巧用组策略保障系统安全

  作者:Amteam.org
2009/2/10 9:55:00
本文关键字: 网络 组网 布线

为了保护工作站系统的安全,不少朋友往往会下意识地想到使用系统自带的或第三方防火墙,来对系统进行多方面的安全“护卫”。可是在实际保护系统安全的过程中,我们有时会遇到系统防火墙因受到意外损坏而无法启用的现象,这样一来系统的安全就缺少了防火墙的“护卫”,那么系统受到非法攻击的可能性就会大大增加。事实上,在防火墙无法“护卫”系统安全的情况下,我们完全可以变换思路,从系统组策略出发,来让系统仍然享受防火墙级别的安全“护卫”!

1、预防远程入侵连接

为了有效制止非法攻击者通过网络随意攻击或访问本地工作站系统,第三方专业防火墙工具往往都会为我们提供关闭远程网络连接的功能,通过该功能我们可以随时阻止非法攻击者的入侵连接,从而保护系统的安全。但即使没有第三方专业防火墙的安全“护卫”,我们只要按照如下操作步骤修改系统的组策略,仍然能够让系统享受到这种安全“护卫”待遇:

首先依次单击本地工作站系统桌面中的“开始”、“运行”菜单命令,从弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开本地系统的组策略编辑窗口;

其次在该编辑窗口的左侧显示区域中,用鼠标逐一展开“本地计算机策略”、“用户配置”、“管理模板”、“网络”、“网络连接”分支选项,在“网络连接”分支选项所在的右侧显示区域中,找到“删除所有用户远程访问连接”项目,并用鼠标双击该项目,打开如图1所示的组策略属性设置对话框;

接着检查该对话框中的“已启用”选项是否处于选中状态,要是发现该选项还没有被启用的话,那我们必须重新将它选中,最后单击“确定”按钮,如此一来本地工作站系统日后就能享受到防火墙级别的关闭远程连接功能了。以后,非法攻击者企图通过远程连接方式来入侵本地工作站系统时,关闭远程连接功能就会强行断开非法攻击者创建的连接,那样的话工作站系统就更为安全了。

2、为资源访问设立关卡

在局域网工作环境中,对共享文件进行访问是常有的事情,为了限制任何用户随意访问共享文件,系统自带的防火墙或第三方专业防火墙都为共享资源的访问设立了关卡,禁止任何来宾用户直接访问共享内容,必须凭访问帐号才能进行共享访问。要实现这种防火墙级别的安全“护卫”目的,我们只要按照如下步骤修改工作站的组策略就可以了:

首先依次单击本地工作站系统桌面中的“开始”、“运行”菜单命令,从弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开本地系统的组策略编辑窗口;

其次将鼠标定位于编辑窗口左侧的“计算机配置”分支上,再用鼠标依次选中该分支下面的“Windows设置”、“安全设置”、“本地策略”、“用户权利指派”项目,在对应“用户权利指派”项目的右侧显示区域中,双击“拒绝从网络访问这台计算机”策略,打开如图2所示的组策略属性设置对话框;

检查来宾用户“Guest”帐号是否出现在了该对话框的列表中,倘若没有看到该帐号的话,我们必须单击其中的“添加用户或组”按钮,来将“Guest”帐号加入到该对话框中,最后单击“确定”按钮退出设置对话框,这样一来以后任何一位来宾用户就无法直接访问到本地工作站中的共享资源了,只有拥有访问帐号的用户才能看到共享内容。

3、预防暴力破解密码

安装了Windows XP系统的工作站在缺省状态下,允许每一位用户通过空用户连接方式来获取本地系统中的各类帐号信息和资源列表信息,这个功能本意是为方便管理员管理系统资源用的,而非法攻击者常常通过该功能来破坏系统安全,他们通过一些专业的黑客软件来暴力破解用户的密码信息,从而可能会给本地工作站或整个网络带来非常大的安全隐患。有鉴于此,许多专业的防火墙一般都为我们提供了预防暴力破解共享访问密码的功能,事实上简单地对系统组策略进行编辑,也能达到预防暴力破解密码的目的,下面就是修改组策略的具体步骤:

首先依次单击本地工作站系统桌面中的“开始”、“运行”菜单命令,从弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开本地系统的组策略编辑窗口;

其次在该编辑窗口的左侧显示区域,用鼠标依次选中“本地计算机策略”、“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“安全选项”项目,在“安全选项”项目所对应的右侧列表区域中,找到“网络访问:不允许SAM帐号和共享的匿名枚举”选项,并用鼠标双击该选项,打开如图3所示的组策略属性设置对话框;

下面检查一下该对话框中的“已启用”选项是否处于选中状态,要是发现该选项还没有被启用的话,那我们必须重新将它选中,最后单击“确定”按钮,如此一来本地工作站中的共享资源访问密码就不大容易被暴力破解了。

4、限制运行特定程序

无论是系统自带的防火墙还是第三方防火墙都具有限制运行特定应用程序的功能,该功能能够有效地限制外人在自己的工作站中随意运行应用程序,比方说当我们不希望他人在自己的工作站中运行FlashGet程序,来随意从网上下载内容时,我们就可以按照下面的操作来实现防火墙所具有的限制运行特定程序的安全“护卫”目的:

首先依次单击本地工作站系统桌面中的“开始”、“运行”菜单命令,从弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开本地系统的组策略编辑窗口;

其次将鼠标定位于编辑窗口左侧的“计算机配置”分支上,再用鼠标依次选中该分支下面的“Windows设置”、“安全设置”、“软件限制策略”、“其他规则”项目,在“其他规则”项目所对应的右侧显示区域中,用鼠标右键单击空白区域处,从弹出的快捷菜单中单击“新路径规则”命令,打开如图4所示的设置对话框;

下面,在该对话框的“路径”文本框中输入FlashGet程序的具体路径,或者直接单击“浏览”按钮,进入到FlashGet程序所在的文件夹,从中选择FlashGet.exe文件;之后单击“安全级别”处的下拉按钮,从弹出的下拉列表中选择“不允许的”选项,最后单击“确定”按钮,这样一来本地工作站就不允许用户随意使用FlashGet程序来下载内容了。

5、提高内置防火墙安全性能

Windows系统自带的防火墙在默认状态下,与一些专业的第三方防火墙在安全性能方面还是有不小的差距;不过,我们只要对系统的组策略进行有针对性地修改,就能有效提高系统内置防火墙的安全性能:

首先依次单击本地工作站系统桌面中的“开始”、“运行”菜单命令,从弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开本地系统的组策略编辑窗口;

其次将鼠标定位于编辑窗口左侧的“计算机配置”分支上,再用鼠标依次选中该分支下面的“管理模板”、“网络”、“网络连接”、“Windows防火墙”、“标准配置文件”选项,在对应“标准配置文件”选项的右侧显示区域中双击“Windows防火墙:保护所有网络连接”项目,打开如图5所示的组策略属性设置对话框;

下面检查一下该对话框中的“已启用”选项是否处于选中状态,要是发现该选项还没有被启用的话,那我们必须重新将它选中,最后单击“确定”按钮,这样的话我们就能防止他人随意关闭本地防火墙,从而给工作站系统带来安全威胁了。

此外,我们还可以将“Windows防火墙:允许UPnP框架例外”功能启用起来,将“Windows防火墙:允许文件和打印机共享例外”功能启用起来,这些功能都能充分发挥防火墙的安全“护卫”作用。

责编:
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918