对Windows Server 2008的组策略进行安全设置（二）

我们本篇文章中继续为大家带来Windows Server 2008的组策略安全设置。
三、禁止改变本地安全访问级别
在办公过程中，我们无法避免与其他同事共同使用同一台计算机。当我们对本地计算机的IE浏览器安全访问级别设置妥当之后，一定不希望其他同事随意更改它的安全访问级别，如果安全级别若是被设置的过低，很可能会导致各种病毒或木马对计算机的恶意攻击，从而导致各种安全隐患。于是为了防止其他人随意更改本地计算机的安全访问级别，我们可以在Windows Server 2008中进行设置，来保护本地系统的安全：
首先以特权帐号进入Windows Server 2008系统环境，依次点击系统桌面中的“开始”“运行”命令，然后输入gpedit.msc命令，打开本地计算机的组策略编辑窗口。而后在组策略编辑窗口左侧区域展开“用户配置”选项，再依次选择该分支下面的“管理模板”“Windows组件”“Internet Explorer”“Internet控制模板”选项，在对应“Internet控制模板”选项的右侧对话框中找到“禁用安全页”目标组策略项目。

 
然后用鼠标右键单击该项目，执行右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口。选中该属性设置窗口中的“已启用”选项，然后“确定”。

 
通过下图我们可以看到，在设置之后Internet Explorer的“安全设置页面”就会被隐藏起来，这样的话其他同事就无法进入该安全标签设置页面来更改本地系统的安全访问级别了，当然本地计算机系统的安全性也可以得到有效的保证了。

 
四、禁止超级账号名称被偷窃
技术高明的黑客通常会通过登录Windows Server 2008系统的SID标识，来窃取系统超级账号的名称信息，之后再利用目标账号名称去破解登录Windows Server 2008系统的密码，最终获得Windows Server 2008系统的所有控制权限，从而完全的控制你的计算机。很明显，一旦系统的超级权限帐号名称被非法窃取使用的话，那么Windows Server 2008系统的安全性就没有任何保证了。为了有效保证Windows Server 2008系统的安全性，我们需要禁止任何用户通过SID标识获取对应系统登录账号的名称信息。步骤如下：
首先以特权帐号进入Windows Server 2008系统环境，依次点击系统桌面中的“开始”“运行”命令，然后输入gpedit.msc命令，打开本地计算机的组策略编辑窗口。其次在组策略编辑窗口左侧区域展开“计算机配置”选项，再依次选择该分支下面的“Windows设置”“安全设置”“本地策略”“安全选项”项目，然后在右面的对话框中下拉菜单，并找到“网络访问：允许匿名SID/名称转换”目标组策略选项。

 
然后我们用鼠标右键单击该选项，执行右键菜单中的“属性”命令打开目标组策略属性设置界面，单击“已禁用”选项，然后单击确定。

 
如上设置后，任何用户都将无法利用SID标识来窃取Windows Server 2008系统的登录账号名称信息了，当然对应系统的安全性也就能得到有效保证了。