对Windows Server 2008的组策略进行安全设置（三）

本篇文章为大家带来最后一期的Windows Server 2008组策略安全设置。
五、对U盘病毒说“No”
在办公时，我们复制文件的途径经常是通过通过U盘的。但令人担忧的是现在无论局域网还是广域网中都充斥着各种各样的病毒，一不小心就会传播到U盘上，再随着U盘在各个计算机之间的“游走”而愈演愈烈。那么对于Windows Server 2008系统来说，除了安装优秀的杀毒软件之外，我们还能采取什么措施来阻止U盘病毒呢?其实很简单，我们可以通过设置Windows Server 2008系统的组策略参数，来禁止本地计算机系统读取U盘，这样U盘中的病毒文件就无法传播出来。步骤如下：
首先以特权帐号进入Windows Server 2008系统环境，然后单击“开始”“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地计算机的组策略编辑窗口。其次在组策略编辑窗口左侧区域展开“用户配置”选项，然后依次选择“管理模板”“系统”“可移动存储”选项，继而找到右方对话框中的“可移动磁盘：拒绝读取权限”目标组策略选项。

 
然后鼠标右键单击上述选项，右键单击菜单中的“属性”命令打开组策略属性设置界面，选中其中的“已启用”选项，然后确定。

 
依葫芦画瓢，再打开“可移动磁盘：拒绝写入权限”目标组策略选项的属性设置窗口，选中该窗口中的“已启用”选项，然后确定就可以了。

 
此时我们的Windows Server 2008系统就可以正式对U盘病毒说“No”了。
六、禁止来自应用程序的漏洞攻击
您认为只要对Windows Server 2008服务器系统的补丁程序进行及时更新，就能让本地服务器系统远离网络中各种木马程序或恶意病毒的攻击了吗？其实不然，Windows Server 2008服务器系统更新补丁程序只能堵住系统自身存在的一些安全漏洞，却对安装在Windows Server 2008系统中的应用程序有明显漏洞束手无策。所以网络中各种木马程序或恶意病毒还是能够利用应用程序的安全漏洞来对Windows Server 2008系统进行攻击。那么在Windows Server 2008中，我们该采取什么措施来禁止病毒或木马利用应用程序漏洞来对服务器进行攻击呢?答案是：我们可以利用Windows Server 2008服务器系统内置的高级防火墙程序来实现这一操作。步骤如下：
首先以特权帐号进入Windows Server 2008系统环境，然后单击“开始”“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地计算机的组策略编辑窗口。其次在组策略编辑窗口左侧区域展开“计算机配置”选项，再依次选择该选项下面的“Windows设置”“安全设置”“高级安全Windows防火墙”“高级安全Windows防火墙——本地组策略对象”选项。

 
然后鼠标右键单击该选项下面的“入站规则”子项，从弹出的右键菜单中选择“新规则”进入入站规则设置向导界面。
 

根据向导界面的提示，将规则类型参数设置为“程序”，然后选中“此程序路径”选项，并单击“浏览”按钮，将存在明显漏洞的目标应用程序选中，（本例以IE浏览器为例，但其实应当选择其他用户自己安装的软件）

 
当屏幕上出现向导设置界面时，我们可以选中“阻止连接”项目，然后单击下一步选择应用环境，再设置好名称，最后单击“完成”按钮就OK了。 
 
设置完成后Windows Server 2008系统中的高级防火墙程序就会禁止那些我们认为存在明显安全漏洞的应用程序访问网络了。这样病毒和木马也就无法利用那些应用程序来攻击我们的计算机了。
希望这三篇简单的组策略设置技巧可以帮助大家解决实际工作中遇到的问题。