置”项目,在随后展开的组策略分支下面,依次选中“Windows设置”、“安全设置”、“本地策略”、“用户权限分配”选项,在“用户权限分配”选项对应的右侧列表区域中,用鼠标双击“拒绝从网络访问这台计算机”项目,打开如图3所示的组策略属性设置窗口;
图3
在该设置窗口中,认真检查一下Guest帐号是否存在,要是没有找到该帐号的话,那么我们可以单击其中的“添加用户或组”按钮,打开“选择用户或组”对话框,然后将Guest帐号选中并添加进来,再单击“确定”按钮,这么一来任何来宾用户都不能随意访问本地局域网网络中的共享资源了。
4、阻止暴力破解共享密码
Windows XP工作站系统在默认状态下,会允许每一位来访用户通过空用户连接方式得到本地工作站中的所有共享资源列表和所有本地用户帐号信息,系统开放该功能的原意是为了方便局域网用户相互之间传输、交流共享信息用的;但是我们在充分享受该默认开放功能带来便利的同时,不少恶意攻击者也能“趁机”利用该功能来偷偷得到本地所有共享资源和用户列表信息,一旦得到这些信息后他们就会通过暴力破解方法来获取用户核心密码信息,从而可能给本地系统或网络带来极大的安全威胁。为了阻止恶意攻击者暴力破解共享密码信息,我们不妨通过下面的操作方法,来拒绝普通用户通过匿名帐号对共享资源和用户列表信息的随意访问和存取:
首先单击系统桌面中的“开始”按钮,从弹出的系统“开始”菜单中执行“运行”命令,打开本地系统的运行对话框,在其中输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开本地工作站的系统组策略编辑窗口;
其次在该组策略编辑窗口的左侧列表区域,用鼠标双击其中的“计算机配置”项目,在随后展开的组策略分支下面,依次选中“Windows设置”、“安全设置”、“本地策略”、“安全选项”项目,在“安全选项”项目对应的右侧列表区域中,用鼠标双击“网络访问:不允许SAM账号和共享的匿名枚举”项目,打开如图4所示的组策略属性设置窗口;在该设置窗口中将“已启用”选中,并单击“确定”按钮,如此一来本地工作站日后就会禁止每一位来访用户通过空用户连接方式得到本地工作站中的所有共享资源列表和所有本地用户帐号信息,从而确保了本地共享资源的访问密码不被恶意攻击者随意窃取了。
图4
#p#
5、禁止匿名用户访问共享
在Windows XP工作站系统中,匿名用户在缺省状态下一般会拥有和“Everyone”帐号相同的访问权限,倘若网络管理人员随意给“Everyone”帐号分配比较高的共享资源访问权限时,那么这些匿名用户随之也会自动获得对应的共享访问权限,很明显这会给共享资源的安全带来不小的威胁。为了保证共享资源不对匿名用户开放,我们必须通过下面的操作方法,来禁止匿名用户访问本地网络中的共享资源:
首先单击系统桌面中的“开始”按钮,从弹出的系统“开始”菜单中执行“运行”命令,打开本地系统的运行对话框,在其中输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开本地工作站的系统组策略编辑窗口;
其次在该组策略编辑窗口的左侧列表区域,用鼠标双击其中的“计算机配置”项目,在随后展开的组策略分支下面,依次选中“Windows设置”、“安全设置”、“本地策略”、“安全选项”项目,在“安全选项”项目对应的右侧列表区域中,用鼠标双击“网络访问:让每个人权限应用于匿名用户”项目,打开如图5所示的组策略属性设置窗口;在该设置窗口中将“已禁用”选中,并单击“确定”按钮,如此一来匿名用户就没有足够权利访问到本地局域网中的共享资源了。
图5
6、断开所有远程网络连接
不少网络管理人员为了提高服务器的管理效率,常常会开通服务器的远程访问连接功能,以便在局域网的任何工作站中都能通过该功能远程管理服务器。事实上,一旦在Windows服务器系统中开通了远程访问连接功能,许多黑客或非法攻击者也可能利用该功能对服务器进行非法攻击或破坏。所以,为了将服务器的安全隐患降低到最小限度,我们必须及时切断所有远程访问连接,下面就是具体的实现步骤:
首先单击系统桌面中的“开始”按钮,从弹出的系统“开始”菜单中执行“运行”命令,打开本地系统的运行对话框,在其中输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开本地工作站的系统组策略编辑窗口;
其次在该组策略编辑窗口的左侧列表区域,用鼠标双击其中的“用户配置”项目,在随后展开的组策略分支下面,依次选中“管理模板”、“网络”、“网络连接”项目,在“网络连接”项目对应的右侧列表区域中,用鼠标双击“删除所有用户远程访问连接”项目,打开如图6所示的组策略属性设置窗口;在该设置窗口中将“已启用”选中,并单击“确定”按钮,如此一来服务器中所有已经创建的远程访问连接都会被强行断开了,那么黑客或非法攻击者也就无法对服务器进行远程攻击或破坏了。
图6
7、指定安全上网区域
在多人共享一台工作站上网的办公环境中,我们如果事先不指定安全上网区域,本地工作站很容易遭受非法网站的安全攻击,从而有可能给本地局域网带来安全威胁。为此,我们最好在共用工作站系统中,通过设置系统组策略的方法指定好安全的上网区域,下面就是具体的设置操作步骤:
首先单击系统桌面中的“开始”按钮,从弹出的系统“开始”菜单中执行“运行”命令,打开本地系统的运行对话框,在其中输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开本地工作站的系统组策略编辑窗口;
其次在该组策略编辑窗口的左侧列表区域,用鼠标双击其中的“用户配置”项目,在随后展开的组策略分支下面,依次选中“Windows设置”、“Internet Explorer维护”、“安全”项目,在“安全”项目对应的右侧列表区域中,用鼠标双击“安全区域和内容分级”项目,打开如图7所示的组策略属性设置窗口;在该设置窗口中的“安全区域和隐私”处,选中“导入当前安全区域设置”,再单击一下对应选项旁边的“修改设置”按钮,来重新将我们自己认为比较安全的上网区域指定好,最后单击“确定”就能使设置生效了。
图7
8、杜绝随意篡改上网参数
在多人共享一台工作站上网的办公环境中,要是他人随意篡改本地系统的上网参数时,那么其他人可能就面临着无法上网的麻烦。为此,我们同样可以修改与上网参数有关的组策略选项,杜绝他人随意篡改上网参数,下面就是该方法的具体操作步骤:
首先单击系统桌面中的“开始”按钮,从弹出的系统“开始”菜单中执行“运行”命令,打开本地系统的运行对话框,在其中输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开本地工作站的系统组策略编辑窗口;
其次在该组策略编辑窗口的左侧列表区域,用鼠标双击其中的“用户配置”项目,在随后展开的组策略分支下面,依次选中“管理模板”、“网络”、“网络连接”项目,在“网络连接”项目对应的右侧列表区域中,用鼠标双击“禁用TCP/IP高级设置”项目,打开如图8所示的组策略属性设置窗口;在该设置窗口中将“已启用”项目选中,并单击一下“确定”,这么一来其他人日后再次进入到本地工作站的TCP/IP属性设置窗口中时,他们就会看到“高级”功能已经锁定,那样的话他们就无法随意调整本地工作站的上网参数了。
图8
巧用组策略来确保我们本地的网络安全不失为一个有效又方便的方法,大家自己动手操作一下吧。而更多有关组策略的知识有待于管理员去学习和巩固。
【编辑推荐】
