第2章 Windows Server 2008初始安全

與Windows Server 2003系統相比，Windows Server 2008的系統和網絡功能都有了一定的擴展，安全性也有了很大提高。Windows系統平臺安全無疑是構建服務器安全的基礎，涉及操作系統和應用程序的安裝安全、系統服務安全、系統設置安全和用戶賬戶安全等諸多方面。通常情況下，采用默認方式安裝的Windows Server 2008為了便于系統管理，并未注重安全性的設置，因此必須對服務器系統進行必要的安全配置。

2.1 Windows Server 2008安裝安全

采取正確合理的系統安裝方式，可以提高操作系統的安全性。如果是升級安裝方式，除了詳細了解Windows Server 2008安裝注意事項之外，還應及時下載補丁更新，以免導致升級安裝的失敗，或者升級完成后帶來的安全隱患。

2.1.1 Windows安裝安全指南

安裝Windows Server 2008時應注意以下幾點。

使用正版Windows Server 2008系統安裝光盤，防止安裝過程中被植入木馬或間諜軟件，影響系統安全性。另外，盜版系統安裝光盤也可能影響計算機的兼容性，導致一些莫名其妙的問題。

保證硬件設備的可靠性。建議為重要服務器使用磁盤陣列技術，如RAID0、RAID1和RAID 5等，確保服務器存儲系統硬件的穩定性和安全性。

盡量使用全新方式安裝系統，即將操作系統安裝在一個干凈的系統分區中，并提前做好合理規劃。例如，安裝之前刪除系統分區的所有文件，并重新格式化，確保磁盤完好無損。

使用NTFS文件系統格式化服務器所有磁盤分區，可以為系統分區、數據分區和日志文件分區提供更高的安全性。NTFS是真正的日志型文件系統，使用日志和檢查點信息，即使在系統崩潰或者電源故障的時候也可以保證文件系統的一致性。只有使用NTFS文件系統的分區，才能為文件配置ACL（控制訪問列表）訪問權限控制，達到訪問控制安全的目的。

沒有進行任何安全配置的服務器，不要與任何公共設備或網絡連接，必要時可以找一臺可以確保安全性的服務器進行連接。

只為服務器安裝必需的協議，如TCP/IP協議，避免其他網絡協議給系統帶來的漏洞。

通常情況下，不要將服務器加入到域，而應安裝成獨立服務器模式。

為系統管理員設置一個安全性較高的密碼。

不要在服務器上部署多操作系統，防止惡意用戶通過其他系統控制權限獲取重要信息，或對Windows Server 2008系統進行破壞。

如果條件允許，建議安裝英文版Windows Server 2008。通常情況下，微軟公司總是最先發布英文版本的補丁，中文版本的補丁要相對滯后一段時間才能發布。

2.1.2 安全補丁更新

安全補丁更新是Windows系統必不可少的安全配置。默認情況下，Windows Server 2008安裝完成后，自動更新功能是未配置的，管理員必須開啟并指定選擇相應的方式，為系統下載、安裝補丁更新，以保護系統的安全。具體配置步驟如下。

第1步，為Windows Server 2008配置系統更新之前，每次啟動計算機后都會在任務欄的右側系統托盤中，顯示如圖2-1所示提示信息。

第2步，單擊此提示信息顯示如圖2-2所示的“Windows Update”對話框。除此之外，在“初始配置任務”窗口的“更新此服務器”選項區域，以及在“服務器管理器”窗口的“安全信息”選項區域中，同樣可以啟動“Windows Update”配置向導。

第3步，單擊“讓我選擇”按鈕，顯示如圖2-3所示的“更新設置”對話框。在“選擇Windows安裝更新的方法”中，選擇一種安裝方法即可，各種安裝方式的具體含義如下。

自動安裝更新（推薦）。服務器連接到Internet后，系統將自動檢測Microsoft Update服務器是否有所需的更新，如果有則將自動下載并安裝這些更新。選擇該單選按鈕后還需要指定系統自動安裝更新的具體時間。

下載更新，但是讓我選擇是否安裝更新。僅下載所需的系統更新，完成后通知用戶在合適的時間手動安裝。

檢測更新，但是讓我選擇是否下載和安裝更新。僅檢測Microsoft Update服務器上提供的更新項目，并以列表方式提示系統管理員，管理員可以根據實際情況選擇需要下載的系統更新。建議使用這種方式，可以減少不必要的服務器資源和網絡帶寬浪費。

從不檢查更新（不推薦）。關閉系統更新功能，建議不要選擇此項。

2.2 Windows Server 2008基本安全配置

為確保Windows Server 2008服務器的安全，安裝完成之后應立即配置Internet防火墻等基本安全配置，防止黑客或惡意軟件通過網絡或Internet訪問計算機。另外，還可以在安裝網絡服務之后，通過安全配置向導部署針對性的網絡訪問安全策略。

2.2.1 Internet防火墻

Internet防火墻（Internet Connection Firewall，ICF）是Windows Server 2008系統內置的簡單防火墻。ICF不僅可以阻止來自外部網絡的惡意訪問或攻擊，還可以阻止當前服務器向其他計算機發送惡意軟件。默認情況下，ICF是自動開啟的。

1.防火墻簡介

Windows Server 2008的ICF是一種典型的狀態防火墻，不僅可以監視通過其路徑的所有通信，并可檢查所處理的每一條消息的源地址和目的地址，其工作方式如圖2-4所示。

ICF就像一個在計算機和外部Internet之間建立的“盾牌”，可以允許請求的數據包通過，而阻礙那些沒有請求的數據包通過，因此ICF是一個動態數據包過濾器。可以對直接連接Internet或連接在運行ICF的“Internet連接共享主機”后的計算機提供保護。啟用后，ICF會禁止所有來自Internet的未經允許的連接。為此，防火墻使用“網絡地址轉換器（NAT）”邏輯來驗證訪問網絡或本地主機的入站請求。如果網絡通信不是來自受保護的網絡，或者沒有創建任何端口映射，則入站數據就被丟棄。

通常情況下，黑客入侵的第一步就是找到所要攻擊主機的IP地址，再使用ping命令ping通該主機（表示已經與該主機建立了一個通道），然后對主機進行端口掃描，查看哪些端口是開放的，最后找出系統漏洞進行攻擊。ICF的一個重要功能就是阻止系統響應ping命令，而且，ICF還禁止外部程序對本機進行端口掃描，丟棄所有沒有請求的IP數據包。如此一來，便可以極大地減少被黑客利用的系統漏洞。

ICF是通過保存一個表格，記錄所有自本機發出的目的IP地址、端口、服務以及其他一些數據，從而達到保護本機的目的。當一個IP數據包進入本機時，ICF會檢查這個表格，查看到達的這個IP數據包是否是本機所請求的，如果是就允許通過，如果在這個表格中沒有找到相應的記錄就拋棄這個IP數據包。

2.配置Internet防火墻

Windows Server 2008系統的ICF在默認情況下已經啟動，管理員可以根據需要進行配置。如果服務器已經連接到網絡，則網絡訪問策略的設置可能會阻止管理員對Windows防火墻的配置，此時應暫時退出網絡，或請求管理員賦予相應操作權限，完成此項工作配置防火墻的具體步驟如下。

第1步，在Windows Server 2008的“控制面板”窗口中，雙擊“Windows防火墻”圖標，顯示如圖2-5所示窗口，顯示Windows防火墻已啟用。

第2步，單擊“啟用或關閉Windows防火墻”鏈接，顯示如圖2-7所示“Windows防火墻設置”對話框，系統默認選擇“啟用”單選按鈕。如果同時選中“阻止所有傳入連接”復選框，則防火墻將阻止所有主動連接當前服務器的嘗試，當需要為該服務器提供最大限度的保護時，才使用該設置，啟用該設置后將忽略“例外”列表中的所有設置。通常情況下，不推薦選擇該復選框。

第3步，切換到“例外”選項卡，或者在“Windows防火墻”窗口中，單擊“允許程序通過防火墻”鏈接，如圖2-8所示。在“程序和服務”列表框選中該服務器欲提供的網絡服務即可。

第4步，單擊“添加端口”按鈕，顯示如圖2-9所示“添加端口”對話框，即可向列表中增加新的網絡服務所使用的TCP或UDP端口。在“名稱”文本框中，輸入便于識別的名稱，如telnet；在“端口號”文本框中，輸入想要添加的端口，如23；根據需要，選擇“TCP”或“UDP”端口類型。

第5步，單擊“更改范圍”按鈕，顯示如圖2-10所示“更改范圍”對話框。指定詳細的限定范圍可以提高防火墻策略的安全性。默認情況下，開放的防火墻端口適用于任何計算機（包括Internet上的計算機）。

第6步，切換至如圖2-11 所示“高級”選項卡，在“網絡連接設置”選項區域，可以設置接受Windows防火墻保護的網絡連接，默認為所有本地連接。在“默認設置”選項區域，單擊“還原為默認設置”按鈕，即可撤銷所有Windows防火墻設置，恢復至初始狀態。

第7步，單擊“確定”按鈕，保存設置即可。

2.2.2 安全配置向導

安全配置向導（SCW，Security Configuration Wizard）可以幫助管理員快速完成創建、編輯、應用和回滾安全策略操作，在Windows Server 2003系統中，必須安裝SP1或升級到R2系統才可安裝并配置服務器安全配置向導，而在Windows Server 2008系統中則已經被整合為一項系統功能，用戶無須安裝即可直接應用。SCW是一個完全基于服務角色的工具，用戶可以根據需要創建針對某個服務器角色的安全策略，并且可以將其應用到其他相應類型的服務器上。配置和應用SCW時應注意以下幾點。

SCW禁用不需要的服務并提供對具有高級安全性的Windows防火墻的支持。

使用SCW創建的安全策略與安全模板不同，其中前者擴展名為.xml，而后者擴展名為.inf。用戶創建的安全策略源于安全模板，安全模板包含的安全設置可以應用于所有的服務器角色。

部署SCW安全策略后并不會影響服務器提供服務時所需的組件，并且應用之后，管理員仍可以通過服務器的管理器安裝所需的組件。

應用SCW安全策略之后，SCW將自動選擇所有從屬角色。

創建和應用SCW安全策略時，應確保服務器的IP協議及端口配置完全正確。

1.配置安全策略

第1步，依次單擊“開始”→“管理工具”→“安全配置向導”，打開如圖2-12所示的“歡迎使用安全配置向導”對話框。也可以在“開始”菜單的“開始搜索”文本框中輸入scw.exe命令，單擊“確定”按鈕來啟動安全配置向導。

第2步，單擊“下一步”按鈕，顯示如圖2-13所示的“配置操作”對話框。安全配置向導提供了下列四種配置操作。

創建新的安全策略：可以創建用于配置服務、Windows防火墻、Internet協議安全（IPsec）設置、審核策略和特定注冊表設置的安全策略。安全策略文件是XML格式文件，默認保存路徑為%systemroot%\security\msscw\Policies。

編輯現有安全策略：可以編輯已使用SCW創建的安全策略。必須先選擇“編輯現有安全策略”，才能瀏覽要編輯的安全策略文件所在的文件夾。編輯的策略可存儲在本地機器上或網絡共享文件夾中。

應用現有安全策略：使用SCW創建安全策略后，可將其應用到測試服務器，或者應用到生產環境中。

回滾上一次應用的安全策略：如果使用SCW應用的安全策略使服務器功能達不到預期的效果，或者導致其他非預期結果，則可以回滾該安全策略，將自動從該服務器刪除對應的安全策略。

如果是第一次使用安全配置向導，則應選擇“創建新的安全策略”單選按鈕。

第3步，單擊“下一步”按鈕，顯示如圖2-14所示的“選擇服務器”對話框。在“服務器”文本框中，輸入需要進行安全配置的Windows Server 2008服務器的主機名或IP地址。也可以單擊“瀏覽”按鈕，選擇需要進行安全配置的目標計算機。

第4步，單擊“下一步”按鈕，開始掃描配置數據庫，主要包括已安裝或運行的網絡服務、IP地址及子網信息等。掃描完成，顯示如圖2-15所示的“正在處理安全配置數據庫”對話框。

第5步，單擊“下一步”按鈕，顯示如圖2-17所示的“基于角色的服務配置”對話框。安全配置向導可以根據當前服務器提供網絡服務的不同，配置相應的安全策略。

第6步，單擊“下一步”按鈕，顯示如圖2-18所示的“選擇服務器角色”對話框。系統默認選擇“安裝的角色”選項，即只設置已安裝服務的安全策略。“查看”下拉列表框中提供了四種可供選擇的抉擇模式：

所有角色：列表框出所有的Windows Server 2008可以使用的角色列表框；

安裝的角色：列出當前服務器中已經安裝的角色，包括沒有設置的角色；

未安裝的角色：列出當前服務器中沒有安裝的角色，不包括沒有設置的角色；

選定的角色：列出當前服務器中已經選定的角色。

第7步，單擊“下一步”按鈕，顯示如圖2-19所示的“選擇客戶端功能”對話框，可以選擇當前服務器作為其他服務器的客戶端時需要使用的功能，如自動更新客戶端等。“查看”下拉列表中的選項與“選擇服務器角色”中的完全相同，此處不再贅述。

第8步，單擊“下一步”按鈕，顯示如圖2-20所示的“選擇管理和其他選項”對話框。在“選擇用來管理限定的服務器的選項”列表中，可以選擇相應的管理選項。

第9步，單擊“下一步”按鈕，顯示“選擇其他服務”對話框。其他服務是指當前服務器上已經安裝但在安全配置數據庫中未顯示的服務。如果出現這種情況，安全配置向導將在“選擇其他服務”頁面上顯示已安裝的服務列表。展開相應的服務即可查看其詳細運行模式，如圖2-21所示。

第10步，單擊“下一步”按鈕，顯示如圖2-22所示的“處理未指定的服務”對話框。“未指定服務”是指安全策略配置向導掃描過程中未能發現的服務，用戶可以在這里設置其運行狀態，選擇“不更改此服務的啟用模式”單選按鈕即可。

第9步和第10步兩者處理方式的主要區別如下：

保持服務的當前啟動模式：如果選擇此選項，則在應用此安全策略的服務器上啟用的未指定服務將保持啟用狀態，而禁用的那些服務將保持禁用狀態；

禁用服務：如果選擇此選項，則不在安全配置數據庫中或未安裝在選定服務器上的所有服務都將被禁用。

第11步，單擊“下一步”按鈕，顯示如圖2-23所示的“確認服務更改”對話框，系統默認只顯示當前服務器上正在運行的服務，服務的啟動模式可以是“已禁用”、“手動”或“自動”。在應用安全策略后，才能對選定服務器做出更改。

第12步，單擊“下一步”按鈕，顯示如圖2-24所示的“網絡安全”對話框。如果選擇“跳過這一部分”復選框，則將跳過“網絡安全”配置部分。建議不要跳過此步驟，繼續按照如下步驟操作。

第13步，單擊“下一步”按鈕，顯示如圖2-25所示的“網絡安全規則”對話框。系統默認顯示“所有規則”，即該服務器上目前開放的所有端口。也可以在“查看”下拉列表中選擇其他查看方式。單擊安全規則前面的三角形按鈕，還可以查看其詳細信息。

第14步，單擊“下一步”按鈕，顯示如圖2-27所示的“注冊表設置”對話框。通過該設置可以修改Windows Server 2008服務器注冊表中一些特殊鍵值，從而嚴格限制用戶的訪問權限。建議用戶不要跳過此步驟。

第15步，單擊“下一步”按鈕，顯示如圖2-28所示的“要求SMB安全簽名”對話框。設置選定的服務器和客戶端的通信信息，保持系統默認的全部選擇狀態即可。

第16步，單擊“下一步”按鈕，顯示如圖2-29所示“出站身份驗證方法”對話框。選擇當前服務器遠程連接到其他計算機時使用的身份驗證方法，如果是在域網絡中進行遠程登錄，則選擇“域賬戶”復選框即可；如果是工作組環境，建議選擇“遠程計算機上的本地賬戶”復選框。

第17步，單擊“下一步”按鈕，顯示如圖2-30所示的“出站身份驗證使用本地賬戶”對話框，此對話框中的選項與所選擇的出站身份驗證方法有關，這里以使用“遠程計算機上的本地賬戶”驗證方法為例。通常情況下，保持默認設置即可。

第18步，單擊“下一步”按鈕，顯示如圖2-32所示的“注冊表設置摘要”對話框，顯示當前安全策略中所做的注冊表安全設置。

第19步，單擊“下一步”按鈕，顯示如圖2-33所示的“審核策略”對話框。Windows審核策略主要用于審核日志記錄中的相關內容，并確定受影響的系統對象。安全策略回滾功能是無法回滾安全向導中的審核策略設置的。

第20步，單擊“下一步”按鈕，顯示如圖2-34所示的“系統審核策略”對話框。選擇需要審核的目標，選擇“審核成功的操作”單選按鈕，即只審核日志記錄中操作成功的事件記錄。

第21步，單擊“下一步”按鈕，顯示如圖2-35所示的“審核策略摘要”對話框。列表中列出了應用的策略時，便將在選定服務器上對審核策略進行所有的更改。此頁顯示每個審核策略設置的當前設置和由策略定義的設置。

第22步，單擊“下一步”按鈕，顯示如圖2-36所示的“保存安全策略”對話框。保存之后，即可將該安全策略應用到當前或其他服務器上。

第23步，單擊“下一步”按鈕，顯示如圖2-37所示的“安全策略文件名”對話框。在保存安全策略文件的路徑之后輸入安全策略文件名，根據需要輸入相關的描述信息。

第24步，單擊“下一步”按鈕，顯示如圖2-38所示的“應用安全策略”對話框。如果選擇“現在應用”單選按鈕，則可以將安全策略立即應用到當前服務器中；建議選擇“稍后應用”單選按鈕，測試之后再應用到服務器中。

第25步，單擊“下一步”按鈕，顯示如圖2-39所示的“正在完成安全配置向導”對話框。單擊“完成”按鈕，完成安全策略的設置。

2.應用安全配置策略

使用安全配置向導創建的安全策略，可直接應用于所有運行Windows Server 2008或者Windows Server 2003 SP1/SP2/R2操作系統的網絡服務器。大規模應用安全策略之前必須經過嚴格測試，確認可行之后方可部署。應用安全配置策略之后，必須重新啟動計算機才可以生效。應用安全策略的主要操作步驟如下。

第1步，依次單擊“開始”→“管理工具”→“安全配置向導”，打開“安全配置向導”對話框，單擊“下一步”按鈕，在“配置操作”對話框中，選擇“應用現有安全策略”單選按鈕，在“現有安全策略文件”文本框中輸入安全策略文件的路徑，也可單擊“瀏覽”按鈕查找，如圖2-40所示。

第2步，單擊“下一步”按鈕，顯示如圖2-41所示的“選擇服務器”對話框，在“服務器”文本框中，輸入想要應用的服務器名稱或IP地址。如果目標服務器為遠程主機，則應單擊“指定用戶賬戶”按鈕，選擇連接到指定主機部署安全策略使用的用戶賬戶及憑證。

第3步，單擊“下一步”按鈕，顯示如圖2-42所示的“應用安全策略”對話框，在“安全策略描述”信息框中顯示該策略的相關描述信息，也可以單擊“查看安全策略”按鈕，打開“SCW查看器”窗口，查看其詳細信息。

第4步，單擊“下一步”按鈕，顯示如圖2-43所示的“正在應用安全策略”對話框。將安全策略應用到本地計算機大概需要幾分鐘時間，應用到遠程計算機時所需時間可能更長一些。

第5步，單擊“下一步”按鈕，顯示如圖2-44所示的“正在完成安全配置向導”對話框。

第6步，單擊“完成”按鈕，關閉安全配置向導。重新啟動計算機后，應用的安全策略即可生效。

2.3 Windows Server 2008被動防御安全

Windows防火墻和安全配置向導都是主動防御系統，即主動阻止和過濾網絡訪問請求，但對于已經成功入侵到系統內部的病毒或惡意軟件將起不到任何安全防御作用。因此，必須為Windows Server 2008配置被動防御安全系統，如部署防病毒軟件、設置Windows防間諜軟件系統等，這些配置可以快速有效地處理進入系統的病毒或間諜軟件。

2.3.1 配置防病毒系統

病毒對于計算機的危害性是不言而喻的，輕則造成應用程序出錯、數據丟失，重則導致系統癱瘓、甚至波及網絡中的其他計算機。為了避免病毒對系統的破壞，應注意如下事項：

服務器投入應用之前必須安裝防病毒軟件，并升級最新的病毒庫；

確認防病毒軟件來源的合法性、完整性，以及可升級性；

應用過程中，應確保防病毒系統處于開啟狀態；

剛安裝完成的操作系統，應進行一次完整的病毒掃描；

查看防病毒產生的日志文件。在系統運營后，經常查看病毒軟件產生的日志文件。

1.什么是計算機病毒

計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據、影響計算機使用并能自我復制的一組計算機指令或者程序代碼。病毒并非總是破壞文件或計算機，但它們通常會影響計算機的性能和穩定性。

計算機病毒通常具有如下特性：

傳染性；

隱蔽性；

潛伏性；

破壞性；

表現性。

2.單機防病毒系統

單機防病毒系統主要是指單個用戶計算機上安裝的病毒查殺軟件，不必接受指定服務器的管理，通常都是通過Internet連接到官方服務器下載最新病毒庫的。單機防病毒系統成本相對較低，實現簡單，易于管理，適用于小型企業局域網或SOHO網絡。目前，針對單機用戶的防病毒軟件很多，建議用戶通過正規渠道購買正版軟件，或者登錄相關軟件的官方網站，下載試用版或共享版。

（1）瑞星2008

瑞星殺毒軟件是國內反病毒軟件中眾多電腦生產商首選的殺毒軟件，目前最新版本是瑞星殺毒軟件2008，它集病毒防范、病毒掃描、查殺于一身，具有掃描速度快、識別率高、占用資源少等優點。瑞星殺毒軟件不僅可以保護計算機系統不受病毒入侵，而且發現感染病毒后，還可以進行自動清除。瑞星殺毒軟件可以運行于Windows Server 2008或Windows Server 2003等服務器平臺。瑞星殺毒軟件2008的主窗口如圖2-45所示。

（2）NOD32

NOD32是eset公司的防病毒產品，以應用平臺廣泛著稱，支持平臺包括DOS、Windows 9x/NT/2000/XP/2003/Vista/2008，到Novell Netware Server、Linux、BSD等。對于Windows版本，它同時支持32位和64位平臺，包括Windows Vista和Windows Server 2008。NOD32在線監測功能嚴密，占用內存資源較少，清除病毒的速度效果都令人滿意。如圖2-46所示是NOD32單機版主窗口。

（3）Norton AntiVirus 2007

諾頓殺毒軟件是由Symantec公司出品的一款殺毒軟件，包括網絡版和專業版，其中單機防病毒既可以使用網絡版的客戶端程序，又可以使用專業版。它可以為計算機提供全面的病毒防護，自動對計算機磁盤中的文件及Internet電子郵件進行監測、掃描，及時查殺病毒，以保證計算機的安全。今年的諾頓誤殺系統文件事件，似乎并沒有影響人們的熱情，至今仍是眾多用戶的首選防病毒產品。Norton AntiVirus 2007主窗口如圖2-47所示。

（4）Windows Live OneCare

Windows Live OneCare是微軟公司推出的首款殺毒軟件套件，包括反病毒防火墻、數據備份、反間諜、磁盤清理等功能，幾乎可以覆蓋所有的個人安全領域。隨著時間的推移，相信會更加適合于Windows服務器。Windows Live OneCare這項全面的服務可以幫助您保護計算機免受許多不同種類的威脅，還可以幫助您在緊急情況下備份重要文檔，并定期調整計算機從而幫助計算機穩定運行。如圖2-48所示的窗口是Windows Live OneCare主窗口，需要注意的是，目前僅能在英文版Windows操作系統中使用。

3.網絡防病毒系統

網絡防病毒系統主要應用于大、中型企業網絡的病毒防御工作，相對于單機防病毒軟件而言，不僅防御范圍廣、功能強大，而且可管理性強。目前，廣泛應用的企業殺毒軟件有Symantec AntiVirus企業版、瑞星殺毒軟件企業版、McAfee網絡防病毒等。網絡防病毒系統主要由服務器和客戶端兩部分組成。主要特點就是客戶端可以直接通過局域網從服務器獲得最新的病毒庫升級文件，并且管理員可以通過防病毒服務器客戶端監控功能，及時了解客戶端的運行情況，以便統一管理和部署。因此，部署企業殺毒軟件系統不僅可以節省整個網絡的帶寬開銷，還可以提高網絡安全性。如圖2-49所示是大多數企業殺毒軟件的運行模式，圖中所示的服務器端和客戶端的含義分別介紹如下。

（1）服務器端

企業殺毒軟件系統中的服務器端是指安裝服務器管理軟件的計算機，可以直接登錄殺毒軟件官方升級服務器，快速下載最新病毒庫文件。管理員可以通過服務器端對下屬的二級服務器、客戶端等進行統一管理，如分發升級文件、接收客戶端病毒報警、實時狀態監控等。另外，服務器端通常都集成適用于各種版本操作系統的客戶端安裝程序，管理員可以直接通過局域網安裝客戶端，免去一一安裝的麻煩。

（2）客戶端

客戶端是指接受網絡防病毒服務器管理的所有計算機，必須安裝與服務器端配套的殺毒軟件，并接受服務器的管理。客戶端既可手動連接到局域網防病毒服務器，更新病毒庫，也可以指定為自動接收來自服務器的病毒庫文件。

2.3.2 配置防間諜系統

間諜軟件通常是指自動安裝，或者未提供足夠通知、同意或控制的情況下，就在計算機上運行的應用程序。一般情況下，間諜軟件在感染計算機后可能不會顯示任何癥狀，但許多類型的惡意軟件或不需要的程序都可以影響計算機的運行方式，如監視用戶的實時行為、收集用戶信息等。目前的防間諜軟件產品很多，但應根據實際情況選擇一款適合自己使用的防間諜軟件產品，同時注意軟件來源的合法性和安全性，以及間諜軟件代碼更新庫的升級能力。

在安裝防間諜軟件時應注意如下事項：

建議配置成系統啟動時自動啟動防間諜軟件；

定制自動更新間諜軟件代碼庫；

定制在指定時間之內掃描系統的完整信息；

啟動實施監視系統；

定制應用程序許可策略；

保存并定期察看日志信息。

為了應對網絡中泛濫的木馬、間諜等惡意軟件對系統安全的挑戰，微軟也推出了反木馬、間諜軟件的專用程序Windows Defender。Windows Defender的前身是Giant公司的Giant Antispyware，微軟將該公司收購后便將其更名為Windows Defender，并且已經成為Windows Vista系統的標準系統組件之一。Windows Defender具有如下主要功能。

提供完備的惡意軟件清除功能

Windows Defender在掃描查殺的同時，還會對惡意軟件添加的文件以及修改的注冊表內容進行同步檢測和刪除，清除比較干凈。

與殺毒軟件相得益彰

Windows Defender是設計用來檢測、刪除或隔離用戶電腦中的已知或可疑間諜軟件的安全防御工具，針對的是殺毒工具無法處理的惡意軟件，所以并不會和系統中安裝的防病毒軟件沖突，相反兩者配合工作，安全防御效果會更好。

提供多種靈活掃描方式

Windows Defender提供如下三種掃描方式，用戶可根據實際需要選擇。

Quick Scan：它可以掃描間諜軟件常用的安裝目錄，可以在最短的時間里發現大多數間諜軟件。

Full Scan：它可以掃描電腦中的全部硬盤分區以及全部文件夾。這種掃描方式非常徹底，但是耗時較多，具體的耗時可根據用戶的硬盤大小以及文件多少來決定。另外，掃描過程中，系統的整體運行速度會有所下降。

Custom scan：在這種方式下，用戶可以選擇所要掃描的硬盤分區和文件夾。如果Windows Defender在這種模式下發現了間諜軟件，則將進而啟動Quick Scan模式對間諜軟件進行清除或隔離。實時監控功能

Windows Defender最大的特點在于當惡意軟件試圖入侵計算機時，會自動提醒用戶。需要注意的是，只有當惡意軟件是與其他軟件捆綁安裝時，Windows Defender才會警報提醒，而當直接安裝惡意軟件時，則不會表現任何動作。

管理員可以監控用戶行為

管理員可以允許用戶使用Windows Defender掃描電腦，在發現可疑程序后選擇相應的執行動作，以及查看Windows Defender的活動記錄。管理員還可以限制Windows Defender的管理權限。在默認情況下，任何用戶都可以使用Windows Defender。

2.4 Windows Server 2008系統安全

Windows Server 2008系統提供的系統安全涉及諸多方面，如應用程序安全、注冊表安全、系統服務安全、文件權限安全、用戶賬戶安全、活動目錄安全、注冊表安全、組策略安全、端口安全、網絡服務安全等。任何一處隱藏的系統安全漏洞，都可能會招致整個系統安全的滅頂之災。

2.4.1 應用程序安全

在服務器上安裝正常使用的應用程序（包括更新的IE瀏覽器版本），同時安裝配置選擇好用來提供網絡服務的程序（如微軟的IIS服務、FTP服務、SQL Server數據庫服務等）。非必要運行服務器操作系統的計算機不要登錄到Internet。

在配置系統應用程序時，應注意以下事項。

不要安裝任何多余的程序。服務器僅提供網絡服務，不是個人電腦，不需要安裝任何服務以外的程序。

安裝服務和應用程序，盡量選擇最新的安裝版本；這樣，通常可以保證沒有近期發布的程序漏洞。不需要的應用程序服務盡量不要安裝，或者配置成禁止使用的模式。

通常不要在服務上運行系統提供的應用程序訪問網絡，服務器的漏洞有時會被惡意利用。

為安全起見，建議將系統“附件”中除寫字板、記事本以外的所有應用程序卸載。

操作系統所在的服務器建議不要接入Internet。

強烈建議刪除甚至拒絕在服務器上安裝Microsoft Office或者其他的日常辦公軟件。

不要在服務器上運行任何開發工具、軟件調試器、扇區讀寫編輯器等可對操作系統底層進行操作的應用軟件，可執行程序越少越好。

服務器設置嚴格的權限許可，共享文件的訪問建議使用ACL權限控制。

對系統文件夾（x:\windows,x:\widnows\system等）使用ACL控制，避免賦予系統文件夾“寫入”的權限。

服務器的IP地址設置為靜態IP。

2.4.2 系統服務安全

在安裝操作系統的同時，也會自動安裝大量服務。但是，運行的服務越多，可能造成的安全漏洞也越多，同時還會占用大量的系統資源。而對于有能力利用服務特權和功能來訪問本地Web服務器或其他網絡服務器的不法入侵者來說，服務是最主要的漏洞點。不驗證客戶端身份的服務、使用不安全協議的服務、特權太多的服務等都將帶來風險。因此，凡是不需要的服務，均應將其禁用，既可有效地減少非法入侵者的攻擊，同時也可節省大量的系統資源。服務越少、漏洞越少、系統越安全。

1.系統服務配置注意事項

配置系統服務時應注意以下事項：

根據服務的描述以及業務的需求，確定是否使用此服務；

具體每個服務的內容和功能，請參考微軟的說明和咨詢業內安全專家；

禁止或者設置成手動啟動的方式處理系統非必需的服務；

如對系統可能造成的影響不了解，在測試環境中測試驗證通過以后，再在應用環境中部署；

對于安裝應用程序同步安裝的服務，如無必要，應將其關閉。

依次打開“開始”→“管理工具”→“服務”，即可打開“服務”控制臺窗口，并列出本地計算機中所有的服務，如圖2-50所示。

系統服務的處理不同于其他設置，因為所有服務的漏洞、對策及潛在影響在本質上都是一樣的。第一次安裝Windows Server2008操作系統的時候，系統將在啟動時創建并配置默認服務。有些服務在組織環境中并不需要，但仍在Windows中被啟用，來確保應用程序或客戶端兼容或輔助進行系統管理。

2.服務

服務僅在登錄到某一賬戶的情況下才能訪問操作系統中的資源和對象。大多數的服務都不更改默認的登錄賬戶，更改默認賬戶可能導致服務失敗。如果選定賬戶沒有登錄計算機服務的權限，Microsoft管理控制臺（MMC）的服務管理單元將自動為該賬戶授予登錄服務的用戶權限，但并不一定會啟動服務。Windows Server 2008與Windows Server 2003相同，系統包括以下三個內置的本地賬戶，分別用作各系統服務的登錄賬戶：

（1）本地系統賬戶

本地系統賬戶功能強大，它可對本地系統進行完全訪問，并為網絡中的計算機提供服務。如果某服務登錄到域控制器使用的“本地系統”賬戶，則該服務可訪問整個域。有些服務的默認配置使用的是“本地系統”賬戶，則不需要更改默認服務設置。本地系統賬戶名稱是LocalSystem，沒有密碼設置。

（2）本地服務賬戶

本地服務賬戶是一種特殊的內置賬戶，類似于經過身份驗證的用戶賬戶。就訪問的資源的對象而言，“本地服務”賬戶與“Users”（用戶）組成員權限等同。這種限制性訪問有助于在個別服務或進程受損時保障系統安全，以“本地服務”賬戶運行的服務使用有匿名憑據的空會話來訪問網絡資源。賬戶名稱為NTAUTHORITY\LocalService，該賬戶沒有密碼。

（3）網絡服務賬戶

網絡服務賬戶也是一種特殊的內置賬戶，類似于經身份驗證的用戶賬戶。就訪問的資源的對象而言，“網絡服務”賬戶與“Users”（用戶）組成員權限等同。這種限制性訪問有助于在個別服務或進程受損時保障系統安全，以“網絡服務”賬戶運行的服務可使用計算機賬戶的憑據來訪問網絡資源。賬戶名稱為NTAUTHORITY\NetworkService，該賬戶沒有密碼。

3.漏洞

任何服務或應用程序都是潛在的攻擊點，因此，必須禁用或刪除系統環境中不需要的服務或可執行文件，或者直接刪除閑置的網絡服務。

4.對策

系統服務中的“策略”可以有以下四種設置方式：

自動；

手動；

禁用；

未定義。

對于所有不必要的服務應當禁用。

此外，還可通過配置用戶定義賬戶列表的訪問控制列表（ACL）來編輯服務安全性。

5.潛在影響

雖然禁用不必要的服務可以減少系統資源的占用以及系統漏洞，但有些服務（如Security Accounts Manager）禁用后將導致系統無法引導，禁用一些關鍵服務可能使計算機無法通過域控制器的身份驗證。因此，為安全起見，在禁用系統服務前應先在測試環境中測試。

要在“組策略對象編輯器”中配置“系統服務”設置，可依次打開“計算機配置”→“Windows設置”→“安全設置”→“系統服務”。

2.4.3 注冊表安全

注冊表作為Windows的系統配置文件，對Windows的系統安全起著決定性的作用。

1.禁止注冊表遠程訪問

Windows Server 2008在默認安裝時啟用了允許遠程訪問注冊表。不過，開啟此功能將會對系統安全帶來極大的隱患，因為服務的啟動、ACL權限的修改、用戶名的建立等信息，都可以在注冊表中完成，因此，應嚴格禁止使用遠程注冊表訪問功能。

該安全設置確定在網絡上可訪問哪些注冊表路徑和子路徑，無論注冊表項winreg的訪問控制列表（ACL）中列出的是用戶還是組。

禁止遠程注冊表訪問的操作步驟如下。

第1步，打開組策略控制臺，依次展開“計算機配置”→“Windows設置”→“安全設置”→“本地策略”→“安全選項”，顯示如圖2-51所示窗口。

第2步，在右側的策略窗口中，雙擊“網絡訪問：可遠程訪問的注冊表路徑和子路徑”策略，顯示如圖2-52所示“網絡訪問：可遠程訪問的注冊表路徑和子路徑 屬性”對話框。

第3步，刪除列表框的所有數據，最后單擊“確定”按鈕即可。

第4步，雙擊“網絡訪問：可遠程訪問的注冊表路徑”策略，顯示如圖2-53所示的“網絡訪問：可遠程訪問的注冊表路徑屬性”對話框。

第5步，刪除文本框的所有數據，然后單擊“確定”按鈕即可。

2.注冊表安全設置

Windows Server 2008注冊表中包含了許多關于安全的設置，注冊表安全內容如下。

（1）隱藏重要文件/目錄可以修改注冊表實現完全隱藏

在注冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL中，右擊 “CheckedValue”，選擇快捷菜單中的“修改”選項，把數值由1改為0。

（2）對匿名連接的額外限制

沒有顯示的匿名權限就沒有辦法訪問，在注冊表HKEY_LOCAL_MACHINE\System\Current ControlSet\Control\Lsa下修改“restrictanonymous”為2。

（3）關閉默認的根目錄和管理共享

去除Windows安裝后生成的默認共享。在注冊表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters下，創建名稱為autosharews的DWORD值，修改其“數值數據”值為0。

（4）禁止Guest用戶訪問日志

取消來賓賬號機器同組賬號訪問日志的權利。分別將在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog下3個子鍵Application、Security、System下面的RestrictGuestAccess值修改為1即可。

（5）禁止顯示上次登錄的用戶名

防止在登錄界面上泄露賬號信息。在注冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下面修改Dontdisplaylastusername為1即可。

（6）禁用文件名創建

取消Windows Server 2008和Windows Server 2003為兼容以前微軟文件名命名方式帶來的性能損失。在注冊表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem下面設置Ntfsdisable8dot3namecreation為1即可。

（7）禁用無用的子系統

取消因為使用例如dos、win16、os/2、posix、應用系統下的程序子系統可能帶來的隱患。修改HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Subsystems下的Optional的值為“0000”。

刪除同一子鍵下的os2、posix項，同時刪除HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Control\wow下的子鍵。

刪除HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\ environment下的OS2libpath項。

刪除“HKEY_LOCAL_MACHINE\Software\Microsoft\os/2 Subsystem for nt”下的所有子鍵。

（8）不支持IGMP協議

在注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters的子項下，新建DWORD值，將名為IGMPLevel值修改為0即可。

（9）防止ICMP重定向報文的攻擊

在注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ Parameters的子項下，將EnableICMPRedirects值設為0即可。

（10）修改終端服務端口

在注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp的子項下，修改PortNumber的鍵值，在十進制狀態下修改即可，切記不要與其他已知端口沖突。

在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\ RDP-Tcp下，按照同樣的方法，修改為相同的端口號。

（11）保護系統不受一定的拒絕服務攻擊

防備SYN泛濫攻擊。在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\parameters鍵下分別添加：

DWORD值SynAttackprotect為2；

Tcpmaxhalfopen值為100；

Tcpmaxhalfopenedretried的值為80；

Tcpmaxportsexhausted的值為5。

（12）加強防備拒絕服務攻擊

終止半開放的TCP連接，可在上面同一鍵下添加Tcpmaxconnectreponseretransmissions值為3。

（13）TCP空連接計數器

可以防止死連接消耗資源，可以盡快結束死連接，在“7”的同一鍵值下面添加DWORD值Keepalivetime為300000，該計算單位為毫秒，即5分鐘。

（14）不輕易改變MTU的值（最大傳輸單元）

防止Windows Server 2008和Windows Server 2003自動執行的MTU探索被惡意用戶利用導致系統采用極小MTU值從而增強資源消耗的拒絕服務攻擊，可在同一鍵值下面添加DWORD值Enablepmtudicovery為0。

（15）禁用IP路由

防止惡意用戶利用非法覆蓋正常路由選擇，應該在“7”的鍵值下面添加DWORD值DisableIPsourcerouting為2。

（16）禁用ICMP轉向

防止惡意用戶用來改變Windows Server 2008 Windows Server 2003或路由表以響應網絡設備發送給它的ICMP重定向消息，應該在“7”的鍵值下面修改EnableICMPredirect值為0。

（17）禁止光盤自動啟動

防止惡意用戶利用此手段訪問系統，在HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer下設置“Nodrivetypeautorun”為149。

（18）只有本地用戶才可以訪問軟盤

防止惡意用戶利用此方法訪問系統，修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下的“allocatefloppyes”值為1。

（19）只有本地登錄的用戶才能訪問CDROM

防止惡意用戶利用此手段訪問系統，修改同一鍵下的“allocatecdroms”值為1。

（20）在關機時清理虛擬內存頁面交換文件

防止虛擬內存頁面交換文件泄露可用的信息，修改HKEY_LOCAL_MACHINE\System\Current ControlSet\Control\Session Manager\Memory management鍵下的“clearpagefileatshutdown”值為1。

2.4.4 審核策略

審核是Windows Server 2008和Windows Server 2003中本地安全策略的一部分，它是一個維護系統安全性的工具，允許跟蹤用戶的活動和Windows NT/2000系統的活動，這些活動稱為事件。通過設置審核策略，確定是否將安全事件記錄到計算機上的安全日志中，同時也確定是否記錄登錄成功或登錄失敗，或兩者都記錄。安全日志是事件查看器的一部分。

執行審核策略前，必須決定要審核的事件類別。為事件類別選擇的審核設置將定義審核策略。在加入域中的成員服務器和工作站上，默認情況下未定義事件類別的審核設置。在域控制器上，默認情況下審核關閉。通過為特定的事件類別定義審核設置，可以創建一個適合組織安全需要的審核策略。

依次打開“計算機配置”→“Windows設置”→“安全設置”→“本地策略”→“審核策略”，顯示如圖2-54所示“賬戶審核”頁面。

1.審核賬戶登錄事件

審核賬戶登錄事件設置確定是否審核在這臺計算機用于驗證賬戶時，用戶登錄到其他計算機或者從其他計算機注銷的每個實例。當在域控制器上對域用戶賬戶進行身份驗證時，將產生賬戶登錄事件。該事件記錄在域控制器的安全日志中。當在本地計算機上對本地用戶進行身份驗證時，將產生登錄事件。該事件記錄在本地安全日志中，不產生賬戶注銷事件。

如果定義該策略設置，可以指定是否審核成功、審核失敗，或根本不對事件類型進行審核。當某個賬戶的登錄成功時，成功審核會生成審核項。當某個賬戶的登錄失敗時，失敗審核會生成審核項。

2.審核賬戶管理

審核賬戶管理設置確定是否審核計算機上的每一個賬戶管理事件。賬戶管理事件的例子包括：

創建、更改或刪除用戶賬戶或組；

重命名、禁用或啟用用戶賬戶；

設置或更改密碼。

如果定義該策略設置，可以指定是否審核成功、審核失敗，或根本不對事件類型進行審核。任何賬戶管理事件成功時，成功審核都會生成審核項。任何賬戶管理事件失敗時，失敗審核都會生成審核項。

3.審核目錄服務訪問

審核目錄服務訪問設置確定是否審核用戶訪問那些指定自己的系統訪問控制列表（SACL）的Active Directory對象的事件。

默認情況下，在“默認域控制器組策略對象（GPO）”中該值設置為無審核，并且在該值沒有任何意義的工作站和服務器中，它保持未定義狀態。

如果定義該策略設置，可以指定是否審核成功、審核失敗，或根本不對事件類型進行審核。用戶成功訪問指定了SACL的Active Directory對象時，成功審核會生成審核項。用戶嘗試訪問指定了SACL的Active Directory對象失敗時，失敗審核會生成審核項。

4.審核登錄事件

審核登錄事件設置確定是否審核每一個登錄或注銷計算機的用戶實例。

在域控制器上將生成域賬戶活動的賬戶登錄事件，并在本地計算機上生成本地賬戶活動的賬戶登錄事件。如果同時啟用賬戶登錄和賬戶審核策略類別，那么使用域賬戶的登錄將生成登錄或注銷工作站或服務器的事件，而且將在域控制器上生成一個賬戶登錄事件。此外，在用戶登錄而檢索登錄腳本和策略時，使用域賬戶的成員服務器或工作站的交互式登錄將在域控制器上生成登錄事件。

如果定義該策略設置，可以指定是否審核成功、審核失敗，或根本不對事件類型進行審核。登錄成功時，成功審核會生成審核項。登錄失敗時，失敗審核會生成審核項。

5.審核對象訪問

審核對象訪問設置確定是否審核用戶訪問某個對象的事件，例如文件、文件夾、注冊表項、打印機等，它們都有自己特定的系統訪問控制列表（SACL）。

如果定義該策略設置，可以指定是否審核成功、審核失敗，或根本不對該事件類型進行審核。當用戶成功訪問指定了合適SACL的對象時，成功審核將生成審核項。當用戶訪問指定有SACL的對象失敗時，失敗審核會生成審核項。

6.審核策略更改

審核策略更改設置確定是否審核用戶權限分配策略、審核策略或信任策略更改的每一個事件。

如果定義該策略設置，可以指定是否審核成功、審核失敗，或根本不對該事件類型進行審核。對用戶權限分配策略、審核策略或信任策略所作更改成功時，成功審核會生成審核項。

7.審核特權使用

審核特權使用設置確定是否審核用戶實施其用戶權利的每一個實例。

如果定義該策略設置，可以指定是否審核成功、審核失敗，或根本不對這種事件類型進行審核。用戶權利實施成功時，成功審核會生成審核項。用戶權利實施失敗時，失敗審核會生成審核項。

8.審核過程跟蹤

審核過程跟蹤設置確定是否審核事件（例如程序激活、進程退出、句柄復制和間接對象訪問等）的詳細跟蹤信息。

如果定義該策略設置，可以指定是否審核成功、審核失敗，或根本不對該事件類型進行審核。所跟蹤的過程成功時，成功審核會生成審核項。所跟蹤的過程失敗時，失敗審核會生成審核項。

9.審核系統事件

當用戶重新啟動或關閉計算機時，或者對系統安全或安全日志有影響的事件發生時，安全設置確定是否予以審核。

如果定義該策略設置，可以指定是否審核成功、審核失敗，或根本不對該事件類型進行審核。系統事件執行成功時，成功審核會生成審核項。系統事件執行失敗時，失敗審核會生成審核項。

2.5 高級安全Windows防火墻

高級安全Windows防火墻是Windows Server 2008和Windows Vista的新增功能之一，是一種結合主機防火墻和IPSec安全技術的狀態防火墻。它可以檢查并篩選所有IPv4和IPv6流量的數據包。默認情況下阻止傳入流量，除非是對主機請求（請求的流量）的響應，或者被特別允許（即創建了防火墻規則允許該流量）。通過配置具有高級安全性的Windows防火墻設置（指定端口號、應用程序名稱、服務名稱或其他標準）可以顯式允許流量。

2.5.1 工作原理

具有高級安全性的Windows防火墻使用兩組規則配置其如何響應傳入和傳出流量。防火墻規則確定允許或阻止哪種流量。連接安全規則確定如何保護此計算機和其他計算機之間的流量。通過使用防火墻配置文件（根據計算機連接的位置應用），可以應用這些規則以及其他設置。還可以監視防火墻活動和規則。

1.防火墻規則

配置防火墻規則以確定阻止還是允許流量通過具有高級安全性的Windows防火墻。傳入數據包到達計算機時，具有高級安全性的Windows防火墻檢查該數據包，并確定它是否符合防火墻規則中指定的標準。如果數據包與規則中的標準匹配，則具有高級安全性的Windows防火墻執行規則中指定的操作，即阻止連接或允許連接。如果數據包與規則中的標準不匹配，則具有高級安全性的Windows防火墻丟棄該數據包，并在防火墻日志文件中創建條目（如果啟用了日志記錄）。

對規則進行配置時，可以從各種標準中進行選擇：例如，應用程序名稱、系統服務名稱、TCP端口、UDP端口、本地IP地址、遠程IP地址、配置文件、接口類型（如網絡適配器）、用戶、用戶組、計算機、計算機組、協議、ICMP類型等。規則中的標準添加得越多，具有高級安全性的Windows防火墻匹配傳入流量就越精細。

2.連接安全性規則

可以使用連接安全性規則來配置本計算機與其他計算機之間特定連接的IPSec設置。具有高級安全性的Windows防火墻使用該規則來評估網絡通信，然后根據該規則中所建立的標準來阻止或允許消息。在某些環境下具有高級安全性的Windows防火墻將阻止通信。如果所配置的設置要求連接安全（雙向），而兩臺計算機無法互相進行身份驗證，則將阻止連接。

3.防火墻配置文件

可以將防火墻規則和連接安全規則以及其他設置應用于一個或多個防火墻配置文件。然后將這些配置文件應用于計算機，這取決于連接計算機的位置。可以配置計算機何時連接到域、專用網絡（例如家庭網絡）或公用網絡的配置文件。

4.監視

監視節點顯示有關當前所連接的計算機（本地計算機或遠程計算機）的信息。如果使用管理單元來管理組策略對象而不是本地計算機，則不會出現該節點。

2.5.2 配置防火墻規則

以管理員賬戶登錄Windows Server 2008系統后，依次單擊“開始”→“管理工具”→“高級安全Windows防火墻”，打開如圖2-55所示的“高級安全Windows防火墻”窗口，包括入站規則、出站規則和連接安全性規則三種。如果安裝Active Directory服務，還會增加13條相應的安全規則。

入站規則。入站規則明確允許或者明確阻止與規則條件匹配的通信。例如，可以將規則配置為明確允許受IPSec保護的遠程桌面通信通過防火墻，但阻止不受IPSec保護的遠程桌面通信。默認情況下將阻止入站通信，若要允許通信，必須先創建相應的入站規則。在沒有適用的入站規則的情況下，也可以對具有高級安全性的Windows防火墻所執行的操作（無論允許還是阻止連接）進行配置。

出站規則。出站規則明確允許或者明確拒絕來自與規則條件匹配的計算機的通信。例如，可以將規則配置為明確阻止出站通信通過防火墻到達某一臺計算機，但允許同樣的通信到達其他計算機。默認情況下允許出站通信，因此必須創建出站規則來阻止通信。

連接安全規則。同2.5.1節中的2.，這里不再贅述。

1.禁用或啟用規則

管理員可以通過兩種方式啟用或禁用防火墻規則：Windows防火墻控制臺和netsh命令。在高級安全Windows防火墻控制臺中，選擇“入站規則”或“出站規則”，然后右擊相應規則，并選擇“禁用規則”或者“啟用規則”即可。使用“netsh”命令啟用或禁用單一規則以及規則組，用法如下：啟用/禁用單個規則：netsh advfirewall firewall set rule name="Rule"new enable=yes|no；

啟用/禁用規則組：netsh advfirewall firewall set rule name="RuleGroup"new enable=yes|no。

例如，使用如下命令可以啟用“BITS對等緩存（RPC）”規則（默認情況是禁用的）：

netsh advfirewall firewall set rule name="BITS Peercaching（RPC）" new enable=yes。

使用如下命令就是用來啟用“BITS對等緩存”規則組的（默認情況是禁用的）：

netsh advfirewall firewall set rule group="BITS Peercaching" new enable=yes。

2.更改規則配置

第1步，在高級安全Windows防火墻控制臺中，選擇“入站規則”或“出站規則”，右擊需要配置的規則（以“網絡-路由器請求”策略為例），并選擇快捷菜單中的“屬性”，打開如圖2-56 所示的“網絡-路由器請求 屬性”對話框，默認顯示常規選項卡。選擇“只允許安全連接”單選按鈕，即可啟用IPSec保護。

第2步，單擊“作用域”切換到如圖2-57所示“作用域”選項卡，選擇“下列IP地址”單選按鈕，然后單擊“添加”，添加指定的本地或遠程IP地址即可。

第3步，單擊“用戶和計算機”切換到如圖2-58所示“用戶和計算機”選項卡，選中“只允許來自下列計算機的連接”或“只允許來自下列用戶的連接”復選框，并單擊“添加”按鈕添加計算機或用戶即可。需要注意的是，配置此選項之前必須確保已經選擇“常規”選項卡中的“只允許安全連接”單選按鈕。

第4步，單擊“高級”切換到如圖2-59所示“高級”選項卡，選擇“下列配置文件”單選按鈕，并選擇需要應用規則的配置文件，包括域、專用和公用三種。

域：當計算機連接到其域賬戶所在的網絡時應用。

專用：當計算機連接到不包括其域賬戶的網絡時應用，例如家庭網絡。專用配置文件設置應該比域配置文件設置更為嚴格。

公用：當計算機通過公用網絡連接到域時應用。由于計算機所連接到的公用網絡通常無法嚴格控制安全，因此公用配置文件設置應該最為嚴格。

第5步，修改規則完成后，單擊“確定”按鈕應用并保存配置即可。

2.5.3 使用組策略配置高級防火墻

當使用組策略貫穿于活動目錄域執行時，防火墻策略是最有效的。在創建一個防火墻策略之前，需要確定應用的可執行文件、TCP或UDP端口號，以及其他需要應用該規則的協議類型。同時也需要考慮是否限制特定計算機或網絡的通信作用域。用戶在Windows Vista和Windows Server 2008計算機的組策略控制臺中，可以通過如下兩種方式配置和管理高級安全Windows防火墻。

計算機配置\Windows設置\安全設置\高級安全Windows防火墻\高級安全Windows防火墻：這種節點設置主要應用于Windows Vista和Windows Server 2008。建議用戶使用這種方式，因為這里可以提供更加詳細的防火墻規則配置，并且允許用戶配置新的認證類型和新的加密選項。

計算機配置\管理面板\網絡\網路連接\Windows防火墻：這種節點設置主要應用于Windows XP、Windows Server 2003、Windows Vista和Windows Server 2008。這種方法要比上面那種缺少靈活性；但是，可以應用于所有版本的Windows防火墻。如果在Windows Vista中使用的不是最新的IPSec功能，可以使用這種方式配置所有的客戶端。

第1步，打開“組策略管理編輯器”中的“組策略對象”，如果是獨立計算機，則直接打開“本地組策略編輯器”即可。依次展開“計算機配置”→“Windows設置”→“安全設置”→“高級安全Windows防火墻”→“高級安全Windows防火墻”，顯示如圖2-60所示的窗口。

第2步，右擊“高級安全Windows防火墻”并選擇快捷菜單中的“屬性”，打開“高級安全Windows防火墻-本地組策略對象 屬性”對話框，默認顯示如圖2-61所示的“域配置文件”選項卡。在“狀態”選項區域，可以設置是否啟用防火墻，以及進站和出站連接是允許還是阻止；在“設置”選項區域，可以對防火墻的控制行為進行設置。

第3步，單擊“IPSec設置”切換到如圖2-62所示的“IPSec設置”選項卡，IPSec默認值主要用于設置加密技術和加密周期，通常情況下默認設置就是比較理想的，但用戶也可以改變默認的認證方法。在IPSec免除選項區域可以選擇是否從IPSec中將ICMP免除。

第4步，單擊“確定”按鈕，保存配置即可。

2.5.4 新建IPSec連接安全規則

IPSec連接安全規則允許用戶為滿足指定標準的連接請求IPSec。這些標準類似于Windows防火墻篩選器。例如，用戶可以為如下情況設置IPSec安全規則：

拒絕來自指定IP地址的所有通信；

拒絕所有來自默認網關的ICMP通信；

拒絕所有來自內網的發往指定端口的通信；

限制除了特定服務器的所有出站連接。

每個計算機只能擁有一個IPSec策略。如果多個組策略應用于一臺計算機，每個組策略都有不同的IPSec策略，則只有最高級的IPSec策略會起作用。

第1步，打開“高級安全Windows防火墻”窗口，右擊“連接安全規則”并選擇快捷菜單中的“新規則”，啟動“新建連接安全規則向導”，默認顯示如圖2-63所示的“規則類型”對話框。

管理員可以創建如下幾種類型的安全規則。

隔離：隔離規則可根據您定義的身份驗證標準對連接進行限制。例如，您可以使用此規則類型來隔離域中的計算機和域外的計算機（例如Internet上或其他域中的計算機）。

身份驗證免除：可以使用此規則類型使特定的計算機或者一組或一個范圍內的IP地址（計算機）免于對自身進行身份驗證，而不考慮其他連接安全規則。此規則類型通常用于在授權訪問可以執行身份驗證之前必須與此計算機進行通信的基礎結構計算機。還可以用于其他無法使用為此策略和配置文件所配置的身份驗證形式的計算機。

服務器到服務器：使用此規則類型對兩臺特定計算機之間、兩個計算機組之間、兩個子網之間或者特定計算機和計算機組或子網之間的通信進行身份驗證。可以使用此規則對數據庫服務器和業務層計算機之間或基礎結構計算機和其他服務器之間的流量進行身份驗證。

隧道：使用此規則類型保護通過隧道終結點（例如VPN或IPSec L2TP隧道等）在兩臺對等計算機之間進行的通信。

自定義：使用此規則類型創建需要特殊設置的規則。

第2步，選擇“自定義”單選按鈕并單擊“下一步”按鈕，顯示如圖2-64所示的“終結點”對話框。終結點是形成對等端連接的計算機或計算機組，可以是指定單個計算機，也可以是一個本地子網。選擇“下列IP地址”單選按鈕，并單擊“添加”按鈕即可添加終結點計算機。

第3步，單擊“下一步”按鈕，顯示如圖2-65所示的“要求”對話框，為出站和入站連接選擇是否需進行身份驗證。身份驗證并不能提供很好的安全性，因為惡意攻擊者會選擇不需要認證，但是它可以將所有不支持IPSec或沒有證書的連接都退回。當所有合法客戶端都支持IPSec時，為入站連接選擇要求安全認證。當所有服務器都支持IPSec時，為出站連接選擇要求安全認證。本例中選擇“入站和出站連接請求身份驗證”單選按鈕。高級安全Windows防火墻可以提供如下幾種身份驗證要求。

請求對入站連接和出站連接進行身份驗證：使用此選項要求對所有入站和出站流量進行身份驗證，但不能進行身份驗證時仍允許連接。如果可以進行身份驗證，則將對流量進行身份驗證。此選項通常用于低安全性環境或計算機必須要連接的環境，但不能執行具有高級安全性的Windows防火墻所具備的身份驗證類型。

要求對入站連接進行身份驗證并請求對出站連接進行身份驗證：使用此選項要求對所有入站流量進行身份驗證，否則將阻止該流量。可以對出站流量進行身份驗證，但身份驗證失敗時仍然允許其通過。如果對出站流量可以進行身份驗證，則將對該流量進行身份驗證。

要求對入站和出站連接進行身份驗證：使用此選項要求對所有入站和出站流量進行身份驗證，否則將阻止該流量。此選項通常用于高安全性的網絡環境，其中流量必須受到保護和控制，且必須能進行連接的計算機可以執行具有高級安全性的Windows防火墻所具備的身份驗證類型。

不進行身份驗證：對所有入站連接和出站連接請求均不進行任何身份驗證，此種方式安全性最低。

第4步，單擊“下一步”按鈕，顯示如圖2-66所示的“身份驗證方法”對話框，選擇希望使用的身份驗證方法即可，此處選擇“默認值”單選按鈕。除此之外，用戶也可以選擇“高級”單選按鈕，重新定義自己需要的身份驗證方法。高級安全Windows防火墻可以提供如下幾種身份驗證方法。

默認值：選擇此選項可使用“具有高級安全性的Windows防火墻屬性”對話框的“IPSec設置”選項卡上所配置的身份驗證方法。

計算機和用戶（Kerberos V5）：這種方法使用計算機和用戶身份驗證。這意味著可以請求或要求用戶和計算機在繼續通信之前都要進行身份驗證。

計算機（Kerberos V5）：這種方法請求或要求計算機使用Kerberos V5身份驗證協議進行身份驗證。

用戶（Kerberos V5）：這種方法請求或要求用戶使用Kerberos V5身份驗證協議進行身份驗證。

計算機證書：這種方法請求或要求使用有效的計算機證書進行身份驗證。要使用這種方法，必須至少具有一個證書頒發機構（CA）。

第5步，單擊“下一步”按鈕，顯示如圖2-67所示的“配置文件”對話框，選擇需要應用規則的配置文件，系統默認為全部選擇。

第6步，單擊“下一步”按鈕，顯示如圖2-68所示的“名稱”對話框，在“名稱”和“描述”文本框中，分別輸入規則名稱和描述即可。

第7步，單擊“完成”按鈕關閉向導，完成新規則的創建。