巧用组策略确保网络安全(1)(2)
时间:2018-05-03 12:56 来源:网络整理 作者:墨客科技 点击:次
5、禁止匿名用户访问共享 在Windows XP工作站系统中,匿名用户在缺省状态下一般会拥有和“Everyone”帐号相同的访问权限,倘若网络管理人员随意给“Everyone”帐号分配比较高的共享资源访问权限时,那么这些匿名用户随之也会自动获得对应的共享访问权限,很明显这会给共享资源的安全带来不小的威胁。为了保证共享资源不对匿名用户开放,我们必须通过下面的操作方法,来禁止匿名用户访问本地网络中的共享资源: 首先单击系统桌面中的“开始”按钮,从弹出的系统“开始”菜单中执行“运行”命令,打开本地系统的运行对话框,在其中输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开本地工作站的系统组策略编辑窗口; 其次在该组策略编辑窗口的左侧列表区域,用鼠标双击其中的“计算机配置”项目,在随后展开的组策略分支下面,依次选中“Windows设置”、“安全设置”、“本地策略”、“安全选项”项目,在“安全选项”项目对应的右侧列表区域中,用鼠标双击“网络访问:让每个人权限应用于匿名用户”项目,打开如图5所示的组策略属性设置窗口;在该设置窗口中将“已禁用”选中,并单击“确定”按钮,如此一来匿名用户就没有足够权利访问到本地局域网中的共享资源了。
图5 6、断开所有远程网络连接 不少网络管理人员为了提高服务器的管理效率,常常会开通服务器的远程访问连接功能,以便在局域网的任何工作站中都能通过该功能远程管理服务器。事实上,一旦在Windows服务器系统中开通了远程访问连接功能,许多黑客或非法攻击者也可能利用该功能对服务器进行非法攻击或破坏。所以,为了将服务器的安全隐患降低到最小限度,我们必须及时切断所有远程访问连接,下面就是具体的实现步骤: 首先单击系统桌面中的“开始”按钮,从弹出的系统“开始”菜单中执行“运行”命令,打开本地系统的运行对话框,在其中输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开本地工作站的系统组策略编辑窗口; 其次在该组策略编辑窗口的左侧列表区域,用鼠标双击其中的“用户配置”项目,在随后展开的组策略分支下面,依次选中“管理模板”、“网络”、“网络连接”项目,在“网络连接”项目对应的右侧列表区域中,用鼠标双击“删除所有用户远程访问连接”项目,打开如图6所示的组策略属性设置窗口;在该设置窗口中将“已启用”选中,并单击“确定”按钮,如此一来服务器中所有已经创建的远程访问连接都会被强行断开了,那么黑客或非法攻击者也就无法对服务器进行远程攻击或破坏了。
图6 7、指定安全上网区域 在多人共享一台工作站上网的办公环境中,我们如果事先不指定安全上网区域,本地工作站很容易遭受非法网站的安全攻击,从而有可能给本地局域网带来安全威胁。为此,我们最好在共用工作站系统中,通过设置系统组策略的方法指定好安全的上网区域,下面就是具体的设置操作步骤: 首先单击系统桌面中的“开始”按钮,从弹出的系统“开始”菜单中执行“运行”命令,打开本地系统的运行对话框,在其中输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开本地工作站的系统组策略编辑窗口; 其次在该组策略编辑窗口的左侧列表区域,用鼠标双击其中的“用户配置”项目,在随后展开的组策略分支下面,依次选中“Windows设置”、“Internet Explorer维护”、“安全”项目,在“安全”项目对应的右侧列表区域中,用鼠标双击“安全区域和内容分级”项目,打开如图7所示的组策略属性设置窗口;在该设置窗口中的“安全区域和隐私”处,选中“导入当前安全区域设置”,再单击一下对应选项旁边的“修改设置”按钮,来重新将我们自己认为比较安全的上网区域指定好,最后单击“确定”就能使设置生效了。
图7 8、杜绝随意篡改上网参数 (责任编辑:admin) |
