WINDOWS2008server安全策略设置

详细链接：https://shop499704308.taobao.com/?spm=a1z38n.10677092.card.11.594c1debsAGeak 

                        WINDOWS2008server安全策略设置

一、防止黑客或恶意程序暴力破解我的系统密码 

答： 暴力破解Windows密码实质上是通过穷举算法来实现，尤其是密码过于简单的系统，暴力破解的方法还是比较实用的。有一点需要我们注意，这个问题的关键在于Windows是否允许远程客户端或恶意程序来进行用户名和密码的穷举，如果不允许，恶意程序企图通过枚举获得管理员权限这条路就是个死胡同。如何不允许？见下图：

 

 

 

 

 

确保被选行处于“已启用”后，这条路就基本上被堵死了，还可以将它下面那行“不允许SAM账户和共享的匿名枚举”也设置为“已启用”状态。

此外，将“本地策略”——“安全选项”中：“网络访问：可匿名访问的共享”、“网络访问：可远程访问的注册表路径”、“网络访问：可远程访问的注册表路径和子路径”、“网络访问：可匿名访问的命名管道”这四项包含的值全部删除，亦可进一步提升系统的安全性。

二、Windows自带的防火墙设置

 1、如下图地址栏所示进入程序界面：

 

然后点击左侧“高级设置”出现如下所示：

 

使用该方法进入后可浏览已有规则并可创建新规则。 

三、我能通过安全策略禁止某个程序的运行

答：答案是肯定的，不仅能，还能防止某程序被改名、改路径、改后缀、改壳后再运行，这个功能叫做“AppLocker”，要比您在组策略中禁止某程序运行更严格、更强大。程序界面如下图所示：

 

右击左侧“可执行规则”——“创建新规则”，在出现的向导界面中不仅可限定用户组（如Guest账户），还可枚举各种限定条件，如下图所示：

 

 

此外，通过“全局对象访问审核”限制各组别对于整个或局部注册表甚至文件系统的访问权限，如下图所示：