善用系統功能增強安全保護能力

相信拜讀過《生化危機》的朋友，都會希望自己能化身為功能強大的變異人，因為他們在遭遇傷害后會利用特異功能自動愈合傷口，從而成就自己的不死之身。在使用過Windows2008系統之后，不知道大家對該系統有什么樣的感覺？經過一段時間的試用，筆者認為該系統就是自己眼中的變異系統，因為該系統每次遇到安全威脅時，總能依靠自身的功能組件進行安全防范。現在，本文就利用Windows2008系統自帶的功能，來提升該系統的安全防范等級！

啟用系統備份組件

大家知道，Windows2008系統一般都是作為服務器系統使用的，因此工作中保存的許多重要數據信息往往都會存儲在該系統中，不過這些重要數據信息受到的安全威脅也比較大，畢竟服務器系統要求始終在線運行，這很容易造成硬盤損壞或系統宕機，這樣保存在系統或硬盤中的數據文件自然容易會丟失了，為了妥善保護好這些重要數據，我們應該定期對它們進行備份。為了幫助用戶高效備份數據，Windows2008系統全新設計了WindowsServerBackup功能組件，巧妙利用該組件，我們能根據實際需求很靈活地備份服務器系統中的重要數據信息，下面就是具體的備份步驟：

首先在Windows2008系統桌面上依次單擊“開始”|“程序”|“管理工具”|“服務器管理器”命令，切換到服務器管理器界面中，將鼠標定位到“功能”分支上，點擊目標分支下的“添加功能”按鈕，彈出如圖1所示的系統功能組件列表界面。檢查WindowsServerBackup組件選項有沒有被選中，如果發現其還沒有被選中時，應該將其重新選中，并按“下一步”按鈕，之后按照默認設置完成組件安裝操作，這樣Windows2008系統的數據備份組件就被成功啟用了。

日后需要對服務器中的重要數據進行備份時，可以依次單擊“開始”|“程序”|“管理工具”命令，切換到Windows2008系統的管理工具列表界面，用鼠標雙擊其中的“WindowsServerBackup”圖標，打開備份程序主界面，點選操作列表區域中的“一次性備份”按鈕，展開備份向導設置框，依照提示逐一選中“不同選項”|“整個服務器”|“本地驅動器”等功能選項，再指定好數據備份存儲位置，并按“完成”按鈕，這樣Windows2008系統中整個服務器中的重要數據就會被備份保存到指定位置了。

以后，重要數據受到損壞需要恢復時，只要按前面的操作進入WindowsServerBackup主程序界面，按下操作列表區域中的“恢復”按鈕，切換到數據恢復向導設置框，設置好數據恢復類型、指定好要恢復的內容、配置好相關恢復選項，再導入原始備份數據，這樣就能將受損的數據文件快速恢復了。

啟用密碼保護共享

在局域網工作環境中，有時為了工作需要，我們將Windows2008系統中的某些文件夾設置成了共享狀態，不過這些共享文件夾在給工作帶來便利的同時，也容易受到局域網惡意用戶的偷窺，這么說來，共享發布到網絡中的資源就不安全了？其實，為了保護共享文件夾安全，Windows2008系統特意針對共享訪問開發了密碼保護功能，我們可以對該系統中的共享文件夾強制進行加密保護，其他用戶只有知道訪問密碼才能進行共享訪問，不知道共享密碼的用戶在訪問時就會遇到故障。在使用密碼保護共享功能保護共享文件夾安全時，我們可以按照如下操作來設置Windows2008系統：

首先將密碼保護共享功能啟用起來。依次單擊Windows2008系統桌面上的“開始”|“設置”|“控制面板”命令，彈出系統控制面板界面，用鼠標雙擊其中的網絡和共享中心圖標，找到網絡和共享中心窗口中的“共享和發現”設置項，點擊“密碼保護的共享”右側的下拉按鈕，展開如圖2所示的設置區域，選擇“啟用密碼保護的共享”選項，單擊“應用”按鈕返回。

其次為需要保護的共享文件夾設置安全的訪問密碼。依次單擊“開始”|“程序”|“附件”|“Windows資源管理器”命令，彈出系統資源管理器界面，從中找到需要保護的文件夾，并用鼠標右鍵單擊該文件夾圖標，執行右鍵菜單中的“共享”命令，打開共享設置向導對話框，在這里將本地計算機中設置了密碼的用戶賬號逐一導入添加進來，并按“確定”按鈕保存設置，這樣所有人日后只有憑密碼才能成功訪問到共享文件夾。

啟用增強安全配置

大家知道，綁定在Windows系統中的IE瀏覽器天生安全防范能力很差，病毒木馬程序通過它的許多漏洞，能很輕松地對本地系統進行非法攻擊。很明顯，想辦法對系統自帶IE瀏覽器的使用進行嚴格限制，能在一定程度上改善上網訪問時的安全防范能力。在Windows2008計算機系統中，我們能通過新開發的IE增強安全配置功能，來對IE瀏覽器的使用進行控制，不讓普通權限的用戶任意改變IE瀏覽器默認較高的安全等級，從而讓本地系統遠離網絡病毒或木馬程序的攻擊，下面就是IE增強安全配置功能的具體啟用步驟：

首先將已經啟動運行的IE瀏覽程序關閉掉，并返回Windows2008系統桌面，逐一點選“開始”|“程序”|“管理工具”|“服務器管理器”選項，切換到Windows2008系統的服務器管理器窗口，將鼠標定位到該窗口右側區域的“安全信息”節點上。

其次點選目標節點下的“配置IEESC”選項，打開如圖3所示的IE增強安全配置對話框，在這里我們看到默認狀態下，IE增強安全配置同時適用于Administrator組用戶和User組用戶，如果發現這里的“管理員”和“用戶”處的“啟用”選項還沒有選中時，應該及時重新選中，同時按“確定”按鈕返回，這樣IE增強安全配置功能日后就會強制IE瀏覽器處于最高安全等級，該安全等級會關閉所有漏洞，這樣病毒木馬日后就無法通過IE瀏覽器進行非法攻擊了，那么用戶上網訪問時的安全性自然就能得到保護了。

啟用網絡身份驗證

作為服務器使用的Windows2008系統，為了增強自身安全性，特意開發設計了網絡級身份驗證功能，該功能會自動禁止那些版本比較低、漏洞比較多的操作系統與之建立遠程桌面連接。很顯然，巧妙利用Windows2008系統的網絡身份驗證功能，可以禁止病毒、木馬程序靠近本地系統，從而達到提升Windows2008系統運行安全的目的，下面就是具體的啟用步驟：

首先打開Windows2008系統桌面中的“開始”菜單，從中依次選擇“程序”|“管理工具”|“服務器管理器”選項，彈出Windows2008系統的服務器管理器窗口，選中“服務器管理”分支，在目標分支下面的“服務器摘要”處選擇“配置遠程桌面”選項，切換到如圖4所示的遠程桌面設置界面。

其次檢查該界面中的“只允許運行帶網絡級身份驗證的遠程桌面的計算機連接”選項有沒有被選中，如果發現其沒有被選中時，應該立即重新選中它，再單擊“確定”按鈕返回，這樣Windows2008系統新增的網絡身份驗證功能就會被成功啟用了。以后，局域網中有計算機想與Windows2008系統建立遠程桌面連接時，必須確保安裝使用版本更高、漏洞更少的操作系統，例如Vista、Windows7系統等。

啟用網絡訪問保護

在單位局域網中，如果某位員工的計算機系統不小心被感染了病毒木馬程序，那么整個局域網中的其他計算機系統都容易被同時感染上病毒。很明顯，為了讓單位局域網遠離病毒木馬程序的攻擊，我們應該對普通員工的計算機系統網絡接入連接進行限制，拒絕那些感染了病毒的不安全系統接入到單位局域網中。要達到這樣的限制目的，只要利用Windows2008系統自帶的網絡訪問保護功能，來對網絡接入連接進行保護控制即可，下面就是這項功能的具體啟用步驟：

首先要將網絡訪問保護組件安裝起來。Windows2008系統缺省狀態下并沒有對網絡訪問保護組件進行安裝，我們在該系統的“開始”菜單中，逐一點選“程序”|“管理工具”|“服務器管理器”選項，切換到服務器管理器窗口，將鼠標定位到“角色”分支上，按下目標分支下的“添加角色”功能，打開添加角色向導對話框，將“網絡策略和訪問服務”選項選中，同時按“安裝”按鈕，并按照默認設置安裝好網絡訪問保護組件。

其次配置好計算機系統健康安全標準。什么樣的計算機系統才是安全的、健康的呢？這需要用戶通過配置來決定！比方說，通常大家都認為計算機系統只要安裝了防病毒軟件、防火墻程序，以及可以在線更新病毒庫，就是安全的、健康的，那么我們只要將這些標準配置到系統健康驗證器中即可。在進行配置操作時，可以依次展開服務器管理器窗口中的“角色/網絡策略和訪問服務/NPS/網絡訪問保護”分支，雙擊目標分支下的“系統健康驗證器”，單擊其后界面中的“配置”按鈕，再將“防病毒應用程序已啟用”、“已為所有網絡連接啟用防火墻”、“防病毒程序為最新的”等選項全部選中，這樣就配置好計算機系統的健康安全標準了。

第三要創建好計算機安全與否的驗證策略。比方說，在創建安全計算機驗證策略時，只要將鼠標定位到“網絡策略服務器/策略/健康策略”分支上，在目標分支下按“新建”按鈕，打開如圖5所示的創建對話框，將新創建的驗證策略名稱設置為“安全計算機”，從“客戶端SHV檢查”下拉列表中，將“客戶端通過了所有SHV檢查”選中，并在“此健康策略中使用的SHV”位置處選中“Windows安全健康驗證程序”選項，該健康驗證程序其實就是剛剛配置定義的健康安全標準，再單擊“確定”按鈕返回。按照同樣的操作方法，創建一個不安全計算機的驗證策略，只是要從“客戶端SHV檢查”下拉列表中選擇“客戶端未能通過一個或多個SHV檢查”選項，其余設置都不變就可以了。

第四定義好網絡連接策略，要求計算機系統必須接受安全體檢。在定義網絡連接策略時，必須先將鼠標定位到服務器管理器界面中的“網絡策略和訪問服務/NPS/策略/網絡策略”分支上，在目標分支下按“新建”按鈕，在其后界面的“策略名稱”文本框中輸入“健康連接”，將“網絡訪問服務器類型”選擇為“DHCPServer”參數，并按“添加”按鈕，之后將“選擇條件”調整為剛剛配置好的“安全計算機”策略，下面逐一點選“僅執行計算機健康檢查”、“已授予訪問權限”等選項，再將“策略設置”設置為“NAP強制允許完全網絡訪問”參數，最后單擊“完成”按鈕退出設置操作。按照同樣的操作方法，再配置一個“不健康連接”策略，具體設置與之前的完全相同，僅需將“選擇條件”調整為“不安全計算機”策略，并且將“策略設置”參數改為“拒絕訪問”即可。

到了這里，Windows2008系統自帶的網絡訪問保護功能就能為網絡提供安全保護了。為了讓網絡提供安全保護功能自動發揮作用，我們還要對局域網的DHCP服務進行合適配置，讓局域網中所有計算機的網絡連接請求借助DHCP服務提交給網絡訪問保護功能進行處理。在配置DHCP服務時，只要依次單擊Windows2008系統開始菜單中的“程序”|“管理工具”命令，逐一雙擊“服務器管理器”|“DHCP”圖標，展開DHCP服務器控制臺界面，打開特定域屬性設置框，選擇“網絡訪問保護”選項卡，將對應選項設置頁面中的“對此作用域啟用”、“使用默認網絡訪問保護配置文件”等選項全部選中，最后單擊“確定”按鈕完成設置操作。如此一來，局域網特定域中的所有計算機在連接局域網時，都會自動受到網絡訪問保護功能的檢查、驗證，那么計算機系統中的病毒木馬程序就不能通過網絡隨意傳播了。

啟用任務附加事件

黑客攻擊計算機系統時，經常使用的招式，就是想方設法將木馬程序植入到本地系統，并利用木馬程序悄悄在本地系統后臺創建陌生登錄賬號，以后利用陌生賬號達到隨時攻擊、破壞系統的目的。為了讓本地系統遠離黑客攻擊，我們不妨通過Windows2008系統不斷增強的任務附加事件功能，來動態監控系統中用戶賬號管理事件，日后只要系統中有賬號刪除或賬號創建事件發生，該功能就能通過事先設定的報警方式通知系統管理員，系統管理員根據具體提示采取針對性措施進行防范，就能阻止黑客繼續攻擊本地系統了。在利用Windows2008系統的任務附加事件功能動態監控賬號管理安全時，可以按如下步驟來實施：

首先從Windows2008系統的開始菜單中點選“運行”選項，打開系統運行對話框，輸入“secpol.msc”命令，單擊回車鍵后，彈出本地系統的安全策略編輯界面；在該界面左側列表區域逐一展開“本地策略”|“審核策略”分支，在目標分支下用鼠標雙擊“審核賬戶管理”策略，打開如圖6所示的策略屬性框，將“成功”、“失敗”等選項都選中，并單擊“確定”按鈕保存設置，這樣系統就能對賬號管理的成功操作和失敗操作進行審核記錄了。

其次從Windows2008系統開始菜單中逐一點選“程序”|“管理工具”|“服務器管理器”命令，進入Windows2008系統的服務器管理器窗口，將鼠標定位到“配置”|“本地用戶和組”|“用戶”分支上，并用鼠標右鍵單擊該分支選項，執行快捷菜單中的“新用戶”命令，在其后界面中自由創建創建一個系統登錄賬號，該賬號創建操作會被系統的審核功能記錄保存到安全日志文件中了。

接著用鼠標右鍵單擊Windows2008系統桌面中的“計算機”圖標，執行右鍵菜單中的“管理”命令，打開計算機管理窗口，將鼠標定位到“系統工具”|“事件查看器”|“Windows日志”|“安全”分支上，從目標分支下找到之前創建的用戶賬號管理事件，用鼠標右鍵單擊目標事件，執行快捷菜單中的“將任務附加到此事件”命令，切換到創建任務設置框，依照屏幕提示定義好自動警告內容和警告方式，同時單擊“完成”按鈕結束自動警告任務的添加操作。

如此一來，木馬程序日后嘗試偷偷在Windows2008系統中創建或刪除陌生賬號時，啟用任務附加事件功能就能自動彈出警告內容，告訴用戶此時系統中賬號有異常變化，用戶看到該警告提示時，只要進入系統用戶賬號管理窗口，檢查是否有陌生賬號存在，一旦確認陌生賬號是惡意賬號時，必須立即將它們刪除，這樣本地系統的運行安全就能得到保證了。

啟用數據執行保護

現在不少應用程序自身會有許多安全漏洞，如果將這類存在太多漏洞的程序安裝在Windows2008系統中時，病毒木馬程序就容易利用這些應用程序漏洞來攻擊本地系統。為了切斷病毒木馬程序的攻擊通道，Windows2008系統特意為用戶提供了數據執行保護功能，借助該功能我們可以很方便地對存在安全漏洞的應用程序加以數據保護，確保它們在訪問網絡時不被病毒木馬利用，下面就是啟用數據執行保護功能的具體步驟：

首先在Windows2008系統桌面中用鼠標右鍵單擊“計算機”圖標，從快捷菜單中執行“屬性”命令，切換到系統屬性設置界面，按下該界面左側列表區域中的“高級系統設置”按鈕，彈出高級系統屬性設置框；

其次在“性能”設置項按下“設置”按鈕，切換到系統性能配置框，選擇“數據執行保護”選項卡，打開如圖7所示的選項設置頁面，看看存在安全漏洞的應用程序是否已經出現在“為除下列選定程序之外的所有程序和服務啟用”列表中了，要是發現其已經出現的話，只要選中這些漏洞程序，并按“刪除”按鈕依次刪除它們，最后單擊“確定”按鈕執行設置保存操作，這樣安裝在Windows2008系統中的漏洞應用程序，就能受到數據執行保護功能提供的安全保護了，而病毒黑客或木馬將不會輕易通過應用程序的漏洞攻擊本地系統了。

考慮安全起見，Windows2008系統默認安裝的應用程序很少，所以默認狀態下數據執行保護功能也沒有被啟動運行。在啟用這項功能時，可以從Windows2008系統開始菜單中逐一點選“程序”|“附件”|“命令提示符”選項，切換到MS-DOS工作窗口，在命令行中輸入字符串命令“bcdedit.exe/set{current}nxAlwaysOn”，單擊回車鍵即可。