改善Windows 2008安全上網沖浪能力

現在，很多單位服務器主機安裝使用的都是Windows 2008系統，相比傳統的操作系統，該系統的安全能力顯然要更強一些，不過，默認狀態下較高的安全保護設置，讓管理員無法在該系統下，利用上網瀏覽方式高效快捷地獲取網管信息，不得已，有的管理員只好降低Windows 2008系統的安全防范設置，以利于方便上網沖浪。可是這么一來，Windows 2008系統在上網沖浪過程中，受到的安全威脅就會增大。那么如何調整Windows 2008系統設置，讓其既可以確保用戶上網沖浪方便，又能讓上網安全高枕無憂呢？

禁止漏洞程序上網

在上網沖浪的時候，一些惡意網站背后的網絡病毒或木馬，有時會利用安裝在Windows 2008系統中的特定程序漏洞，來對本地系統偷偷發動非法攻擊。為了避免這種類型的非法攻擊，我們不妨巧妙通過Windows 2008系統內置的高級防火墻程序，禁止網絡病毒或木馬程序，偷偷利用特定程序漏洞訪問Windows 2008系統，下面就是詳細的操作步驟：

首先依次點擊Windows 2008系統桌面中的“開始”|“運行”命令，彈出系統運行文本框，在其中執行“gpedit.msc”命令，展開系統組策略編輯器窗口。在該窗口左側列表區域中，逐一選擇“本地計算機策略”|“計算機配置”|“Windows設置”|“安全設置”|“高級安全Windows防火墻”|“高級安全Windows防火墻——本地組策略對象”節點選項。找到該節點下的“入站規則”選項，并用鼠標右鍵單擊之，執行右鍵菜單中的“屬性”命令，彈出入站規則創建對話框。

其次按照向導提示，將入站規則類型設置為“程序”，將“此程序路徑”選項選中，并點擊“瀏覽”按鈕，彈出文件選擇對話框，將存在明顯漏洞的應用程序添加進來，之后會出現如圖1所示的設置對話框，將這里的“阻止連接”選項選中，同時為新創建的入站規則定義好適當的名稱，按下“完成”按鈕返回。

日后，當惡意網站中的病毒或木馬程序，嘗試通過特定程序的漏洞攻擊Windows 2008系統時，對應系統內置高級防火墻程序就會禁止來自特定程序的數據包進入本地系統，這樣Windows 2008系統的安全性就有保證了。

啟用記錄未知檢測

有道是“道高一尺，魔高一丈”，在上網沖浪的時候，無論怎么小心謹慎，有時仍然不能避免各種已知或未知的非法攻擊。這個時候，可以通過Windows 2008系統內置的高級防火墻，自動檢測和記錄各種非法攻擊，以總結出有關攻擊規律，拿出行之有效的防范辦法。

首先在Windows 2008系統桌面中，依次點擊“開始”|“運行”選項，彈出系統運行對話框，在其中執行“gpedit.msc”命令，展開系統組策略編輯器窗口，在該窗口左側顯示區域中，將鼠標定位到“本地計算機策略”|“計算機配置”|“管理模板”|“Windows組件”|“Windows Defender”節點上，找到該節點下的“啟用記錄已知的正確檢測”組策略，并用鼠標雙擊之，打開如圖2所示的組策略屬性對話框，檢查“已啟用”選項是否處于選中狀態，要是發現其還沒有被選中時，應該將其重新選中，確認后返回，這樣Windows系統高級防火墻日后就能自動檢測已知類型文件，并會將檢測結果記錄保存到系統日志文件中。

按照相同的操作方法，將鼠標定位到“本地計算機策略”|“計算機配置”|“管理模板”|“Windows組件”|“Windows Defender”節點上，找到該節點下的“啟用記錄未知檢測”組策略，并用鼠標雙擊之，在其后彈出的編輯對話框中，將“已啟用”選項選中，點擊“確定”按鈕保存設置操作，這樣Windows系統高級防火墻也能對未知的操作跟蹤測試，并會將檢測結果保存到系統日志文件中。日后，定期打開相關日志內容，或許就能從中總結出有效的安全防范措施了。

禁止改變安全級別

很多時候，Windows 2008系統會被當成服務器操作系統使用，而在服務器環境下，如果隨意使用IE瀏覽器上網沖浪時，很容易引來安全麻煩。為了保護上網訪問安全，我們應該設置Windows 2008系統，始終以最高的安全等級上網訪問，同時要禁止普通用戶隨意修改系統自帶瀏覽器的安全訪問等級，下面就是具體的設置步驟：

首先依次點擊“開始”|“運行”選項，在彈出的系統運行文本框中，執行“gpedit.msc”命令，展開系統組策略編輯器窗口。在該窗口的左側列表中，逐一跳轉到“本地計算機策略”|“用戶配置”|“管理模板”|“Windows組件”|“Internet Explorer”、“Internet控制模板”節點上，找到該節點下的“禁用安全頁”組策略，并用鼠標雙擊之，打開如圖3所示的組策略屬性對話框。選中這里的“已啟用”選項，單擊“確定”按鈕保存設置操作，這樣系統自帶瀏覽器的安全設置頁面就被隱藏起來了，日后普通用戶就無法進入安全設置頁面，自由改動服務器系統的安全上網級別了。

此外，要想控制普通用戶任意改變系統自帶瀏覽器的其他設置時，可以直接隱藏瀏覽窗口中的“Internet選項”命令。在進行該操作時，先打開系統組策略編輯器窗口，將鼠標定位到“本地計算機策略”|“用戶配置”|“管理模板”|“Windows組件”|“Internet Explorer”|“瀏覽器菜單”節點上，找到該節點下的禁用“Internet選項”組策略，并用鼠標雙擊之，再選中其后界面中的“已啟用”選項，確認后保存設置即可。

不讓網絡病毒藏身

面對層出不窮的網絡病毒，除了要用好殺毒軟件外，還要加強個人的安全防范意識。這不，現在很多狡猾、頑固的病毒程序，為了能夠避開殺毒軟件的“圍剿”，常常會努力將病毒文件隱藏在系統臨時文件夾，這樣殺毒軟件日后即使發現了病毒的“身影”，也不能將它清除，畢竟殺毒軟件無權修改系統臨時文件夾。為了不讓網絡病毒藏身于系統臨時文件夾中，不妨嘗試對Windows 2008系統進行如下設置操作：

首先依次點擊“開始”|“運行”選項，打開系統運行文本框，在其中執行“gpedit.msc”命令，彈出系統組策略編輯器界面。在該界面的左側列表中，將鼠標定位到“本地計算機策略”|“計算機配置”|“Windows設置”|“安全設置”|“軟件限制策略”|“其他規則”節點上，用鼠標右鍵單擊“其他規則”，從彈出的右鍵菜單中點擊“新建路徑規則”選項，切換到如圖4所示的選項對話框。

其次點擊“瀏覽”按鈕，打開文件添加對話框，將Windows 2008系統的臨時文件夾選中并添加進來，并設置“安全級別”為“不允許”，確認后返回，這樣網絡病毒就無法在系統臨時文件夾中藏身了。

不讓文件自動下載

在安全上網級別比較低的時候，通過Windows 2008系統內置IE瀏覽器上網訪問內容時，或許會遇到一些非法程序利用網頁，偷偷自動下載安裝到本地計算機中，這既容易白白浪費有限的硬盤空間資源，又容易給服務器系統的安全運行帶來麻煩。為了讓Windows 2008系統遠離非法攻擊，我們不妨對系統進行下面的修改操作，不讓網頁中的惡意程序利用IE瀏覽頁面，自動下載保存到本地硬盤中：

首先依次點擊“開始”|“運行”命令，打開系統運行文本框，在其中執行“gpedit.msc”命令，展開服務器系統的組策略控制臺窗口。在該窗口的左側列表中，將鼠標到“本地計算機策略”|“計算機配置”|“管理模板”|“Windows組件”|“Internet Explorer”|“安全功能”|“限制文件下載”節點上，找到該節點下的“Internet Explorer進程”組策略，并用鼠標雙擊之，彈出如圖5所示的組策略屬性對話框。

其次看看“已啟用”選項是否被選中，一旦看到其還沒有被選中時，應該及時選中它，單擊“確定”后保存設置操作，這樣任何惡意進程日后就無法利用Internet Explorer進程，自動下載保存到Windows 2008系統中了，那么服務器系統受到惡意程序的攻擊機率就會大大下降。

有效防御系統漏洞

雖然Windows 2008系統安全防范能力很高，但是該系統仍然存在各種上網安全漏洞，由這些漏洞引起的各種安全麻煩就一直不停地出現，所以微軟公司也在一刻不停地開發補丁程序，以便將上網安全漏洞及早堵住。為了改善系統漏洞防御能力，我們需要及時為Windows 2008系統進行在線更新，確保為服務器系統中的各種安全漏洞打上補丁。

首先在Windows 2008系統桌面上，逐一單擊“開始”|“Windows Update”選項，彈出Windows Update設置界面。點擊“立即啟用”按鈕，在其后界面中按下“檢查更新”按鈕，強制系統檢查下載更新，之后依照提示安裝好補丁程序即可。

如果希望補丁更新安裝操作自動進行，不妨在Windows Update設置界面左側列表中，點擊“更改設置”選項，在其后界面中，設置好更新時間和頻率，保證補丁更新安裝操作自動進行的同時，不影響服務器系統對外提供服務。

停用危險網絡端口

Windows 2008系統默認會打開許多端口，這些打開的網絡端口在局域網或Internet網環境中，很容易被惡意用戶通過專業工具掃描到，這樣一來它們就容易被人非法利用，從而給Windows 2008系統的安全運行帶來麻煩。為了保護Windows 2008系統的運行安全，我們可以進行如下設置操作，停用那些既不常用又很危險的網絡端口：

例如，如果想停用Windows 2008系統的445端口時，不妨依次點擊“開始”|“運行”命令，在彈出的系統運行文本框中，執行“regedit”命令，切換到系統注冊表編輯器界面，依次展開左側顯示區域中的HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼NetBT＼Parameters注冊表分支，用鼠標右鍵單擊目標分支選項，從彈出的快捷菜單中，逐一點擊“新建”|“Dword值”命令，來手工創建一個32位Dword值，并將其名稱取為“SMBDeviceEnabled”，再將其數值輸入為“0”，最后刷新系統注冊表讓設置正式生效。

如果想臨時停用Windows 2008系統中的139端口時，不妨依次點擊“開始”|“設置”|“網絡連接”命令，切換到網絡連接列表窗口，用鼠標右鍵單擊本地連接圖標，執行快捷菜單中的“屬性”命令，彈出本地連接屬性對話框。選中“Internet協議版本4（TCP/IPv4）”選項，并按下“屬性”按鈕，再單擊“高級”按鈕，進入如圖6所示的TCP/IPv4協議高級屬性設置框，選中“NetBios設置”設置項處的“禁用TCP/IP的NetBios”選項，確認后保存設置操作即可。

遠離Ping命令攻擊

在Windows 2008系統作為服務器系統角色工作時，需要防范惡意用戶使用Ping命令，對其不停發送大容量測試包進行測試，這樣很容易將服務器系統寶貴的系統資源消耗殆盡，影響服務器主機的運行穩定性。為了讓Windows 2008服務器系統安全穩定運行，我們可以進行如下設置操作，禁止別人使用Ping命令攻擊服務器：

首先依次點擊“開始”|“程序”|“管理工具”|“服務器管理器”選項，彈出服務器管理器窗口，將鼠標定位到“配置”分支下的“高級安全Windows防火墻”選項上，切換到服務器系統的高級安全防火墻配置窗口。在“查看和創建防火墻規則”設置項處選擇“入站規則”選項，根據向導提示依次選擇“新規則”|“自定義”等，按下“下一步”按鈕，這個時候創建向導會要求用戶是否要選擇程序，在這里應該選中“所有程序”選項。

當創建向導彈出如圖7所示的設置界面時，必須選中“ICMPv4”選項，并點擊“下一步”按鈕，之后將正在創建的安全規則設置為匹配本地網絡的“任何IP地址”，并將遠程網絡的“任何IP地址”設置為“阻止連接”，再為當前安全規則取一個合適規則名稱；完成之前的各項設置操作后，將Windows 2008系統重新啟動一下，這樣就能讓服務器系統遠離Ping命令攻擊了。