4、巧改组策略,强行拒绝所有远程连接

为了有效提高管理与维护服务器的操作效率,许多网络管理员一般总会在服务器系统中开启远程访问连接功能,这样的话他们就能在局域网的任何位置处都可以借助远程连接功能对服务器进行远程管理与维护,而不要芝麻大的事情都跑到服务器现场了。其实,要是在Windows服务器中将远程访问连接功能启用起来的话,那么许多非法攻击者也可能利用该功能对服务器进行非法攻击或破坏。因此,为了将服务器系统的安全隐患降低到最小限度,我们可以通过设置系统组策略的方法,来将当前已经与服务器系统建立的所有远程访问连接强行断开,下面就是该方法的具体操作步骤:

网络管理

首先依次单击本地工作站系统桌面中的“开始”/“运行”命令,在弹出的运行文本框中输入字符串命令“gpedit.msc”,单击回车键后,打开本地系统的组策略编辑窗口;

其次在组策略编辑窗口中,用鼠标逐一展开左侧列表区域中的“本地计算机策略”/“用户配置”/“管理模板”/“网络”/“网络连接”分支选项,在“网络连接”分支选项所对应的右侧显示区域中,找到“删除所有用户远程访问连接”组策略选项,并用鼠标双击该选项,进入到如图4所示的“删除所有用户远程访问连接”属性设置界面,选中该设置界面中的“已启用”项目,同时单击一下“确定”按钮,这样的话当前与服务器系统已经建立的远程访问连接都会自动被断开,那么非法用户企图对服务器系统实施的远程攻击自然也就进行不下去了。

5、巧改组策略,强制进入安全区域上网

在若干个用户共同使用相同的一台工作站进行网络访问时,要是我们事先不划定安全的上网区域,那么许多用户可能会在本地工作站中随意访问一些恶意网站,如此一来就可能给本地工作站甚至本地网络带来安全麻烦。所以,为了保护本地网络以及本地工作站的安全,我们可以尝试在公共计算机系统中,通过设置组策略的方法为普通用户划定安全上网区域,强制这些用户只能在这些安全区域中上网冲浪:

首先依次单击本地工作站系统桌面中的“开始”/“运行”命令,在弹出的运行文本框中输入字符串命令“gpedit.msc”,单击回车键后,打开本地系统的组策略编辑窗口;

其次在组策略编辑窗口中,用鼠标逐一展开左侧列表区域中的“本地计算机策略”/“用户配置”/“Windows设置”/“Internet Explorer维护”/“安全”分支选项,在“安全”分支选项所对应的右侧显示区域中,找到“安全区域和内容分级”组策略选项,并用鼠标右键单击该选项,弹出如图5所示的“安全区域和内容分级”属性设置界面;在该属性界面中的“安全区域和隐私”处,将“导入当前安全区域设置”项目选中,同时单击“修改设置”按钮,之后根据实际工作需要来为普通上网用户划定好安全冲浪区域,最后单击一下“确定”按钮结束组策略属性设置操作,如此一来普通用户日后在单位的公共计算机中,就不能随意访问Internet网络中的一些不安全网站了,那么本地网络以及本地工作站的安全性就能得到有效保证了。

网络管理

6、巧改组策略,限制用户随意上网冲浪

在节假日或下班期间,许多员工常常趁单位领导不在办公室的时候偷偷进行共享拨号上网,去访问一些可能给本地网络或工作站带来安全威胁的陌生网站,于是不少单位领导在放假或下班之前往往会要求网络管理员将本地工作站中的拨号连接删除掉,以便让员工在下班期间无法使用拨号连接进行上网访问;可是这种方法对那些比较熟悉网络的员工来说效果并不是十分明显,毕竟许多员工能够自己动手来重建新的上网连接。其实,我们可以尝试利用修改组策略的方法,来让系统拒绝员工在本地创建网络连接:

首先依次单击本地工作站系统桌面中的“开始”/“运行”命令,在弹出的运行文本框中输入字符串命令“gpedit.msc”,单击回车键后,打开本地系统的组策略编辑窗口;

其次在组策略编辑窗口中,用鼠标逐一展开左侧列表区域中的“本地计算机策略”/“用户配置”/“管理模板”/“网络”/“网络连接”分支选项,在对应“网络连接”分支选项所在的右侧显示区域中,找到“禁止访问‘新建连接向导’”组策略选项,并用鼠标右键单击该选项,弹出如图6所示的“禁止访问‘新建连接向导’”属性设置界面;将该设置界面的“已启用”项目选中,同时单击一下“确定”按钮结束组策略的属性设置操作,那样一来当员工日后尝试在本地工作站中创建新的上网连接时,系统将自动会出现无权创建的提示信息。

网络管理

7、巧改组策略,寻找共享目录访问痕迹

为了避免心术不正的非法用户在访问共享资源的过程中,做出对共享资源不安全的操作出来,我们应该想办法去跟踪追寻任何一位访问目标共享资源的用户,并对他们的访问痕迹进行全程记录;日后一旦遇到共享资源中的隐私内容被转移或删除时,我们可以通过查看相应的安全日志文件,来快速有效地找到“罪槐祸首”。通过下面的操作方法,我们就可以非常方便地跟踪普通用户访问共享资源的痕迹了:

首先打开本地工作站的资源管理器窗口,找到需要进行安全保护的目标共享目录,并用鼠标右击该共享目录图标,从其后出现的快捷菜单中单击“属性”选项,打开目标共享目录的属性设置窗口;单击该窗口中的“安全”选项卡,并在对应的选项设置页面中单击“高级”按钮,进入到目标共享资源的高级安全属性界面;在该界面中单击“审核”选项卡,再单击对应选项设置页面中的“添加”按钮。过一段时间后,工作站系统将会自动列写出所有用户帐号,此时我们不妨将有权访问该目标共享资源的用户帐号选中,同时单击“确定”按钮;在其后出现的审核项目设置界面中,我们可以按需选择一些失败和成功的审核项目,最后单击“确定”按钮结束共享目录属性设置操作。

下面依次单击本地工作站系统桌面中的“开始”/“运行”命令,在弹出的运行文本框中输入字符串命令“gpedit.msc”,单击回车键后,打开本地系统的组策略编辑窗口;在组策略编辑窗口中,用鼠标逐一展开左侧列表区域中的“本地计算机策略”/“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“审核策略”分支选项,在“审核策略”分支选项所对应的右侧显示区域中,找到“审核对象访问”选项,并用鼠标双击该选项,打开如图7所示的属性设置界面,选中该界面中的“失败”、“成功”选项,同时单击“确定”按钮结束设置操作;完成上面的设置操作后,要是我们日后发现目标共享目录遭遇什么麻烦时,就能有针对性地进入系统安全日志文件,来查看ID标号为560、562、564的相关事件记录,在这些记录文件中我们往往就能寻找到破坏共享资源安全的“痕迹”。

网络管理

  1. 利用组策略实现文件夹重定向保护文件安全
  2. 组策略管理难点之应用控制


共2页: 上一页12下一页

相关内容