巧妙设置让Win2008系统更安全

　　伴随着Internet网络中的病毒、黑客、木马不断泛滥，以及Windows系统漏洞的不断增多，无论是普通电脑还是服务器所受到的安全威胁也是越来越多。即使新推出的Windows Server 2008系统，在安全性方面有了很大的提高和改善，但是我们仍然难以保证它就一定不会受到病毒、黑客或木马的袭击；为了更好地保证Windows Server 2008系统的安全，相信多数网络管理员都会不惜重金“请”来各式各样的专业安全工具，对服务器系统进行安全“护驾”！其实，在手头没有任何专业安全工具可以利用的情况下，我们可以依靠Windows Server 2008系统自身的力量，来将该系统各方面的安全防范性能全部发挥起来，这样同样能够为Windows Server 2008安全运行“护航”！

　　让更少的人看到自己

　　一般来说，局域网中的普通电脑在默认状态下能通过“网上邻居”窗口看到网络中的所有共享主机，这当然也包括Windows Server 2008服务器主机；由于服务器系统中存储有许多重要的资源，它就特别容易受到普通用户的随意访问，这么一来服务器系统受到非法攻击的可能性也就增大了。为了不让Windows Server 2008服务器系统遭受非法攻击，我们只要想办法让普通电脑在默认状态下无法使用“网上邻居”窗口找到目标服务器主机，要做到这一点，其实很简单，因为Windows Server 2008系统特意为我们提供了一个网络发现功能，只要将该功能给关闭掉，那么局域网中的任何一台普通电脑都无法从“网上邻居”窗口中找到Windows Server 2008服务器主机的“身影”，那样的话服务器系统自然也就不会受到来自普通电脑的非法威胁了；下面是关闭Windows Server 2008系统网络发现功能的具体操作步骤：

　　首先以系统管理员身份登录进Windows Server 2008服务器系统，在该系统桌面中用鼠标右键单击“网络”图标，从其后的快捷菜单中选择“属性”命令，打开服务器系统的“网络和共享中心”窗口，在这里的“共享和发现”列表下面，我们会看到不少与网络共享访问操作有关的设置内容；

图1 关闭网络发现功能

　　接着单击“网络发现”选项旁边的下拉按钮，打开如图1所示的设置区域，选中“关闭网络发现”选项，再单击“应用”按钮，最后再将服务器系统重启一下，如此一来本地服务器主机的“身影”就不会被普通电脑看到了，那么普通用户也就不能通过网上邻居窗口来对服务器实施非法攻击了。

　　需要提醒各位注意的是，当Windows Server 2008服务器主机没有连接到网络中时，“网络发现”功能会自动处于关闭状态，此时我们是无法使用手工方法强行启用“网络发现”功能的。

　　关闭安全威胁端口 

　　许多时候，不少网络管理员为了方便管理Windows Server 2008服务器系统，常常会将一些能危及服务器系统安全的端口打开；可是他们在管理好服务器系统后，又不及时将它们关闭掉，这样一来非法用户可能就会通过这些危险端口来对服务器系统进行非法攻击。为了有效保护服务器系统的安全，我们需要及时将本地服务器系统中的一些安全威胁端口关闭掉。

　　例如在关闭服务器系统的139端口时，我们可以按照如下操作步骤来进行：首先以系统管理员身份登录进Windows Server 2008服务器系统，打开该系统的“开始”菜单，从中依次选择“设置”/“网络连接”命令，在其后的列表窗口中用鼠标右键单击本地连接图标，并执行右键菜单中的“属性”命令，进入本地服务器系统的网络连接列表窗口；

图2 关闭安全威胁端口

　　其次选中“Internet协议版本4（TCP/IPv4）”选项，并单击“属性”按钮，在弹出的TCP/IPv4属性界面中单击“高级”按钮，进入高级属性设置窗口；单击该设置窗口中的“WINS”标签，打开如图2所示的标签设置页面；在该设置页面的“NetBios设置”处，选中“禁用TCP/IP的NetBios”选项，再单击“确定”按钮，如此一来就能将Windows Server 2008服务器系统的139安全威胁端口关闭掉了。

　　如果要将服务器系统中的445端口关闭时，我们可以先打开服务器系统的“开始”菜单，从中选择“运行”命令，在弹出的系统运行文本框中输入“regedit”字符串命令，单击回车键后，打开本地系统的注册表编辑窗口；

　　其次在该注册表编辑窗口的左侧显示窗格中，将鼠标定位于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters注册表分支选项，检查“Parameters”分支选项下面是否存在“SMBDeviceEnabled”双字节值，要是没有的话，我们可以直接用鼠标右键单击“Parameters”分支选项，从其后出现的右键菜单中依次选择“新建”/“Dword（32位）值”选项，并将新生成的双字节值名称设置为“SMBDeviceEnabled”，最后再将该键值的数值修改为“0”就可以了。

　　用防火墙限制Ping

　　为了检验Windows Server 2008服务器系统是否在线，不少朋友总会使用Ping命令来对服务器系统进行连通性测试操作；虽然这样的操作不会给服务器系统造成太大的影响，不过要是若干个用户同时对服务器系统进行Ping测试操作的话，那么服务器系统的运行性能就会受到明显影响了，并且一些非法用户还能通过Ping命令获得服务器系统的一些状态信息，之后可能会根据该状态信息对服务器系统进行有针对性攻击。为了避免Windows Server 2008服务器系统遭遇非法Ping测试操作，我们可以利用该系统自带的高级防火墙功能，来巧妙定制禁止ping测试操作的安全策略，下面就是使用防火墙定义禁止ping测试操作规则的具体步骤：

　　首先以系统管理员身份登录进Windows Server 2008服务器系统，打开该系统的“开始”菜单，从中依次选择“程序”/“管理工具”/“服务器管理器”选项，在弹出的服务器管理器窗口中，依次展开左侧显示区域中的“配置”/“高级安全Windows防火墙”分支选项，进入Windows Server 2008服务器系统的防火墙高级安全设置窗口；

图3 用防火墙限制Ping

　　其次从该设置窗口中找到“查看和创建防火墙规则”设置项，单击该设置项下面的“入站规则”选项，之后在对应该选项的右侧操作列表中，单击其中的“新规则”选项，进入防火墙高级安全规则创建向导窗口，当向导窗口提示我们选择创建类型时，我们可以先选中“自定义”选项，并单击“下一步”按钮；

　　之后向导窗口会提示我们该规则应用于所有程序还是特定程序，此时我们可以选中“所有程序”选项，继续单击“下一步”按钮，打开如图3所示的向导设置界面，选中其中的“ICMPv4”选项，再单击“下一步”按钮，紧接着将此规则设置为匹配本地的“任何IP地址”以及远程的“任何IP地址”，再将连接条件参数设置为“阻止连接”，最后依照向导提示设置好适用该规则的具体网络环境，同时为这个刚刚创建好的高级安全规则取一个恰当的名称；等到上面的各项设置操作完毕后，将Windows Server 2008系统重新启动一下，那样的话普通电脑就无法对服务器系统进行Ping测试操作了，那么服务器系统受到非法攻击的可能性就会明显减少了。

　　拒绝远程访问服务器

　　有时候，网络管理员没有妥善保管好服务器系统的账号信息，一旦别有用心的人意外获悉该账号时，他们就能通过远程方式来访问服务器系统，并对服务器系统做出一些破坏性操作，从而导致服务器系统无法正常为局域网用户服务。为了有效保护Windows Server 2008服务器系统的安全，我们需要禁止任何用户来对服务器系统进行远程管理，这么一来服务器系统的管理员账号即使发生了丢失，但非法用户由于无法到服务器现场，他们同样也无法对服务器进行各种非法破坏操作；下面，就是拒绝任何用户通过远程方式访问Windows Server 2008服务器系统的具体操作步骤：

　　首先以系统管理员身份登录进Windows Server 2008服务器系统，打开该系统的“开始”菜单，从中选择“运行”命令，在弹出的系统运行文本框中，输入字符串命令“gpedit.msc”，单击“确定”按钮后，打开服务器系统的组策略编辑窗口；

　　其次在该编辑窗口的左侧显示区域，选中“计算机配置”选项，再用鼠标依次展开该分支下面的“Windows设置”/“安全设置”/“本地策略”/“用户权限分配”选项，在对应该选项的右侧显示区域中，用鼠标双击“从网络访问此计算机”组策略选项，打开如图4所示的组策略选项设置对话框；

图4 拒绝远程访问服务器

　　在这里，我们看到Windows Server 2008服务器系统在默认状态下会允许四类用户通过网络来远程访问服务器系统，为了禁止这些用户对服务器系统进行远程访问，我们可以将这里的所有用户账号依次选中，再单击“删除”按钮，如此一来任何用户也不能通过网络远程访问服务器系统了。

　　当然，要是我们只想限制用户通过网络远程关闭服务器系统时，那只需要打开“从远程系统强制关机”组策略属性设置窗口，在该设置窗口中删除所有的用户账号就可以了。

　　记忆非法账号登录信息

　　在对服务器系统进行管理维护的时候，网络管理员可能会碰到这样一种特殊情形，那就是网络管理员在短时间离开服务器现场一段时间后，可能有某个非法攻击者趁机偷偷登录进服务器系统实施破坏攻击。很明显，倘若本地服务器系统中存储有非常重要的隐私信息时，那无疑会存在很大的安全隐患。事实上，我们可以对Windows Server 2008服务器系统的组策略参数进行适当设置，来让服务器能够对非法账号的登录信息进行自动记忆，以便帮助网络管理员日后能够找到故障“祸首”，下面就是设置服务器系统组策略的具体步骤：

　　首先以系统管理员身份登录进Windows Server 2008服务器系统，打开该系统的“开始”菜单，从中选择“运行”命令，在弹出的系统运行文本框中，输入字符串命令“gpedit.msc”，单击“确定”按钮后，打开服务器系统的组策略编辑窗口；

图5 记忆非法账号登录信息

　　其次在该组策略编辑界面左侧显示窗格中选中“计算机配置”选项，再用鼠标双击该选项下面的“管理模板”/“Windows组件”/“Windows登录选项”组策略子项，在“Windows登录选项”下面用鼠标双击“在用户登录期间显示有关以前登录的信息”项目，打开如图5所示的组策略属性设置界面，检查其中的“已启动”选项是否处于选中状态，要是发现它还没有被选中时，我们可以及时将它选中，最后单击设置界面中的“确定”按钮，如此一来Windows Server 2008服务器系统就能对非法账号的登录状态信息进行自动记忆了。

　　日后，当网络管理员由于急事临时离开Windows Server 2008服务器主机现场时，如果某个非法攻击趁机偷偷登录进服务器系统时，那么该非法用户的账号登录状态就会被服务器系统自动记忆下来；当网络管理员下次重新启动Windows Server 2008系统并输入登录密码，再单击“确定”按钮后，网络管理员就能从屏幕上看到究竟是哪位非法用户偷偷登录本地服务器的了，此时网络管理员就能采取有针对性的措施来进行安全防范了。

　　自动跟踪恶意攻击记录

　　为了阻止网络中的各种病毒、木马、黑客对Windows Server 2008服务器系统造成非法攻击，许多网络管理员肯定会想方设法地要在本地服务器系统中安装各种正版的防火墙软件或杀毒程序，然而多数情况下，我们手头并没有正版的专业防火墙或杀毒软件可以使用，在这种条件下我们不妨尝试使用服务器系统内置的防火墙工具来有效保护服务器系统的运行安全性。

　　这不，Windows Server 2008服务器系统内置的防火墙具有对各种已经的检测和未知的检测进行自动记录功能，巧妙地使用该功能，我们可以让服务器系统自动跟踪记忆那些企图对服务器系统进行恶意攻击的痕迹；以后，一旦服务器系统遇到安全故障或其他威胁时，网络管理员只要及时地打开防火墙程序对应的日志记录，说不定就能从中找到攻击服务器的“罪槐祸首”了。在启用Windows Server 2008服务器系统内置防火墙的安全记录功能时，我们不妨依照如下步骤来进行：

图6 自动跟踪恶意攻击记录

　　首先以系统管理员身份登录进Windows Server 2008服务器系统，打开该系统的“开始”菜单，从中选择“运行”命令，在弹出的系统运行文本框中，输入字符串命令“gpedit.msc”，单击“确定”按钮后，打开服务器系统的组策略编辑窗口；

　　其次在该组策略编辑界面左侧显示窗格中选中“计算机配置”选项，再用鼠标依次选择该选项下面的“管理模板”/“Windows组件”/“Windows Defender”子项，从“Windows Defender”选项对应的右侧显示区域中找到“启用记录已知的正确检测”组策略项目，并用鼠标双击该项目，打开如图6所示的组策略属性设置界面，选中其中的“已启用”选项，再单击“确定”按钮，那样一来Windows Server 2008服务器系统防火墙就可以对已知文件进行跟踪测试，并将跟踪测试结果自动记录保存到对应日志文件中；

　　按照同样的操作办法，我们再依次展开“计算机配置”分支下面的“管理模板”/“Windows组件”/“Windows Defender”子项，并从“Windows Defender”子项对应的右侧显示区域中双击“启用记录未知检测”组策略选项，在其后出现的目标组策略属性设置界面中，也选中“已启用”项目，最后单击“确定”按钮，那样的话Windows Server 2008服务器系统内置的防火墙日后也会对未知的操作进行跟踪测试，并且会将跟踪测试结果保存到对应的日志文件中。以后，当Windows Server 2008服务器系统遇到安全故障时，我们只要打开相应的日志文件，说不定就能从中找到故障应对的办法了。