為了（le）控（kòng）製網（wǎng）絡訪問（wèn）安全，相信不少人平時都勤於挖掘（jué）、善於總結，摸索出了（le）許許多多有效（xiào）的網（wǎng）絡（luò）安全控製經驗，在這些經驗（yàn）體會的指導下，我們在控製網絡訪問安全方麵（miàn）的確（què）取得了一定的（de）成效。可是，對這些經驗、體會進行仔細推敲後，我們不（bú）難發（fā）現其中有很多內容都（dōu）必須（xū）通過外力工（gōng）具才能完成（chéng），要是手頭沒有現成專業工具（jù）可以使（shǐ）用（yòng）的（de）情況下，我們又該如何有效控製網絡（luò）訪問安（ān）全呢?事實上，我們（men）隻要加強對客（kè）戶端（duān）係（xì）統（tǒng）進行安全設置，同樣也能（néng）夠有效控（kòng）製（zhì）網絡（luò）訪問安全;這（zhè）不，本文現在就以嚴格管理係統（tǒng）賬號為（wéi）操作藍本，向（xiàng）大（dà）家貢獻幾則有效控製網絡訪問安全的技巧，希望大家能從中（zhōng）得（dé）到幫助!

　　取（qǔ）消組用戶網絡訪問權

　　很多時候，網絡管理員為了（le）圖管理方（fāng）便（biàn），往往（wǎng）會對某一組用戶集中授權，這樣雖（suī）然提高了網絡管（guǎn）理（lǐ）效率，但是這也（yě）給網絡安（ān）全（quán）帶來（lái）了潛在的威脅，因為（wéi）一（yī）些木馬（mǎ）程（chéng）序會偷偷將自（zì）己創建的（de）用戶賬號，加入到（dào）訪（fǎng）問權限比（bǐ）較高的組用戶中，那樣（yàng）一來（lái）木馬程序就能輕（qīng）易獲得非法（fǎ）攻擊權限。有鑒（jiàn）於此，我們需要在重要的主機係（xì）統或服務器（qì）係統中，取消（xiāo）組用戶網（wǎng）絡訪問權（quán），下麵就是具體的操（cāo）作步驟（zhòu）：

　　首（shǒu）先打（dǎ）開重要（yào）主（zhǔ）機（jī）係統或服務（wù）器係（xì）統的“開始”菜單，點（diǎn）選其中的“運行”命令，在彈出的係統運行框（kuàng）中，執行“gpedit.msc”字符串（chuàn）命令，彈（dàn）出組策略控製（zhì）台界麵;

　　其（qí）次（cì）展開該控製台界（jiè）麵中的“計算機配置”節點，再打開該（gāi）節（jiē）點下麵（miàn）的（de）“Windows設（shè）置”目錄，從中依次（cì）點選（xuǎn）“安全設置”、“本地策略（luè）”、“用戶權限分配”子目錄，在目標子目錄下（xià）麵找到組策略（luè）選項“從網絡訪問此（cǐ）計算機”，同時用鼠標雙擊（jī）該選項，彈出如圖1所示的選項設置對話框（kuàng）;

        在這裏，我們會（huì）發現各個普通用戶以及組用戶（hù）的身影，這些用（yòng）戶（hù）在默認狀態（tài）下都具（jù）有一定的網絡訪問權限;為了控製（zhì）網絡訪問安全性，我們必須將自己認為可疑的組用（yòng）戶選中（zhōng），同時單擊“刪除”按（àn）鈕，最後點擊“確定”按鈕保存好上述設（shè）置操作，如此一來（lái）隱藏在（zài）特定組（zǔ）用戶中的木馬程（chéng）序（xù）就不能通過網絡來隨意訪問本地係（xì）統了。

　　為新用戶設置合（hé）適權限

　　如果有（yǒu）一些（xiē）可信任的新用戶需要通（tōng）過網絡訪問（wèn）本地服務器係統（tǒng），那麽我（wǒ）們（men）需要在服務（wù）器係統中單獨（dú）創建（jiàn）一個新用（yòng）戶，並為新用戶（hù）設置適當的訪問權限。要做到這一（yī）點，我們（men）可以（yǐ）先打開服務器（qì）係統的（de）控製麵板窗（chuāng）口，雙擊其中的“管理（lǐ）工具”圖標，再在管理工（gōng）具列表中（zhōng）雙（shuāng）擊“計算機管理”圖標，彈出計算機管（guǎn）理窗（chuāng）口;展開左側區域的“本地用（yòng）戶和（hé）組”節點，從中選擇“用戶（hù）”選項，同（tóng）時（shí）用（yòng）鼠標右鍵單擊“用戶”選項，並點選右（yòu）鍵菜（cài）單中（zhōng）的“新用（yòng）戶（hù）”命令（lìng），彈出如圖2所示（shì）的（de）創建對話框;在這裏，必須設（shè）置好新用（yòng）戶的（de）名稱（chēng）以及（jí）密（mì）碼（mǎ），特別是要將密碼設（shè）置得稍（shāo）微複（fù）雜一（yī）些，以防止這個用戶賬號（hào）被他（tā）人輕易暴力破解;當然，我們在這裏不（bú）要輕易將新用戶賬號（hào）添加到其他組（zǔ）用戶中（zhōng）。

　　接下來，我們再打開服務（wù）器係統（tǒng）的資源管理（lǐ）器窗口，從（cóng）中找到（dào）新（xīn）用戶（hù）需（xū）要訪問的（de）目標資源文件（jiàn）夾，同時（shí）用鼠標右鍵單擊該文件夾圖（tú）標，並點選快捷菜單中的（de）“屬性”命（mìng）令，彈出目標（biāo）文件夾（jiá）的屬性設置對話框;單擊其中的（de）“安全”標（biāo）簽，在（zài）對應標簽設置頁麵中，單擊“添（tiān）加”按鈕，打開（kāi）用戶賬號選（xuǎn）擇對話框，從中將（jiāng）之（zhī）前創建（jiàn）好（hǎo）的新用戶賬號選中（zhōng）並添加進來，最（zuì）後再將合（hé）適的訪問權（quán）限一（yī）並授予給新用戶。

　讓特定（dìng）用戶擁有控製權限

　　為了方便（biàn）管理網絡，我（wǒ）們很多時候都需要通過網（wǎng）絡，對局（jú）域網中的重要（yào）主機係（xì）統進行遠程控製;可（kě）是（shì），隨（suí）意（yì）開啟遠程控製功能，容易（yì）給服務器或重要主機係統帶來安全威脅。有鑒於此，我們應（yīng）該按照如下操作步驟，將遠程（chéng）控（kòng）製（zhì）權限授予（yǔ）值得信任的（de）特（tè）別用戶：

　　首先在（zài）需（xū）要進行遠程控（kòng）製的主機係統（tǒng）中，用鼠標右鍵（jiàn）單擊桌麵上（shàng）的（de）“我的電（diàn）腦”圖標，並（bìng）點選快捷（jié）菜單中（zhōng）的“管理”命（mìng）令，彈出對應（yīng）係統的計算機（jī）管理窗口，將鼠（shǔ）標定（dìng）位（wèi）於該窗口左側（cè）的“係（xì）統工具”節點上，再依次展開該節點下麵的“本（běn）地用戶和組”、“用戶”選項，從用戶（hù）列表中找到有權進行遠程（chéng）控製的特定用戶，用鼠標右鍵單（dān）擊（jī）該特定用（yòng）戶選項（xiàng），並執行快捷菜單中的“屬性”命令，彈（dàn）出特定（dìng）用戶（hù）的屬（shǔ）性設置對話框（kuàng）;

　　其（qí）次單（dān）擊該（gāi）對話（huà）框中的“隸屬於”標簽，彈出如圖3所示的標（biāo）簽設（shè）置頁麵，檢（jiǎn）查該頁麵（miàn）中是否包含（hán）“Remote Desktop Users”組（zǔ）用（yòng）戶選項，如果沒有（yǒu）的話，我們可（kě）以（yǐ）直接單擊“添（tiān）加”按鈕，再（zài）逐一（yī）單擊“高級”、“立（lì）即查找”按（àn）鈕（niǔ），將“Remote Desktop Users”組用戶選中（zhōng）並添加進來，最後單擊“確定”按鈕執行設置保存操作，這麽一來特定用（yòng）戶（hù）就擁有遠程（chéng）控製本地服（fú）務（wù）器係（xì）統的權限了（le）。

　　當然，我們還能通過另外一（yī）種方法，讓（ràng）特定用（yòng）戶擁有控製權（quán）限，具體操作方法是：先右（yòu）擊（jī）“我的電腦”，點選右（yòu）鍵菜單（dān）中的“屬性”命令（lìng），彈出係統（tǒng）屬性對話框，單擊“遠程”選項卡，在（zài）遠程選（xuǎn）項設（shè）置頁麵中，單擊“選擇（zé）遠程用戶”按（àn）鈕，再（zài）單擊“添加”按鈕，將特定（dìng）用戶的賬號選中並添加進來。

　　強製對用戶進行網絡驗證

　　很多時候，網絡管理員在進（jìn）行遠程管理操作時（shí），為了圖（tú）方便，不設置（zhì）遠程登錄密碼，日後他們（men）在進行遠程控製（zhì）操作時，就不需要進行（háng）網絡（luò）驗證，就能（néng）直（zhí）接登錄進入局域網服務器係（xì）統了，很顯（xiǎn）然這對（duì）服務器係統（tǒng）來說是（shì）非常危險（xiǎn）的。為了保證遠程控製的安全，我們需要想（xiǎng）辦法強製（zhì）對用（yòng）戶進（jìn）行網（wǎng）絡（luò）驗證，下麵就是具體（tǐ）的設置（zhì）步驟：

　　首先在服務器係統中依次（cì）點選“開始”、“運（yùn）行（háng）”選項，打開對應（yīng）係統的運行（háng）文本（běn）框（kuàng），在其中執（zhí）行（háng）“regedit”字符串命令，彈出（chū）注冊表控製（zhì）台界麵（miàn）;依次展開該（gāi）界麵左（zuǒ）側的（de）HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon，將（jiāng）“Winlogon”子項下麵（miàn）的（de）“DefaultUserName”、“DefaultPassword”、“AutoAdminlogon”鍵值全（quán）部選（xuǎn）中並刪除掉;

　　其次再打（dǎ）開服務器係統的“開（kāi）始”菜（cài）單，點選“運行”命令，在彈出（chū）的係統運行框中（zhōng）執行“control userpasswords2”命（mìng）令，進入（rù）用戶賬戶設（shè）置（zhì）對話框（kuàng）;點選“用戶”選項卡，選中需要對服務器係統進行遠程控製的（de）特（tè）定賬（zhàng）號，再（zài）將“要使用本機，用戶必（bì）須輸入用（yòng）戶和密（mì）碼（mǎ）”選項（xiàng）選中(如圖4所示)，最後單擊（jī）“確定”按鈕執行設置保存操作，這麽一（yī）來服務器係統日後就（jiù）會強製對用戶進行網絡驗證操作了。

　　為了更（gèng）進一（yī）步地控（kòng）製網（wǎng）絡訪問安全，Windows Server 2008服（fú）務器係（xì）統（tǒng）特意（yì）提出了（le）網絡身份驗（yàn）證功（gōng）能，這種功能強（qiáng）製用戶必須在安全性能更（gèng）高的Windows Vista以上版本的計算機係統（tǒng）中，才能有權利對服務器係統進行遠（yuǎn）程控（kòng）製操（cāo）作（zuò），要啟用該功能時我們可以按照如下方法進行操（cāo）作：

　　首先依次點選Windows Server 2008服務（wù）器係統的（de）“開始”/“設置”/“控製麵板”選項，彈出係統控製（zhì）麵板（bǎn）窗口，逐一點選其中的“係統和維護”、“係統”圖標，再單擊其後界麵左側（cè）列（liè）表中的“遠程（chéng）設置”按鈕，彈出遠（yuǎn）程設置對話框;將該對話框中的“隻允許運行帶網絡身份驗證的遠程桌麵的計算（suàn）機連接(更安全)”選項選中，這麽一來我們就能（néng）將服（fú）務器係統的網絡（luò）身（shēn）份（fèn）驗（yàn）證功（gōng）能成功啟用起來了，日後（hòu）遠程控製用（yòng）戶隻（zhī）有從安全性能更高的計算機係統中，才能有資格對服務（wù）器係（xì）統進行遠程（chéng）控製（zhì）操作（zuò）。

　　監控用戶賬號登錄狀態

　　為了防止非法用戶偷偷登錄服務（wù）器係統，Windows Server 2008新增加了監控用戶賬號（hào）登錄功能，巧妙地（dì）利用該功能，我們可（kě）以及時找到潛（qián）在的（de）安全隱患，保證（zhèng）服務器係統（tǒng）始終（zhōng）能夠穩定地（dì）運（yùn）行（háng）。要啟用監控用戶賬（zhàng）號登（dēng）錄功能，我們可以按（àn）照如下（xià）步驟進行操作：

　　首先打開（kāi）Windows Server 2008係統（tǒng）的“開始”菜單，執行“運行”命令，在（zài）係統運行（háng）框中輸入字符（fú）串命令“gpedit.msc”，單擊回車鍵後，彈出（chū）組策略控製台（tái）界麵;

　　其次依次展開該控（kòng）製台界麵左側列（liè）表中（zhōng）的“計（jì）算機配（pèi）置”/“管（guǎn）理模板”/“Windows組件”/“Windows登錄選項”節點，用鼠標雙擊該節點下麵的目標組策略（luè）選（xuǎn）項“在用戶登錄（lù）期間顯示（shì）有關以前登錄的信息”，彈出如圖5所（suǒ）示的選項設（shè）置對話框;選中該對（duì）話框中的“已啟用”選（xuǎn）項（xiàng），同（tóng）時單擊“確定”按鈕執行設（shè）置保存操作，這麽一來Windows Server 2008服（fú）務器（qì）係（xì）統的監控（kòng）用（yòng）戶賬號登（dēng）錄功能就被成（chéng）功啟用（yòng）了。

　　日後，