為了控（kòng）製網絡訪問（wèn）安全，相信不少人平時都勤（qín）於挖掘（jué）、善於總結，摸（mō）索出（chū）了許許多多有效的網絡安全控製經驗，在這些經驗體會的指導下，我們在控製網絡訪問安全方麵的確（què）取（qǔ）得了一定的成效。可（kě）是，對這些經驗（yàn）、體會進行仔細推（tuī）敲後，我們不難發現其中有很多（duō）內容都必須通過外力工具才能完成，要是手頭沒有現成專業工具可（kě）以使用的情況下（xià），我們又該如何有效控製網（wǎng）絡訪問安全呢?事實上，我們隻要加強對客戶端係統（tǒng）進行（háng）安全設（shè）置，同樣也（yě）能夠有效控製（zhì）網絡訪問安全（quán）;這不，本文現在就以嚴格管（guǎn）理係統賬號為（wéi）操作藍本，向大家貢獻幾則有效控製網絡（luò）訪問安全的技巧（qiǎo），希望（wàng）大家能（néng）從中得到幫助!

　　取消組用戶網絡訪問權

　　很多時候，網絡管（guǎn）理（lǐ）員為了圖管理方（fāng）便，往往會對某（mǒu）一組用（yòng）戶集中授權，這樣雖然提（tí）高了網絡管理效率，但是（shì）這也給網絡安全帶來了潛在的威脅，因為（wéi）一些木（mù）馬程序（xù）會偷偷將自己（jǐ）創建的用戶賬（zhàng）號，加入到訪問權限比較高的組用戶中，那樣一來木馬（mǎ）程序就能輕（qīng）易獲得非法（fǎ）攻擊權限。有鑒於此，我們需要在重要的主機係統或（huò）服務器係（xì）統中，取消（xiāo）組用戶網絡訪問權（quán），下麵就是具體（tǐ）的操作步（bù）驟：

　　首先打（dǎ）開重要主機係統或服務（wù）器係統的“開始”菜單，點選其中的“運行”命令，在彈出的係統（tǒng）運行框中，執（zhí）行“gpedit.msc”字符（fú）串命令，彈（dàn）出組策略控製台界麵;

　　其次展開該（gāi）控製台界麵中的“計算機配置”節點，再打開該節點下麵的“Windows設置”目錄，從中依次點選“安全設置”、“本地策略”、“用戶權限分配”子目錄，在目標子目錄下麵找到組策略選項“從網絡訪問此計算機”，同時用鼠標雙擊該選（xuǎn）項，彈出如圖1所示的（de）選項設置對話（huà）框;

        在這裏，我們會發現各個普通用（yòng）戶（hù）以及組用戶的身影，這些用戶在默（mò）認狀態下都具（jù）有（yǒu）一定的網絡訪（fǎng）問權限;為了控製網絡訪問安全性，我們必須將（jiāng）自己認為可疑的組用戶選中，同時單擊“刪除”按（àn）鈕，最後點擊“確定（dìng）”按鈕保存好上述設置操作，如此一來隱藏在特定組用戶中的木馬程序就（jiù）不能通過網絡來隨意訪問本地（dì）係統了。

　　為新用戶設置合適權限

　　如果有（yǒu）一（yī）些可（kě）信任的新用戶需要通過網（wǎng）絡訪（fǎng）問本地服（fú）務（wù）器係（xì）統，那麽我們需要在服務器（qì）係統中單獨創（chuàng）建一個新用戶，並為新用戶設置適（shì）當的訪問權限。要做到這一點，我們可以先打開服務器係統的控（kòng）製麵板窗口，雙擊其中的（de）“管理工具”圖標（biāo），再在管理工具列表中（zhōng）雙擊“計算（suàn）機管（guǎn）理（lǐ）”圖標（biāo），彈（dàn）出計算機管理窗口;展開左側區域的“本地用戶和組”節點，從中（zhōng）選擇“用戶”選項，同（tóng）時用鼠標右（yòu）鍵單擊“用戶”選項，並點選右鍵菜（cài）單中的（de）“新用戶”命令，彈出如圖2所示的創建對話框;在（zài）這裏，必（bì）須設置好新用戶的名稱（chēng）以及密碼，特別是要將密碼（mǎ）設置得稍微複雜一些，以防止這個用戶賬號被他人輕易暴力破（pò）解（jiě）;當然，我（wǒ）們在這裏不要輕易將新用戶（hù）賬號添加到其他組用戶中。

　　接下來，我們再打開服務器係統的資源管理（lǐ）器窗（chuāng）口，從中找到新用戶（hù）需要訪問的目標資源文件（jiàn）夾，同時用鼠標右鍵單擊該文件夾圖（tú）標，並點選快捷菜單中的“屬性”命令，彈出（chū）目標文件夾的屬性設置對話框;單（dān）擊其中的“安全”標簽（qiān），在對應標簽設置頁麵中，單（dān）擊“添加”按鈕，打開（kāi）用戶賬號選擇對話框，從中將之前創建好的新用戶（hù）賬號選中（zhōng）並（bìng）添加進來，最後再將（jiāng）合適的訪問權限（xiàn）一並授予給新用戶。

　讓（ràng）特定用戶擁有控製權限（xiàn）

　　為了方便管理（lǐ）網絡，我們很（hěn）多時候都需要通過網絡，對局域網中的重要主機係統進行遠程控製;可是，隨（suí）意開啟遠程控製功能，容易給服務器或重要主機係統帶來安全威脅。有鑒（jiàn）於（yú）此，我（wǒ）們應該按（àn）照如下操（cāo）作步驟，將遠程控製權限（xiàn）授予值得信任的特（tè）別用戶：

　　首先在需要進行遠（yuǎn）程（chéng）控製的主機（jī）係統中，用鼠標右鍵單擊桌麵上的“我的電腦”圖標，並點（diǎn）選快捷菜單中的“管理”命令，彈出對應係（xì）統（tǒng）的計算機管理窗口，將鼠（shǔ）標定位於該窗口左側的“係統工具”節點上，再依次展開該（gāi）節點下麵的“本地用（yòng）戶和組”、“用（yòng）戶”選項，從用戶列表（biǎo）中找到有權進行遠程控（kòng）製的特定用戶，用（yòng）鼠標（biāo）右鍵單擊（jī）該特定用戶選（xuǎn）項，並執行快捷菜單中的“屬性”命令，彈出特定（dìng）用戶的屬性設置對話框;

　　其次（cì）單擊（jī）該對話框中的“隸屬於”標簽，彈出如圖3所（suǒ）示的標（biāo）簽設置頁麵，檢查該頁麵中是否（fǒu）包含“Remote Desktop Users”組（zǔ）用（yòng）戶（hù）選項，如果沒有的話，我們可以直接單擊（jī）“添加”按鈕，再逐一單擊“高級”、“立即查找”按鈕，將“Remote Desktop Users”組用戶選中並添加進來，最後單（dān）擊“確定”按鈕執行設置保存操作，這（zhè）麽一來特定用戶就擁有遠程（chéng）控製本地服務器係統的權限了。

　　當然，我們還能通過另外一（yī）種方法，讓特定用戶擁有（yǒu）控製權限，具體操作方法是（shì）：先右擊“我的電腦”，點選右鍵菜單中的“屬性”命（mìng）令，彈出係（xì）統屬性對話（huà）框（kuàng），單擊“遠程”選項卡，在遠程選項設置頁麵中，單擊“選擇遠程用戶”按鈕（niǔ），再單擊“添加”按鈕，將特定用戶的（de）賬號（hào）選（xuǎn）中並添加進來。

　　強製對（duì）用戶進（jìn）行網絡驗證

　　很多時候，網絡管理員在進（jìn）行遠程管理操作時，為了（le）圖方（fāng）便，不設置（zhì）遠程登錄密碼，日後他（tā）們在進（jìn）行遠程控（kòng）製操作時，就不需要進行網絡驗證，就（jiù）能直接登（dēng）錄進入局域網服務器係統了，很顯然這對服務（wù）器係統來說是非常危險的。為了保證遠程控製的安全，我們需要想辦法強製對用戶進（jìn）行網絡驗（yàn）證，下麵就是具體的設置步驟：

　　首先在服務器係（xì）統中依次點選“開始”、“運行”選項，打開（kāi）對應係統的運行文本框，在其中執行“regedit”字符串命（mìng）令，彈出注冊表控製台界麵;依次展開該界麵左側的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon，將“Winlogon”子項（xiàng）下麵的“DefaultUserName”、“DefaultPassword”、“AutoAdminlogon”鍵（jiàn）值全部選中並刪除掉;

　　其次再打開服務器係統的“開始”菜單，點選（xuǎn）“運行”命令，在彈出的係統運（yùn）行框中執行“control userpasswords2”命（mìng）令，進入用戶賬戶設置對話框;點選“用戶”選項卡，選中（zhōng）需要對服務器係統進行遠程控製的特定賬號，再將“要使用本機，用戶必須輸入用戶和密碼”選（xuǎn）項選中（zhōng）(如圖4所示)，最後單擊“確定”按（àn）鈕執行設置保存操（cāo）作（zuò），這（zhè）麽一來服務器係統日後就會（huì）強製（zhì）對用戶（hù）進行網絡驗（yàn）證操作了（le）。

　　為了更進一步地控製網絡訪（fǎng）問安全，Windows Server 2008服務器係統特意提出了網絡身份驗證功能，這種功能強製用戶必須在安全性能更高的Windows Vista以（yǐ）上版本的計算機係統中，才（cái）能有權利對服務器（qì）係統進行遠程（chéng）控製操作，要啟用該功能時我們可以按照如下方法進行操作（zuò）：

　　首（shǒu）先依（yī）次（cì）點選Windows Server 2008服務器（qì）係（xì）統的“開（kāi）始（shǐ）”/“設置”/“控製麵板”選項，彈出係統控製麵板窗口，逐（zhú）一點選其中的“係統和維護”、“係統”圖（tú）標，再單擊其後界麵左側列表中（zhōng）的“遠（yuǎn）程（chéng）設置”按鈕，彈出遠程（chéng）設置對話框;將該對話框中的“隻允許運行帶網絡（luò）身份驗證的遠程桌麵的計算機（jī）連接(更安全)”選項選中，這麽一來我們就（jiù）能將服務器係統的網絡身份驗證功能成（chéng）功啟用起來了，日後遠程控製用戶隻有從安全性能更高的計算機（jī）係統中，才能有資格對服務器係統（tǒng）進行遠程控製操作。

　　監控用戶賬號登錄狀態

　　為了防止非法用戶偷（tōu）偷登錄服（fú）務器係（xì）統，Windows Server 2008新增加了監（jiān）控（kòng）用戶賬號登錄功（gōng）能，巧妙地利用該功能，我們可以及時找到潛在的安全隱患，保（bǎo）證服務（wù）器（qì）係統始終能夠（gòu）穩定地運行。要啟（qǐ）用監控（kòng）用（yòng）戶賬號（hào）登錄（lù）功能，我們可以按照如下步驟進行操作：

　　首先打（dǎ）開Windows Server 2008係統的“開始”菜單，執行“運行”命令，在係統運行框中輸入字符串命令“gpedit.msc”，單（dān）擊回車鍵後，彈出（chū）組策略控製台界麵;

　　其次依次展開該控（kòng）製台界（jiè）麵左（zuǒ）側列表中的“計算機配置”/“管理模板（bǎn）”/“Windows組件”/“Windows登錄選項”節點，用鼠標雙擊（jī）該（gāi）節點下麵（miàn）的目標組策略（luè）選項“在（zài）用戶登錄期間顯示有關以前（qián）登錄的信息”，彈出如圖5所示（shì）的選項設置對話框;選（xuǎn）中（zhōng）該對話框（kuàng）中的“已啟用”選項，同時單擊“確定”按鈕執（zhí）行（háng）設置（zhì）保存操作，這麽一來Windows Server 2008服務器係（xì）統的監控用戶賬號登錄功（gōng）能就被成功啟用了（le）。

　　日後，