Windows2008安全策略增强

首先，高级安全Windows防火墙。
大家都知道，互联网上的危险，现在到处都是，有各种各样的风险（病毒、木马、钓鱼、蛮力，误操作，恶意删除等。）同时，安全保护也是一个非常复杂的系统工程，微软提出了安全纵深防御和多层次的保护，就像如果我们不能只有社区守门人保护我们的家园，如果门卫玩忽职守，和我们家没有锁。它会造成损失。所以在我们的现实生活中，我们有多个后卫，小区监控、防盗门、门等。有一个问题，不导致全线崩溃。同为计算机网络系统是真的。公司有特殊的防火墙，恩保证内部网络的安全性，有专门的杀毒软件负责杀毒，但这一定是安全的吗事实上，有一句谚语是内；敌人；，我们经常说的是从城堡里面断了。事实上，即使是防止外部威胁，有很多的内部网络的危险。如内部人员误操作，恶意破坏，当然，一些我们可以通过加强诸如权限控制等方面解决问题，加密等等。当然，还有一些在内部网络问题。如果一个员工在使用一些黑客工具做恶意操作和下载了很多与一些P2P软件的带宽，因为计算机在内部网络，公司的外部防火墙将很难控制。在windows2008系统的高级安全Windows防火墙可以发挥作用的高级安全Windows防火墙。结合Internet协议安全（IPSec）的主机防火墙与边界防火墙，高级安全Windows防火墙运行在每一台电脑在这个版本的Windows上运行，并提供可能的跨边界网络或源于组织网络攻击的地方保护，允许你申请认证和数据保护委员会最后，它也为计算机的计算机提供安全，先进的安全Windows防火墙是专门为它的管理者需要在企业环境中管理网络安全的使用。在使用家庭网络是不适合的。家庭用户应考虑使用控制面板；；在它提供的Windows防火墙的程序。例如，如果员工私自使用P2P软件下载电影和游戏，占用大量带宽，影响公司网络的正常使用，他们可以通过高级安全Windows防火墙控制。
考虑到P2P工具在恶意下载操作，通过网络传播30773078端口系统，只要我们有高级安全防火墙限制30773078端口的外部网络通信，可以防止网民偷偷用迅雷P2P工具如恶意下载。现在，我们使用的win2008系统的高级安全防火墙功能创建安全访问规则，禁止P2P工具下载连接：
首先以系统管理员权限进入win2008桌面，在点击开始菜单中的程序；；，，管理工具；服务器管理；命令，服务器管理器从窗口左侧位置以后出现，鼠标位于配置；节点选项，然后选择目标节点选择高级安全防火墙项目；

然后打开高级安全；防火墙配置界面，选择在界面点左边位置出站规则选项，从正确的角度应该选择选项；新规则；选项，打开安全站规则创建向导对话框，对话框向导我们想问什么型操作控制的，我们应该选择端口；选项，以3077的本地计算机安全先进的防火墙，3078端口网络连接限制；
然后单击下一步按钮，设置选择对话框出现在随后的向导；TCP选项，并选择一个特定的本地端口的选项，特定本地端口；文本框将自动激活，在文本框中直接输入30773078端口号，
单击下一步按钮；；向导屏幕后会弹出查询指定条件的连接线应该是什么操作，这一次我们必须停止连接功能选项，设置后的具体安全条例的适用范围，在这里我们可以在同一时间选择域；，公共空间；这类应用环境，最后为新创建的出站规则设置一个合适的名称，然后单击完成按钮结束；；出境安全规则的创建工作，使任何一个在当地win2008系统的互联网用户下载恶意，高级安全防火墙win2008系统会自动开启这种恶意下载拦截，然后本地网络运行稳定性自然也可以有效的保证。
当然，除了端口协议控制之外，还可以根据应用程序、用户、计算机、IP地址范围和验证方式来控制，因此它非常灵活，因为可以设置组策略，不需要用户在每个计算机上安装和安装。
两。网络访问保护策略（NPS）
公司里有很多使用移动办公设备的人。很可能存在各种问题：例如，病毒库更新不及时，系统补丁没有安装。当这种不健康的计算机连接到公司的内部网络时，可能会给公司网络带来危险。此时，可以检查NPS。当然，要实现网络访问保护策略，我们首先需要安装NPS服务。管理员可以使用服务器管理器，在添加角色，角色，和向导手动添加NPS服务。然后设置DHCP服务。您可以配置NPS策略。NPS策略分为四个部分，分别是：网络健康验证器、服务器组更新，健康策略和网络策略，将增加公司的计算机网络来验证、隔离和恢复以及健康检查策略。
NAP部署后，当走回用户登录到公司的网络，第一个客户端检测，没有安装最新病毒库的计算机自动连接到病毒库更新病毒库更新服务器；没有安装计算机系统补丁，自动连接到WSUS服务器更新；没有启用防火墙的计算机，提示用户启用防火墙。当上述条件满足的情况下，允许客户端连接到内部网络，以最大限度地提高网络的安全性。

三。应用程序控制策略（AppLocker）
AppLocker是Windows7的新功能，并windowsserver2008r2可以用来代替软件限制策略function.applocker包括新的功能和扩展，降低管理开销，如可执行文件、脚本、windowsinstaller文件和DLL，帮助管理员控制用户如何访问和使用文件。与AppLocker，你可以：1，定义为基础的。文件规则的属性来自数字签名，包括出版商、产品名称、文件名称和文件版本。例如，您可以创建基于坚持更新过程出版商性质规则，或创建一个特定版本的文件规定。2。将规则分配给安全组或单个用户。3。创建规则的例外情况。例如，你可以创建一个规则，允许所有的Windows程序，在注册表编辑器（regedit。exe）运行。4。使用唯一的审计模式部署策略并了解其影响，然后强制策略5。导入和导出规则。导入和导出影响整个策略。例如，如果导出了策略，则规则集中的所有规则（包括规则集的强制设置）都将导出。如果导入策略引入，则现有策略将被覆盖。6。使用applockerpowershellcmdlet简化AppLocker规则的创建与管理。
该策略可以很容易地被应用程序控制：1。减少运行恶意软件的机会，因为我们可以限制用户运行这些应用程序（对一些可疑用户的直接限制，以前所有用户的软件限制政策）。2。可以很好地消除某些应用程序兼容性的问题，并且我们可以设置只运行超过设置版本号的应用程序。3。可以有效地提高我们的工作效率，防止无关的应用程序占用太多的系统资源浪费和无效工作时间。虽然AppLocker也可以通过Windows7系统局部集，它是通过在windows2008环境设置的域组策略管理网络环境中的计算机更方便。
在windows2008系统的一些新的安全设置做了简单介绍。可以看出，这些安全策略的制定可以大大方便我们的日常管理工作，当然，我们要做好管理工作，对这些新策略进行更多的研究和探讨，以便更好地应用于实际工作中。