《现代操作系统与网络服务管理》课件第6章WIN2008安全管理.ppt

1、第第6章章 Windows Server 2008安全管理安全管理6.1 Windows Server系统安全系统安全6.2 Windows Server 2008本地安全策略本地安全策略6.3 本地组策略安全管理本地组策略安全管理6.1 Windows Server系统安全系统安全n1、拒绝修改防火墙安全规则nWin2008系统新增加的高级安全防火墙功能，可以允许用户根据实际需要自行定义安全规则，从而实现更加灵活的安全防护目的。不过该防火墙还有一些明显不足，那就是管理员对它进行的一些设置以及创建的安全规则，几乎都是直接存储在本地Win2008系统注册表中的，非法攻击者只需要编写简单的攻击脚本

2、代码，就能通过修改对应系统注册表中的内容，达到修改防火墙安全规则的目的，从而可以轻松跨越高级安全防火墙的限制。那么如何才能拒绝非法攻击者通过修改系统注册表中的相关键值来跨越高级安全防火墙功能的限制呢?（1）首先，在Win2008系统运行命令“regedit”，打开系统的注册表控制窗口。（2）展开HKEY_LOCAL_MACHINE节点，找到SYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyFirewallRules注册表子项如果非法攻击者具有访问FirewallRules注册表子项的权限时，那么它就能随意修改该分支下面

3、的各个安全规则以及设置参数了，而在默认状态下任何普通用户的确是可以访问目标分支的。因此，我们必须限制Everyone帐号来访问FirewallRules注册表子项。我们必须先将鼠标选中FirewallRules注册表子项，同时用鼠标右键单击该注册表子项，并执行快捷菜单中的“权限”命令，打开目标注册表子项的权限设置对话框；单击该对话框中的“添加”按钮，打开用户帐号选择对话框，从中选中“Everyone”帐号并将它添加进来，之后选中“Everyone”帐号，并将对应该帐号的“完全控制”权限调整为“拒绝”，再单击“应用”按钮6.1 Windows Server系统安全系统安全n2、使用加密解密保护文

4、件安全nWin2008系统自身就集成了加密、解密功能，只是在缺省状态下该功能使用起来很不方便，因此很少人会想到使用该功能来保护本地系统重要文件的安全。通过下面的设置操作将Win2008系统自带的加密、解密功能集成到鼠标的快捷菜单中，日后我们只要打开目标文件的快捷菜单就可以轻松选用加密、解密功能来保护文件的安全了。HKEY_CURRENT_USER节点分支上，找到SoftwareMicrosoft WindowsCurrentVersionExplorerAdvanced子项，再用鼠标右键单击“Advanced”注册表子项，并执行快捷菜单中的“新建”/“Dword值”命令，同时将新创建的双字节值

5、名称设置为“EncryptionContextMenu”。用鼠标双击“EncryptionContextMenu”注册表键值，打开双字节值对话框，在其中输入十进制数字“1”，再单击“确定”按钮执行保存操作，最后按F5功能键刷新一下系统注册表，如此一来我们打开某个重要文件的快捷菜单时，就能发现其中包含“加密”、“解密”等功能选项了6.1 Windows Server系统安全系统安全n3、实时监控系统运行安全nWin2008系统自带有实时监控程序Windows Defender，一旦Win2008系统遭遇间谍程序的攻击，该程序就会立即发挥作用来帮助用户解决问题。Windows Defender程序

6、实际上在系统后台启动了一个服务，通过该系统服务默默地保护Win2008系统的安全，只不过该程序并不像其他应用程序那样会在系统托盘区域处出现一个控制图标。可以通过下面的操作，确认Windows Defender程序的服务状态是否正常：n（1）首先运行命令“services.msc”，打开系统服务列表窗口。n（2）在系统服务列表窗口的左侧位置处，找到目标系统服务选项“Windows Defender”。建议将它的启动类型参数修改为“自动”，并保存此设置，这样就能确保Windows Defender服务时刻来保护Win2008系统的安全了。6.1 Windows Server系统安全系统安全n3、实

7、时监控系统运行安全n为了让Windows Defender服务更有针对性地进行实时监控，我们还可以修改Win2008系统的组策略参数，让Windows Defender程序对已知文件或未知文件进行监测，同时对监测结果进行跟踪记录，下面就是具体的修改步骤：n（1）首先在Win2008系统桌面中依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“gpedit.msc”，单击回车键后，打开系统的组策略控制台窗口;n（2）其次在该控制台窗口的左侧显示区域处，依次点选“计算机配置”/“管理模板”/“Windows组件”/“Windows Defender”组策略子项，从目标子项下面

8、找到“启用记录已知的正确检测”选项，并用鼠标右键单击该选项，从弹出的快捷菜单中执行“属性”命令，打开目标组策略的属性设置窗口，6.1 Windows Server系统安全系统安全n4、限制远程连接数量，确保远程连接高效n控制面板-管理工具-终端服务-终端服务配置此外，也可以通过修改系统相关键值的方法，打开“HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services”注册表子项，在目标注册表子项下面创建“MaxInstanceCount”双字节值，同时将该键值数值调整为“10”将最大连接数参数修改为适当的数值，该数

9、值通常需要根据服务器系统的硬件性能来设置，一般情况下我们可以将该数值设置为“5”以下，在实际管理Windows Server 2008服务器系统的过程中，一旦发现服务器系统运行状态突然不正常时，可以按照下面的办法强行断开所有与Windows Server 2008服务器系统建立连接的各个远程连接，以便及时将服务器系统的工作状态恢复正常。（1）输入“gpedit.msc”命令，打开组策略控制台窗口。（2）在组策略控制台窗口左侧位置处的“用户配置”节点分支，并用鼠标逐一点选目标节点分支下面的“管理模板”/“网络”/“网络连接”组策略选项，之后双击“网络连接”分支下面的“删除所有用户远程访问连接”选

10、项，6.1 Windows Server系统安全系统安全n5、修改远程连接端口n远程桌面服务所使用的通信协议是Microsoft定义RDP(Reliable Data Protocol)协议，RDP协议的TCP通信端口号是3389。为了安全起见，我们常需要更改其端口。运行注册表编辑器，找到HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWdsrdpwdtdstcp和HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlnTerminalServerWinStations 下，

11、也就是RDP协议的端口，改成欲设的端口。6.1 Windows Server系统安全系统安全n6、加强系统安全提示n为了防止在Windows Server 2008服务器系统中不小心进行了一些不安全操作，尽量将系统自带的用户权限控制(User Account Control)UAC功能启用起来，并且该功能还能有效防范一些木马程序自动在系统后台进行安装操作。输入“msconfig”n进入如图6-5所示的标签设置页面，从该设置页面的工具列表中找到“启用UAC”项目，n如此一来用户日后在Windows Server 2008服务器系统中不小心进行一些不安全操作时，系统就能及时弹出安全提示。6.1.2

12、 防止外部远程入侵防止外部远程入侵默认情况下，Windows开放一些共享和端口，而正是这些开放的共享和端口，黑客可以获取到你电脑的信息，并连上你的电脑。为了让你的系统变为铜墙铁壁，应该删除一些共享，封闭这些端口，常见的端口如TCP的135、139、445、593、1025 端口和 UDP的135、137、138、445 端口，以及一些流行的后门端口（如 TCP 2745、3127、6129 端口）和远程服务端口3389。此外，Windows系统的一些服务也可能是不安全的因素，所以，除非必要，尽量关闭这些服务。6.1.2 防止外部远程入侵防止外部远程入侵1、关闭139端口139端口开启是由于Ne

13、tBIOS网络协议的使用。NetBIOS即网络基本输入输出系统，系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址，从而实现信息通讯。但在Internet上，NetBIOS就相当于一个后门程序，很多攻击者都是通过NetBIOS漏洞发起攻击。通常，攻击者首先在网络上查找存在139端口漏洞的主机地址，查找过程中可以使用一些扫描工具，如SuperScan。扫描结束后，如果找到一台存在139端口漏洞的主机，就可以在命令行方式下使用“nbtstat-a IP地址”这个命令获得用户的信息情况，并获得攻击主机名称和工作组。接下来攻击者需要做的就是实现与攻击目标资源

14、共享，使用Net View和Net user命令显示计算机列表和共享资源，并使用nbtstat-r和nbtstat-c命令查看具体的用户名和IP地址。要关闭139端口，打开“本地连接属性”“TCP/IPv4属性”“高级”“WINS NetBIOS设置”，选中“禁用TCP/IP的NETBIOS”。6.1.2 防止外部远程入侵防止外部远程入侵2、禁止ipc$空连接ipc（internet process connection）是远程网络连接。而ipc$，admin$，c$，d$，e$这些是winnt和win2000的默认共享。ipc$就是一种管道通讯，它在两个ip间建立一个连接。一般如果对方主机开

15、了139，445端口，就说对方开了共享。ipc$是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限。借助空连接可以列举目标主机上的用户和共享，访问everyone权限的共享，访问小部分注册表等。要禁止ipc$空连接，打开系统的注册表控制窗口，在注册表中将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA项里数值名称RestrictAnonymous的数值数据由0改为1。6.1.2 防止外部远程入侵防止外部远程入侵2、禁止ipc$空连接除此以外，尽量删除不必要的系统文件共享。要查看所有共享的文件，打开“开始”“管理工具”

16、“共享和存储管理”，如图6-6所示。对于图中“共享”选项卡中的共享，可以借助DOS命令删除。如删除图6-9中的e盘共享，只需输入命令“net share e$/del”。6.1.2 防止外部远程入侵防止外部远程入侵3、关闭135端口，防止rpc漏洞Windows系统下的135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务，通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码；使用DCOM可以通过网络直接进行通信，能够跨包括HTTP协议在内的多种网络传输。RPC本身在处理通过TCP/IP的消息交

17、换部分有一个漏洞，该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口，该接口侦听的端口就是135。有名的“冲击波”病毒就是利用RPC漏洞来攻击计算机的。输入“dcomcnfg”，单击“确定”，打开组件服务。选择“默认协议”选项卡，选中“面向连接的TCP/IP”，单击“移除”按钮。接下来打开“管理工具”“服务”，找到RPC(Remote Procedure Call Locator)服务，选中右击“属性”，在“恢复”选项卡中将“第一次失败”、“第二次失败”和“后续失败”都设置为不操作。6.1.2 防止外部远程入侵防止外部远程入侵4、关闭远程连接端口，不允许

18、连接到计算机打开“本地组策略编辑器”“本地计算机策略”“计算机配置”“管理模板”“网络”“网络连接”“Windows防火墙”“标准配置文件”，双击后在右侧窗口中找到“Windows防火墙：允许入站远程桌面例外”，右击选择“属性”并打开，选中“已禁用”，单击“应用”并“确定”，如图6-8所示。6.1.2 防止外部远程入侵防止外部远程入侵5、禁用服务打开“控制面板”，进入“管理工具”“服务”，关闭以下服务：Kerberos Key Distribution Center授权协议登录网络；Print Spooler打印机服务；Remote Registry使远程计算机用户修改本地注册表；Routin

19、g and Remote Access在局域网和广域网提供路由服务；Server支持此计算机通过网络的文件、打印、和命名管道共享；Special Administration Console Helper允许管理员使用紧急管理服务远程访问命令行提示符；TCP/IPNNetBIOS Helper提供TCP/IP服务商的NetBIOS和网络上客户端的NetBIOS名称解析的支持而使用户能够共享文件、打印和登录到网络；Terminal Services允许用户以交互方式连接到远程计算机。6.2 Windows Server 2008本地安全策略本地安全策略单击“开始”“管理工具”“本地安全策略”选项

20、，即可打开“本地安全策略”对话框。也可以通过命令方式打开，单击“开始”“运行”，在弹出的对话框中输入“secpol.msc”命令。6.2 Windows Server 2008本地安全策略本地安全策略其默认的安全设置在图中有所体现。其中：1.密码必须符合复杂性要求：复杂性要求包括密码不能包含用户的账户名，不能包含用户姓名中超过两个连续字符的部分；至少有6个字符长；包含以下四类字符中的三类字符：1）英文大写字母；2）英文小写字母；3）10个基本数字；4）非字母字符（如！、$、#、%）。2.密码长度最小值：可选范围为1-14，0表示允许不设置密码。3.密码最短使用期限：可选范围为0-998，独立服

21、务器默认为0天，域控制器默认为1天。4.密码最长使用期限：可选范围为1-999吗，默认为42天，0表示永不过期。5.强制密码历史：用于限制用户更改账号密码之前不得使用的旧密码个数。范围为0-24，独立服务器默认为0，域控制器默认为24.6.用可还原的加密来存储密码：用于确定操作系统是否使用可还原的加密来存储密码，此策略为某些应用程序提供支持，这些应用程序使用的协议需要用户密码来进行身份验证。除非应用程序需求比保护密码信息更重要，否则不予启用。设置完成后，单击“开始”“运行”，在弹出的运行对话框中输入“gpupdate/force”命令6.2 Windows Server 2008本地安全策略本

22、地安全策略 复位账户锁定计数器：如果定义了账号锁定阀值，此重置事件必须小于或等于账号锁定时间。账户锁定时间：默认为30分钟。账户锁定阈值：用户登录输入密码失败时，将记做登录尝试失败。Windows Server 2008独立服务器默认值为0表明账号不锁定，域控制器默认未配置。6.2 Windows Server 2008本地安全策略本地安全策略6.2 Windows Server 2008本地安全策略本地安全策略审核策略更改：确定是否对用户权限分配策略、审核策略或信任策略的更改进行审核。审核登录事件：确定是否对此策略应用的系统中发生的登录和注销事件进行审核。审核对象访问：确定是否审核用户访问时

23、间，如对文件、文件夹、注册表项、打印机的访问。审核进程跟踪：是专门用来对服务器系统的后台程序运行状态进行跟踪记录。审核特权使用：是专门用来跟踪、监视用户在服务器系统运行过程中执行除注销操作、登录操作意外的其他特权操作的，任何对服务器系统运行安全有影响的一些特权操作都会被审核功能记录保存到系统的安全日志中，网络管理员根据日志内容就容易找到影响服务器运行安全的细节。审核系统事件：确定是否审核用户重启关机以及对系统安全或安全日志有影响的事件。审核账户登录事件：是专门用来跟踪、监视服务器系统登录账号的修改、删除、添加操作的，任何添加用户账号操作、删除用户账号操作、修改用户账号操作，都会被审核功能自动记

24、录下来。6.2 Windows Server 2008本地安全策略本地安全策略配置与启用审核策略后，系统将自动对指定事件惊醒审核和记录。可以借助Windows事件查看器查看的关于“安全”事件中审核失败与成功的日志信息。依次单击“开始”“管理工具”“事件查看器”6.2 Windows Server 2008本地安全策略本地安全策略一旦开启审核，则会记录大量的信息，默认情况下保存在system32winevtlogs下。在Windows Server 2008中，默认已经设置文件大小，大小如下：应用程序日志：1024KB。安全日志：20MB。系统日志：20MB。安装程序日志：20MB。转发的事件日

25、志：20MB。要更改某个日志的默认设置，可以在该日志，例如图6-13中的“安全”日志上右击并选择菜单中的“属性”选项，打开图6-146.2 Windows Server 2008本地安全策略本地安全策略审核策略应用应用1：对服务器系统的登录状态进行跟踪、监视、以确认是否存在非法的登录行为。步骤：打开“本地安全策略”，选择“本地策略”-“审核策略”，在右边窗口双击“审核登录事件”，在弹出的对话框中选择“成功”和“失败”，然后单击“确定”。应用2：对账户管理审核，防止非法创建账户。步骤：打开“本地安全策略”，在窗口的左边部分选择“本地策略”分支下的“审核策略”，在右边窗口双击“审核账户管理”，在弹

26、出的对话框中选择“成功”和“失败”选项，然后单击“确定”，保存后退出。应用3：对重要文件夹的访问进行安全审核步骤：打开“本地安全策略”，在窗口的左边部分选择“本地策略”分支下的“审核策略”，在右边窗口双击“审核对象访问”，在弹出的对话框中选择“成功”和“失败”选项，然后单击“确定”，保存后退出。6.2 Windows Server 2008本地安全策略本地安全策略部分权限说明如下：从网络访问此计算机：确定哪些用户和组能够通过网络连接到该计算机。向域中添加工作站：允许用户向指定的域中添加一台计算机。允许从本地登录：允许用户在计算机上开启一个交互式的会话。允许通过终端服务登录：允许用户使用远程桌面

27、连接登录到计算机上。装载和卸载设备驱动程序：确定哪些用户有权安装和卸载设备驱动程序。还原文件及目录：允许用户在恢复备份的文件或文件夹时，避开文件和目录的许可权限，并且作为对象的所有者设置任何有效的安全主体。应用1：设置“关闭系统”权限为，只允许Administrators组应用2：设置“备份文件和目录”为，只允许Administrators组和Backup Operators组6.2 Windows Server 2008本地安全策略本地安全策略6.3 本地组策略安全管理本地组策略安全管理1、组策略的定义及功能组策略（Group Policy，GP）是管理员为计算机和用户定义的，用来控制应用程

28、序、系统设置和管理模板的一种机制。GP也是Windows操作系统中最常用的管理组件之一，支持安全部署、定制安全策略、软件限制域分发等。简单地说，组策略就是介于控制面板和注册表之间的一种修改系统、设置程序的工具。组策略高于注册表，组策略使用更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活、功能也更加强大。使用组策略可以实现的功能：1.账户策略的设定；2.本地策略的设定；3.脚本的设定；4.用户工作环境的定制；5.软件的安装与删除；6.限制软件的运行；7.文件夹的转移；8.其他系统设定。6.3 本地组策略安全管理本地组策略安全管理2、组策略编辑器的启动方法1

29、：单击“开始”“运行”，输入gpedit.msc，单击“确定”，打开本地计算机组策略编辑器，如图6-17所示。6.3 本地组策略安全管理本地组策略安全管理2、组策略编辑器的启动方法2：单击“开始”“运行”，输入“MMC”，单击“确定”，打开Microsoft管理控制台。单击“文件”“添加或删除管理单元”，在“可用的管理单元”中选择添加“组策略对象编辑器”6.3 本地组策略安全管理本地组策略安全管理3、组策略的基本配置（1）计算机配置计算机配置包括所有与计算机有关的策略设置，它们用来指定操作系统行为、桌面行为、安全设置、计算机开机与关机脚本、指定的计算机应用选项以及应用设置。（2）用户配置用户配

30、置包括所有与用户相关的策略设置，它们用来指定操作系统行为、桌面设置、安全设置、指定和发布的应用选项、应用设置、文件夹重定向选项、用户登录与注销脚本等。（3）组策略插件扩展软件设置Windows设置：账号策略、本地策略、事件日志、受限组、系统服务、注册表、文件系统、IP安全策略、公钥策略。管理模板6.3 本地组策略安全管理本地组策略安全管理4、组策略的应用范围与顺序组策略的基本单元是组策略对象GPO，它是一组设置的组合。有两种类型的组策略对象：本地组策略对象和非本地组策略对象。组策略作用范围：由它们所链接的站点、域或组织单元。组策略的应用顺序为：本地组策略对象站点的组策略对象域的组策略对象组织单

31、元的组策略对象。5、组策略的应用时机计算机配置：计算机开机时自动启用，域控制器默认每隔5分钟自动启用，非域控制器默认每隔90120分钟自动启动，此外不论策略是否有变动系统每隔16小时自动启动一次。用户配置：用户登录时自动启用，系统默认每隔90分钟自动启动，此外不论策略是否有变动系统每隔16小时自动启动一次。手动启动组策略的命令是：gpupdate /target:compute /force。6.3 本地组策略安全管理本地组策略安全管理6.3.2 admx策略模板策略模板在Windows 2008中，组策略文件存放在WindowsPolicyDifinitions下。组策略模板文件是以.adm

32、x格式单独存放的。这是一种基于xml的文件，用来描述基于注册表的组策略，使得安全设置更加简便。.admx文件采用xml标准来描述注册表策略的设置，管理员可以通过多种编辑工具打开或者编辑.admx文件，如记事本、写字板、文本编辑器、Visual Studio、IE浏览器等都可以查看文件详细内容。组策略模板文件分为语言无关和语言特定，以适用于所有的组策略管理员，且组策略工具可以根据管理员配置的语种来调整其管理界面。组策略模板中通常包含如下信息：1.与每一个设置对应的注册表位置；2.与每个设置相关联的选项或对值的限制；3.设置多数都有一个默认值；4.对每个设置的描述；5.支持设置不同的Windows

33、版本。6.3 本地组策略安全管理本地组策略安全管理6.3 本地组策略安全管理本地组策略安全管理通过“高级安全Windows防火墙”设置，可以禁止来自外网的非法ping攻击。其步骤如下：（1）以特权身份登录进入Windows Server 2008服务器系统，打开“本地组策略编辑器”窗口，依次展开“本地计算机策略”“计算机配置”“Windows设置”“安全设置”“高级安全Windows防火墙”。（2）打开“高级安全Windows防火墙”-“本地组策略对象”选项，再用鼠标选中目标选项下面的“入站规则”项目，接着在对应“入站规则”项目右侧的“操作”列表中，点选“新规则”选项，此时系统屏幕会自动弹出新

34、建入站规则向导对话框，依照向导屏幕的提示，先将“自定义”选项选中，再将“所有程序”项目选中，之后从协议类型列表中选中“ICMPv4”，如图6-20所示。6.3 本地组策略安全管理本地组策略安全管理4、软件限制策略软件限制策略，就是限制某些软件的使用。其主要功能在于控制未知或不信任软件的安装，其目的在于控制不信任的不被允许的软件在网络或本地计算机上运行。使用软件限制策略，可通过标识并指定允许运行的软件来保护计算机环境免受不信任软件的破坏。可以为组策略对象定义“不受限”或“不允许的”默认安全级别，从而决定是否在默认情况下运行软件。可通过对特定软件创建软件限制策略规则来对默认情况进行例外，这些规则用

35、来标识和控制软件的运行方式。6.3 本地组策略安全管理本地组策略安全管理6.3 本地组策略安全管理本地组策略安全管理安全级别是指操作系统对应用策略所具备的的访问级别，创建软件限制策略后，需要对其安全级别进行设置。使用软件限制策略时，可以为组策略对象GPO定义如下默认的安全级别中的一种：不受限的、不允许的或基本用户。1.不受限的：软件访问权限由用户的访问权限来决定。2.不允许的：无论用户的访问权如何，软件都不会运行。3.基本用户：允许程序访问一般用户可以访问的资源，但没有管理员的访问权。6.3 本地组策略安全管理本地组策略安全管理应用1：通过软件限制策略，限制普通用户使用迅雷下载1)在对应“软件

36、限制策略”选项的右侧显示区域，用鼠标双击“强制”组策略项目，打开如图6-22所示的设置对话框，选中其中的“除本地管理员以外的所有用户”选项，其余参数都保持默认设置，再单击“确定”按钮。6.3 本地组策略安全管理本地组策略安全管理2）接下来选中“软件限制策略”节点下面的“其他规则”选项，再用鼠标右键单击该组策略选项，从弹出的快捷菜单中点选“新建路径规则”命令，在其后出现的设置对话框中，单击“浏览”按钮选中迅雷下载程序，同时将对应该应用程序的“安全级别”参数设置为“不允许”，最后单击“确定”按钮执行参数设置保存操作。3）重启Windows Server 2008系统，当用户以普通权限账号登录进入该

37、系统后，就不能正常使用迅雷程序进行恶意下载了，不过当系统管理员权限进入时，仍然可以正常运行迅雷程序进行下载。6.3 本地组策略安全管理本地组策略安全管理（3）设置路径规则应用程序路径规则允许对软件所在的路径进行标识，还允许使用软件的注册表路径规则。由于路径规则软件限制策略是按照软件所在的路径指定的，故路径移动后，该软件限制规则将不再适用。注册表路径规则是指很多应用程序将其安装文件夹或应用程序目录的路径存储的在系统注册表中，可以通过创建一个路径规则，且该路径规则将使用注册表中所存储的值。格式如%。在“本地组策略编辑器”窗口中，展开“软件限制策略”中的“其他规则”，如图6-26所示，默认已经设置了

38、“%SystemRoot%”和“%ProgramFilesDir%”的路径规则限制，并且默认软件访问规则为“不受限的”。6.3 本地组策略安全管理本地组策略安全管理应用1：以MMC为例设置注册表路径规则步骤如下：1）单击“开始”“运行”输入“regedit”，依次展开到HKEY_LOCAL_MACHINESOFTWAREMicrosoftMMC，右击“MMC”并选择快捷菜单中“复制项名称”选项，如图6-27所示。6.3 本地组策略安全管理本地组策略安全管理应用1：以MMC为例设置注册表路径规则步骤如下：3）右击“其他规则”并选择快捷菜单中的“新建路径规则”选项。在“新建路径规则”对话框中，在“

39、路径”对话框中，粘贴已复制的注册表项，并在首部加入“%”符号。在“安全级别”中下拉列表中，选择想要设置的安全级别，同时为了便于记忆和识别，还可以在“描述”对话框中输入相关描述信息6.3 本地组策略安全管理本地组策略安全管理应用2：利用软件限制策略，创建路径规则，拒绝网络病毒藏于临时文件夹1）首先打开组策略控制台窗口，依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”/“其他规则”选项，用鼠标右键单击该选项，并执行快捷菜单中的“新建路径规则”命令，打开如图6-29所示的设置对话框。2）单击其中的“浏览”按钮，从弹出的文件选择对话框中，选中并导入Windows Serv

40、er 2008系统的临时文件夹，同时再将“安全级别”参数设置为“不允许”，最后单击“确定”按钮保存好上述设置操作。这样一来，网络病毒就不能躲藏到系统的临时文件夹中了。6.3 本地组策略安全管理本地组策略安全管理6.3.4 IE安全策略安全策略1、限制文件下载（1）以管理员账号登录系统，打开“本地组策略编辑器”窗口，展开“计算机配置”“管理模板”“Windows组件”Internet Explore“安全功能”“限制文件下载”6.3 本地组策略安全管理本地组策略安全管理6.3.4 IE安全策略安全策略1、限制文件下载（2）双击“限制文件下载”子项中的“Internet Explore进程”组策略

41、选项，如图6-31所示，并在“属性”对话框中选择“已启用”，单击“确定”保存设置。6.3 本地组策略安全管理本地组策略安全管理6.3.4 IE安全策略安全策略2、限制普通用户上网访问（1）在弹出的IE浏览器窗口中单击“工具”选项，从下拉菜单中执行“Internet选项”命令（2）接下来单击该设置窗口中的“连接”选项卡，并单击对应选项设置页面中的“局域网设置”按钮，此时系统屏幕上会出现一个如图6-32所示的设置对话框，选中其中的“为LAN使用代理服务器”项目，同时任意输入一个无效的代理服务器主机地址以及端口号码，再单击“确定”按钮执行参数保存作。6.3 本地组策略安全管理本地组策略安全管理6.3

42、.4 IE安全策略安全策略2、限制普通用户上网访问（3）随后注销Win2008系统，换以系统管理员身份重新登录系统，打开该系统桌面中的“开始”菜单，从中点选“运行”命令，从其后出现的系统运行框中执行“gpedit.msc”命令，进入对应系统的组策略控制台界面;（4）选中该控制台界面左侧位置处的“计算机配置”节点分支，并从目标分支下面依次展开“管理模板”、“Windows组件”、“Internet Explorer”、“Internet控制面板”组策略子项，之后双击目标组策略子项下面的“禁用连接页”选项，选中对应设置界面中的“已启用”选项，再单击“确定”按钮保存好上述设置操作，最后将Win2008系统重新启动一下。本章小结本章小结nWindows Server 2008系统的安全功能非常强大，而它的强大之处不仅仅是新增加了一些安全功能，还可以通过本地安全策略、本地组策略以及域控制器的管理来加强。本章首先通过Windows Server 2008安全功能的一些配置来加强Win2008系统的安全性，接下来对本地安全策略、本地组策略的管理和配置进行详细的介绍，并通过一些案例使读者进一步理解并应用这些设置。