扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:eNet硅谷动力 来源:eNet硅谷动力 2007年12月7日
关键字: 技巧 组策略 Windows Windows xp
不同用户,不同权限
也许你的服务器中包含有许多用户,但为了保护服务器的安全,你希望这些用户对服务器的访问控制权限各不相同,以便日后服务器遇到意外时,你能根据权限高低的不同,就能快速地找到“从中作乱”的用户。要想对不同的用户,分配不同的访问控制权限,只需要对服务器组策略进行一下设置就可以了,下面就是具体的设置步骤:
依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开系统组策略编辑窗口;
在该窗口中,依次展开其中的“计算机配谩?“Windows设置”/“安全设置”/“本地策略”/“用户权利指派”项目;
在对应“用户权利指派”项目的右侧窗口区域中,你将看到有多种权利可供指派,如图3所示。例如,要是你只想让aaa用户通过网络连接方式来远程访问服务器中的内容,而不允许其在本地登录服务器写入内容或执行其中的应用程序时,你可以先双击“拒绝本地登录”权限;
在其后打开的设置窗口中,单击一下“添加”,然后选中aaa用户所对应的帐号名称,再单击一下“添加”,这样aaa用户日后就只能通过远程网络来访问服务器中的内容了。
同样地你可以将本地登录控制权限分配给bbb用户,将文件或其他对象的所有权分配给ccc用户等;一旦为不同用户分配好了不同控制权限后,你日后就能根据权限级别的不同,来有针对性地管理和控制用户了。例如,要是你发现服务器在没有接入到网络的时间内,有人随意向服务器中上传非法信息而需要追究时,你可以很轻松地将aaa用户排除在外,毕竟aaa用户没有这样的“作案能力”!
保护设置,避免冲突
在局域网中常常会出现工作站IP地址被随意修改,造成IP冲突现象的发生,从而影响局域网的运行效率。尽管目前有许多方法可以避免IP地址发生冲突,但仔细推敲一下,你不难发现其中的一些方法对于一些菜鸟用户来担僮髌鹄从械隳讯?其实借助组策略功能,你可以很轻松地限制局域网工作站的网络配置参数被随意修改,从而有效避免网络中的IP地址发生冲突:
依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开系统组策略编辑窗口;
依次展开该窗口中的“用户配置”/“管理模板”/“网络”/“网络和拨号连接”策略项目,在对应“网络和拨号连接”策略的右侧窗口区域中,双击一下“允许TCP/IP高级设置”项目;
在弹出的如图4所示的设置窗口中,将“禁用”选项选中,并单击一下“确定”按钮,这样的话,任何一个工作站用户日后打开TCP/IP属性设置窗口时,将会发现无法进入“高级”设置窗口,来修改工作站的IP地址或其他网络参数,如此一来局域网中的IP地址就不大容易发生冲突了。
强化审核,远离攻击
在缺省条件下,Windows 2003服务器没有启用任何一种安全审核手段,来保护服务器的安全,显然这会给服务器带来很大的安全隐患。为了避免服务器遭受攻击,你只要对服务器中的组策略“动动手脚”,就能启用好安全审核策略,保护好服务器的安全:
依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开系统组策略编辑窗口;
将鼠标定位于其中的“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“审核策略”组策略分支上,在“审核策略”分支下面,你将看到有多种审核事件需要你指定,如图5所示;
双击其中的“策略更改”项目,在弹出的设置窗口中,如果选中“成功”选项的话,那么服务器日后将会对所有事件的成功操作进行审核,要是选中“失败”选项的话,那么服务器日后将会对所有事件的失败操作进行审核;
为了能够及早知道服务器存在的安全隐患,我们通常需要对“系统事件”、“登录事件”、“帐户登录事件”、“帐户管理事件”的成功操作与失败操作分别进行审核,如此一来即使一些已经实施攻击、但没有攻击成功的操作记录,也会一一被服务器自动记录下来,以后我们仔细分析记录,就能查找出安全隐患,并及时采取补救措施确保服务器的安全了;对于“对象访问”事件、“目录服务访问”事件、“特权使用”事件等,一般只要审核它们的失败操作,就可以达到捕捉攻击记录的目的了。
一旦通过组策略分别对相关事件启用审核功能后,服务器日后将会把相关事件的审核记录全部保存到系统的“事件查看器”中,以后你只要及时打开日志内容,并对其中记录进行认真分析,就能查清服务器此时有没有受到攻击了。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
京公网安备 11010802021500号