尽管Windows Server 2008系统的安全性能已经大幅提升了，不过这并不意味着该系统已经安全无忧了，因为很多时候系统的一些安全参数会被偷偷修改，从而可能给系统造成一些安全威胁，那有什么办法让我们能够防患于未然，在系统安全参数被修改之前就能将它禁止呢？其实巧妙设置系统组策略参数，就可以让Windows Server 2008系统更加安全了。

　　严禁恶意程序不请自来

　　我们在使用Windows Server 2008系统自带的IE浏览器上网访问网页内容时，时常会碰到一些恶意的控件程序，这些恶意控件程序往往不经过我们的允许，就自动下载保存到本地系统硬盘中，这样不但会消耗宝贵的磁盘空间资源，而且还可能会给Windows Server 2008系统带来安全麻烦；为了让自己的Windows Server 2008系统更加安全，我们可以安装使用一些专业工具来拒绝恶意程序不请自来，可是这样不但操作很繁琐而且也不利于提高操作效率。事实上，Windows Server 2008系统在组策略中已经添加了这种安全问题的控制选项，我们只要对相应的控制选项进行一下合适设置就可以了，下面就是具体的控制步骤：

　　首先在Windows Server 2008系统桌面中打开“开始”菜单，点选其中的“运行”命令，在弹出的系统运行文本框中，输入“gpedit.msc”字符串命令，单击“确定”按钮，打开对应系统的组策略编辑窗口；

　　其次在该组策略编辑窗口的左侧显示区域中将鼠标定位于“计算机配置”分支，并从该分支下面逐一展开“管理模板”/“Windows组件”/“限制文件下载”/“安全功能”/“限制文件下载”子项；

   
图1

    
    下面在“限制文件下载”子项的右侧显示列表中，双击“Internet Explorer进程”组策略选项，打开目标组策略选项的属性设置对话框，单击其中的“设置”标签，进入如图1所示的标签设置页面；在这里，我们发现默认状态下Windows Server 2008系统对文件下载操作是没有任何限制的，此时我们应该选中“已启用”选项，来严禁恶意程序不请自来。当然，有的恶意程序会自动通过FlashGet、迅雷工具等来完成下载任务，为了谨防这些程序自动执行下载任务，我们还可以打开“所有进程”选项的属性设置窗口，选中对应窗口中的“已启用”选项，来禁止恶意程序无法通过任何进程完成下载任务。
　　 拒绝调用任务管理器

　　在Windows Server 2008系统环境下，同时按下键盘中的Ctrl+Alt+Del组合键时，我们可以调用系统任务管理器，可以更改Windows系统登录密码，可以直接关闭、注销计算机等，特别是在调用系统任务管理器后，用户还能对Windows Server 2008系统中的一些重要进程进行控制。为了防止非法用户随意控制服务器系统中的一些重要进程，我们可以利用Windows Server 2008系统内置的组策略来拒绝普通用户随意调用任务管理器，下面就是具体的设置步骤：

　　首先打开Windows Server 2008系统桌面中的“开始”菜单，点选其中的“运行”命令，在弹出的系统运行文本框中，输入“gpedit.msc”字符串命令，单击“确定”按钮，打开对应系统的组策略编辑窗口；

　　其次将鼠标定位于组策略编辑窗口左侧显示区域中的“用户设置”分支上，并依次展开“管理模板”/“系统”/“Ctrl+Alt+Del”组策略子项，在对应“Ctrl+Alt+Del”组策略子项的右侧显示区域中，我们会看到删除注销、删除更改密码、删除锁定计算机、删除任务管理器等多个策略；

   
图2

    
    用鼠标双击其中的删除任务管理器选项，打开目标组策略选项的属性设置对话框，单击其中的“设置”标签，进入如图2所示的标签设置页面；在这里，我们发现默认状态下Windows Server 2008系统是允许用户调用任务管理器窗口的，此时我们应该选中“已启用”选项，来禁止调用系统任务管理器窗口。同样地，我们可以打开其他策略的选项设置窗口，选中“已启用”选项，来禁止执行注销、更改密码、锁定计算机等操作。
9 7 3 1 2 3 4 8 :