用组策略保护Windows 组策略屏幕保护程序( 二 ) _经验知识

首先以特权帐号进入Windows Server 2008系统环境，依次点选系统桌面中的“开始”/“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地计算机的组策略编辑窗口;
其次在组策略编辑窗口左侧区域展开“用户配置”分支，再依次选择该分支下面的“管理模板”/“Windows组件”/“Internet Explorer”/“Internet控制模板”选项，在对应“Internet控制模板”选项的右侧显示区域中找到“禁用安全页”目标组策略项目，并用鼠标右键单击该项目，执行右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口，如图3所示;

文章插图
图3 禁用安全页属性
选中该属性设置窗口中的“已启用”选项，再单击“确定”按钮结束目标组策略属性设置操作，如此一来Internet Explorer的安全设置页面就会被自动隐藏起来，这样的话其他同事就无法进入该安全标签设置页面来随意更改本地系统的安全访问级别了，那么本地计算机系统的安全性也就能得到有效保证了。
当然，我们也可以通过隐藏Internet Explorer窗口中的“Internet选项”，阻止其他同事随意进入IE浏览器的选项设置界面，来调整本地系统的安全访问级别以及其他上网访问参数。在隐藏Internet Explorer窗口中的“Internet选项”时，我们可以按照前面的操作步骤打开Windows Server 2008系统的组策略编辑窗口，将鼠标定位于“用户配置”/“管理模板”/“Windows组件”/“Internet Explorer”/“浏览器菜单”分支选项上，再将该目标分支选项下面的禁用“Internet选项”组策略的属性设置窗口打开，然后选中其中的“已启用”选项，最后单击“确定”按钮就能使设置生效了。
4、禁止超级账号名称被偷窃
许多技术高明的黑客或恶意攻击者常常会通过登录Windows Server 2008系统的SID标识，来窃取系统超级账号的名称信息，之后再利用目标账号名称尝试去暴力破解登录Windows Server 2008系统的密码，最终获得Windows Server 2008系统的所有控制权限;很明显，一旦系统的超级权限帐号名称被非法窃取使用的话，那么Windows Server 2008系统的安全性就没有任何保证了。为了有效保证Windows Server 2008系统的安全性，我们不妨进行如下设置，禁止任何用户通过SID标识获取对应系统登录账号的名称信息：
首先以特权帐号进入Windows Server 2008系统环境，依次点选系统桌面中的“开始”/“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地计算机的组策略编辑窗口;
其次在组策略编辑窗口左侧区域展开“计算机配置”分支，再依次选择该分支下面的“Windows设置”/“安全设置”/“本地策略”/“安全选项”项目，找到该分支项目下面的“网络访问：允许匿名SID/名称转换”目标组策略选项，并用鼠标右键单击该选项，执行右键菜单中的“属性”命令打开如图4所示的目标组策略属性设置界面，选中

文章插图
图4 网络访问属性
其中的“已禁用”选项，再单击“确定”按钮退出组策略属性设置窗口，这样的话任何用户都将无法利用SID标识来窃取Windows Server 2008系统的登录账号名称信息了，那么Windows Server 2008系统受到暴力破解登录的机会就大大减少了，此时对应系统的安全性也就能得到有效保证了。
5、禁止U盘病毒“趁虚而入”
很多时候，我们都是通过U盘与其他计算机系统相互交换信息的，但遗憾的是现在Internet网络中的U盘病毒疯狂肆虐，那么对于Windows Server 2008系统来说，我们究竟该采取什么措施来禁止U盘病毒“趁虚而入”呢?其实很简单，我们可以通过设置Windows Server 2008系统的组策略参数，来禁止本地计算机系统读取U盘，那样一来U盘中的病毒文件就无法传播出来，下面就是具体的设置步骤：
首先以特权帐号进入Windows Server 2008系统环境，依次点选系统桌面中的“开始”/“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地计算机的组策略编辑窗口;
其次在组策略编辑窗口左侧区域展开“用户配置”分支，再依次选择该分支下面的“管理模板”/“系统”/“可移动存储”选项，找到该分支选项下面的“可移动磁盘：拒绝读取权限”目标组策略选项，并用鼠标右键单击该选项，执行右键菜单中的“属性”命令打开如图5所示的目标组策略属性设置界面，选中