為了讓局域網網絡盡可能地安全運行，許多網絡管理人員可謂動足了腦筋，他們紛紛將各式各樣的專業安全防范工具“請”到本地局域網中，以保證本地網絡遠離各種非法安全攻擊。事實上，許多時候我們常常會面對手頭沒有任何專業安全防范工具的窘境，在這樣的情形下我們難道對網絡安全只能無動于衷嗎?**是否定的!其實Windows系統本身就為我們提供了許多安全設置功能，巧妙地使用這些功能，我們完全可以赤手空拳地應對網絡安全問題。這不，本文現在就借助系統組策略，來向各位推薦幾則保證網絡安全運行的訣竅，希望下面的內容能對大家有所啟發!

1、巧改組策略，禁止他人非法更改地址

在不少中小單位的局域網網絡環境中，許多網絡管理員一般都為普通工作站分配一個靜態IP地址，然后針對不同IP地址的工作站分配相應的訪問權限。正是因為不同IP地址的工作站具有不同級別的訪問權限，所以單位局域網中常有非法用戶通過修改IP地址的方式來獲取一些特殊的操作權限。很顯然，這種行為是不正當的、不安全的，很容易導致局域網網絡中頻繁發生IP地址沖突等故障，所以這種網絡管理難題時常會困擾著每一位網絡管理人員。用一種比較恰當、得體的方法限制普通用戶隨意修改IP地址，是解決IP地址頻繁發生故障的良方。下面，我們就通過設置系統組策略，來達到禁止他人非法更改IP地址的目的：

首先依次單擊本地工作站系統桌面中的“開始”/“運行”命令，在彈出的運行文本框中輸入字符串命令“gpedit.msc”，單擊回車鍵后，打開本地系統的組策略編輯窗口;

其次在組策略編輯窗口中，用鼠標逐一展開左側列表區域中的“本地計算機策略”/“用戶配置”/“管理模板”/“網絡”/“網絡連接”分支選項，在對應“網絡連接”分支選項的右側列表區域中用鼠標雙擊“禁止訪問LAN連接的屬性”選項，打開如圖1所示的“禁止訪問LAN連接的屬性”設置窗口，將該設置窗口中的“已啟用”項目選中，單擊“確定”按鈕退出組策略編輯窗口(要是日后我們想開放IP地址修改權限，只需將圖1界面中的“未配置”項目選中就可以了)。

完成上面的設置操作后，我們再用鼠標雙擊系統任務欄右下方的本地連接圖標，在其后出現的界面中我們發現屬性按鈕已經變成灰色，這樣一來普通用戶就無法打開網絡屬性設置窗口，自然也就不能非法修改本地工作站的IP地址了。

2、巧改組策略，禁止外人隨意改防火墻

大家知道，在默認狀態下工作站系統會自動啟用自帶防火墻程序，以便保護本地網絡以及工作站的運行安全，然而這樣的話有不少應用程序在默認狀態下往往無法正常運行，不得已許多普通用戶常常會亂做主張地將系統自帶防火墻程序臨時禁用掉，可是如此一來本地局域網網絡可能會受到各式各樣的安全威脅。那么我們該如何將防火墻程序“鎖定”起來，以阻止非法用戶胡亂篡改防火墻設置呢?事實上，我們可以嘗試對系統的組策略進行相關設置，就能實現禁止外人隨意改防火墻的目的，下面就是具體的實現方法：

首先依次單擊本地工作站系統桌面中的“開始”/“運行”命令，在彈出的運行文本框中輸入字符串命令“gpedit.msc”，單擊回車鍵后，打開本地系統的組策略編輯窗口;

其次在組策略編輯窗口中，用鼠標逐一展開左側列表區域中的“本地計算機策略”/“計算機配置”/“管理模板”/“網絡”/“網絡連接”分支選項，在“網絡連接”分支選項下面包含“域配置文件”、“標準配置文件”這兩個子項，要是本地局域網是以域形式組網的話，那我們在這里必須將“域配置文件”項目選中，之后在“域配置文件”子項所對應的右側顯示區域中，找到“Windows防火墻：保護所有網絡連接”組策略項目，并用鼠標雙擊該項目，進入到如圖2所示的“域配置文件”屬性窗口，將該窗口中的“已啟用”選項選中，再單擊一下“確定”按鈕結束“域配置文件”屬性設置操作;

完成上面的設置操作后，我們可以嘗試再次打開防火墻屬性設置界面，此時大家將會看到該設置界面的“啟用”選項已經變成灰色調了，這也就說明本地工作站中的防火墻程序已經被我們“鎖定”成功了，日后任何企圖修改防火墻配置的用戶都將無法胡亂更改本地防火墻的參數設置了，如此一來本地局域網以及工作站的安全就能有了保障!

3、巧改組策略，謹防共享密碼遭遇破解

在缺省狀態下Windows工作站會允許任意一位普通訪問用戶利用空用戶連接方式獲取本地系統中的所有用戶帳號以及共享資源列表信息，Windows啟用該功能的初衷是為了方便普通用戶在局域網環境中互相交流、傳輸共享信息用的;不過，在盡情享受該缺省開放功能給自己帶來便利的同時，該開放功能也有可能會給我們帶來一定的安全威脅，因為許多非法攻擊者能偷偷利用該功能獲取本地工作站中的所有用戶帳號以及共享資源列表信息，要是獲取到這些信息后非法用戶可能就會利用暴力破解方法得到本地用戶的核心密碼信息，這么一來本地局域網的安全性就會受到空前的威脅。為了避免非法用戶利用暴力手段破解網絡共享密碼信息，我們可以按照如下步驟設置系統組策略，來拒絕一般訪問用戶通過匿名帳號來隨意訪問和存取本地系統中的所有用戶帳號以及共享資源列表信息：

首先依次單擊本地工作站系統桌面中的“開始”/“運行”命令，在彈出的運行文本框中輸入字符串命令“gpedit.msc”，單擊回車鍵后，打開本地系統的組策略編輯窗口;

其次在組策略編輯窗口中，用鼠標逐一展開左側列表區域中的“本地計算機策略”/“計算機配置”/“Windows設置”/“安全設置”/“本地策略”/“安全選項”分支選項，在對應“安全選項”分支選項所在的右側顯示區域中，找到“網絡訪問：不允許SAM賬號和共享的匿名枚舉”組策略選項，并用鼠標雙擊該選項，打開如圖3所示的“網絡訪問：不允許SAM賬號和共享的匿名枚舉”屬性設置窗口，選中該設置窗口中的“已啟用”項目，再單擊一下“確定”按鈕結束組策略屬性設置操作，這樣的話任何一位普通訪問用戶日后就會無法利用空用戶連接方式獲取本地系統中的所有用戶帳號以及共享資源列表信息了，那么本地局域網中的共享資源就不會被非法用戶隨意破解了。

4、巧改組策略，強行拒絕所有遠程連接

為了有效提高管理與維護服務器的操作效率，許多網絡管理員一般總會在服務器系統中開啟遠程訪問連接功能，這樣的話他們就能在局域網的任何位置處都可以借助遠程連接功能對服務器進行遠程管理與維護，而不要芝麻大的事情都跑到服務器現場了。其實，要是在Windows服務器中將遠程訪問連接功能啟用起來的話，那么許多非法攻擊者也可能利用該功能對服務器進行非法攻擊或破壞。因此，為了將服務器系統的安全隱患降低到最小限度，我們可以通過設置系統組策略的方法，來將當前已經與服務器系統建立的所有遠程訪問連接強行斷開，下面就是該方法的具體操作步驟：

首先依次單擊本地工作站系統桌面中的“開始”/“運行”命令，在彈出的運行文本框中輸入字符串命令“gpedit.msc”，單擊回車鍵后，打開本地系統的組策略編輯窗口;

其次在組策略編輯窗口中，用鼠標逐一展開左側列表區域中的“本地計算機策略”/“用戶配置”/“管理模板”/“網絡”/“網絡連接”分支選項，在“網絡連接”分支選項所對應的右側顯示區域中，找到“刪除所有用戶遠程訪問連接”組策略選項，并用鼠標雙擊該選項，進入到如圖4所示的“刪除所有用戶遠程訪問連接”屬性設置界面，選中該設置界面中的“已啟用”項目，同時單擊一下“確定”按鈕，這樣的話當前與服務器系統已經建立的遠程訪問連接都會自動被斷開，那么非法用戶企圖對服務器系統實施的遠程攻擊自然也就進行不下去了。

5、巧改組策略，強制進入安全區域上網

在若干個用戶共同使用相同的一臺工作站進行網絡訪問時，要是我們事先不劃定安全的上網區域，那么許多用戶可能會在本地工作站中隨意訪問一些惡意網站，如此一來就可能給本地工作站甚至本地網絡帶來安全麻煩。所以，為了保護本地網絡以及本地工作站的安全，我們可以嘗試在公共計算機系統中，通過設置組策略的方法為普通用戶劃定安全上網區域，強制這些用戶只能在這些安全區域中上網沖浪：

首先依次單擊本地工作站系統桌面中的“開始”/“運行”命令，在彈出的運行文本框中輸入字符串命令“gpedit.msc”，單擊回車鍵后，打開本地系統的組策略編輯窗口;

其次在組策略編輯窗口中，用鼠標逐一展開左側列表區域中的“本地計算機策略”/“用戶配置”/“Windows設置”/“Internet Explorer維護”/“安全”分支選項，在“安全”分支選項所對應的右側顯示區域中，找到“安全區域和內容分級”組策略選項，并用鼠標右鍵單擊該選項，彈出如圖5所示的“安全區域和內容分級”屬性設置界面;在該屬性界面中的“安全區域和隱私”處，將“導入當前安全區域設置”項目選中，同時單擊“修改設置”按鈕，之后根據實際工作需要來為普通上網用戶劃定好安全沖浪區域，最后單擊一下“確定”按鈕結束組策略屬性設置操作，如此一來普通用戶日后在單位的公共計算機中，就不能隨意訪問Internet網絡中的一些不安全網站了，那么本地網絡以及本地工作站的安全性就能得到有效保證了。

6、巧改組策略，限制用戶隨意上網沖浪

在節假日或下班期間，許多員工常常趁單位領導不在辦公室的時候偷偷進行共享撥號上網，去訪問一些可能給本地網絡或工作站帶來安全威脅的陌生網站，于是不少單位領導在放假或下班之前往往會要求網絡管理員將本地工作站中的撥號連接刪除掉，以便讓員工在下班期間無法使用撥號連接進行上網訪問;可是這種方法對那些比較熟悉網絡的員工來說效果并不是十分明顯，畢竟許多員工能夠自己動手來重建新的上網連接。其實，我們可以嘗試利用修改組策略的方法，來讓系統拒絕員工在本地創建網絡連接：

首先依次單擊本地工作站系統桌面中的“開始”/“運行”命令，在彈出的運行文本框中輸入字符串命令“gpedit.msc”，單擊回車鍵后，打開本地系統的組策略編輯窗口;

其次在組策略編輯窗口中，用鼠標逐一展開左側列表區域中的“本地計算機策略”/“用戶配置”/“管理模板”/“網絡”/“網絡連接”分支選項，在對應“網絡連接”分支選項所在的右側顯示區域中，找到“禁止訪問‘新建連接向導’”組策略選項，并用鼠標右鍵單擊該選項，彈出如圖6所示的“禁止訪問‘新建連接向導’”屬性設置界面;將該設置界面的“已啟用”項目選中，同時單擊一下“確定”按鈕結束組策略的屬性設置操作，那樣一來當員工日后嘗試在本地工作站中創建新的上網連接時，系統將自動會出現無權創建的提示信息。

7、巧改組策略，尋找共享目錄訪問痕跡

為了避免心術不正的非法用戶在訪問共享資源的過程中，做出對共享資源不安全的操作出來，我們應該想辦法去跟蹤追尋任何一位訪問目標共享資源的用戶，并對他們的訪問痕跡進行全程記錄;日后一旦遇到共享資源中的隱私內容被轉移或刪除時，我們可以通過查看相應的安全日志文件，來快速有效地找到“罪槐禍首”。通過下面的操作方法，我們就可以非常方便地跟蹤普通用戶訪問共享資源的痕跡了：

首先打開本地工作站的資源管理器窗口，找到需要進行安全保護的目標共享目錄，并用鼠標右擊該共享目錄圖標，從其后出現的快捷菜單中單擊“屬性”選項，打開目標共享目錄的屬性設置窗口;單擊該窗口中的“安全”選項卡，并在對應的選項設置頁面中單擊“高級”按鈕，進入到目標共享資源的高級安全屬性界面;在該界面中單擊“審核”選項卡，再單擊對應選項設置頁面中的“添加”按鈕。過一段時間后，工作站系統將會自動列寫出所有用戶帳號，此時我們不妨將有權訪問該目標共享資源的用戶帳號選中，同時單擊“確定”按鈕;在其后出現的審核項目設置界面中，我們可以按需選擇一些失敗和成功的審核項目，最后單擊“確定”按鈕結束共享目錄屬性設置操作。

下面依次單擊本地工作站系統桌面中的“開始”/“運行”命令，在彈出的運行文本框中輸入字符串命令“gpedit.msc”，單擊回車鍵后，打開本地系統的組策略編輯窗口;在組策略編輯窗口中，用鼠標逐一展開左側列表區域中的“本地計算機策略”/“計算機配置”/“Windows設置”/“安全設置”/“本地策略”/“審核策略”分支選項，在“審核策略”分支選項所對應的右側顯示區域中，找到“審核對象訪問”選項，并用鼠標雙擊該選項，打開如圖7所示的屬性設置界面，選中該界面中的“失敗”、“成功”選項，同時單擊“確定”按鈕結束設置操作;完成上面的設置操作后，要是我們日后發現目標共享目錄遭遇什么麻煩時，就能有針對性地進入系統安全日志文件，來查看ID標號為560、562、564的相關事件記錄，在這些記錄文件中我們往往就能尋找到破壞共享資源安全的“痕跡”。