网络管理 向系统组策略要安全(1)

网络管理 向系统组策略要安全(1)

为了让局域网网络尽可能地安全运行，许多网络管理人员可谓动足了脑筋，他们纷纷将各式各样的专业安全防范工具“请”到本地局域网中，以保证本地网络远离各种非法安全攻击。事实上，许多时候我们常常会面对手头没有任何专业安全防范工具的窘境，在这样的情形下我们难道对网络安全只能无动于衷吗?答案是否定的!其实Windows系统本身就为我们提供了许多安全设置功能，巧妙地使用这些功能，我们完全可以赤手空拳地应对网络安全问题。这不，本文现在就借助系统组策略，来向各位推荐几则保证网络安全运行的诀窍，希望下面的内容能对大家有所启发!

1、巧改组策略，禁止他人非法更改地址

在不少中小单位的局域网网络环境中，许多网络管理员一般都为普通工作站分配一个静态IP地址，然后针对不同IP地址的工作站分配相应的访问权限。正是因为不同IP地址的工作站具有不同级别的访问权限，所以单位局域网中常有非法用户通过修改IP地址的方式来获取一些特殊的操作权限。很显然，这种行为是不正当的、不安全的，很容易导致局域网网络中频繁发生IP地址冲突等故障，所以这种网络管理难题时常会困扰着每一位网络管理人员。用一种比较恰当、得体的方法限制普通用户随意修改IP地址，是解决IP地址频繁发生故障的良方。下面，我们就通过设置系统组策略，来达到禁止他人非法更改IP地址的目的：

首先依次单击本地工作站系统桌面中的“开始”/“运行”命令，在弹出的运行文本框中输入字符串命令“gpedit.msc”，单击回车键后，打开本地系统的组策略编辑窗口;

其次在组策略编辑窗口中，用鼠标逐一展开左侧列表区域中的“本地计算机策略”/“用户配置”/“管理模板”/“网络”/“网络连接”分支选项，在对应“网络连接”分支选项的右侧列表区域中用鼠标双击“禁止访问LAN连接的属性”选项，打开如图1所示的“禁止访问LAN连接的属性”设置窗口，将该设置窗口中的“已启用”项目选中，单击“确定”按钮退出组策略编辑窗口(要是日后我们想开放IP地址修改权限，只需将图1界面中的“未配置”项目选中就可以了)。

完成上面的设置操作后，我们再用鼠标双击系统任务栏右下方的本地连接图标，在其后出现的界面中我们发现属性按钮已经变成灰色，这样一来普通用户就无法打开网络属性设置窗口，自然也就不能非法修改本地工作站的IP地址了。

2、巧改组策略，禁止外人随意改防火墙

大家知道，在默认状态下工作站系统会自动启用自带防火墙程序，以便保护本地网络以及工作站的运行安全，然而这样的话有不少应用程序在默认状态下往往无法正常运行，不得已许多普通用户常常会乱做主张地将系统自带防火墙程序临时禁用掉，可是如此一来本地局域网网络可能会受到各式各样的安全威胁。那么我们该如何将防火墙程序“锁定”起来，以阻止非法用户胡乱篡改防火墙设置呢?事实上，我们可以尝试对系统的组策略进行相关设置，就能实现禁止外人随意改防火墙的目的，下面就是具体的实现方法：

首先依次单击本地工作站系统桌面中的“开始”/“运行”命令，在弹出的运行文本框中输入字符串命令“gpedit.msc”，单击回车键后，打开本地系统的组策略编辑窗口;

其次在组策略编辑窗口中，用鼠标逐一展开左侧列表区域中的“本地计算机策略”/“计算机配置”/“管理模板”/“网络”/“网络连接”分支选项，在“网络连接”分支选项下面包含“域配置文件”、“标准配置文件”这两个子项，要是本地局域网是以域形式组网的话，那我们在这里必须将“域配置文件”项目选中，之后在“域配置文件”子项所对应的右侧显示区域中，找到“Windows防火墙：保护所有网络连接”组策略项目，并用鼠标双击该项目，进入到如图2所示的“域配置文件”属性窗口，将该窗口中的“已启用”选项选中，再单击一下“确定”按钮结束“域配置文件”属性设置操作;

完成上面的设置操作后，我们可以尝试再次打开防火墙属性设置界面，此时大家将会看到该设置界面的“启用”选项已经变成灰色调了，这也就说明本地工作站中的防火墙程序已经被我们“锁定”成功了，日后任何企图修改防火墙配置的用户都将无法胡乱更改本地防火墙的参数设置了，如此一来本地局域网以及工作站的安全就能有了保障!

3、巧改组策略，谨防共享密码遭遇破解

在缺省状态下Windows工作站会允许任意一位普通访问用户利用空用户连接方式获取本地系统中的所有用户帐号以及共享资源列表信息，Windows启用该功能的初衷是为了方便普通用户在局域网环境中互相交流、传输共享信息用的;不过，在尽情享受该缺省开放功能给自己带来便利的同时，该开放功能也有可能会给我们带来一定的安全威胁，因为许多非法攻击者能偷偷利用该功能获取本地工作站中的所有用户帐号以及共享资源列表信息，要是获取到这些信息后非法用户可能就会利用暴力破解方法得到本地用户的核心密码信息，这么一来本地局域网的安全性就会受到空前的威胁。为了避免非法用户利用暴力手段破解网络共享密码信息，我们可以按照如下步骤设置系统组策略，来拒绝一般访问用户通过匿名帐号来随意访问和存取本地系统中的所有用户帐号以及共享资源列表信息：

首先依次单击本地工作站系统桌面中的“开始”/“运行”命令，在弹出的运行文本框中输入字符串命令“gpedit.msc”，单击回车键后，打开本地系统的组策略编辑窗口;

其次在组策略编辑窗口中，用鼠标逐一展开左侧列表区域中的“本地计算机策略”/“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“安全选项”分支选项，在对应“安全选项”分支选项所在的右侧显示区域中，找到“网络访问：不允许SAM账号和共享的匿名枚举”组策略选项，并用鼠标双击该选项，打开如图3所示的“网络访问：不允许SAM账号和共享的匿名枚举”属性设置窗口，选中该设置窗口中的“已启用”项目，再单击一下“确定”按钮结束组策略属性设置操作，这样的话任何一位普通访问用户日后就会无法利用空用户连接方式获取本地系统中的所有用户帐号以及共享资源列表信息了，那么本地局域网中的共享资源就不会被非法用户随意破解了。