在多人共同使用相同的一臺計算機進行工作時，肯定不希望普通用戶隨意使用迅雷工具進行惡意下載，這樣不但容易浪費本地系統(tǒng)的磁盤空間資源，而且也會大大消耗本地系統(tǒng)的上網帶寬資源。而在Windows Server 2008系統(tǒng)環(huán)境下，限制普通用戶隨意使用迅雷工具進行惡意下載的方法有很多，例如可以利用Windows Server 2008系統(tǒng)新增加的高級安全防火墻功能，或者通過限制下載端口等方法來實現(xiàn)上述控制目的，其實除了這些方法外，我們還可以巧妙地利用該系統(tǒng)的軟件限制策略來達到這一目的，下面就是該方法的具體實現(xiàn)步驟：

　　首先以系統(tǒng)管理員權限登錄進入Windows Server 2008系統(tǒng)，打開該系統(tǒng)的“開始”菜單，從中點選“運行”命令，在彈出的系統(tǒng)運行文本框中，輸入“gpedit.msc”字符串命令，進入對應系統(tǒng)的組策略控制臺窗口;

　　其次在該控制臺窗口的左側位置處，依次選中“計算機配置”/“Windows設置”/“安全設置”/“軟件限制策略”選項，同時用鼠標右鍵單擊該選項，并執(zhí)行快捷菜單中的“創(chuàng)建軟件限制策略”命令;

　　接著在對應“軟件限制策略”選項的右側顯示區(qū)域，用鼠標雙擊“強制”組策略項目，打開設置對話框，選中其中的“除本地管理員以外的所有用戶”選項，其余參數都保持默認設置，再單擊“確定”按鈕結束上述設置操作;

　　下面選中“軟件限制策略”節(jié)點下面的“其他規(guī)則”選項，再用鼠標右鍵單擊該組策略選項，從彈出的快捷菜單中點選“新建路徑規(guī)則”命令，在其后出現(xiàn)的設置對話框中，單擊“瀏覽”按鈕選中迅雷下載程序，同時將對應該應用程序的“安全級別”參數設置為“不允許”，最后單擊“確定”按鈕執(zhí)行參數設置保存操作;

　　重新啟動一下Windows Server 2008系統(tǒng)，當用戶以普通權限賬號登錄進入該系統(tǒng)后，普通用戶就不能正常使用迅雷程序進行惡意下載了，不過當我們以系統(tǒng)管理員權限進入本地計算機系統(tǒng)時，仍然可以正常運行迅雷程序進行隨意下載。

2、拒絕網絡病毒藏于臨時文件

　　現(xiàn)在Internet網絡上的病毒瘋狂肆虐，一些“狡猾”的網絡病毒為了躲避殺毒軟件的追殺，往往會想方設法地將自己隱藏于系統(tǒng)臨時文件夾，那樣一來殺毒軟件即使找到了網絡病毒，也對它無可奈何，因為殺毒軟件對系統(tǒng)臨時文件夾根本無權“指手劃腳”。為了防止網絡病毒隱藏在系統(tǒng)臨時文件夾中，我們可以按照下面的操作設置Windows Server 2008系統(tǒng)的軟件限制策略：

　　首先打開Windows Server 2008系統(tǒng)的“開始”菜單，從中點選“運行”命令，在彈出的系統(tǒng)運行對話框中，輸入組策略編輯命令“gpedit.msc”，單擊“確定”按鈕后，進入對應系統(tǒng)的組策略控制臺窗口;

　　其次在該控制臺窗口的左側位置處，依次選中“計算機配置”/“Windows設置”/“安全設置”/“軟件限制策略”/“其他規(guī)則”選項，同時用鼠標右鍵單擊該選項，并執(zhí)行快捷菜單中的“新建路徑規(guī)則”命令，打開設置對話框;單擊其中的“瀏覽”按鈕，從彈出的文件選擇對話框中，選中并導入Windows Server 2008系統(tǒng)的臨時文件夾，同時再將“安全級別”參數設置為“不允許”，最后單擊“確定”按鈕保存好上述設置操作，這樣一來網絡病毒日后就不能躲藏到系統(tǒng)的臨時文件夾中了。

3、禁止來自外網的非法ping攻擊

　　我們知道，巧妙地利用Windows系統(tǒng)自帶的ping命令，可以快速判斷局域網中某臺重要計算機的網絡連通性;可是，ping命令在給我們帶來實用的同時，也容易被一些惡意用戶所利用，例如惡意用戶要是借助專業(yè)工具不停地向重要計算機發(fā)送ping命令測試包時，重要計算機系統(tǒng)由于無法對所有測試包進行應答，從而容易出現(xiàn)癱瘓現(xiàn)象。為了保證Windows Server 2008服務器系統(tǒng)的運行穩(wěn)定性，我們可以修改該系統(tǒng)的組策略參數，來禁止來自外網的非法ping攻擊：

　　首先以特權身份登錄進入Windows Server 2008服務器系統(tǒng)，依次點選該系統(tǒng)桌面上的“開始”/“運行”命令，在彈出的系統(tǒng)運行對話框中，輸入字符串命令“gpedit.msc”，單擊回車鍵后，進入對應系統(tǒng)的控制臺窗口;

　　其次選中該控制臺左側列表中的“計算機配置”節(jié)點選項，并從目標節(jié)點下面逐一點選“Windows設置”、“安全設置”、“高級安全Windows防火墻”、“高級安全Windows防火墻——本地組策略對象”選項，再用鼠標選中目標選項下面的“入站規(guī)則”項目;

　　接著在對應“入站規(guī)則”項目右側的“操作”列表中，點選“新規(guī)則”選項，此時系統(tǒng)屏幕會自動彈出新建入站規(guī)則向導對話框，依照向導屏幕的提示，先將“自定義”選項選中，再將“所有程序”項目選中，之后從協(xié)議類型列表中選中“ICMPv4”。

　　向導屏幕會提示我們選擇什么類型的連接條件時，我們可以選中“阻止連接”選項，同時依照實際情況設置好對應入站規(guī)則的應用環(huán)境，最后為當前創(chuàng)建的入站規(guī)則設置一個適當的名稱。完成上面的設置任務后，將Windows Server 2008服務器系統(tǒng)重新啟動一下，這么一來Windows Server 2008服務器系統(tǒng)日后就不會輕易受到來自外網的非法ping測試攻擊了。

　　小提示：盡管通過Windows Server 2008服務器系統(tǒng)自帶的高級安全防火墻功能，可以實現(xiàn)很多安全防范目的，不過稍微懂得一點技術的非法攻擊者，可以想辦法修改防火墻的安全規(guī)則，那樣一來我們自行定義的各種安全規(guī)則可能會發(fā)揮不了任何作用。為了阻止非法攻擊者隨意修改Windows Server 2008服務器系統(tǒng)的防火墻安全規(guī)則，我們可以進行下面的設置操作：

　　首先打開Windows Server 2008服務器系統(tǒng)的“開始”菜單，點選“運行”命令，在彈出的系統(tǒng)運行文本框中執(zhí)行“regedit”字符串命令，打開系統(tǒng)注冊表控制臺窗口;選中該窗口左側顯示區(qū)域處的HKEY_LOCAL_MACHINE節(jié)點選項，同時從目標分支下面選中SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules注冊表子項，該子項下面保存有很多安全規(guī)則;

　　其次打開注冊表控制臺窗口中的“編輯”下拉菜單，從中點選“權限”選項，打開權限設置對話框，單擊該對話框中的“添加”按鈕，從其后出現(xiàn)的帳號選擇框中選中“Everyone”帳號，同時將其導入進來;再將對應該帳號的“完全控制”權限調整為“拒絕”，最后點擊“確定”按鈕執(zhí)行設置保存操作，如此一來非法用戶日后就不能隨意修改Windows Server 2008服務器系統(tǒng)的各種安全控制規(guī)則了。

4、禁止普通用戶隨意上網訪問

　　通常Windows Server 2008系統(tǒng)都被安裝到重要的計算機中，為了防止該計算機系統(tǒng)受到安全威脅，我們往往需要想辦法限制普通用戶在該系統(tǒng)中隨意上網訪問;但是如果簡單關閉該系統(tǒng)的上網訪問權限，又會影響特權用戶正常上網，那么我們如何才能限制普通用戶上網，而又不影響特權用戶進行上網訪問呢?其實很簡單，我們可以按照下面的操作來修改Windows Server 2008系統(tǒng)的組策略參數：

　　首先以普通權限的帳號登錄Windows Server 2008系統(tǒng)，打開對應系統(tǒng)中的IE瀏覽器窗口，單擊其中的“工具”菜單項，從下拉菜單中點選“Internet選項”命令，彈出Internet選項設置窗口;

　　其次點選Internet選項設置窗口中的“連接”選項卡，進入連接選項設置頁面，單擊該設置頁面中的“局域網設置”按鈕，選中其后設置頁面中的“為LAN使用代理服務器”選項，再任意輸入一個代理服務器的主機地址以及端口號碼，再單擊“確定”按鈕執(zhí)行參數設置保存操作;

　　之后注銷Windows Server 2008系統(tǒng)，換用具有特殊權限的用戶帳號重新登錄進入Windows Server 2008系統(tǒng)，依次點選“開始”、“運行”命令，在其后出現(xiàn)的系統(tǒng)運行框中輸入“gpedit.msc”命令，單擊“確定”按鈕后，進入對應系統(tǒng)的組策略控制臺窗口;

　　選中該控制臺窗口左側位置處的“計算機配置”節(jié)點選項，再從目標節(jié)點下面依次展開“管理模板”、“Windows組件”、“Internet Explorer”、“Internet控制面板”子項，再用鼠標雙擊目標子項下面的“禁用連接頁”組策略項目，此時系統(tǒng)屏幕上會彈出目標組策略屬性設置對話框，選中“已啟用”選項，再單擊“確定”按鈕執(zhí)行設置保存操作，這么一來，普通權限的用戶日后在Windows Server 2008系統(tǒng)中嘗試訪問網絡時，IE瀏覽器會自動連接一個失效的代理服務器，那么IE瀏覽器自然也就不能正常顯示網絡頁面內容了;而具有特殊權限的用戶在Windows Server 2008系統(tǒng)中嘗試進行網絡訪問時，IE瀏覽器會直接顯示出目標站點的內容，不需要通過代理服務器進行中轉。

5、斷開遠程連接恢復系統(tǒng)狀態(tài)

　　很多時候，一些不懷好意的用戶往往會同時建立多個遠程連接，來消耗Windows Server 2008服務器系統(tǒng)的寶貴資源，最終達到搞垮服務器系統(tǒng)的目的;為此，在實際管理Windows Server 2008服務器系統(tǒng)的過程中，一旦我們發(fā)現(xiàn)服務器系統(tǒng)運行狀態(tài)突然不正常時，可以按照下面的辦法強行斷開所有與Windows Server 2008服務器系統(tǒng)建立連接的各個遠程連接，以便及時將服務器系統(tǒng)的工作狀態(tài)恢復正常：

　　首先在Windows Server 2008服務器系統(tǒng)桌面中依次點選“開始”、“運行”選項，在彈出的系統(tǒng)運行對話框中，輸入“gpedit.msc”命令，單擊回車鍵后，進入目標服務器系統(tǒng)的組策略控制臺窗口;

　　其次選中組策略控制臺窗口左側位置處的“用戶配置”節(jié)點分支，并用鼠標逐一點選目標節(jié)點分支下面的“管理模板”/“網絡”/“網絡連接”組策略選項，之后雙擊“網絡連接”分支下面的“刪除所有用戶遠程訪問連接”選項，在彈出的選項設置對話框中，選中“已啟用”選項，再單擊“確定”按鈕保存好上述設置，這樣一來Windows Server 2008服務器系統(tǒng)中的的各個遠程連接都會被自動斷開，此時對應系統(tǒng)的工作狀態(tài)可能會立即恢復正常。

　　簡單的五方面介紹，你是不是見識到了win2008系統(tǒng)強大的安全性功能保障?如果你也想為自己的win2008系統(tǒng)增添一層安全的保護外衣，那就動手起來，為win2008系統(tǒng)做一個強大的保護盾。

關鍵字：win2008、系統(tǒng)、安全設置