第2章 Windows Server 2008初始安全

與Windows Server 2003系統(tǒng)相比，Windows Server 2008的系統(tǒng)和網(wǎng)絡(luò)功能都有了一定的擴展，安全性也有了很大提高。Windows系統(tǒng)平臺安全無疑是構(gòu)建服務(wù)器安全的基礎(chǔ)，涉及操作系統(tǒng)和應(yīng)用程序的安裝安全、系統(tǒng)服務(wù)安全、系統(tǒng)設(shè)置安全和用戶賬戶安全等諸多方面。通常情況下，采用默認(rèn)方式安裝的Windows Server 2008為了便于系統(tǒng)管理，并未注重安全性的設(shè)置，因此必須對服務(wù)器系統(tǒng)進行必要的安全配置。

2.1 Windows Server 2008安裝安全

采取正確合理的系統(tǒng)安裝方式，可以提高操作系統(tǒng)的安全性。如果是升級安裝方式，除了詳細了解Windows Server 2008安裝注意事項之外，還應(yīng)及時下載補丁更新，以免導(dǎo)致升級安裝的失敗，或者升級完成后帶來的安全隱患。

2.1.1 Windows安裝安全指南

安裝Windows Server 2008時應(yīng)注意以下幾點。

使用正版Windows Server 2008系統(tǒng)安裝光盤，防止安裝過程中被植入木馬或間諜軟件，影響系統(tǒng)安全性。另外，盜版系統(tǒng)安裝光盤也可能影響計算機的兼容性，導(dǎo)致一些莫名其妙的問題。

保證硬件設(shè)備的可靠性。建議為重要服務(wù)器使用磁盤陣列技術(shù)，如RAID0、RAID1和RAID 5等，確保服務(wù)器存儲系統(tǒng)硬件的穩(wěn)定性和安全性。

盡量使用全新方式安裝系統(tǒng)，即將操作系統(tǒng)安裝在一個干凈的系統(tǒng)分區(qū)中，并提前做好合理規(guī)劃。例如，安裝之前刪除系統(tǒng)分區(qū)的所有文件，并重新格式化，確保磁盤完好無損。

使用NTFS文件系統(tǒng)格式化服務(wù)器所有磁盤分區(qū)，可以為系統(tǒng)分區(qū)、數(shù)據(jù)分區(qū)和日志文件分區(qū)提供更高的安全性。NTFS是真正的日志型文件系統(tǒng)，使用日志和檢查點信息，即使在系統(tǒng)崩潰或者電源故障的時候也可以保證文件系統(tǒng)的一致性。只有使用NTFS文件系統(tǒng)的分區(qū)，才能為文件配置ACL（控制訪問列表）訪問權(quán)限控制，達到訪問控制安全的目的。

沒有進行任何安全配置的服務(wù)器，不要與任何公共設(shè)備或網(wǎng)絡(luò)連接，必要時可以找一臺可以確保安全性的服務(wù)器進行連接。

只為服務(wù)器安裝必需的協(xié)議，如TCP/IP協(xié)議，避免其他網(wǎng)絡(luò)協(xié)議給系統(tǒng)帶來的漏洞。

通常情況下，不要將服務(wù)器加入到域，而應(yīng)安裝成獨立服務(wù)器模式。

為系統(tǒng)管理員設(shè)置一個安全性較高的密碼。

不要在服務(wù)器上部署多操作系統(tǒng)，防止惡意用戶通過其他系統(tǒng)控制權(quán)限獲取重要信息，或?qū)indows Server 2008系統(tǒng)進行破壞。

如果條件允許，建議安裝英文版Windows Server 2008。通常情況下，微軟公司總是最先發(fā)布英文版本的補丁，中文版本的補丁要相對滯后一段時間才能發(fā)布。

2.1.2 安全補丁更新

安全補丁更新是Windows系統(tǒng)必不可少的安全配置。默認(rèn)情況下，Windows Server 2008安裝完成后，自動更新功能是未配置的，管理員必須開啟并指定選擇相應(yīng)的方式，為系統(tǒng)下載、安裝補丁更新，以保護系統(tǒng)的安全。具體配置步驟如下。

第1步，為Windows Server 2008配置系統(tǒng)更新之前，每次啟動計算機后都會在任務(wù)欄的右側(cè)系統(tǒng)托盤中，顯示如圖2-1所示提示信息。

第2步，單擊此提示信息顯示如圖2-2所示的“Windows Update”對話框。除此之外，在“初始配置任務(wù)”窗口的“更新此服務(wù)器”選項區(qū)域，以及在“服務(wù)器管理器”窗口的“安全信息”選項區(qū)域中，同樣可以啟動“Windows Update”配置向?qū)А?/p>

第3步，單擊“讓我選擇”按鈕，顯示如圖2-3所示的“更新設(shè)置”對話框。在“選擇Windows安裝更新的方法”中，選擇一種安裝方法即可，各種安裝方式的具體含義如下。

自動安裝更新（推薦）。服務(wù)器連接到Internet后，系統(tǒng)將自動檢測Microsoft Update服務(wù)器是否有所需的更新，如果有則將自動下載并安裝這些更新。選擇該單選按鈕后還需要指定系統(tǒng)自動安裝更新的具體時間。

下載更新，但是讓我選擇是否安裝更新。僅下載所需的系統(tǒng)更新，完成后通知用戶在合適的時間手動安裝。

檢測更新，但是讓我選擇是否下載和安裝更新。僅檢測Microsoft Update服務(wù)器上提供的更新項目，并以列表方式提示系統(tǒng)管理員，管理員可以根據(jù)實際情況選擇需要下載的系統(tǒng)更新。建議使用這種方式，可以減少不必要的服務(wù)器資源和網(wǎng)絡(luò)帶寬浪費。

從不檢查更新（不推薦）。關(guān)閉系統(tǒng)更新功能，建議不要選擇此項。

2.2 Windows Server 2008基本安全配置

為確保Windows Server 2008服務(wù)器的安全，安裝完成之后應(yīng)立即配置Internet防火墻等基本安全配置，防止黑客或惡意軟件通過網(wǎng)絡(luò)或Internet訪問計算機。另外，還可以在安裝網(wǎng)絡(luò)服務(wù)之后，通過安全配置向?qū)Р渴疳槍π缘木W(wǎng)絡(luò)訪問安全策略。

2.2.1 Internet防火墻

Internet防火墻（Internet Connection Firewall，ICF）是Windows Server 2008系統(tǒng)內(nèi)置的簡單防火墻。ICF不僅可以阻止來自外部網(wǎng)絡(luò)的惡意訪問或攻擊，還可以阻止當(dāng)前服務(wù)器向其他計算機發(fā)送惡意軟件。默認(rèn)情況下，ICF是自動開啟的。

1.防火墻簡介

Windows Server 2008的ICF是一種典型的狀態(tài)防火墻，不僅可以監(jiān)視通過其路徑的所有通信，并可檢查所處理的每一條消息的源地址和目的地址，其工作方式如圖2-4所示。

ICF就像一個在計算機和外部Internet之間建立的“盾牌”，可以允許請求的數(shù)據(jù)包通過，而阻礙那些沒有請求的數(shù)據(jù)包通過，因此ICF是一個動態(tài)數(shù)據(jù)包過濾器。可以對直接連接Internet或連接在運行ICF的“Internet連接共享主機”后的計算機提供保護。啟用后，ICF會禁止所有來自Internet的未經(jīng)允許的連接。為此，防火墻使用“網(wǎng)絡(luò)地址轉(zhuǎn)換器（NAT）”邏輯來驗證訪問網(wǎng)絡(luò)或本地主機的入站請求。如果網(wǎng)絡(luò)通信不是來自受保護的網(wǎng)絡(luò)，或者沒有創(chuàng)建任何端口映射，則入站數(shù)據(jù)就被丟棄。

通常情況下，黑客入侵的第一步就是找到所要攻擊主機的IP地址，再使用ping命令ping通該主機（表示已經(jīng)與該主機建立了一個通道），然后對主機進行端口掃描，查看哪些端口是開放的，最后找出系統(tǒng)漏洞進行攻擊。ICF的一個重要功能就是阻止系統(tǒng)響應(yīng)ping命令，而且，ICF還禁止外部程序?qū)Ρ緳C進行端口掃描，丟棄所有沒有請求的IP數(shù)據(jù)包。如此一來，便可以極大地減少被黑客利用的系統(tǒng)漏洞。

ICF是通過保存一個表格，記錄所有自本機發(fā)出的目的IP地址、端口、服務(wù)以及其他一些數(shù)據(jù)，從而達到保護本機的目的。當(dāng)一個IP數(shù)據(jù)包進入本機時，ICF會檢查這個表格，查看到達的這個IP數(shù)據(jù)包是否是本機所請求的，如果是就允許通過，如果在這個表格中沒有找到相應(yīng)的記錄就拋棄這個IP數(shù)據(jù)包。

2.配置Internet防火墻

Windows Server 2008系統(tǒng)的ICF在默認(rèn)情況下已經(jīng)啟動，管理員可以根據(jù)需要進行配置。如果服務(wù)器已經(jīng)連接到網(wǎng)絡(luò)，則網(wǎng)絡(luò)訪問策略的設(shè)置可能會阻止管理員對Windows防火墻的配置，此時應(yīng)暫時退出網(wǎng)絡(luò)，或請求管理員賦予相應(yīng)操作權(quán)限，完成此項工作配置防火墻的具體步驟如下。

第1步，在Windows Server 2008的“控制面板”窗口中，雙擊“Windows防火墻”圖標(biāo)，顯示如圖2-5所示窗口，顯示W(wǎng)indows防火墻已啟用。

第2步，單擊“啟用或關(guān)閉Windows防火墻”鏈接，顯示如圖2-7所示“Windows防火墻設(shè)置”對話框，系統(tǒng)默認(rèn)選擇“啟用”單選按鈕。如果同時選中“阻止所有傳入連接”復(fù)選框，則防火墻將阻止所有主動連接當(dāng)前服務(wù)器的嘗試，當(dāng)需要為該服務(wù)器提供最大限度的保護時，才使用該設(shè)置，啟用該設(shè)置后將忽略“例外”列表中的所有設(shè)置。通常情況下，不推薦選擇該復(fù)選框。

第3步，切換到“例外”選項卡，或者在“Windows防火墻”窗口中，單擊“允許程序通過防火墻”鏈接，如圖2-8所示。在“程序和服務(wù)”列表框選中該服務(wù)器欲提供的網(wǎng)絡(luò)服務(wù)即可。

第4步，單擊“添加端口”按鈕，顯示如圖2-9所示“添加端口”對話框，即可向列表中增加新的網(wǎng)絡(luò)服務(wù)所使用的TCP或UDP端口。在“名稱”文本框中，輸入便于識別的名稱，如telnet；在“端口號”文本框中，輸入想要添加的端口，如23；根據(jù)需要，選擇“TCP”或“UDP”端口類型。

第5步，單擊“更改范圍”按鈕，顯示如圖2-10所示“更改范圍”對話框。指定詳細的限定范圍可以提高防火墻策略的安全性。默認(rèn)情況下，開放的防火墻端口適用于任何計算機（包括Internet上的計算機）。

第6步，切換至如圖2-11 所示“高級”選項卡，在“網(wǎng)絡(luò)連接設(shè)置”選項區(qū)域，可以設(shè)置接受Windows防火墻保護的網(wǎng)絡(luò)連接，默認(rèn)為所有本地連接。在“默認(rèn)設(shè)置”選項區(qū)域，單擊“還原為默認(rèn)設(shè)置”按鈕，即可撤銷所有Windows防火墻設(shè)置，恢復(fù)至初始狀態(tài)。

第7步，單擊“確定”按鈕，保存設(shè)置即可。

2.2.2 安全配置向?qū)?/h4>

安全配置向?qū)В⊿CW，Security Configuration Wizard）可以幫助管理員快速完成創(chuàng)建、編輯、應(yīng)用和回滾安全策略操作，在Windows Server 2003系統(tǒng)中，必須安裝SP1或升級到R2系統(tǒng)才可安裝并配置服務(wù)器安全配置向?qū)В赪indows Server 2008系統(tǒng)中則已經(jīng)被整合為一項系統(tǒng)功能，用戶無須安裝即可直接應(yīng)用。SCW是一個完全基于服務(wù)角色的工具，用戶可以根據(jù)需要創(chuàng)建針對某個服務(wù)器角色的安全策略，并且可以將其應(yīng)用到其他相應(yīng)類型的服務(wù)器上。配置和應(yīng)用SCW時應(yīng)注意以下幾點。

SCW禁用不需要的服務(wù)并提供對具有高級安全性的Windows防火墻的支持。

使用SCW創(chuàng)建的安全策略與安全模板不同，其中前者擴展名為.xml，而后者擴展名為.inf。用戶創(chuàng)建的安全策略源于安全模板，安全模板包含的安全設(shè)置可以應(yīng)用于所有的服務(wù)器角色。

部署SCW安全策略后并不會影響服務(wù)器提供服務(wù)時所需的組件，并且應(yīng)用之后，管理員仍可以通過服務(wù)器的管理器安裝所需的組件。

應(yīng)用SCW安全策略之后，SCW將自動選擇所有從屬角色。

創(chuàng)建和應(yīng)用SCW安全策略時，應(yīng)確保服務(wù)器的IP協(xié)議及端口配置完全正確。

1.配置安全策略

第1步，依次單擊“開始”→“管理工具”→“安全配置向?qū)А保蜷_如圖2-12所示的“歡迎使用安全配置向?qū)А睂υ捒颉Ｒ部梢栽凇伴_始”菜單的“開始搜索”文本框中輸入scw.exe命令，單擊“確定”按鈕來啟動安全配置向?qū)А?/p>

圖2-12 “歡迎使用安全配置向?qū)А睂υ捒?/p>

第2步，單擊“下一步”按鈕，顯示如圖2-13所示的“配置操作”對話框。安全配置向?qū)峁┝讼铝兴姆N配置操作。

圖2-13 “配置操作”對話框

創(chuàng)建新的安全策略：可以創(chuàng)建用于配置服務(wù)、Windows防火墻、Internet協(xié)議安全（IPsec）設(shè)置、審核策略和特定注冊表設(shè)置的安全策略。安全策略文件是XML格式文件，默認(rèn)保存路徑為%systemroot%\security\msscw\Policies。

編輯現(xiàn)有安全策略：可以編輯已使用SCW創(chuàng)建的安全策略。必須先選擇“編輯現(xiàn)有安全策略”，才能瀏覽要編輯的安全策略文件所在的文件夾。編輯的策略可存儲在本地機器上或網(wǎng)絡(luò)共享文件夾中。

應(yīng)用現(xiàn)有安全策略：使用SCW創(chuàng)建安全策略后，可將其應(yīng)用到測試服務(wù)器，或者應(yīng)用到生產(chǎn)環(huán)境中。

提示

在將新創(chuàng)建或新修改的安全策略應(yīng)用到生產(chǎn)環(huán)境之前，首先進行測試，然后將安全策略部署到業(yè)務(wù)系統(tǒng)中，測試可使新策略在生產(chǎn)環(huán)境中導(dǎo)致意外結(jié)果的可能性降至最低。

回滾上一次應(yīng)用的安全策略：如果使用SCW應(yīng)用的安全策略使服務(wù)器功能達不到預(yù)期的效果，或者導(dǎo)致其他非預(yù)期結(jié)果，則可以回滾該安全策略，將自動從該服務(wù)器刪除對應(yīng)的安全策略。

注意：

如果策略是在“本地安全策略”中編輯的，則在應(yīng)用策略后，這些更改就不能回滾到應(yīng)用前的狀態(tài)。對于服務(wù)和注冊表值，回滾過程還原了在配置過程中更改的設(shè)置。對于Windows防火墻和IPsec，回滾過程取消當(dāng)前使用的任何SCW策略的分配，并重新分配在配置時使用的前策略。

如果是第一次使用安全配置向?qū)В瑒t應(yīng)選擇“創(chuàng)建新的安全策略”單選按鈕。

第3步，單擊“下一步”按鈕，顯示如圖2-14所示的“選擇服務(wù)器”對話框。在“服務(wù)器”文本框中，輸入需要進行安全配置的Windows Server 2008服務(wù)器的主機名或IP地址。也可以單擊“瀏覽”按鈕，選擇需要進行安全配置的目標(biāo)計算機。

圖2-14 “選擇服務(wù)器”對話框

第4步，單擊“下一步”按鈕，開始掃描配置數(shù)據(jù)庫，主要包括已安裝或運行的網(wǎng)絡(luò)服務(wù)、IP地址及子網(wǎng)信息等。掃描完成，顯示如圖2-15所示的“正在處理安全配置數(shù)據(jù)庫”對話框。

圖2-15 “正在處理安全配置數(shù)據(jù)庫”對話框

提示

單擊“查看配置數(shù)據(jù)庫”按鈕，打開如圖2-16所示的“SCW查看器”對話框，在這里可以查看詳細掃描結(jié)果。需要注意的是，在此過程中由于Internet Explorer 7.0的安全設(shè)置，可能會出現(xiàn)安全提示信息，單擊“是”按鈕跳過即可。

圖2-16 “SCW查看器”窗口

第5步，單擊“下一步”按鈕，顯示如圖2-17所示的“基于角色的服務(wù)配置”對話框。安全配置向?qū)Э梢愿鶕?jù)當(dāng)前服務(wù)器提供網(wǎng)絡(luò)服務(wù)的不同，配置相應(yīng)的安全策略。

圖2-17 “基于角色的服務(wù)配置”對話框

第6步，單擊“下一步”按鈕，顯示如圖2-18所示的“選擇服務(wù)器角色”對話框。系統(tǒng)默認(rèn)選擇“安裝的角色”選項，即只設(shè)置已安裝服務(wù)的安全策略。“查看”下拉列表框中提供了四種可供選擇的抉擇模式：

圖2-18 “選擇服務(wù)器角色”對話框

所有角色：列表框出所有的Windows Server 2008可以使用的角色列表框；

安裝的角色：列出當(dāng)前服務(wù)器中已經(jīng)安裝的角色，包括沒有設(shè)置的角色；

未安裝的角色：列出當(dāng)前服務(wù)器中沒有安裝的角色，不包括沒有設(shè)置的角色；

選定的角色：列出當(dāng)前服務(wù)器中已經(jīng)選定的角色。

注意：

為了保證服務(wù)器的安全，僅選擇所需要的服務(wù)器角色即可，如本例中只選擇“Web服務(wù)器”。選擇多余的服務(wù)器角色，會增加Windows Server 2008系統(tǒng)的安全隱患。

第7步，單擊“下一步”按鈕，顯示如圖2-19所示的“選擇客戶端功能”對話框，可以選擇當(dāng)前服務(wù)器作為其他服務(wù)器的客戶端時需要使用的功能，如自動更新客戶端等。“查看”下拉列表中的選項與“選擇服務(wù)器角色”中的完全相同，此處不再贅述。

圖2-19 “選擇客戶端功能”對話框

第8步，單擊“下一步”按鈕，顯示如圖2-20所示的“選擇管理和其他選項”對話框。在“選擇用來管理限定的服務(wù)器的選項”列表中，可以選擇相應(yīng)的管理選項。

圖2-20 “選擇管理和其他選項”對話框

第9步，單擊“下一步”按鈕，顯示“選擇其他服務(wù)”對話框。其他服務(wù)是指當(dāng)前服務(wù)器上已經(jīng)安裝但在安全配置數(shù)據(jù)庫中未顯示的服務(wù)。如果出現(xiàn)這種情況，安全配置向?qū)⒃凇斑x擇其他服務(wù)”頁面上顯示已安裝的服務(wù)列表。展開相應(yīng)的服務(wù)即可查看其詳細運行模式，如圖2-21所示。

圖2-21 “選擇其他服務(wù)”對話框

第10步，單擊“下一步”按鈕，顯示如圖2-22所示的“處理未指定的服務(wù)”對話框。“未指定服務(wù)”是指安全策略配置向?qū)呙柽^程中未能發(fā)現(xiàn)的服務(wù)，用戶可以在這里設(shè)置其運行狀態(tài)，選擇“不更改此服務(wù)的啟用模式”單選按鈕即可。

圖2-22 “處理未指定的服務(wù)”對話框

第9步和第10步兩者處理方式的主要區(qū)別如下：

保持服務(wù)的當(dāng)前啟動模式：如果選擇此選項，則在應(yīng)用此安全策略的服務(wù)器上啟用的未指定服務(wù)將保持啟用狀態(tài)，而禁用的那些服務(wù)將保持禁用狀態(tài)；

禁用服務(wù)：如果選擇此選項，則不在安全配置數(shù)據(jù)庫中或未安裝在選定服務(wù)器上的所有服務(wù)都將被禁用。

第11步，單擊“下一步”按鈕，顯示如圖2-23所示的“確認(rèn)服務(wù)更改”對話框，系統(tǒng)默認(rèn)只顯示當(dāng)前服務(wù)器上正在運行的服務(wù)，服務(wù)的啟動模式可以是“已禁用”、“手動”或“自動”。在應(yīng)用安全策略后，才能對選定服務(wù)器做出更改。

圖2-23 “確認(rèn)服務(wù)更改”對話框

第12步，單擊“下一步”按鈕，顯示如圖2-24所示的“網(wǎng)絡(luò)安全”對話框。如果選擇“跳過這一部分”復(fù)選框，則將跳過“網(wǎng)絡(luò)安全”配置部分。建議不要跳過此步驟，繼續(xù)按照如下步驟操作。

圖2-24 “網(wǎng)絡(luò)安全”對話框

第13步，單擊“下一步”按鈕，顯示如圖2-25所示的“網(wǎng)絡(luò)安全規(guī)則”對話框。系統(tǒng)默認(rèn)顯示“所有規(guī)則”，即該服務(wù)器上目前開放的所有端口。也可以在“查看”下拉列表中選擇其他查看方式。單擊安全規(guī)則前面的三角形按鈕，還可以查看其詳細信息。

圖2-25 “網(wǎng)絡(luò)安全規(guī)則”對話框

提示

如果列表中沒有列出需要使用的Windows防火墻規(guī)則，可以單擊“添加”按鈕，打開如圖2-26所示的“添加規(guī)則”對話框，將其添加到列表中。在“名稱”文本框中，輸入防火墻規(guī)則的名稱，如www，為了便于區(qū)分還可以輸入相關(guān)的描述信息；在“方向”選項框中，選擇“入站”單選按鈕；另外，還可以根據(jù)需要在“操作”選項框中選擇相應(yīng)限制連接方式。

圖2-26 “添加規(guī)則”對話框

第14步，單擊“下一步”按鈕，顯示如圖2-27所示的“注冊表設(shè)置”對話框。通過該設(shè)置可以修改Windows Server 2008服務(wù)器注冊表中一些特殊鍵值，從而嚴(yán)格限制用戶的訪問權(quán)限。建議用戶不要跳過此步驟。

圖2-27 “注冊表設(shè)置”對話框

第15步，單擊“下一步”按鈕，顯示如圖2-28所示的“要求SMB安全簽名”對話框。設(shè)置選定的服務(wù)器和客戶端的通信信息，保持系統(tǒng)默認(rèn)的全部選擇狀態(tài)即可。

圖2-28 “要求SMS安全簽名”對話框

第16步，單擊“下一步”按鈕，顯示如圖2-29所示“出站身份驗證方法”對話框。選擇當(dāng)前服務(wù)器遠程連接到其他計算機時使用的身份驗證方法，如果是在域網(wǎng)絡(luò)中進行遠程登錄，則選擇“域賬戶”復(fù)選框即可；如果是工作組環(huán)境，建議選擇“遠程計算機上的本地賬戶”復(fù)選框。

圖2-29 “出站身份驗證方法”對話框

第17步，單擊“下一步”按鈕，顯示如圖2-30所示的“出站身份驗證使用本地賬戶”對話框，此對話框中的選項與所選擇的出站身份驗證方法有關(guān)，這里以使用“遠程計算機上的本地賬戶”驗證方法為例。通常情況下，保持默認(rèn)設(shè)置即可。

圖2-30 “出站身份驗證使用本地賬戶”對話框

提示

如果不選擇任何出站身份驗證方法，則單擊“下一步”按鈕將提示設(shè)置入站設(shè)置選項，如圖2-31所示。入站身份驗證方法主要用于當(dāng)網(wǎng)絡(luò)用戶訪問當(dāng)前計算機時需要使用哪種身份驗證方法。如果設(shè)置了“出站身份驗證方法”則不會出現(xiàn)該對話框。

圖2-31 “入站身份驗證方法”對話框

第18步，單擊“下一步”按鈕，顯示如圖2-32所示的“注冊表設(shè)置摘要”對話框，顯示當(dāng)前安全策略中所做的注冊表安全設(shè)置。

圖2-32 “注冊表設(shè)置摘要”對話框

第19步，單擊“下一步”按鈕，顯示如圖2-33所示的“審核策略”對話框。Windows審核策略主要用于審核日志記錄中的相關(guān)內(nèi)容，并確定受影響的系統(tǒng)對象。安全策略回滾功能是無法回滾安全向?qū)е械膶徍瞬呗栽O(shè)置的。

圖2-33 “審核策略”對話框

第20步，單擊“下一步”按鈕，顯示如圖2-34所示的“系統(tǒng)審核策略”對話框。選擇需要審核的目標(biāo)，選擇“審核成功的操作”單選按鈕，即只審核日志記錄中操作成功的事件記錄。

圖2-34 “系統(tǒng)審核策略”對話框

第21步，單擊“下一步”按鈕，顯示如圖2-35所示的“審核策略摘要”對話框。列表中列出了應(yīng)用的策略時，便將在選定服務(wù)器上對審核策略進行所有的更改。此頁顯示每個審核策略設(shè)置的當(dāng)前設(shè)置和由策略定義的設(shè)置。

圖2-35 “審核策略摘要”對話框

第22步，單擊“下一步”按鈕，顯示如圖2-36所示的“保存安全策略”對話框。保存之后，即可將該安全策略應(yīng)用到當(dāng)前或其他服務(wù)器上。

圖2-36 “保存安全策略”對話框

第23步，單擊“下一步”按鈕，顯示如圖2-37所示的“安全策略文件名”對話框。在保存安全策略文件的路徑之后輸入安全策略文件名，根據(jù)需要輸入相關(guān)的描述信息。

圖2-37 “安全策略文件名”對話框

提示

單擊“包括安全模板”按鈕，還可以向當(dāng)前安全策略添加其他安全模板中的安全規(guī)則，這些規(guī)則將擁有較高的優(yōu)先級。SCW回滾功能將無法回滾已經(jīng)應(yīng)用的策略模板中的規(guī)則設(shè)置。

第24步，單擊“下一步”按鈕，顯示如圖2-38所示的“應(yīng)用安全策略”對話框。如果選擇“現(xiàn)在應(yīng)用”單選按鈕，則可以將安全策略立即應(yīng)用到當(dāng)前服務(wù)器中；建議選擇“稍后應(yīng)用”單選按鈕，測試之后再應(yīng)用到服務(wù)器中。

圖2-38 “應(yīng)用安全策略”對話框

第25步，單擊“下一步”按鈕，顯示如圖2-39所示的“正在完成安全配置向?qū)А睂υ捒颉螕簟巴瓿伞卑粹o，完成安全策略的設(shè)置。

圖2-39 “正在完成安全配置向?qū)А睂υ捒?/p>

2.應(yīng)用安全配置策略

使用安全配置向?qū)?chuàng)建的安全策略，可直接應(yīng)用于所有運行Windows Server 2008或者Windows Server 2003 SP1/SP2/R2操作系統(tǒng)的網(wǎng)絡(luò)服務(wù)器。大規(guī)模應(yīng)用安全策略之前必須經(jīng)過嚴(yán)格測試，確認(rèn)可行之后方可部署。應(yīng)用安全配置策略之后，必須重新啟動計算機才可以生效。應(yīng)用安全策略的主要操作步驟如下。

第1步，依次單擊“開始”→“管理工具”→“安全配置向?qū)А保蜷_“安全配置向?qū)А睂υ捒颍瑔螕簟跋乱徊健卑粹o，在“配置操作”對話框中，選擇“應(yīng)用現(xiàn)有安全策略”單選按鈕，在“現(xiàn)有安全策略文件”文本框中輸入安全策略文件的路徑，也可單擊“瀏覽”按鈕查找，如圖2-40所示。

圖2-40 應(yīng)用安全配置策略

第2步，單擊“下一步”按鈕，顯示如圖2-41所示的“選擇服務(wù)器”對話框，在“服務(wù)器”文本框中，輸入想要應(yīng)用的服務(wù)器名稱或IP地址。如果目標(biāo)服務(wù)器為遠程主機，則應(yīng)單擊“指定用戶賬戶”按鈕，選擇連接到指定主機部署安全策略使用的用戶賬戶及憑證。

圖2-41 “選擇服務(wù)器”對話框

第3步，單擊“下一步”按鈕，顯示如圖2-42所示的“應(yīng)用安全策略”對話框，在“安全策略描述”信息框中顯示該策略的相關(guān)描述信息，也可以單擊“查看安全策略”按鈕，打開“SCW查看器”窗口，查看其詳細信息。

圖2-42 “應(yīng)用安全策略”對話框

第4步，單擊“下一步”按鈕，顯示如圖2-43所示的“正在應(yīng)用安全策略”對話框。將安全策略應(yīng)用到本地計算機大概需要幾分鐘時間，應(yīng)用到遠程計算機時所需時間可能更長一些。

圖2-43 “正在應(yīng)用安全策略”對話框

第5步，單擊“下一步”按鈕，顯示如圖2-44所示的“正在完成安全配置向?qū)А睂υ捒颉?/p>

圖2-44 “正在完成安全配置向?qū)А睂υ捒?/p>

第6步，單擊“完成”按鈕，關(guān)閉安全配置向?qū)АＶ匦聠佑嬎銠C后，應(yīng)用的安全策略即可生效。

2.3 Windows Server 2008被動防御安全

Windows防火墻和安全配置向?qū)Ф际侵鲃臃烙到y(tǒng)，即主動阻止和過濾網(wǎng)絡(luò)訪問請求，但對于已經(jīng)成功入侵到系統(tǒng)內(nèi)部的病毒或惡意軟件將起不到任何安全防御作用。因此，必須為Windows Server 2008配置被動防御安全系統(tǒng)，如部署防病毒軟件、設(shè)置Windows防間諜軟件系統(tǒng)等，這些配置可以快速有效地處理進入系統(tǒng)的病毒或間諜軟件。

2.3.1 配置防病毒系統(tǒng)

病毒對于計算機的危害性是不言而喻的，輕則造成應(yīng)用程序出錯、數(shù)據(jù)丟失，重則導(dǎo)致系統(tǒng)癱瘓、甚至波及網(wǎng)絡(luò)中的其他計算機。為了避免病毒對系統(tǒng)的破壞，應(yīng)注意如下事項：

服務(wù)器投入應(yīng)用之前必須安裝防病毒軟件，并升級最新的病毒庫；

確認(rèn)防病毒軟件來源的合法性、完整性，以及可升級性；

應(yīng)用過程中，應(yīng)確保防病毒系統(tǒng)處于開啟狀態(tài)；

剛安裝完成的操作系統(tǒng)，應(yīng)進行一次完整的病毒掃描；

查看防病毒產(chǎn)生的日志文件。在系統(tǒng)運營后，經(jīng)常查看病毒軟件產(chǎn)生的日志文件。

1.什么是計算機病毒

計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)、影響計算機使用并能自我復(fù)制的一組計算機指令或者程序代碼。病毒并非總是破壞文件或計算機，但它們通常會影響計算機的性能和穩(wěn)定性。

計算機病毒通常具有如下特性：

傳染性；

隱蔽性；

潛伏性；

破壞性；

表現(xiàn)性。

2.單機防病毒系統(tǒng)

單機防病毒系統(tǒng)主要是指單個用戶計算機上安裝的病毒查殺軟件，不必接受指定服務(wù)器的管理，通常都是通過Internet連接到官方服務(wù)器下載最新病毒庫的。單機防病毒系統(tǒng)成本相對較低，實現(xiàn)簡單，易于管理，適用于小型企業(yè)局域網(wǎng)或SOHO網(wǎng)絡(luò)。目前，針對單機用戶的防病毒軟件很多，建議用戶通過正規(guī)渠道購買正版軟件，或者登錄相關(guān)軟件的官方網(wǎng)站，下載試用版或共享版。

（1）瑞星2008

瑞星殺毒軟件是國內(nèi)反病毒軟件中眾多電腦生產(chǎn)商首選的殺毒軟件，目前最新版本是瑞星殺毒軟件2008，它集病毒防范、病毒掃描、查殺于一身，具有掃描速度快、識別率高、占用資源少等優(yōu)點。瑞星殺毒軟件不僅可以保護計算機系統(tǒng)不受病毒入侵，而且發(fā)現(xiàn)感染病毒后，還可以進行自動清除。瑞星殺毒軟件可以運行于Windows Server 2008或Windows Server 2003等服務(wù)器平臺。瑞星殺毒軟件2008的主窗口如圖2-45所示。

（2）NOD32

NOD32是eset公司的防病毒產(chǎn)品，以應(yīng)用平臺廣泛著稱，支持平臺包括DOS、Windows 9x/NT/2000/XP/2003/Vista/2008，到Novell Netware Server、Linux、BSD等。對于Windows版本，它同時支持32位和64位平臺，包括Windows Vista和Windows Server 2008。NOD32在線監(jiān)測功能嚴(yán)密，占用內(nèi)存資源較少，清除病毒的速度效果都令人滿意。如圖2-46所示是NOD32單機版主窗口。

（3）Norton AntiVirus 2007

諾頓殺毒軟件是由Symantec公司出品的一款殺毒軟件，包括網(wǎng)絡(luò)版和專業(yè)版，其中單機防病毒既可以使用網(wǎng)絡(luò)版的客戶端程序，又可以使用專業(yè)版。它可以為計算機提供全面的病毒防護，自動對計算機磁盤中的文件及Internet電子郵件進行監(jiān)測、掃描，及時查殺病毒，以保證計算機的安全。今年的諾頓誤殺系統(tǒng)文件事件，似乎并沒有影響人們的熱情，至今仍是眾多用戶的首選防病毒產(chǎn)品。Norton AntiVirus 2007主窗口如圖2-47所示。

（4）Windows Live OneCare

Windows Live OneCare是微軟公司推出的首款殺毒軟件套件，包括反病毒防火墻、數(shù)據(jù)備份、反間諜、磁盤清理等功能，幾乎可以覆蓋所有的個人安全領(lǐng)域。隨著時間的推移，相信會更加適合于Windows服務(wù)器。Windows Live OneCare這項全面的服務(wù)可以幫助您保護計算機免受許多不同種類的威脅，還可以幫助您在緊急情況下備份重要文檔，并定期調(diào)整計算機從而幫助計算機穩(wěn)定運行。如圖2-48所示的窗口是Windows Live OneCare主窗口，需要注意的是，目前僅能在英文版Windows操作系統(tǒng)中使用。

3.網(wǎng)絡(luò)防病毒系統(tǒng)

網(wǎng)絡(luò)防病毒系統(tǒng)主要應(yīng)用于大、中型企業(yè)網(wǎng)絡(luò)的病毒防御工作，相對于單機防病毒軟件而言，不僅防御范圍廣、功能強大，而且可管理性強。目前，廣泛應(yīng)用的企業(yè)殺毒軟件有Symantec AntiVirus企業(yè)版、瑞星殺毒軟件企業(yè)版、McAfee網(wǎng)絡(luò)防病毒等。網(wǎng)絡(luò)防病毒系統(tǒng)主要由服務(wù)器和客戶端兩部分組成。主要特點就是客戶端可以直接通過局域網(wǎng)從服務(wù)器獲得最新的病毒庫升級文件，并且管理員可以通過防病毒服務(wù)器客戶端監(jiān)控功能，及時了解客戶端的運行情況，以便統(tǒng)一管理和部署。因此，部署企業(yè)殺毒軟件系統(tǒng)不僅可以節(jié)省整個網(wǎng)絡(luò)的帶寬開銷，還可以提高網(wǎng)絡(luò)安全性。如圖2-49所示是大多數(shù)企業(yè)殺毒軟件的運行模式，圖中所示的服務(wù)器端和客戶端的含義分別介紹如下。

（1）服務(wù)器端

企業(yè)殺毒軟件系統(tǒng)中的服務(wù)器端是指安裝服務(wù)器管理軟件的計算機，可以直接登錄殺毒軟件官方升級服務(wù)器，快速下載最新病毒庫文件。管理員可以通過服務(wù)器端對下屬的二級服務(wù)器、客戶端等進行統(tǒng)一管理，如分發(fā)升級文件、接收客戶端病毒報警、實時狀態(tài)監(jiān)控等。另外，服務(wù)器端通常都集成適用于各種版本操作系統(tǒng)的客戶端安裝程序，管理員可以直接通過局域網(wǎng)安裝客戶端，免去一一安裝的麻煩。

（2）客戶端

客戶端是指接受網(wǎng)絡(luò)防病毒服務(wù)器管理的所有計算機，必須安裝與服務(wù)器端配套的殺毒軟件，并接受服務(wù)器的管理。客戶端既可手動連接到局域網(wǎng)防病毒服務(wù)器，更新病毒庫，也可以指定為自動接收來自服務(wù)器的病毒庫文件。

2.3.2 配置防間諜系統(tǒng)

間諜軟件通常是指自動安裝，或者未提供足夠通知、同意或控制的情況下，就在計算機上運行的應(yīng)用程序。一般情況下，間諜軟件在感染計算機后可能不會顯示任何癥狀，但許多類型的惡意軟件或不需要的程序都可以影響計算機的運行方式，如監(jiān)視用戶的實時行為、收集用戶信息等。目前的防間諜軟件產(chǎn)品很多，但應(yīng)根據(jù)實際情況選擇一款適合自己使用的防間諜軟件產(chǎn)品，同時注意軟件來源的合法性和安全性，以及間諜軟件代碼更新庫的升級能力。

在安裝防間諜軟件時應(yīng)注意如下事項：

建議配置成系統(tǒng)啟動時自動啟動防間諜軟件；

定制自動更新間諜軟件代碼庫；

定制在指定時間之內(nèi)掃描系統(tǒng)的完整信息；

啟動實施監(jiān)視系統(tǒng)；

定制應(yīng)用程序許可策略；

保存并定期察看日志信息。

為了應(yīng)對網(wǎng)絡(luò)中泛濫的木馬、間諜等惡意軟件對系統(tǒng)安全的挑戰(zhàn)，微軟也推出了反木馬、間諜軟件的專用程序Windows Defender。Windows Defender的前身是Giant公司的Giant Antispyware，微軟將該公司收購后便將其更名為Windows Defender，并且已經(jīng)成為Windows Vista系統(tǒng)的標(biāo)準(zhǔn)系統(tǒng)組件之一。Windows Defender具有如下主要功能。

提供完備的惡意軟件清除功能

Windows Defender在掃描查殺的同時，還會對惡意軟件添加的文件以及修改的注冊表內(nèi)容進行同步檢測和刪除，清除比較干凈。

與殺毒軟件相得益彰

Windows Defender是設(shè)計用來檢測、刪除或隔離用戶電腦中的已知或可疑間諜軟件的安全防御工具，針對的是殺毒工具無法處理的惡意軟件，所以并不會和系統(tǒng)中安裝的防病毒軟件沖突，相反兩者配合工作，安全防御效果會更好。

提供多種靈活掃描方式

Windows Defender提供如下三種掃描方式，用戶可根據(jù)實際需要選擇。

Quick Scan：它可以掃描間諜軟件常用的安裝目錄，可以在最短的時間里發(fā)現(xiàn)大多數(shù)間諜軟件。

Full Scan：它可以掃描電腦中的全部硬盤分區(qū)以及全部文件夾。這種掃描方式非常徹底，但是耗時較多，具體的耗時可根據(jù)用戶的硬盤大小以及文件多少來決定。另外，掃描過程中，系統(tǒng)的整體運行速度會有所下降。

Custom scan：在這種方式下，用戶可以選擇所要掃描的硬盤分區(qū)和文件夾。如果Windows Defender在這種模式下發(fā)現(xiàn)了間諜軟件，則將進而啟動Quick Scan模式對間諜軟件進行清除或隔離。實時監(jiān)控功能

Windows Defender最大的特點在于當(dāng)惡意軟件試圖入侵計算機時，會自動提醒用戶。需要注意的是，只有當(dāng)惡意軟件是與其他軟件捆綁安裝時，Windows Defender才會警報提醒，而當(dāng)直接安裝惡意軟件時，則不會表現(xiàn)任何動作。

管理員可以監(jiān)控用戶行為

管理員可以允許用戶使用Windows Defender掃描電腦，在發(fā)現(xiàn)可疑程序后選擇相應(yīng)的執(zhí)行動作，以及查看Windows Defender的活動記錄。管理員還可以限制Windows Defender的管理權(quán)限。在默認(rèn)情況下，任何用戶都可以使用Windows Defender。

2.4 Windows Server 2008系統(tǒng)安全

Windows Server 2008系統(tǒng)提供的系統(tǒng)安全涉及諸多方面，如應(yīng)用程序安全、注冊表安全、系統(tǒng)服務(wù)安全、文件權(quán)限安全、用戶賬戶安全、活動目錄安全、注冊表安全、組策略安全、端口安全、網(wǎng)絡(luò)服務(wù)安全等。任何一處隱藏的系統(tǒng)安全漏洞，都可能會招致整個系統(tǒng)安全的滅頂之災(zāi)。

2.4.1 應(yīng)用程序安全

在服務(wù)器上安裝正常使用的應(yīng)用程序（包括更新的IE瀏覽器版本），同時安裝配置選擇好用來提供網(wǎng)絡(luò)服務(wù)的程序（如微軟的IIS服務(wù)、FTP服務(wù)、SQL Server數(shù)據(jù)庫服務(wù)等）。非必要運行服務(wù)器操作系統(tǒng)的計算機不要登錄到Internet。

在配置系統(tǒng)應(yīng)用程序時，應(yīng)注意以下事項。

不要安裝任何多余的程序。服務(wù)器僅提供網(wǎng)絡(luò)服務(wù)，不是個人電腦，不需要安裝任何服務(wù)以外的程序。

安裝服務(wù)和應(yīng)用程序，盡量選擇最新的安裝版本；這樣，通常可以保證沒有近期發(fā)布的程序漏洞。不需要的應(yīng)用程序服務(wù)盡量不要安裝，或者配置成禁止使用的模式。

通常不要在服務(wù)上運行系統(tǒng)提供的應(yīng)用程序訪問網(wǎng)絡(luò)，服務(wù)器的漏洞有時會被惡意利用。

為安全起見，建議將系統(tǒng)“附件”中除寫字板、記事本以外的所有應(yīng)用程序卸載。

操作系統(tǒng)所在的服務(wù)器建議不要接入Internet。

強烈建議刪除甚至拒絕在服務(wù)器上安裝Microsoft Office或者其他的日常辦公軟件。

不要在服務(wù)器上運行任何開發(fā)工具、軟件調(diào)試器、扇區(qū)讀寫編輯器等可對操作系統(tǒng)底層進行操作的應(yīng)用軟件，可執(zhí)行程序越少越好。

服務(wù)器設(shè)置嚴(yán)格的權(quán)限許可，共享文件的訪問建議使用ACL權(quán)限控制。

對系統(tǒng)文件夾（x:\windows,x:\widnows\system等）使用ACL控制，避免賦予系統(tǒng)文件夾“寫入”的權(quán)限。

服務(wù)器的IP地址設(shè)置為靜態(tài)IP。

2.4.2 系統(tǒng)服務(wù)安全

在安裝操作系統(tǒng)的同時，也會自動安裝大量服務(wù)。但是，運行的服務(wù)越多，可能造成的安全漏洞也越多，同時還會占用大量的系統(tǒng)資源。而對于有能力利用服務(wù)特權(quán)和功能來訪問本地Web服務(wù)器或其他網(wǎng)絡(luò)服務(wù)器的不法入侵者來說，服務(wù)是最主要的漏洞點。不驗證客戶端身份的服務(wù)、使用不安全協(xié)議的服務(wù)、特權(quán)太多的服務(wù)等都將帶來風(fēng)險。因此，凡是不需要的服務(wù)，均應(yīng)將其禁用，既可有效地減少非法入侵者的攻擊，同時也可節(jié)省大量的系統(tǒng)資源。服務(wù)越少、漏洞越少、系統(tǒng)越安全。

1.系統(tǒng)服務(wù)配置注意事項

配置系統(tǒng)服務(wù)時應(yīng)注意以下事項：

根據(jù)服務(wù)的描述以及業(yè)務(wù)的需求，確定是否使用此服務(wù)；

具體每個服務(wù)的內(nèi)容和功能，請參考微軟的說明和咨詢業(yè)內(nèi)安全專家；

禁止或者設(shè)置成手動啟動的方式處理系統(tǒng)非必需的服務(wù)；

如對系統(tǒng)可能造成的影響不了解，在測試環(huán)境中測試驗證通過以后，再在應(yīng)用環(huán)境中部署；

對于安裝應(yīng)用程序同步安裝的服務(wù)，如無必要，應(yīng)將其關(guān)閉。

依次打開“開始”→“管理工具”→“服務(wù)”，即可打開“服務(wù)”控制臺窗口，并列出本地計算機中所有的服務(wù)，如圖2-50所示。

系統(tǒng)服務(wù)的處理不同于其他設(shè)置，因為所有服務(wù)的漏洞、對策及潛在影響在本質(zhì)上都是一樣的。第一次安裝Windows Server2008操作系統(tǒng)的時候，系統(tǒng)將在啟動時創(chuàng)建并配置默認(rèn)服務(wù)。有些服務(wù)在組織環(huán)境中并不需要，但仍在Windows中被啟用，來確保應(yīng)用程序或客戶端兼容或輔助進行系統(tǒng)管理。

2.服務(wù)

服務(wù)僅在登錄到某一賬戶的情況下才能訪問操作系統(tǒng)中的資源和對象。大多數(shù)的服務(wù)都不更改默認(rèn)的登錄賬戶，更改默認(rèn)賬戶可能導(dǎo)致服務(wù)失敗。如果選定賬戶沒有登錄計算機服務(wù)的權(quán)限，Microsoft管理控制臺（MMC）的服務(wù)管理單元將自動為該賬戶授予登錄服務(wù)的用戶權(quán)限，但并不一定會啟動服務(wù)。Windows Server 2008與Windows Server 2003相同，系統(tǒng)包括以下三個內(nèi)置的本地賬戶，分別用作各系統(tǒng)服務(wù)的登錄賬戶：

（1）本地系統(tǒng)賬戶

本地系統(tǒng)賬戶功能強大，它可對本地系統(tǒng)進行完全訪問，并為網(wǎng)絡(luò)中的計算機提供服務(wù)。如果某服務(wù)登錄到域控制器使用的“本地系統(tǒng)”賬戶，則該服務(wù)可訪問整個域。有些服務(wù)的默認(rèn)配置使用的是“本地系統(tǒng)”賬戶，則不需要更改默認(rèn)服務(wù)設(shè)置。本地系統(tǒng)賬戶名稱是LocalSystem，沒有密碼設(shè)置。

（2）本地服務(wù)賬戶

本地服務(wù)賬戶是一種特殊的內(nèi)置賬戶，類似于經(jīng)過身份驗證的用戶賬戶。就訪問的資源的對象而言，“本地服務(wù)”賬戶與“Users”（用戶）組成員權(quán)限等同。這種限制性訪問有助于在個別服務(wù)或進程受損時保障系統(tǒng)安全，以“本地服務(wù)”賬戶運行的服務(wù)使用有匿名憑據(jù)的空會話來訪問網(wǎng)絡(luò)資源。賬戶名稱為NTAUTHORITY\LocalService，該賬戶沒有密碼。

（3）網(wǎng)絡(luò)服務(wù)賬戶

網(wǎng)絡(luò)服務(wù)賬戶也是一種特殊的內(nèi)置賬戶，類似于經(jīng)身份驗證的用戶賬戶。就訪問的資源的對象而言，“網(wǎng)絡(luò)服務(wù)”賬戶與“Users”（用戶）組成員權(quán)限等同。這種限制性訪問有助于在個別服務(wù)或進程受損時保障系統(tǒng)安全，以“網(wǎng)絡(luò)服務(wù)”賬戶運行的服務(wù)可使用計算機賬戶的憑據(jù)來訪問網(wǎng)絡(luò)資源。賬戶名稱為NTAUTHORITY\NetworkService，該賬戶沒有密碼。

3.漏洞

任何服務(wù)或應(yīng)用程序都是潛在的攻擊點，因此，必須禁用或刪除系統(tǒng)環(huán)境中不需要的服務(wù)或可執(zhí)行文件，或者直接刪除閑置的網(wǎng)絡(luò)服務(wù)。

4.對策

系統(tǒng)服務(wù)中的“策略”可以有以下四種設(shè)置方式：

自動；

手動；

禁用；

未定義。

對于所有不必要的服務(wù)應(yīng)當(dāng)禁用。

此外，還可通過配置用戶定義賬戶列表的訪問控制列表（ACL）來編輯服務(wù)安全性。

5.潛在影響

雖然禁用不必要的服務(wù)可以減少系統(tǒng)資源的占用以及系統(tǒng)漏洞，但有些服務(wù)（如Security Accounts Manager）禁用后將導(dǎo)致系統(tǒng)無法引導(dǎo)，禁用一些關(guān)鍵服務(wù)可能使計算機無法通過域控制器的身份驗證。因此，為安全起見，在禁用系統(tǒng)服務(wù)前應(yīng)先在測試環(huán)境中測試。

要在“組策略對象編輯器”中配置“系統(tǒng)服務(wù)”設(shè)置，可依次打開“計算機配置”→“Windows設(shè)置”→“安全設(shè)置”→“系統(tǒng)服務(wù)”。

2.4.3 注冊表安全

注冊表作為Windows的系統(tǒng)配置文件，對Windows的系統(tǒng)安全起著決定性的作用。

1.禁止注冊表遠程訪問

Windows Server 2008在默認(rèn)安裝時啟用了允許遠程訪問注冊表。不過，開啟此功能將會對系統(tǒng)安全帶來極大的隱患，因為服務(wù)的啟動、ACL權(quán)限的修改、用戶名的建立等信息，都可以在注冊表中完成，因此，應(yīng)嚴(yán)格禁止使用遠程注冊表訪問功能。

該安全設(shè)置確定在網(wǎng)絡(luò)上可訪問哪些注冊表路徑和子路徑，無論注冊表項winreg的訪問控制列表（ACL）中列出的是用戶還是組。

禁止遠程注冊表訪問的操作步驟如下。

第1步，打開組策略控制臺，依次展開“計算機配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“安全選項”，顯示如圖2-51所示窗口。

第2步，在右側(cè)的策略窗口中，雙擊“網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑和子路徑”策略，顯示如圖2-52所示“網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑和子路徑 屬性”對話框。

第3步，刪除列表框的所有數(shù)據(jù)，最后單擊“確定”按鈕即可。

第4步，雙擊“網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑”策略，顯示如圖2-53所示的“網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑屬性”對話框。

第5步，刪除文本框的所有數(shù)據(jù)，然后單擊“確定”按鈕即可。

2.注冊表安全設(shè)置

Windows Server 2008注冊表中包含了許多關(guān)于安全的設(shè)置，注冊表安全內(nèi)容如下。

（1）隱藏重要文件/目錄可以修改注冊表實現(xiàn)完全隱藏

在注冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL中，右擊 “CheckedValue”，選擇快捷菜單中的“修改”選項，把數(shù)值由1改為0。

（2）對匿名連接的額外限制

沒有顯示的匿名權(quán)限就沒有辦法訪問，在注冊表HKEY_LOCAL_MACHINE\System\Current ControlSet\Control\Lsa下修改“restrictanonymous”為2。

（3）關(guān)閉默認(rèn)的根目錄和管理共享

去除Windows安裝后生成的默認(rèn)共享。在注冊表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters下，創(chuàng)建名稱為autosharews的DWORD值，修改其“數(shù)值數(shù)據(jù)”值為0。

（4）禁止Guest用戶訪問日志

取消來賓賬號機器同組賬號訪問日志的權(quán)利。分別將在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog下3個子鍵Application、Security、System下面的RestrictGuestAccess值修改為1即可。

（5）禁止顯示上次登錄的用戶名

防止在登錄界面上泄露賬號信息。在注冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下面修改Dontdisplaylastusername為1即可。

（6）禁用文件名創(chuàng)建

取消Windows Server 2008和Windows Server 2003為兼容以前微軟文件名命名方式帶來的性能損失。在注冊表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem下面設(shè)置Ntfsdisable8dot3namecreation為1即可。

（7）禁用無用的子系統(tǒng)

取消因為使用例如dos、win16、os/2、posix、應(yīng)用系統(tǒng)下的程序子系統(tǒng)可能帶來的隱患。修改HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Subsystems下的Optional的值為“0000”。

刪除同一子鍵下的os2、posix項，同時刪除HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Control\wow下的子鍵。

刪除HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\ environment下的OS2libpath項。

刪除“HKEY_LOCAL_MACHINE\Software\Microsoft\os/2 Subsystem for nt”下的所有子鍵。

（8）不支持IGMP協(xié)議

在注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters的子項下，新建DWORD值，將名為IGMPLevel值修改為0即可。

（9）防止ICMP重定向報文的攻擊

在注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ Parameters的子項下，將EnableICMPRedirects值設(shè)為0即可。

（10）修改終端服務(wù)端口

在注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp的子項下，修改PortNumber的鍵值，在十進制狀態(tài)下修改即可，切記不要與其他已知端口沖突。

在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\ RDP-Tcp下，按照同樣的方法，修改為相同的端口號。

（11）保護系統(tǒng)不受一定的拒絕服務(wù)攻擊

防備SYN泛濫攻擊。在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\parameters鍵下分別添加：

DWORD值SynAttackprotect為2；

Tcpmaxhalfopen值為100；

Tcpmaxhalfopenedretried的值為80；

Tcpmaxportsexhausted的值為5。

（12）加強防備拒絕服務(wù)攻擊

終止半開放的TCP連接，可在上面同一鍵下添加Tcpmaxconnectreponseretransmissions值為3。

（13）TCP空連接計數(shù)器

可以防止死連接消耗資源，可以盡快結(jié)束死連接，在“7”的同一鍵值下面添加DWORD值Keepalivetime為300000，該計算單位為毫秒，即5分鐘。

（14）不輕易改變MTU的值（最大傳輸單元）

防止Windows Server 2008和Windows Server 2003自動執(zhí)行的MTU探索被惡意用戶利用導(dǎo)致系統(tǒng)采用極小MTU值從而增強資源消耗的拒絕服務(wù)攻擊，可在同一鍵值下面添加DWORD值Enablepmtudicovery為0。

（15）禁用IP路由

防止惡意用戶利用非法覆蓋正常路由選擇，應(yīng)該在“7”的鍵值下面添加DWORD值DisableIPsourcerouting為2。

（16）禁用ICMP轉(zhuǎn)向

防止惡意用戶用來改變Windows Server 2008 Windows Server 2003或路由表以響應(yīng)網(wǎng)絡(luò)設(shè)備發(fā)送給它的ICMP重定向消息，應(yīng)該在“7”的鍵值下面修改EnableICMPredirect值為0。

（17）禁止光盤自動啟動

防止惡意用戶利用此手段訪問系統(tǒng)，在HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer下設(shè)置“Nodrivetypeautorun”為149。

（18）只有本地用戶才可以訪問軟盤

防止惡意用戶利用此方法訪問系統(tǒng)，修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下的“allocatefloppyes”值為1。

（19）只有本地登錄的用戶才能訪問CDROM

防止惡意用戶利用此手段訪問系統(tǒng)，修改同一鍵下的“allocatecdroms”值為1。

（20）在關(guān)機時清理虛擬內(nèi)存頁面交換文件

防止虛擬內(nèi)存頁面交換文件泄露可用的信息，修改HKEY_LOCAL_MACHINE\System\Current ControlSet\Control\Session Manager\Memory management鍵下的“clearpagefileatshutdown”值為1。

2.4.4 審核策略

審核是Windows Server 2008和Windows Server 2003中本地安全策略的一部分，它是一個維護系統(tǒng)安全性的工具，允許跟蹤用戶的活動和Windows NT/2000系統(tǒng)的活動，這些活動稱為事件。通過設(shè)置審核策略，確定是否將安全事件記錄到計算機上的安全日志中，同時也確定是否記錄登錄成功或登錄失敗，或兩者都記錄。安全日志是事件查看器的一部分。

執(zhí)行審核策略前，必須決定要審核的事件類別。為事件類別選擇的審核設(shè)置將定義審核策略。在加入域中的成員服務(wù)器和工作站上，默認(rèn)情況下未定義事件類別的審核設(shè)置。在域控制器上，默認(rèn)情況下審核關(guān)閉。通過為特定的事件類別定義審核設(shè)置，可以創(chuàng)建一個適合組織安全需要的審核策略。

依次打開“計算機配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“審核策略”，顯示如圖2-54所示“賬戶審核”頁面。

1.審核賬戶登錄事件

審核賬戶登錄事件設(shè)置確定是否審核在這臺計算機用于驗證賬戶時，用戶登錄到其他計算機或者從其他計算機注銷的每個實例。當(dāng)在域控制器上對域用戶賬戶進行身份驗證時，將產(chǎn)生賬戶登錄事件。該事件記錄在域控制器的安全日志中。當(dāng)在本地計算機上對本地用戶進行身份驗證時，將產(chǎn)生登錄事件。該事件記錄在本地安全日志中，不產(chǎn)生賬戶注銷事件。

如果定義該策略設(shè)置，可以指定是否審核成功、審核失敗，或根本不對事件類型進行審核。當(dāng)某個賬戶的登錄成功時，成功審核會生成審核項。當(dāng)某個賬戶的登錄失敗時，失敗審核會生成審核項。

2.審核賬戶管理

審核賬戶管理設(shè)置確定是否審核計算機上的每一個賬戶管理事件。賬戶管理事件的例子包括：

創(chuàng)建、更改或刪除用戶賬戶或組；

重命名、禁用或啟用用戶賬戶；

設(shè)置或更改密碼。

如果定義該策略設(shè)置，可以指定是否審核成功、審核失敗，或根本不對事件類型進行審核。任何賬戶管理事件成功時，成功審核都會生成審核項。任何賬戶管理事件失敗時，失敗審核都會生成審核項。

3.審核目錄服務(wù)訪問

審核目錄服務(wù)訪問設(shè)置確定是否審核用戶訪問那些指定自己的系統(tǒng)訪問控制列表（SACL）的Active Directory對象的事件。

默認(rèn)情況下，在“默認(rèn)域控制器組策略對象（GPO）”中該值設(shè)置為無審核，并且在該值沒有任何意義的工作站和服務(wù)器中，它保持未定義狀態(tài)。

如果定義該策略設(shè)置，可以指定是否審核成功、審核失敗，或根本不對事件類型進行審核。用戶成功訪問指定了SACL的Active Directory對象時，成功審核會生成審核項。用戶嘗試訪問指定了SACL的Active Directory對象失敗時，失敗審核會生成審核項。

4.審核登錄事件

審核登錄事件設(shè)置確定是否審核每一個登錄或注銷計算機的用戶實例。

在域控制器上將生成域賬戶活動的賬戶登錄事件，并在本地計算機上生成本地賬戶活動的賬戶登錄事件。如果同時啟用賬戶登錄和賬戶審核策略類別，那么使用域賬戶的登錄將生成登錄或注銷工作站或服務(wù)器的事件，而且將在域控制器上生成一個賬戶登錄事件。此外，在用戶登錄而檢索登錄腳本和策略時，使用域賬戶的成員服務(wù)器或工作站的交互式登錄將在域控制器上生成登錄事件。

如果定義該策略設(shè)置，可以指定是否審核成功、審核失敗，或根本不對事件類型進行審核。登錄成功時，成功審核會生成審核項。登錄失敗時，失敗審核會生成審核項。

5.審核對象訪問

審核對象訪問設(shè)置確定是否審核用戶訪問某個對象的事件，例如文件、文件夾、注冊表項、打印機等，它們都有自己特定的系統(tǒng)訪問控制列表（SACL）。

如果定義該策略設(shè)置，可以指定是否審核成功、審核失敗，或根本不對該事件類型進行審核。當(dāng)用戶成功訪問指定了合適SACL的對象時，成功審核將生成審核項。當(dāng)用戶訪問指定有SACL的對象失敗時，失敗審核會生成審核項。

6.審核策略更改

審核策略更改設(shè)置確定是否審核用戶權(quán)限分配策略、審核策略或信任策略更改的每一個事件。

如果定義該策略設(shè)置，可以指定是否審核成功、審核失敗，或根本不對該事件類型進行審核。對用戶權(quán)限分配策略、審核策略或信任策略所作更改成功時，成功審核會生成審核項。

7.審核特權(quán)使用

審核特權(quán)使用設(shè)置確定是否審核用戶實施其用戶權(quán)利的每一個實例。

如果定義該策略設(shè)置，可以指定是否審核成功、審核失敗，或根本不對這種事件類型進行審核。用戶權(quán)利實施成功時，成功審核會生成審核項。用戶權(quán)利實施失敗時，失敗審核會生成審核項。

8.審核過程跟蹤

審核過程跟蹤設(shè)置確定是否審核事件（例如程序激活、進程退出、句柄復(fù)制和間接對象訪問等）的詳細跟蹤信息。

如果定義該策略設(shè)置，可以指定是否審核成功、審核失敗，或根本不對該事件類型進行審核。所跟蹤的過程成功時，成功審核會生成審核項。所跟蹤的過程失敗時，失敗審核會生成審核項。

9.審核系統(tǒng)事件

當(dāng)用戶重新啟動或關(guān)閉計算機時，或者對系統(tǒng)安全或安全日志有影響的事件發(fā)生時，安全設(shè)置確定是否予以審核。

如果定義該策略設(shè)置，可以指定是否審核成功、審核失敗，或根本不對該事件類型進行審核。系統(tǒng)事件執(zhí)行成功時，成功審核會生成審核項。系統(tǒng)事件執(zhí)行失敗時，失敗審核會生成審核項。

2.5 高級安全Windows防火墻

高級安全Windows防火墻是Windows Server 2008和Windows Vista的新增功能之一，是一種結(jié)合主機防火墻和IPSec安全技術(shù)的狀態(tài)防火墻。它可以檢查并篩選所有IPv4和IPv6流量的數(shù)據(jù)包。默認(rèn)情況下阻止傳入流量，除非是對主機請求（請求的流量）的響應(yīng)，或者被特別允許（即創(chuàng)建了防火墻規(guī)則允許該流量）。通過配置具有高級安全性的Windows防火墻設(shè)置（指定端口號、應(yīng)用程序名稱、服務(wù)名稱或其他標(biāo)準(zhǔn)）可以顯式允許流量。

2.5.1 工作原理

具有高級安全性的Windows防火墻使用兩組規(guī)則配置其如何響應(yīng)傳入和傳出流量。防火墻規(guī)則確定允許或阻止哪種流量。連接安全規(guī)則確定如何保護此計算機和其他計算機之間的流量。通過使用防火墻配置文件（根據(jù)計算機連接的位置應(yīng)用），可以應(yīng)用這些規(guī)則以及其他設(shè)置。還可以監(jiān)視防火墻活動和規(guī)則。

1.防火墻規(guī)則

配置防火墻規(guī)則以確定阻止還是允許流量通過具有高級安全性的Windows防火墻。傳入數(shù)據(jù)包到達計算機時，具有高級安全性的Windows防火墻檢查該數(shù)據(jù)包，并確定它是否符合防火墻規(guī)則中指定的標(biāo)準(zhǔn)。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)匹配，則具有高級安全性的Windows防火墻執(zhí)行規(guī)則中指定的操作，即阻止連接或允許連接。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)不匹配，則具有高級安全性的Windows防火墻丟棄該數(shù)據(jù)包，并在防火墻日志文件中創(chuàng)建條目（如果啟用了日志記錄）。

對規(guī)則進行配置時，可以從各種標(biāo)準(zhǔn)中進行選擇：例如，應(yīng)用程序名稱、系統(tǒng)服務(wù)名稱、TCP端口、UDP端口、本地IP地址、遠程IP地址、配置文件、接口類型（如網(wǎng)絡(luò)適配器）、用戶、用戶組、計算機、計算機組、協(xié)議、ICMP類型等。規(guī)則中的標(biāo)準(zhǔn)添加得越多，具有高級安全性的Windows防火墻匹配傳入流量就越精細。

2.連接安全性規(guī)則

可以使用連接安全性規(guī)則來配置本計算機與其他計算機之間特定連接的IPSec設(shè)置。具有高級安全性的Windows防火墻使用該規(guī)則來評估網(wǎng)絡(luò)通信，然后根據(jù)該規(guī)則中所建立的標(biāo)準(zhǔn)來阻止或允許消息。在某些環(huán)境下具有高級安全性的Windows防火墻將阻止通信。如果所配置的設(shè)置要求連接安全（雙向），而兩臺計算機無法互相進行身份驗證，則將阻止連接。

3.防火墻配置文件

可以將防火墻規(guī)則和連接安全規(guī)則以及其他設(shè)置應(yīng)用于一個或多個防火墻配置文件。然后將這些配置文件應(yīng)用于計算機，這取決于連接計算機的位置。可以配置計算機何時連接到域、專用網(wǎng)絡(luò)（例如家庭網(wǎng)絡(luò)）或公用網(wǎng)絡(luò)的配置文件。

4.監(jiān)視

監(jiān)視節(jié)點顯示有關(guān)當(dāng)前所連接的計算機（本地計算機或遠程計算機）的信息。如果使用管理單元來管理組策略對象而不是本地計算機，則不會出現(xiàn)該節(jié)點。

2.5.2 配置防火墻規(guī)則

以管理員賬戶登錄Windows Server 2008系統(tǒng)后，依次單擊“開始”→“管理工具”→“高級安全Windows防火墻”，打開如圖2-55所示的“高級安全Windows防火墻”窗口，包括入站規(guī)則、出站規(guī)則和連接安全性規(guī)則三種。如果安裝Active Directory服務(wù)，還會增加13條相應(yīng)的安全規(guī)則。

入站規(guī)則。入站規(guī)則明確允許或者明確阻止與規(guī)則條件匹配的通信。例如，可以將規(guī)則配置為明確允許受IPSec保護的遠程桌面通信通過防火墻，但阻止不受IPSec保護的遠程桌面通信。默認(rèn)情況下將阻止入站通信，若要允許通信，必須先創(chuàng)建相應(yīng)的入站規(guī)則。在沒有適用的入站規(guī)則的情況下，也可以對具有高級安全性的Windows防火墻所執(zhí)行的操作（無論允許還是阻止連接）進行配置。

出站規(guī)則。出站規(guī)則明確允許或者明確拒絕來自與規(guī)則條件匹配的計算機的通信。例如，可以將規(guī)則配置為明確阻止出站通信通過防火墻到達某一臺計算機，但允許同樣的通信到達其他計算機。默認(rèn)情況下允許出站通信，因此必須創(chuàng)建出站規(guī)則來阻止通信。

連接安全規(guī)則。同2.5.1節(jié)中的2.，這里不再贅述。

1.禁用或啟用規(guī)則

管理員可以通過兩種方式啟用或禁用防火墻規(guī)則：Windows防火墻控制臺和netsh命令。在高級安全Windows防火墻控制臺中，選擇“入站規(guī)則”或“出站規(guī)則”，然后右擊相應(yīng)規(guī)則，并選擇“禁用規(guī)則”或者“啟用規(guī)則”即可。使用“netsh”命令啟用或禁用單一規(guī)則以及規(guī)則組，用法如下：啟用/禁用單個規(guī)則：netsh advfirewall firewall set rule name="Rule"new enable=yes|no；

啟用/禁用規(guī)則組：netsh advfirewall firewall set rule name="RuleGroup"new enable=yes|no。

例如，使用如下命令可以啟用“BITS對等緩存（RPC）”規(guī)則（默認(rèn)情況是禁用的）：

netsh advfirewall firewall set rule name="BITS Peercaching（RPC）" new enable=yes。

使用如下命令就是用來啟用“BITS對等緩存”規(guī)則組的（默認(rèn)情況是禁用的）：

netsh advfirewall firewall set rule group="BITS Peercaching" new enable=yes。

2.更改規(guī)則配置

第1步，在高級安全Windows防火墻控制臺中，選擇“入站規(guī)則”或“出站規(guī)則”，右擊需要配置的規(guī)則（以“網(wǎng)絡(luò)-路由器請求”策略為例），并選擇快捷菜單中的“屬性”，打開如圖2-56 所示的“網(wǎng)絡(luò)-路由器請求 屬性”對話框，默認(rèn)顯示常規(guī)選項卡。選擇“只允許安全連接”單選按鈕，即可啟用IPSec保護。

第2步，單擊“作用域”切換到如圖2-57所示“作用域”選項卡，選擇“下列IP地址”單選按鈕，然后單擊“添加”，添加指定的本地或遠程IP地址即可。

第3步，單擊“用戶和計算機”切換到如圖2-58所示“用戶和計算機”選項卡，選中“只允許來自下列計算機的連接”或“只允許來自下列用戶的連接”復(fù)選框，并單擊“添加”按鈕添加計算機或用戶即可。需要注意的是，配置此選項之前必須確保已經(jīng)選擇“常規(guī)”選項卡中的“只允許安全連接”單選按鈕。

第4步，單擊“高級”切換到如圖2-59所示“高級”選項卡，選擇“下列配置文件”單選按鈕，并選擇需要應(yīng)用規(guī)則的配置文件，包括域、專用和公用三種。

域：當(dāng)計算機連接到其域賬戶所在的網(wǎng)絡(luò)時應(yīng)用。

專用：當(dāng)計算機連接到不包括其域賬戶的網(wǎng)絡(luò)時應(yīng)用，例如家庭網(wǎng)絡(luò)。專用配置文件設(shè)置應(yīng)該比域配置文件設(shè)置更為嚴(yán)格。

公用：當(dāng)計算機通過公用網(wǎng)絡(luò)連接到域時應(yīng)用。由于計算機所連接到的公用網(wǎng)絡(luò)通常無法嚴(yán)格控制安全，因此公用配置文件設(shè)置應(yīng)該最為嚴(yán)格。

第5步，修改規(guī)則完成后，單擊“確定”按鈕應(yīng)用并保存配置即可。

2.5.3 使用組策略配置高級防火墻

當(dāng)使用組策略貫穿于活動目錄域執(zhí)行時，防火墻策略是最有效的。在創(chuàng)建一個防火墻策略之前，需要確定應(yīng)用的可執(zhí)行文件、TCP或UDP端口號，以及其他需要應(yīng)用該規(guī)則的協(xié)議類型。同時也需要考慮是否限制特定計算機或網(wǎng)絡(luò)的通信作用域。用戶在Windows Vista和Windows Server 2008計算機的組策略控制臺中，可以通過如下兩種方式配置和管理高級安全Windows防火墻。

計算機配置\Windows設(shè)置\安全設(shè)置\高級安全Windows防火墻\高級安全Windows防火墻：這種節(jié)點設(shè)置主要應(yīng)用于Windows Vista和Windows Server 2008。建議用戶使用這種方式，因為這里可以提供更加詳細的防火墻規(guī)則配置，并且允許用戶配置新的認(rèn)證類型和新的加密選項。

計算機配置\管理面板\網(wǎng)絡(luò)\網(wǎng)路連接\Windows防火墻：這種節(jié)點設(shè)置主要應(yīng)用于Windows XP、Windows Server 2003、Windows Vista和Windows Server 2008。這種方法要比上面那種缺少靈活性；但是，可以應(yīng)用于所有版本的Windows防火墻。如果在Windows Vista中使用的不是最新的IPSec功能，可以使用這種方式配置所有的客戶端。

第1步，打開“組策略管理編輯器”中的“組策略對象”，如果是獨立計算機，則直接打開“本地組策略編輯器”即可。依次展開“計算機配置”→“Windows設(shè)置”→“安全設(shè)置”→“高級安全Windows防火墻”→“高級安全Windows防火墻”，顯示如圖2-60所示的窗口。

第2步，右擊“高級安全Windows防火墻”并選擇快捷菜單中的“屬性”，打開“高級安全Windows防火墻-本地組策略對象 屬性”對話框，默認(rèn)顯示如圖2-61所示的“域配置文件”選項卡。在“狀態(tài)”選項區(qū)域，可以設(shè)置是否啟用防火墻，以及進站和出站連接是允許還是阻止；在“設(shè)置”選項區(qū)域，可以對防火墻的控制行為進行設(shè)置。

第3步，單擊“IPSec設(shè)置”切換到如圖2-62所示的“IPSec設(shè)置”選項卡，IPSec默認(rèn)值主要用于設(shè)置加密技術(shù)和加密周期，通常情況下默認(rèn)設(shè)置就是比較理想的，但用戶也可以改變默認(rèn)的認(rèn)證方法。在IPSec免除選項區(qū)域可以選擇是否從IPSec中將ICMP免除。

第4步，單擊“確定”按鈕，保存配置即可。

2.5.4 新建IPSec連接安全規(guī)則

IPSec連接安全規(guī)則允許用戶為滿足指定標(biāo)準(zhǔn)的連接請求IPSec。這些標(biāo)準(zhǔn)類似于Windows防火墻篩選器。例如，用戶可以為如下情況設(shè)置IPSec安全規(guī)則：

拒絕來自指定IP地址的所有通信；

拒絕所有來自默認(rèn)網(wǎng)關(guān)的ICMP通信；

拒絕所有來自內(nèi)網(wǎng)的發(fā)往指定端口的通信；

限制除了特定服務(wù)器的所有出站連接。

每個計算機只能擁有一個IPSec策略。如果多個組策略應(yīng)用于一臺計算機，每個組策略都有不同的IPSec策略，則只有最高級的IPSec策略會起作用。

第1步，打開“高級安全Windows防火墻”窗口，右擊“連接安全規(guī)則”并選擇快捷菜單中的“新規(guī)則”，啟動“新建連接安全規(guī)則向?qū)А保J(rèn)顯示如圖2-63所示的“規(guī)則類型”對話框。

管理員可以創(chuàng)建如下幾種類型的安全規(guī)則。

隔離：隔離規(guī)則可根據(jù)您定義的身份驗證標(biāo)準(zhǔn)對連接進行限制。例如，您可以使用此規(guī)則類型來隔離域中的計算機和域外的計算機（例如Internet上或其他域中的計算機）。

身份驗證免除：可以使用此規(guī)則類型使特定的計算機或者一組或一個范圍內(nèi)的IP地址（計算機）免于對自身進行身份驗證，而不考慮其他連接安全規(guī)則。此規(guī)則類型通常用于在授權(quán)訪問可以執(zhí)行身份驗證之前必須與此計算機進行通信的基礎(chǔ)結(jié)構(gòu)計算機。還可以用于其他無法使用為此策略和配置文件所配置的身份驗證形式的計算機。

服務(wù)器到服務(wù)器：使用此規(guī)則類型對兩臺特定計算機之間、兩個計算機組之間、兩個子網(wǎng)之間或者特定計算機和計算機組或子網(wǎng)之間的通信進行身份驗證。可以使用此規(guī)則對數(shù)據(jù)庫服務(wù)器和業(yè)務(wù)層計算機之間或基礎(chǔ)結(jié)構(gòu)計算機和其他服務(wù)器之間的流量進行身份驗證。

隧道：使用此規(guī)則類型保護通過隧道終結(jié)點（例如VPN或IPSec L2TP隧道等）在兩臺對等計算機之間進行的通信。

自定義：使用此規(guī)則類型創(chuàng)建需要特殊設(shè)置的規(guī)則。

第2步，選擇“自定義”單選按鈕并單擊“下一步”按鈕，顯示如圖2-64所示的“終結(jié)點”對話框。終結(jié)點是形成對等端連接的計算機或計算機組，可以是指定單個計算機，也可以是一個本地子網(wǎng)。選擇“下列IP地址”單選按鈕，并單擊“添加”按鈕即可添加終結(jié)點計算機。

第3步，單擊“下一步”按鈕，顯示如圖2-65所示的“要求”對話框，為出站和入站連接選擇是否需進行身份驗證。身份驗證并不能提供很好的安全性，因為惡意攻擊者會選擇不需要認(rèn)證，但是它可以將所有不支持IPSec或沒有證書的連接都退回。當(dāng)所有合法客戶端都支持IPSec時，為入站連接選擇要求安全認(rèn)證。當(dāng)所有服務(wù)器都支持IPSec時，為出站連接選擇要求安全認(rèn)證。本例中選擇“入站和出站連接請求身份驗證”單選按鈕。高級安全Windows防火墻可以提供如下幾種身份驗證要求。

請求對入站連接和出站連接進行身份驗證：使用此選項要求對所有入站和出站流量進行身份驗證，但不能進行身份驗證時仍允許連接。如果可以進行身份驗證，則將對流量進行身份驗證。此選項通常用于低安全性環(huán)境或計算機必須要連接的環(huán)境，但不能執(zhí)行具有高級安全性的Windows防火墻所具備的身份驗證類型。

要求對入站連接進行身份驗證并請求對出站連接進行身份驗證：使用此選項要求對所有入站流量進行身份驗證，否則將阻止該流量。可以對出站流量進行身份驗證，但身份驗證失敗時仍然允許其通過。如果對出站流量可以進行身份驗證，則將對該流量進行身份驗證。

要求對入站和出站連接進行身份驗證：使用此選項要求對所有入站和出站流量進行身份驗證，否則將阻止該流量。此選項通常用于高安全性的網(wǎng)絡(luò)環(huán)境，其中流量必須受到保護和控制，且必須能進行連接的計算機可以執(zhí)行具有高級安全性的Windows防火墻所具備的身份驗證類型。

不進行身份驗證：對所有入站連接和出站連接請求均不進行任何身份驗證，此種方式安全性最低。

第4步，單擊“下一步”按鈕，顯示如圖2-66所示的“身份驗證方法”對話框，選擇希望使用的身份驗證方法即可，此處選擇“默認(rèn)值”單選按鈕。除此之外，用戶也可以選擇“高級”單選按鈕，重新定義自己需要的身份驗證方法。高級安全Windows防火墻可以提供如下幾種身份驗證方法。

默認(rèn)值：選擇此選項可使用“具有高級安全性的Windows防火墻屬性”對話框的“IPSec設(shè)置”選項卡上所配置的身份驗證方法。

計算機和用戶（Kerberos V5）：這種方法使用計算機和用戶身份驗證。這意味著可以請求或要求用戶和計算機在繼續(xù)通信之前都要進行身份驗證。

計算機（Kerberos V5）：這種方法請求或要求計算機使用Kerberos V5身份驗證協(xié)議進行身份驗證。

用戶（Kerberos V5）：這種方法請求或要求用戶使用Kerberos V5身份驗證協(xié)議進行身份驗證。

計算機證書：這種方法請求或要求使用有效的計算機證書進行身份驗證。要使用這種方法，必須至少具有一個證書頒發(fā)機構(gòu)（CA）。

第5步，單擊“下一步”按鈕，顯示如圖2-67所示的“配置文件”對話框，選擇需要應(yīng)用規(guī)則的配置文件，系統(tǒng)默認(rèn)為全部選擇。

第6步，單擊“下一步”按鈕，顯示如圖2-68所示的“名稱”對話框，在“名稱”和“描述”文本框中，分別輸入規(guī)則名稱和描述即可。

第7步，單擊“完成”按鈕關(guān)閉向?qū)В瓿尚乱?guī)則的創(chuàng)建。