相信很多人都认为Windows 7系统最大的亮点就是其拥有眩目的界面,其实该系统内置的安全功能也同样引人注目。本文下面将从系统组策略设置出发,与各位朋友一起分享自我控制Windows 7系统安全的秘籍!

1、不让远程连接“拖累”系统
  大家知道,要是在某个时段,有太多的远程连接同时要求Windows 7系统进行响应的话,那么该系统轻则会出现反应迟钝现象,严重的话能直接瘫痪,很多恶意用户时常会用这种方法攻击Windows 7系统。为了不让远程连接拖累系统,我们可以在Windows 7系统反应缓慢的时候,打开对应系统的任务管理器窗口,进入其中的连接标签页面,之后执行右键菜单中的删除所有连接命令,就能恢复系统的安全运行状态了。不过,在默认状态下,我们往往无权直接删除系统中的所有远程连接,不过按照下面的方法设置系统组策略参数,就能实现这种的目的了:
    首先从Windows 7系统的“开始”菜单中点选“运行”选项,在弹出的系统运行文本框中执行gpedit.msc命令,打开对应系统的组策略编辑界面,展开该界面中的“用户配置”节点,并从该节点下面依次点选“管理模板”、“网络”、“网络连接”分支选项;
    其次用鼠标双击“网络连接”分支下面的目标组策略选项“删除所有用户远程访问连接”,弹出如图1所示的选项设置对话框,在这里我们发现Windows 7系统默认状态下并没有配置“删除所有用户远程访问连接”选项,此时我们只要选中这里的“已启用”选项,再点击“确定”按钮,Windows 7系统系统日后就能允许我们快速关闭所有的远程连接了。
    以后,只要我们发现远程连接Windows 7系统的数量比较多时,那就可以进入任务管理器窗口,打开用户选项设置页面,将值得怀疑的那些远程连接依次选中,同时右击这些处于选中状态的远程连接,最后从右键菜单中点选“断开”命令,那样一来Windows 7系统的安全运行状态就不会受到影响了。

2、不让用户“占位”不干活
    有的用户辛辛苦苦地远程登录进Windows 7系统,可是进入以后却不急于工作,让其连接一直处于闲置状态;殊不知,Windows 7系统对远程连接的数量是有限制的,当登录Windows 7系统的远程连接数超过规定限制时,其他用户就不能正常登录Windows 7系统进行干活了。为了不让远程用户“占位”不干活,我们可以对Windows 7系统的组策略参数进行如下设置,以便强制注销那些超过登录时间的远程用户:
    首先在Win 7系统中,打开系统运行文本框,在其中输入“gpedit.msc”字符串命令,单击回车键后,打开对应系统的组策略编辑界面,在该界面的左侧区域展开“计算机配置”分支;
    其次从目标分支下面依次选中“Windows设置”子项,再从该子项下面逐一展开“安全设置”/“本地策略”/“安全选项”选项,在“安全选项”下面找到目标组策略选项“网络安全:在超过登录时间后强制注销”,并用鼠标双击该选项,弹出如图2所示的选项设置对话框,将该对话框中的“已启用”选项选中,同时单击“确定”按钮,如此一来那些登录进Windows 7系统的用户,如果长时间不进行任何操作的话,那么该系统就会强制注销这个“占位”不干活的用户。

3、不让木马“进驻”临时文件
    在Internet网络上冲浪时,稍微不小心就能遭遇木马或病毒的攻击,而许多木马或病毒在真正发作运行之前,往往会想方设法地将自己存储到本地系统的临时文件中,这样既能方便自己的启动运行,又能保护自身的安全,因为许多专业扫描工具即使能够发现木马病毒,但是它们却不能随意删除临时文件夹中的内容。有鉴于此,我们可以设置Windows 7系统,让其禁止任何用户对本地系统的临时文件夹进行编辑、访问,如此一来就能间接禁止木马病毒的攻击了,下面就是具体的设置步骤:
    首先点选Windows 7系统“开始”菜单中的“运行”命令,打开系统运行文本框,在其中执行“gpedit.msc”命令,弹出系统组策略编辑界面,展开该界面左侧列表中的“计算机配置”节点;
    其次从该节点下面依次选中“Windows设置”、“安全设置”、“软件限制策略”分支选项,之后用鼠标右键单击目标分支下面的“其他规则”子项,并从右键菜单中点选“新建路径规则”命令,之后单击如图3所示设置窗口中的“浏览”按钮,打开本地系统的文件选择框,从中将
Windows 7系统的临时文件夹选中并导入进来;
    下面在“安全级别”位置处单击下拉按钮,从下拉列表中选中“不允许”选项,同时单击“确定”按钮执行设置保存操作,那样一来我们日后即使不小心遭遇到了木马病毒,但它们却不能随意自由运行、发作,那么本地系统的安全性也就能得到一定的保证了。

4、不让用户恶意ping“我”
    如果恶意用户不停地向Windows 7系统发送大容量的ping命令数据包,那么要不了多长时间,Windows 7系统就会发生瘫痪现象。为了不让用户恶意ping“我”,我们可以设置Windows 7系统,来禁止该系统应答一切ping命令数据包,那样一来无论别人如何发送ping命令数据包,Windows 7系统都能安全稳定运行:
    首先打开Windows 7系统的组策略编辑界面,展开该界面左侧
    其次选中该控制台左侧列表中的“计算机配置”节点选项,并从目标节点下面逐一点选“Windows设置”、“安全设置”、“高级安全Windows防火墙”、“高级安全Windows防火墙——本地组策略对象”选项,再用鼠标选中目标选项下面的“入站规则”项目;
    接着在对应“入站规则”项目右侧的“操作”列表中,点选“新规则”选项,此时系统屏幕会自动弹出新建入站规则向导对话框,依照向导屏幕的提示,先将“自定义”选项选中,再将“所有程序”项目选中,之后从协议类型列表中选中“ICMPv4”,如图3所示;
    之后向导屏幕会提示我们选择什么类型的连接条件时,我们可以选中“阻止连接”选项,同时依照实际情况设置好对应入站规则的应用环境,最后为当前创建的入站规则设置一个适当的名称。完成上面的设置任务后,将Windows Server 2008服务器系统重新启动一下,这么一来Windows Server 2008服务器系统日后就不会轻易受到来自外网的非法ping测试攻击了。
    小提示:尽管通过Windows Server 2008服务器系统自带的高级安全防火墙功能,可以实现很多安全防范目的,不过稍微懂得一点技术的非法攻击者,可以想办法修改防火墙的安全规则,那样一来我们自行定义的各种安全规则可能会发挥不了任何作用。为了阻止非法攻击者随意修改Windows Server 2008服务器系统的防火墙安全规则,我们可以进行下面的设置操作:
    首先打开Windows Server 2008服务器系统的“开始”菜单,点选“运行”命令,在弹出的系统运行文本框中执行“regedit”字符串命令,打开系统注册表控制台窗口;选中该窗口左侧显示区域处的HKEY_LOCAL_MACHINE节点选项,同时从目标分支下面选中SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules注册表子项,该子项下面保存有很多安全规则;
    其次打开注册表控制台窗口中的“编辑”下拉菜单,从中点选“权限”选项,打开权限设置对话框,单击该对话框中的“添加”按钮,从其后出现的帐号选择框中选中“Everyone”帐号,同时将其导入进来;再将对应该帐号的“完全控制”权限调整为“拒绝”,最后点击“确定”按钮执行设置保存操作,如此一来非法用户日后就不能随意修改Windows Server 2008服务器系统的各种安全控制规则了。

5、不让用户随意“变态”下载
    在多人共同使用相同的一台计算机进行工作时,我们肯定不希望普通用户随意使用迅雷工具进行恶意下载,这样不但容易浪费本地系统的磁盘空间资源,而且也会大大消耗本地系统的上网带宽资源。而在Windows Server 2008系统环境下,限制普通用户随意使用迅雷工具进行恶意下载的方法有很多,例如可以利用Windows Server 2008系统新增加的高级安全防火墙功能,或者通过限制下载端口等方法来实现上述控制目的,其实除了这些方法外,我们还可以巧妙地利用该系统的软件限制策略来达到这一 目的,下面就是该方法的具体实现步骤:
    首先以系统管理员权限登录进入Windows Server 2008系统,打开该系统的“开始”菜单,从中点选“运行”命令,在弹出的系统运行文本框中,输入“gpedit.msc”字符串命令,进入对应系统的组策略控制台窗口;
    其次在该控制台窗口的左侧位置处,依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”选项,同时用鼠标右键单击该选项,并执行快捷菜单中的“创建软件限制策略”命令;
    接着在对应“软件限制策略”选项的右侧显示区域,用鼠标双击“强制”组策略项目,打开如图1所示的设置对话框,选中其中的“除本地管理员以外的所有用户”选项,其余参数都保持默认设置,再单击“确定”按钮结束上述设置操作;
    下面选中“软件限制策略”节点下面的“其他规则”选项,再用鼠标右键单击该组策略选项,从弹出的快捷菜单中点选“新建路径规则”命令,在其后出现的设置对话框中,单击“浏览”按钮选中迅雷下载程序,同时将对应该应用程序的“安全级别”参数设置为“不允许”,最后单击“确定”按钮执行参数设置保存操作;
    重新启动一下Windows Server 2008系统,当用户以普通权限账号登录进入该系统后,普通用户就不能正常使用迅雷程序进行恶意下载了,不过当我们以系统管理员权限进入本地计算机系统时,仍然可以正常运行迅雷程序进行随意下载。

文章如转载,请注明转载自:http://www.5iadmin.com/post/498.html