Windows 2008 安全策略增强简述

接着单击“下一步”按钮，在其后出现的向导设置对话框中选中“TCP”功能选项，并且选中“特定本地端口”选项，此时“特定本地端口”文本框会被自动激活，在该文本框中直接输入“3077，3078”端口号码， 再单击“下一步”按钮后，向导屏幕会弹出提示询问“连接符合指定条件时应该进行什么操作”，这个时候我们必须将“阻止连接”功能选项选中，之后设置好该安全规则具体的应用范围，在这里我们可以同时选中“域”、“专用”、“公用”这几种应用环境，最后为新创建的出站规则设置一个合适的名称，再单击“完成”按钮结束安全出站规则的创建工作，这样的话任何一位上网用户在本地Win2008系统中尝试进行恶意下载时，Win2008系统自带的高级安全防火墙功能就对自动对这样的恶意下载进行拦截，那么本地网络的运行稳定性自然也就能得到有效保证了。 当然除了端口协议可以控制，还可以根据应用程序、用户、计算机、IP地址范围及验证方式等多方面进行控制，非常灵活。由于可以通过组策略进行设置。不需要用户在每台计算机上在进行安装设置（以前可需要在客户机上装个人防火墙软件），大大减轻了管理工作量

二．网络访问保护策略（NPS） 公司里有很多人用移动办公设备，很可能各种问题：如病毒库更新不及时、系统补丁没有安装等情况，当这样状态不健康的计算机接入公司内网后，可能给公司网络带来危险。这时就可用NPS把关了。当然要实现网络访问保护策略要先安装NPS服务，管理员可通过“服务器管理器”中的“角色添加”向导手工添加NPS服务。进而在DHCP服务中进行相应设置。就可以配置NPS策略。NPS策略包含四部分的内容，分别为：网络健康验证器、更新服务器组、健康策略和网络策略，将对加入到公司网络的计算机进行验证、隔离、补救以及健康策略审核。

NAP部署后，当外出用户回到公司登录到公司的网络时，首先进行客户端检测，没有安装最新病毒库的计算机，自动连接到病毒库更新服务器升级病毒库;没有安装系统补丁的计算机，自动连接到WSUS服务器升级补丁;没有启用防火墙的计算机，提示客户端启用防火墙。当以上条件满足后，允许客户端连接到内部网络中，最大限度地保证网络安全。

三.应用程序控制策略（AppLocker） AppLocker是Windows7中的新功能，WindowsServer2008R2中可用于取代了软件限制策略功能。AppLocker包含减少管理开销的新功能和扩展（如可执行文件、脚本、WindowsInstaller文件和DLL），帮助管理员控制用户如何访问和使用文件。使用AppLocker，您可以：1.基于从数字签名派生的文件属性（包括发布者、产品名称、文件名和文件版本）定义规则。例如，可以根据更新过程中持续存在的发布者属性创建规则，或者为特定版本的文件创建规则。2.向安全组或单个用户分配规则。3.创建规则的例外。例如，可以创建一个规则，允许除注册表编辑器（Regedit.exe）之外的所有Windows进程运行。4.使用仅审核模式部署策略并了解其影响，然后再强制该策略。5.导入和导出规则。导入和导出影响整个策略。例如，如果导出策略，则会导出所有规则集合中的所有规则，包括规则集合的强制设置。如果导入策略，则会覆盖现有策略。6.使用AppLockerPowerShellcmdlet简化AppLocker规则的创建和管理。 通过应用程序控制策略可以很容易做到：1.减少运行恶意软件的机会，因为我们可以限制用户运行这些应用程序（可以直接对某些可疑用户进行限制，以

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!