挖掘Win2008 让网络管理高效兼顾安全
在亲密接触Win2008系统一段时间后,相信不少人都被它的强大功能所吸引;可是,在功能增多的同时,Win2008系统对常规的系统操作也增多了一些限制,以便尽可能地让Win2008系统运行更加安全。显然,这些限制给我们平时的网络管理带来了诸多不便,同时也影响着我们的网络管理效率。为了让网络管理更加高效同时兼顾安全,本文特意深入挖掘Win2008系统,并总结出下面的一些设置技巧,相信这些内容一定能够帮助我们高效、安全地管理好网络!
1、停用IPv6协议,让网络传输更高效
很多时候,我们会发现Win2008系统托盘区域处会弹出本地连接受限的提示信息,虽然这种提示不影响正常上网,但是这种现象却会严重影响网络传输效率;这是因为Win2008系统在默认状态下优先使用IPv6协议进行网络连接,一旦找不到该网络连接后,才会使用IPv4协议进行上网连接,这么一来网卡设备的工作负荷自然增大,那么网络传输效率当然也会跟着下降了。为了尽可能地提升网络传输效率,我们可以尝试按照下面的步骤来将默认启用的IPv6协议停用掉:
首先在Win2008系统桌面中,依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,用鼠标双击“网络和共享中心”图标,从其后的界面中单击“查看状态”选项,打开本地连接状态显示窗口;
图1 本地连接属性窗口
其次单击该显示窗口中的“属性”按钮,进入如图1所示的属性设置界面,在该界面中我们会看到Win2008系统已经默认启用了IPv6协议,此时我们只要将对应该协议选项前面的勾号取消选中,再单击“确定”按钮保存好上述设置操作,这么一来Win2008系统日后就会暂时停用IPv6协议,那么我们再次尝试进行网络连接时,Win2008系统就会直接使用IPv4协议进行上网连接了,此时的网络传输效率自然也就能被大大提升了。
小提示:IPv6协议其实并不是Win2008系统所特有,早在WinXP系统就自带该协议了,只是在缺省状态下没有安装该协议罢了。要安装IPv6协议时,我们只要先将系统切换到DOS命令行状态,再执行字符串命令“ipv6 install”就可以了;日后需要卸载IPv6协议时,只要执行字符串命令“ipv6 uninstall”,之后重新启动一下计算机系统就可以了。
2、关闭LLTD协议,让网络访问更安全
Win2008系统在缺省状态下也自动安装了LLTD协议(全称为Link-Layer Topology Discovery Responder网络协议),通过该协议Win2008系统能够智能地识别出当前局域网网络中究竟有哪些工作站或网络设备处于在线状态,我们往往可以利用该功能快速地定位网络故障原因,提升网络故障解决效率。不过,在网络访问对安全性能要求较高的场合下,LLTD协议的默认安装启用,往往容易让局域网中的重要设备或重要资源直接“暴露”出来,这么一来网络访问的安全性自然就会受到明显影响。为了让网络访问更加安全,我们可以尝试按照下面的操作来临时关闭LLTD协议,确保Win2008系统中的重要资源不会被其他系统智能识别出来:
首先在Win2008系统桌面中,依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,用鼠标双击“网络和共享中心”图标,从其后的界面中单击“查看状态”选项,打开本地连接状态显示窗口;
其次单击“属性”按钮,在弹出的本地连接属性设置对话框中,我们看到Win2008系统已经安装启用了Link-Layer Topology Discovery Responder协议功能,这么一来Win2008系统中的重要资源容易被其他系统的LLTD协议自动寻找并显示出来。
为了让重要资源隐藏起来,我们可以将对应LLTD协议选项前面的勾号取消选中,同时将“链路层拓扑发现映射器I/O驱动程序”功能选项也一并取消选中,最后单击“确定”按钮保存好上述设置操作,那样的话没有了Win2008系统LLTD通信协议的支持,该系统中的重要设备或资源就不会被其他系统轻易发现了,那么网络访问的安全性也就能得到有效保证了。
3、取消安全保护,让网络控制更高效
有的时候,我们会在Win2008系统中安装一些网络控制软件,来对整个局域网进行合适监控和管理;不过,在默认状态下安装在Win2008系统中的所有应用程序都会受到系统自带数据执行保护功能的安全保护,这种安全保护常常会降低网络控制软件连接网络的效率,从而直接导致网络控制效率不是很高。事实上,当我们发现目标网络控制软件无法高效连接网络时,可以通过下面的设置操作,来让Win2008系统的数据执行保护功能放弃对目标网络控制软件的安全保护,这么一来或许能够让网络控制效率更加高效:
首先以系统管理员权限进入Win2008系统,依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中双击“系统”图标,打开对应系统的属性设置窗口;
其次在该设置窗口的左侧显示位置处,单击“高级系统设置”功能选项,打开高级系统属性设置窗口,在该设置窗口的“性能”区域处单击“设置”按钮,进入Win2008系统的性能选项设置对话框;
图2 标签设置页面
下面单击该设置对话框中的“数据执行保护”标签,打开如图2所示的标签设置页面,选中“为除下列选定程序之外的所有程序和服务启用”选项,同时单击“添加”按钮,打开应用程序选择对话框,将目标网络控制程序选中并添加进来,最后单击“确定”按钮保存好上述设置操作,如此一来目标网络控制程序日后进行网络连接时就不会受到数据执行保护功能的“干扰”了,那么它的网络连接效率自然也就能得到有效提升了。
4、锁定用户帐户,让网络登录更安全
如果我们为Win2008系统中的共享资源设置的密码不是特别“强壮”时,一些非法攻击者很容易通过网络来暴力破解共享登录密码,这么一来Win2008系统中的共享资源就会存在不小的安全隐患。为了让共享资源的网络登录更安全,比较有效的应对办法就是在Win2008系统中正确调整用户帐号锁定策略,限制非法攻击者猜测共享访问密码的次数,一旦密码输入次数超过限制数值,就自动锁定目标登录帐号,以避免非法攻击者继续尝试对Win2008系统进行恶意攻击。在调整用户的帐户策略参数时,我们不妨参照下面的操作来进行:
首先以系统管理员身份登录进入Win2008系统,打开该系统桌面中的“开始”菜单,从中点选“运行”命令,从其后出现的系统运行文本框中输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开Win2008系统的组策略控制台窗口;
图3 帐户设置
其次在该控制台窗口的左侧位置处,用鼠标依次点选“计算机配置”、“Windows设置”、“安全设置”、“帐户策略”、“帐户锁定策略”组策略分支选项,在目标分支选项的右侧显示位置处双击目标组策略“帐户锁定阈值”,打开如图3所示的组策略属性设置窗口,在这里我们将登录系统失败次数修改为“3”,再单击“确定”按钮保存好上述设置操作,那样的话非法攻击者日后在尝试偷偷访问Win2008系统中的共享资源时,一旦输入密码次数大于3次的话,那么他就不能继续使用相同的用户账号登录Win2008系统了。
5、恢复自动调谐,让网络处理更高效
在Win2008系统中使用其自带的IE浏览器上网访问时,我们或许时常会遇到网站页面打开速度缓慢或者网页打开错误的现象,遇到这种现象时多数人认为这是Win2008系统默认启用的自动调谐功能惹的祸,于是这些人往往会自做主张,来将Win2008系统的自动调谐功能关闭掉,并认为这种做法可以极大地提升IE浏览器打开网页的速度并使得网络处理更加高效。
事实上,Win2008系统的TCP调谐功能是TCP/IP堆栈的一种自我调节机制,依照网络发送流量大小和接收流量大小来调节本地系统的TCP/IP堆栈缓冲区大小,应该说该功能是网络信号处理的一种自适应机制,因此简单地关闭自动调谐功能不但不会让网络速度得到提升,而且还会影响网络信号处理的稳定性。为了让网络信号处理更加高效,我们可以尝试按照下面的操作来将关闭的系统自动调谐功能恢复正常:
首先依次单击Win2008系统桌面中的“开始”/“程序”/“附件”命令,从其后出现的下级菜单中用鼠标右键单击“命令提示符”选项,打开对应系统的MS-DOS窗口;
图4 TCP/IP堆栈自动调谐功能恢复正常
其次在该窗口的命令行提示符下,输入字符串命令“netsh int tcp set global autotuninglevel=normal”,单击回车键后,系统返回如图4所示的执行结果,这就说明TCP/IP堆栈自动调谐功能就被恢复正常了,此时Win2008系统就能自动适应网络带宽流量的变化了,那么网络信号处理起来也就能够更加高效了。
6、创建安全规则,让网络下载更安全
在公共场合下,很多人常常会随意使用类似迅雷这样的工具进行恶意下载,这不但会影响整个局域网的运行稳定性,而且也容易引发本地系统受到安全攻击。其实,在Win2008系统环境下,我们可以利用该系统自带的高级安全防火墙功能,来创建下载安全规则,禁止任意用户在本地系统使用迅雷这样的工具进行恶意下载,下面就是具体的操作步骤:
首先打开Win2008系统桌面中的“开始”菜单,从中依次点选“程序”、“管理工具”、“服务器管理器”选项,打开服务器管理器控制台窗口,在该窗口的左侧显示区域中选中“配置”节点下面的“高级安全防火墙”选项;
其次点选“高级安全防火墙”选项下面的“入站规则”项目,再从对应界面的右侧显示区域单击“新规则”按钮,随后系统屏幕上会自动弹出创建新的入站规则向导窗口,依照向导提示选中“端口”选项,以便让Win2008系统对迅雷工具下载信息时使用的3077、3078端口进行限制;
图5 向导设置窗口
下面用鼠标单击向导窗口中的“下一步”按钮,打开如图5所示的向导设置窗口,选中该窗口中的“TCP”选项,同时将“特定本地端口”项目也选中,再在“特定本地端口”文本框中输入迅雷工具下载信息时默认使用的端口号码“3077,3078”;继续单击“下一步”按钮,在其后出现的向导设置窗口中选中“禁止连接”功能选项,接下来按照默认设置完成剩余的操作。
如此一来日后当有用户尝试在本地Win2008系统中使用迅雷这样的工具进行恶意下载时,就会受到Win2008系统中高级安全防火墙的自动拦截,这样的话本地系统的安全性就能得到保证了,同时整个局域网的运行稳定性也不会受到恶意下载的影响了。