计算机培训 Windows2008管理 配置系统安全.pdf

1、第1章 配置 Windows Server 2008 安全教学目标:能够配置系统的帐户策略能够启用审核策略配置用户权限分配配置安全选项能够配置高级的 Windows 防火墙能够配置软件限制策略使用本地组策略配置系统安全1.1 本地安全策略安全策略是影响计算机安全性的安全设置的组合。可以利用本地安全策略来编辑本地计算机上的帐户策略和本地策略。利用安全性策略，可以强化公司网络的安全性。这些安全性策略定义了一个公司对于正确计算机的期望值，也确定了特殊的过程，用于防止发生安全性事故和对已经发生的安全性事故做出响应。因此，由网络管理员保护工作站上桌面和服务的安全性是非常重要的。通过应用安全性策略，可以防

2、止用户破坏计算机配置，并且可以保护您的网络上敏感区域。1.2 配置工作计算机系统安全任务描述配置工作组中计算机的系统安全。配置域中计算机的系统安全。试验环境DCServer 是 ESS.COM 域的域控制器，操作系统是 Windows Server 2008 企业版。Sales 是该域的计算机，操作系统是 Vista。WorkgroupServer 是工作组中的计算机，操作系统是 Windows Server 2008 企业版。试验目标学会配置工作组中计算机的系统安全。能够使用组策略批量配置域中计算机的系统安全。1.3 帐户策略的设置1.3.1 设置密码策略为工作组中的计算机设置密码策略。步骤

3、：1.以管理员的身份登录 WorkgroupServer 计算机。2.点击“开始”“程序”“管理工具”“本地安全策略”。3.如图，点击帐户策略下的密码策略，可以看到一下几项设置。4.按照下图设置安全策略。5.进入命令行，以下是创建用户时密码不满足策略的情况。密码必须符合复杂性要求此安全设置确定密码是否必须符合复杂性要求。如果启用此策略，密码必须符合下列最低要求:不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分至少有六个字符长包含以下四类字符中的三类字符:英文大写字母(A 到 Z)英文小写字母(a 到 z)10 个基本数字(0 到 9)非字母字符(例如!、$、#、%)最短密码长度此

4、安全设置确定用户帐户密码包含的最少字符数。可以将值设置为介于 1 和 14 个字符之间，或者将字符数设置为 0 以确定不需要密码。密码最短使用期限此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置一个介于 1 和 998 天之间的值，或者将天数设置为 0，允许立即更改密码。密码最短使用期限必须小于密码最长使用期限，除非将密码最长使用期限设置为 0，指明密码永不过期。如果将密码最长使用期限设置为 0，则可以将密码最短使用期限设置为介于 0 和 998 之间的任何值。如果希望“强制密码历史”有效，则需要将密码最短使用期限设置为大于 0 的值。如果没有设置密码最短使用

5、期限，用户则可以循环选择密码，直到获得期望的旧密码。默认设置没有遵从此建议，以便管理员能够为用户指定密码，然后要求用户在登录时更改管理员定义的密码。如果将密码历史设置为 0，用户将不必选择新密码。因此，默认情况下将“强制密码历史”设置为 1。密码最长使用期限此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)。可以将密码设置为在某些天数(介于 1 到 999 之间)后到期，或者将天数设置为 0，指定密码永不过期。如果密码最长使用期限介于 1 和 999 天之间，密码最短使用期限必须小于密码最长使用期限。如果将密码最长使用期限设置为 0，则可以将密码最短使用期限设置为介

6、于 0 和 998 天之间的任何值。注意:安全最佳操作是将密码设置为 30 到 90 天后过期，具体取决于您的环境。这样，攻击者用来破解用户密码以及访问网络资源的时间将受到限制。默认值:42。强制密码历史此安全设置确定再次使用某个旧密码之前必须与某个用户帐户关联的唯一新密码数。该值必须介于 0 个和 24 个密码之间。此策略使管理员能够通过确保旧密码不被连续重新使用来增强安全性。若要维护密码历史的有效性，还要同时启用密码最短使用期限安全策略设置，不允许在密码更改之后立即再次更改密码。有关密码最短使用期限安全策略设置的信息，请参阅“密码最短使用期限”。用可还原的加密来储存密码使用此安全设置确定操

7、作系统是否使用可还原的加密来储存密码。此策略为某些应用程序提供支持，这些应用程序使用的协议需要用户密码来进行身份验证。使用可还原的加密储存密码与储存纯文本密码在本质上是相同的。因此，除非应用程序需求比保护密码信息更重要，否则绝不要启用此策略。通过远程访问或 Internet 身份验证服务(IAS)使用质询握手身份验证协议(CHAP)验证时需要设置此策略。在 Internet 信息服务(IIS)中使用摘要式身份验证时也需要设置此策略。默认值:禁用。1.3.2 设置帐户锁定策略防止其他人无数次猜计算机上的用户帐户密码，可以设置帐户锁定阀值。帐户锁定阈值此安全设置确定导致用户帐户被锁定的登录尝试失败

8、的次数。在管理员重置锁定帐户或帐户锁定时间期满之前，无法使用该锁定帐户。可以将登录尝试失败次数设置为介于 0 和999 之间的值。如果将值设置为 0，则永远不会锁定帐户。在使用 Ctrl+Alt+Del 或密码保护的屏幕保护程序锁定的工作站或成员服务器上的密码尝试失败将计作登录尝试失败。帐户锁定时间此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。可用范围从 0 到 99,999 分钟。如果将帐户锁定时间设置为 0，帐户将一直被锁定直到管理员明确解除对它的锁定。如果定义了帐户锁定阈值，则帐户锁定时间必须大于或等于重置时间。默认值:无，因为只有在指定了帐户锁定阈值时，此策略设置才有意义。在此

9、后复位帐户锁定计数器此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为 0 次错误登录尝试之前需要的时间。可用范围是 1 到 99,999 分钟。如果定义了帐户锁定阈值，此重置时间必须小于或等于帐户锁定时间。默认值:无，因为只有在指定了帐户锁定阈值时，此策略设置才有意义。示例：切换用户，使用 hanlg 帐户输入 5 次错误密码您会发现提示“引用的帐户当前已经锁定，且可能无法登录。”切换到管理员登录，打开服务器管理器，双击 hanlg 用户账号，看到帐户已经被锁定。1.4 设置审核策略1.4.1 审核策略简介本节描述了如何设置应用于审核的各种设置。还提供了由几个常见任务创建的审核事

10、件示例。每当用户执行了指定的某些操作，审核日志就会记录一个审核项。您可以审核操作中的成功尝试和失败尝试。安全审核对于任何企业系统来说都极其重要，因为只能使用审核日志来说明是否发生了违反安全的事件。如果通过其他某种方式检测到入侵，正确的审核设置所生成的审核日志将包含有关此次入侵的重要信息。简介每当用户执行了指定的某些操作，审核日志就会记录一个审核项。例如，修改文件或策略可以触发一个审核项。审核项显示了所执行的操作、相关的用户帐户以及该操作的日期和时间。您可以审核操作中的成功尝试和失败尝试。安全审核对于任何企业系统来说都极其重要，因为只能使用审核日志来说明是否发生了违反安全的事件。如果通过其他某种

11、方式检测到入侵，真确的审核设置所生成的审核日志将包含有关此次入侵的重要信息。通常，失败日志比成功日志更有意义，因为失败通常说明有错误发生。例如，如果用户成功登录到系统，一般认为这是正常的。然而，如果用户多次尝试都未能成功登录到系统，则可能说明有人正试图使用他人的用户 ID 侵入系统。事件日志记录了系统上发生的事件。安全日志记录了审核事件。组策略的“事件日志”容器用于定义与应用程序、安全性和系统事件日志相关的属性，例如日志大小的最大值、每个日志的访问权限以及保留设置和方法。审核设置所有审核设置的漏洞、对策和潜在影响都一样，因此这些内容仅在以下段落中详细讲述一次。然后在这些段落之后简要说明了每个设

12、置。审核设置的选项为：成功失败无审核漏洞如果未配置任何审核设置，将很难甚至不可能确定出现安全事件期间发生的情况。不过，如果因为配置了审核而导致有太多的授权活动生成事件，则安全事件日志将被无用的数据填满。为大量对象配置审核也会对整个系统性能产生影响。对策组织内的所有计算机都应启用适当的审核策略，这样合法用户可以对其操作负责，而未经授权的行为可以被检测和跟踪。潜在影响如果在组织内的计算机上没有配置审核，或者将审核设置的太低，将缺少足够的甚至根本没有可用的证据，可在发生安全事件后用于网络辩论分析。而另一方面，如果启用过多的审核，安全日志中将填满毫无意义的审核项。1.4.2 审核设置审核帐户登录事件“

13、审核帐户登录事件”设置用于确定是否对用户在另一台计算机上登录或注销的每个实例进行审核，该计算机记录了审核事件，并用来验证帐户。如果定义了该策略设置，则可指定是否审核成功、失败或根本不审核此事件类型。成功审核会在帐户登录尝试成功时生成一个审核项，该审核项的信息对于记帐以及事件发生后的辩论十分有用，可用来确定哪个人成功登录到哪台计算机。失败审核会在帐户登录尝试失败时生成一个审核项，该审核项对于入侵检测十分有用，但此设置可能会导致拒绝服务(DoS)状态，因为攻击者可以生成数百万次登录失败，并将安全事件日志填满。如果在域控制器上启用了帐户登录事件的成功审核，则对于没有通过域控制器验证的每个用户，都会为

14、其记录一个审核项，即使该用户实际上只是登录到加入该域的一个工作站上。审核帐户管理“审核帐户管理”设置用于确定是否对计算机上的每个帐户管理事件进行审核。帐户管理事件的示例包括：创建、修改或删除用户帐户或组。重命名、禁用或启用用户帐户。设置或修改密码。如果定义了此策略设置，则可指定是否审核成功、审核失败或根本不审核此事件类型。成功审核会在任何帐户管理事件成功时生成一个审核项，并且应在企业中的所有计算机上启用这些成功审核。在响应安全事件时，组织可以对创建、更改或删除帐户的人员进行跟踪，这一点非常重要。失败审核会在任何帐户管理事件失败时生成一个审核项。审核目录服务访问“审核目录服务访问”设置用于确定是

15、否对用户访问 Microsoft Active Directory 对象的事件进行审核，该对象指定了自身的系统访问控制列表（SACL）。SACL 是用户和组的列表。对象上针对这些用户或组的操作将在基于 Microsoft Windows 2000的网络上进行审核。如果定义了此策略设置，则可指定是否审核成功、审核失败或根本不审核此事件类型。成功审核会在用户成功访问指定了 SACL 的 Active Directory 对象时生成一个审核项。失败审核会在用户试图访问指定了 SACL 的 Active Directory 对象失败时生成一个审核项。启用“审核目录服务访问”并在目录对象上配置 SACL

16、 可以在域控制器的安全日志中生成大量审核项，因此仅在确实要使用所创建的信息时才应启用这些设置。审核登录事件“审核登录事件”设置用于确定是否对用户在记录审核事件的计算机上登录、注销或建立网络连接的每个实例进行审核。如果正在域控制器上记录成功的帐户登录审核事件，工作站登录尝试将不生成登录审核。只有域控制器自身的交互式登录和网络登录尝试才生成登录事件。总而言之，帐户登录事件是在帐户所在的位置生成的，而登录事件是在登录尝试发生的位置生成的。如果定义了此策略设置，则可指定是否审核成功、审核失败或根本不审核此事件类型。成功审核会在登录尝试成功时生成一个审核项。该审核项的信息对于记帐以及事件发生后的辩论十分

17、有用，可用来确定哪个人成功登录到哪台计算机。失败审核会在登录尝试失败时生成一个审核项，该审核项对于入侵检测十分有用，但此设置可能会导致进入 DoS 状态，因为攻击者可以生成数百万次登录失败，并将安全事件日志填满。审核对象访问此安全设置确定是否审核用户访问指定了它自己的系统访问控制列表(SACL)的对象(例如文件、文件夹、注册表项、打印机等等)的事件。如果定义此策略设置，可以指定是否审核成功、审核失败或者根本不审核该事件类型。成功审核在用户成功访问指定了相应 SACL 的对象时生成审核项。失败审核在用户尝试访问指定了 SACL 的对象失败时生成审核项。请注意，使用文件系统对象“属性”对话框中的“

18、安全”选项卡，可以在该对象上设置SACL。1.4.3 示例：审核对文件夹失败的访问。任务描述：test 文件夹拒绝 han 用户帐户，启用审核策略，并且在 test 文件夹上审核 han 用户对该文件夹的访问。步骤：1.双击“审核对象访问”，选中“失败”，点击“确定”。2.在 E 盘创建一个文件夹 test，拒绝 han 用户读取和执行、列出文件夹目录和读取权限。3.点击 test 文件夹属性安全标签下的高级按钮，在出现的对话框，点击审核标签下的“编辑”按钮，点击“添加”。4.在出现的选择用户对话框，输入 han，点击“检查名称”。5.在出现的对话框，在“列出文件夹/读取数据”选中“失败”。6

19、.切换用户，以 han 用户登录，双击 test 文件夹，被拒绝。7.切换至管理员，查看日志。可以看到 han 用户访问 E:test 文件夹审核失败。1.4.4 示例:登录服务器失败，Win2008 自动报警相信不少网络管理员都有这样的一种经历：有时局域网服务器系统发生了一些莫名其妙的故障现象，查看对应系统的事件日志内容时，却发现事件日志中非常直观地 指明了故障现象的具体原因;那能否让服务器系统自动报警，及时提醒网络管理员当前系统发生了重大事件呢?在 Windows Server 2008 系统环境下，我们可以轻松做到这一点，因为该系统已经将任务计划功能和事件查看器程序整合在一起，在事件查看

20、器窗口中我们可以轻松针对一些重要事 件添加报警任务，日后一旦重要事件发生时 Windows Server 2008 系统自然会自动报警了。这不，当有用户登录服务器系统失败时，Windows Server 2008 系统就能自动报警，及时提醒网络管理员采取措施解决问题!自动报警思路由于 Windows Server 2008 系统的自动报警功能只有基于某个特定的系统事件才能启用运行，不过 Windows Server 2008 系统在默认状态下不会自动记录下登录服务器失败的事件，为此我们应该先修改对应系统的审核策略，确保对登录服务器失败行为进行审核;接着退出服务 器系统，并随意使用一个用户帐号尝

21、试登录 Windows Server 2008 系统，一旦登录失败时，对应系统的事件查看器中就会自动生成一个登录服务器失败的事件记录。之后，我们针对这个登录服务器失败的事件记录，附加一 个发出报警的任务计划;当以后再有用户登录服务器失败时，那么对应该事件记录的任务计划就会被自动触发运行，此时网络管理员就能根据报警提示信息，及时采 取措施来解决登录服务器失败故障现象了。步骤：审核登录失败操作由于 Windows Server 2008 系统的日志功能在缺省状态下不会自动记录服务器登录失败操作，我们必须先对这种操作进行安全审核，日后服务器系统才会对系统登录失败操作进行日志记录。在对服务器登录失败操

22、作进行审核时，我们可以按照如下步骤来进行：首先以超级管理员权限进入 Windows Server 2008 系统，从该系统桌面中打开“开始”菜单，并从中单击“运行”命令，打开系统运行对话框，在其中输入字符串命令“secpol.msc”，单击回车键后，打开对应系统的本地安全策略列表窗口；如图，如此一来 Windows Server 2008 系统的日志功能日后就能对服务器登录失败操作进行自动记录了。创建登录失败事件由于 Windows Server 2008 系统的自动报警功能是基于某一个特定事件的，为此我们需要自行创建一个服务器登录失败事件。在创建服务器登录失败事件时，我们只要先注销当前的服

23、务器系统，之后随意使用一个不合法的用户帐号尝试登录服务器系统，当系统提示登录失败时，Windows Server 2008 系统的日志功能就能将该事件记录保存下来了。此时，我们可以按照如下步骤来查看服务器登录失败事件：首先以管理员账号登录，打开事件查看器，如图，可以看到登录失败的日志记录。我们会看到一个事件 ID 为 4625 的审核失败记录(如图所示)，用鼠标双击该事件记录，从其后的界面中我们就能看到登录服务器失败的说明信息了，这说明服务器登录失败事件已经创建成功了。附加自动报警任务与传统操作系统不 一样的是，Windows Server 2008 系统可以针对某一个特定的事件记录附加运行任

24、务计划，利用该功能我们可以将自动报警的任务计划附加到服务器登录失败事件中，一旦日后有用户再次遇 到登录服务器失败操作时，网络管理员立即就能根据 Windows Server 2008 系统的自动报警提示来快速解决问题了。在附加自动报警任务计划时，我们可以按照如下步骤来进行：首先按照前面的操作步骤找到事件 ID 为 4625 的审核失败记录，用鼠标右键单击该记录选项，从弹出的快捷菜单中执行“将任务附加到此事件”命令，当然我们也可以直接点选右侧操作列表区域中的“将任务附加到此事件”选项命令，打开创建基本任务向导对话框。其次根据向导提示设置好目标任务的名称，在这里我们将该任务名称取为“服务器登录失败

25、报警”，之后连续单击“下一步”按钮。在登录特定事件对话框，点击“下一步”。在该界面中我们发现 Windows Server 2008 系统为用户提供了三种操作选项，我们可以根据自己的喜好任意选择一种自动报警的方式，例如在这里我们选中了“显示消息”选项。继续单击“下一步“按钮，打开如图所示的报警内容设置对话框，在这里设置好报警的标题以及内容信息，这里设定的内容日后会自动显示在报警提示对话框中的，假设我们在这里将报警标题“服务器登录失败报警”，内容设置为“当前有人登录服务器失败，请立即采取措施解决问题!”选中“当任务“完成”时，打开此任务属性对话框”，可以看到已经创建了一个任务计划。点击按下 ct

26、rl+alt+insert 键，点击切换用户，输入一次错误的账号和密码。在输入正确的用户密码登录。可以看到登录后有消息提示框出现。1.5 用户权限分配用户权限是允许用户在计算机系统或域中执行的任务。有两种类型的用户权限：登录权限和特权。登录权限控制为谁授予登录计算机的权限以及他们的登录方式。特权控制对计算机上系统范围的资源的访问，并可以覆盖在特定对象上设置的权限。登录权限的一个示例是在本地登录计算机的权限。特权的一个示例是关闭系统的权限。这两种用户权限都由管理员作为计算机安全设置的一部分分配给单个用户或组。1.5.1 用户权限设置允许本地登录此登录权限确定哪些用户能以交互方式登录到此计算机。通

27、过在连接的键盘上按Ctrl+Alt+Del 序列启动的登录要求用户具有此登录权限。此外，可以登录用户的某些服务或管理应用程序可能要求此登录权限。如果为某个用户或组定义此策略，则还必须向Administrators 组授予此权限。工作站和服务器上的默认值:AdministratorsBackup OperatorsUsers。域控制器上的默认值:Account OperatorsAdministratorsBackup OperatorsPrint OperatorsServer Operators。关闭系统此安全设置确定哪些在本地登录到计算机的用户可以使用关机命令关闭操作系统。误用此用户权限会

28、导致拒绝服务。工作站上的默认值:Administrators、Backup Operators、Users。服务器上的默认值:Administrators、Backup Operators。域控制器上的默认值:Administrators、Backup Operators、Server Operators、Print Operators。从网络访问此计算机此用户权限确定允许哪些用户和组通过网络连接到计算机。此用户权限不影响终端服务。工作站和服务器上的默认值:AdministratorsBackup OperatorsUsersEveryone域控制器上的默认值:AdministratorsAu

29、thenticated UsersEnterprise Domain ControllersEveryonePre-Windows 2000 Compatible Access1.5.2 示例：拒绝本地登录示例：WorkgroupServer 是一个文件服务器，只允许使用 han 用户帐户从网络访问该服务器上的资源，但拒绝 han 用户帐户在本地登录。步骤：1.在 WorkgroupServer 上拒绝 han 用户本地登录。2.双击“从网络访问计算机”，删除现有的用户，添加 han 用户账号。3.在 Sales 计算机上访问 WorkgroupServer 计算机的共享名，输入 Win200

30、8han 和密码，能够访问 WorkgroupServer 共享文件。注：Win2008 是 WorkgroupServer 计算机的计算机名。4.在 WorkgroupServer 计算机上，切换用户，发现已经没有 han 用户帐户列出。1.6 安全选项1.6.1 安全选项设置交互式登录:不显示最后的用户名该安全设置确定是否在 Windows 登录屏幕中显示最后登录到计算机的用户的名称。如果启用该策略，则不会在“登录到 Windows”对话框中显示最后成功登录的用户的名称。如果禁用该策略，则会显示最后登录的用户的名称。默认:禁用。交互式登录:提示用户在密码过期之前进行更改确定提前多长时间(以

31、天为单位)向用户发出其密码即将过期的警告。借助该提前警告，用户有时间构造足够强大的密码。默认:14 天。审核:如果无法记录安全审核则立即关闭系统此安全设置确定无法记录安全事件时系统是否会关机。启用此安全设置后，如果因任何原因无法记录安全审核，它就会停止系统。通常，当安全审核日志已满且为安全日志指定的保留方法为“不覆盖事件”或“按天数覆盖事件”时，会无法记录事件。如果安全日志已满且无法覆盖某个现有条目，并且启用了此安全选项，则会出现下列停止错误:STOP:C0000244 审核失败尝试生成安全审核失败。若要恢复，管理员必须根据需要登录、归档日志(可选)、清除日志以及重置此选项。即使安全日志未满，

32、也要到重置此安全设置之后，非 Administrators 组成员用户才能登录到系统。注意:配置此安全设置时，只有重新启动 Windows，更改才会生效。默认:禁用。网络访问:本地帐户的共享和安全模型此安全设置确定如何对使用本地帐户的网络登录进行身份验证。如果将此设置设为“经典”，使用本地帐户凭据的网络登录通过这些凭据进行身份验证。“经典”模型允许更好地控制对资源的过度访问。通过使用“经典”模型，您可以针对同一个资源为不同用户授予不同的访问类型。如果将此设置设为“仅来宾”，使用本地帐户的网络登录会自动映射到来宾帐户。通过使用“仅来宾”模型，您可以平等地对待所有用户。以来宾身份验证所有用户，使所

33、有用户都获得相同的访问权限级别来访问指定的资源，这些权限可以为只读或修改。在域计算机上的默认设置:经典。在独立计算机上的默认设置:仅来宾。重要信息使用“仅来宾”模型时，所有可以通过网络访问计算机的用户(包括匿名 Internet 用户)都可以访问共享资源。您必须使用 Windows 防火墙或其他类似设备来防止对计算机进行未经授权的访问。同样，使用“经典”模型时，本地帐户必须受密码保护，否则，这些用户帐户可以被任何人用来访问共享的系统资源。注意:此设置不会影响通过使用如 Telnet 或终端服务等服务远程执行的交互式登录。此策略将不会影响运行 Windows 2000 的计算机。计算机未加入域时

34、，此设置也会将 Windows 资源管理器中的“共享和安全”选项卡修改为与正在使用的共享和安全模型对应的设置。1.6.2 示例：不显示最后的用户名为确保服务器安全不显示最后的用户名。默认登录时，按下 Ctrl+Alt+Delete 键，显示所有的用户名。双击“交互式登录:不显示最后的用户名”，选择“已启用”。登录时将不会显示该计算机上的所有用户名。1.6.3 示例：只允许使用 Guest 帐户访问双击“网络访问:本地帐户的共享和安全模型”，选中“仅来宾-对本地用户进行身份验证，其身份为来宾”。注：如果启用仅来宾，必须启用 Guest 帐户。Guest 帐户的密码默认为空，如果 guest帐户密

35、码为空，用户访问 WorkgourpServer 时，不需要输入账号和密码，直接就以 guest帐户连接该服务器。打开服务器管理器配置本地用户和组用户，双击 Guest 帐户，在用户属性去掉“帐户禁用”，点击“确定”。在 Sales 计算机上访问 WorkgroupServer 计算机上的共享资源。您发现不需要输入任何凭据，就可以访问 WrorkgroupServer 计算机上的共享文件和打印机。因为 Guest 帐户密码为空。如果 Guest 帐户有密码，则必须输入 Guest 帐户以及密码才能访问。不许使用其他用户帐户访问 WorkgroupServer。1.7 高级 Windows 防火

36、墙本主题概述了具有高级安全性的 Windows 防火墙。其中包括有关防火墙的定义、运行方式和可以用于配置具有高级安全性的 Windows 防火墙和 Internet 协议安全(IPSec)设置的工具的概念性信息。1.7.1 高级 Windows 防火墙简介什么是具有高级安全性的 Windows 防火墙？具有高级安全性的 Windows 防火墙结合了主机防火墙和 IPSec。与边界防火墙不同，具有高级安全性的 Windows 防火墙在每台运行此版本 Windows 的计算机上运行，并对可能穿越外围网络或源于组织内部的网络攻击提供本地保护。它还提供计算机到计算机的连接安全，使您可以对通信要求身份验

37、证和数据保护。具有高级安全性的 Windows 防火墙是一种状态防火墙，检查并筛选 IP 版本 4(IPv4)和 IP 版本 6(IPv6)流量的所有数据包。默认情况下阻止传入流量，除非是对主机请求（请求的流量）的响应，或者被特别允许（即创建了防火墙规则允许该流量）。通过配置具有高级安全性的 Windows 防火墙设置（指定端口号、应用程序名称、服务名称或其他标准）可以显式允许流量。使用具有高级安全性的 Windows 防火墙还可以请求或要求计算机在通信之前互相进行身份验证，并在通信时使用数据完整性或数据加密。具有高级安全性的 Windows 防火墙如何工作？具有高级安全性的 Windows

38、防火墙使用两组规则配置其如何响应传入和传出流量。防火墙规则确定允许或阻止哪种流量。连接安全规则确定如何保护此计算机和其他计算机之间的流量。通过使用防火墙配置文件（根据计算机连接的位置应用），可以应用这些规则以及其他设置。还可以监视防火墙活动和规则。防火墙规则配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的 Windows 防火墙。传入数据包到达计算机时，具有高级安全性的 Windows 防火墙检查该数据包，并确定它是否符合防火墙规则中指定的标准。如果数据包与规则中的标准匹配，则具有高级安全性的Windows 防火墙执行规则中指定的操作，即阻止连接或允许连接。如果数据包与规则中的标准不匹

39、配，则具有高级安全性的 Windows 防火墙丢弃该数据包，并在防火墙日志文件中创建条目（如果启用了日志记录）。对规则进行配置时，可以从各种标准中进行选择：例如应用程序名称、系统服务名称、TCP 端口、UDP 端口、本地 IP 地址、远程 IP 地址、配置文件、接口类型（如网络适配器）、用户、用户组、计算机、计算机组、协议、ICMP 类型等。规则中的标准添加在一起；添加的标准越多，具有高级安全性的 Windows 防火墙匹配传入流量就越精细。连接安全规则可以使用连接安全规则来配置本计算机与其他计算机之间特定连接的 IPSec 设置。具有高级安全性的 Windows 防火墙使用该规则来评估网络通

40、信，然后根据该规则中所建立的标准阻止或允许消息。在某些环境下具有高级安全性的 Windows 防火墙将阻止通信。如果所配置的设置要求连接安全（双向），而两台计算机无法互相进行身份验证，则将阻止连接。1.7.2 防火墙配置文件可以将防火墙规则和连接安全规则以及其他设置应用于一个或多个防火墙配置文件。然后将这些配置文件应用于计算机，这取决于连接计算机的位置。可以配置计算机何时连接到域、专用网络（例如家庭网络）或公用网络（例如 Internet 展台）的配置文件。防火墙配置文件是对根据连接计算机的位置应用于计算机的设置（如防火墙规则和连接安全规则）进行分组的方式。在运行此版本的 Windows 计算

41、机上，具有高级安全性的Windows 防火墙有三个配置文件。一次只能应用一个配置文件。配置文件域当计算机连接到该计算机域帐户所在的网络时应用。专用 当计算机连接到没有该计算机域帐户的网络（例如家庭网络）时应用。专用配置文件设置应该比域配置文件设置更为严格。公用 当计算机通过公用网络（如机场和咖啡店中的可用网络）连接到域时应用。由于计算机所连接到的公用网络无法像 IT 环境中一样严格控制安全，因此公用配置文件设置应该最为严格。1.7.3 示例：创建一个在企业内网使用防火墙您的笔记本电脑有两个工作环境，在企业内网和公共场所。企业内网是一个较为安全的网络环境。下面将会针对较为安全的场所配置防火墙。配

42、置目标：更改网络位置。启用网络发现。允许访问该计算机的共享文件夹。试验环境：WorkgroupServer，安装了 Windows Server 2008 企业版的操作系统，处于工作组中。步骤：1.在 WorkgroupServer 计算机上。2.点击开始程序管理工具高级安全 Windows 防火墙。点击“本地计算机上的高级安全 Windows 防火墙”，可以看到公用配置文件是活动。3.点击，点击“网络和共享中心”。4.在出现的网络和共享中心对话框，点击“自定义”。5.在出现的设置网络位置对话框，选择“专用”，点击“下一步”，完成设置。6.再次打开高级 Windows 防火墙，看到专用配置文件

43、是活动的。7.点击“Windows 防火墙属性”，在出现的 Windows 防火墙属性对话框，在专用配置文件标签下，防火墙状态为“启用”，入站连接默认“阻止”，出站连接默认“允许”。8.点击“入站筛选”，可以看到所有的预定义的入站规则，点击“按配置文件”，选则“按专用配置文件筛选”。9.现在看到的入站规则都是专用配置文件的规则，点击“已启用”，可以按启用与否排序。10.打开网络和共享中心，启用“文件共享”、“打印机共享”、“网络发现”。11.再次查看防火墙规则，入站规则，打开了相应端口。1.7.4 示例：配置 Web 服务器网络安全高级 Windows 防火墙不但能够控制进入计算机的数据流量，

44、还能控制出去的流量。要求：最大化 Web 服务器安全在 WorkgroupServer 上安装 IIS，配置 Web 站点。只允许目标端口是 80 的数据包进入 Web 服务器。只允许源端口是 80 的数据包从 Web 服务器出来。试验环境：WorkgroupServer 是工作组中的计算机，安装了 Windows Server 2008 企业版。IP地址是 10.7.10.125。DCServer 是安装了 Windows Server 2008 的企业版。IP 地址是 10.7.10.12。步骤：1.安装 IIS2.在弹出的对话框点击“添加必须的功能”。点击下一步完成安装。3.打开 htt

45、p:/ 网站，点击“文件”“另存为”，将该网页保存到C:inetpubwwwroot 目录下。4.点击“开始”“程序”“管理工具”“Internet 信息服务(IIS)管理器”。5.如下图点击“默认文档”。6.点击“Default Web Site”，点击“浏览*:80（http）”。7.可以打开本地网站的网页。8.点击网络和共享中心，将位置更改为公用网络，如图设置共享发现。9.打开 Windows 防火墙属性，将公用配置文件出站连接默认设置成“阻止”。10.将公用配置文件其他的规则都禁用，只留下“万维网服务(HTTPS 流入量)”和“万维网服务(HTTP 流入量)”。11.将出站连接的规则都

46、禁用，右击出站规则，点击“新规则”。12.选择“端口”，点击“下一步”。13.本地端口输入 80，点击“下一步”。14.选则“允许连接”，点击“下一步”。15.配置文件，只选则“公用”，点击“下一步”。16.输入规则名称，点击“下一步”，完成出站规则创建。17.测试到 DCServer 的访问，ping 10.7.10.12，出现“一般故障”。说明已经控制了出站流量。18.在 DCServer 上，打开 IE 浏览器，输入 http:/10.7.10.125。能够访问其站点。19.Ping 10.7.10.125 发现不通。1.7.5 示例:配置加密通信高级 Windows 防火墙除了能够允许

47、或拒绝某些通信外，还支持加密通信，要想实现加密通信，需要配置连接安全规则。要求:服务器 Research 远程桌面，只允许 Sales 计算机和 WorkgroupServer 计算机访问。要求到 Research 计算机远程桌面通信实现加密。在域中的计算机可以使用 kerberos 来验证对方计算机算计的身份。工作组中的计算机使用共享密钥验证对方计算机的身份。试验环境：DCServer 是 域中的域控制器。Sales 是 域中的成员，Vista 操作系统，IP 地址 10.7.10.56。Research 是 域中的计算机，IP 地址 10.7.10.40。WorkgroupServer 是

48、工作组中的计算机，IP 地址 10.7.10.125。步骤：1.在 Research 服务器上，以域管理员登录。2.打开“控制面板”“系统”，点击“远程设置”，选中“允许运行任意版本远程桌面的计算机连接”。点击“确定”。3.点击“开始”“运行”，输入 wf.mscs 打开高级 Windows 防火墙。4.可以看到当前活动的配置文件是域配置文件。查看入站规则，如图点击“按配置文件筛选”，选中“按域配置文件筛选”。5.双击入站规则“远程桌面（TCP-In）”，在常规标签，选中“只允许安全连接”，选择“要求加密”。6.在作用域标签下，远程地址选择“下列 IP 地址”，点击“添加”。7.添加 10.7

49、.10.125 和 10.7.10.56 两个地址，点击“确定”。8.右击“连接安全规则”，点击“新规则”。9.在规则类型对话框，选择“服务器到服务器”，点击“下一步”。10.在终结点对话框，终结点 2 的计算机，选中“下列 IP 地址”，点击“添加”，添加10.7.10.56 和 10.7.10.125。11.在要求对话框，选择“入站和出站连接要求身份验证”，点击“下一步”。12.在身份验证方式对话框，选中“自定义”，点击“自定义”。13.在自定义高级身份验证对话框，选中“第一身份验证可选”，点击“添加”。14.选择“计算机（Kerberos v5）”，点击“确定”。15.再次点击“添加”，

50、选中“预共享的密钥”，点击“确定”。注：Kerberos 身份验证是针对域中计算机 Sales 设置的，预共享密钥身份验证是针对WorkgroupServer 设置的。工作组之间身份验证要么使用计算机证书要么使用预共享密钥。警告：建议不要将第一身份验证和第二身份验证都配置为可选。否则，这样的配置等同于关闭身份验证。16.在配置文件对话框，只选中“域”，点击“下一步”。17.在名称对话框，输入“RDP 连接安全规则”点击“完成”。18.以管理员身份登录 Sales，点击“开始”“运行”，输入 wf.msc，打开高级 Windows防火墙。19.点击“出站规则”，点击“新规则”。20.在规则类型对

51、话框，选择“自定义”，点击“下一步”。21.在程序对话框，选则“所有程序”，点击“下一步”。22.在协议和端口对话框，协议类型选择“TCP”，远程端口输入 3389，点击“下一步”。23.在作用域对话框，添加 10.7.10.40，点击“下一步”。24.在操作对话框，选择“只允许安全连接”，选中“要求加密连接”，点击“下一步”。25.在计算机对话框，点击“下一步”。26.输入规则名，点击“完成”。27.创建连接安全规则。在规则类型对话框，选择“服务器到服务器”，点击“下一步”。28.在终结点对话框，输入 10.7.10.40，点击“下一步”。29.在要求对话框，选中“入站和出站连接要求身份验证

52、”，点击“下一步”。30.在身份验证方法对话框，选择“高级”，点击“自定义”。31.在自定义高级身份验证对话框，选中“第一身份验证可选”，点击“添加”。选择“计算机（Kerberos v5）”，点击“确定”。32.在配置文件对话框，只选中“域”，点击“下一步”。33.在名称对话框，输入名称，点击“完成”。34.点击“开始”“运行”，输入 mstsc，打开远程桌面客户端，输入 Research，点击“连接”。35.在 WorkgroupServer 上，参照在 Sales 上的配置。配置高级 Windows 防火墙，创建到 Research 计算机的出站规则，再创建连接安全规则，身份验证选择“预

53、共享密钥”。1.7.6 示例：监视加密通信监视节点显示有关当前所连接的计算机（本地计算机或远程计算机）的信息。如果使用管理单元来管理组策略对象而不是本地计算机，则不会出现该节点。确保 Sales 计算机和 WorkgroupServer 计算机使用远程桌面连接到 Research 计算机，在Research 计算机上，打开高级安全防火墙，点击“监视”“安全关联”“主模式”，可以看到两个加密的连接。1.7.7 配置 IPSec 加密和身份验证的方法通常情况下使用默认的数据加密和完整性算法最好，您也可以指定自定义的加密和完整性算法。如果使用自定义的数据完整性和加密算法，一定要确保通信两端的完整性和

54、加密算法一致。如图，右击本地计算机上的高级安全 Windows 防火墙，点击“属性”。在 IPSec 设置标签下，点击“自定义”。在密钥交换，选中“高级”，点击“自定义”，可以指定加密算法以及密钥生存期。在数据保护，点击“高级”，点击“自定义”，可以指定完整性和加密算法。1.8 创建软件限制策略本模块专用于说明软件限制策略，这种策略是 Microsoft Windows XP 和 Microsoft Windows Server 2003，Windows Server 2008 和 Vista 操作系统中的新功能。软件限制策略提供了一种体制，用于指定允许执行哪些程序以及不允许执行哪些程序。它们

55、提供了一套策略驱动机制，用于指定允许执行哪些程序以及不允许执行哪些程序。软件限制策略可以帮助组织免遭恶意代码的攻击。也就是说，软件限制策略针对病毒、特洛伊木马和其他类型的恶意代码提供了另一层防护。虽然软件限制策略是增强计算机安全的重要工具，但它们不能代替其他安全措施，如防病毒程序、防火墙和严格的访问控制列表。1.8.1 创建软件限制策略如图，右击软件限制策略，点击“创建软件限制策略”。点击安全级别，可以更改默认的安全级别。可以看到默认安全级别是不受限的。证书规则软件限制策略可以通过其签名证书来标识文件。证书规则不能应用到带有.exe 或.dll 扩展名的文件。它们可以应用到脚本和 Window

56、s 安装程序包。可以创建标识软件的证书，然后根据安全级别的设置，决定是否允许软件运行。路径规则路径规则通过程序的文件路径对其进行标识。由于此规则按路径指定，所以程序发生移动后路径规则将失效。路径规则中可以使用诸如%programfiles%或%systemroot%之类环境变量。路径规则也支持通配符，所支持的通配符为*和?。散列规则散列是唯一标识程序或文件的一系列定长字节。散列按散列算法算出来。软件限制策略可以用 SHA-1（安全散列算法）和 MD5 散列算法根据文件的散列对其进行标识。重命名的文件或移动到其他文件夹的文件将产生同样的散列。例如，可以创建散列规则并将安全级别设为“不允许的”以防

57、止用户运行某些文件。文件可以被重命名或移到其他位置并且仍然产生相同的散列。但是，对文件的任何篡改都将更改其散列值并允许其绕过限制。软件限制策略将只识别那些已用软件限制策略计算过的散列。Internet 区域规则区域规则只适用于 Windows 安装程序包。区域规则可以标识那些来自 Internet Explorer 指定区域的软件。这些区域是 Internet、本地计算机、本地 Intranet、受限站点和可信站点。1.8.2 指定软件限制策略限制的软件类型以上规则所影响的文件类型只有“指派的文件类型”中列出的那些类型。系统存在一个由所有规则共享的指定文件类型的列表。默认情况下列表中的文件类型

58、包括：ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP MST OCX PCD PIF REG SCR SHS URL VB WSC，所以对于正常的非可执行的文件，例如TXT JPG GIF 这些是不受影响的，如果你认为还有哪些扩展的文件有威胁，也可以将其扩展加入这里，或者你认为哪些扩展无威胁，也可以将其删除。1.8.3 示例:配置软件限制策略目标：禁止运行计算器软件。禁止 E:shared 目录下的程序运行。步骤：1.点击“开始”“程序”“附件”，右击“计算器”点击“属性”。

59、2.右击目标栏，复制计算器对应的路径。3.右击“其他规则”，点击“新建哈希规则”。4.在新建哈希规则对话框，点击“浏览”。5.在文件名，按 Ctrl+V 将刚才复制的计算器的名复制下来，点击“打开”。6.安全规则设置成“不允许”，点击“确定”。7.右击“其他规则”，点击“新建路径规则”。8.在新建路径规则对话框，输入路径，安全规则选中“不允许”，点击“确定”。9.点击“计算器”软件和 E:shared 目录下的程序，提示此程序被组策略阻止。注意：如果程序有多个版本，每个版本的代码都不一样，算出来的哈希值也不一样，使用哈希规则控制程序运行，您需要针对同一个程序每个版本配置软件限制策略。1.8.4

60、 导出导入安全策略您可以将安全策略导出，在其他计算机上导入。也可以将导出本地安全策略作为策略备份。1.9 使用本地组策略配置系统安全组策略可以控制计算机和用户的行为。以下将介绍和安全相关的本地组策略设置。本地组策略在 Windows XP，Windows Server 2003，Vista，Windows Server 2008 都可以设置。1.9.1 关闭自动播放现在越来越多的病毒在利用系统的自动播放功能来进行传播，如果关闭了系统的自动播放，也就相当于掐断了病毒木马的一条传播路径。点击“开始”“运行”，输入“gpedit.msc”，可以打开本地组策略编辑器。点击“本地计算机策略”“计算机配置

61、”“管理模板”“Windows 组件”“自动播放策略”，双击“关闭自动播放”。在自动播放对话框，选择“已启用”，按下图配置，点击“下一个设置”。不显示“始终执行此操作”复选框，点击“已启用”，点击“下一个设置”。自动运行的默认自动运行行为，选则“不执行任何自动运行命令”，点击“确定”。1.9.2 禁止用户使用注册表编辑工具点击“开始”“运行”，输入“gpedit.msc”，可以打开本地组策略编辑器。点击“本地计算机 策略”“用户设置”“管理模板”“系统”，双击“防止访问注册表编辑工具”，选择“已启用”，点击“确定”。点击“开始”“运行”，输入 regedit 点击“确定”，提示注册表编辑已被管

62、理员禁用。1.9.3 禁止用户运行特定程序防止 Windows 运行在此设置中指定的程序。如果启用此设置，则用户无法运行已添加到不允许的应用程序列表的程序。此设置仅阻止用户运行由 Windows 资源管理器进程启动的程序。它不会阻止用户运行由系统进程或其他进程启动的程序，如任务管理器。另外，如果允许用户使用命令提示符(Cmd.exe)，则此设置不会阻止用户在命令窗口中启动不允许他们使用 Windows 资源管理器启动的程序。注意:若要创建不允许的应用程序列表，请依次单击“显示”和“添加”，然后输入应用程序的可执行文件名称(例如，Winword.exe、Poledit.exe 和 Powerpn

63、t.exe)。点击“本地计算机 策略”“用户设置”“管理模板”“系统”，双击“不要运行指定的 Windows 应用程序”，选中“已启用”，点击“显示”，点击“添加”，输入 mspaint.exe，点击“确定”。注：此设置只是根据程序的名称做限制，如果用户更改应用程序的名称，此设置失将不能控制此应用程序。1.9.4 禁止恶意程序“不请自来”在 Windows Server 2008 系统环境中使用 IE 浏览器上网浏览网页内容时，时常会有一些恶意程序不请自来，偷偷下载保存到本地计算机硬盘中，这样不但会白白浪费宝贵的硬盘空间资源，而且也会给本地计算机系统的安全带来不少麻烦。为了让 Windows

64、Server 2008系统更加安全，我们往往需要借助专业的软件工具才能禁止应用程序随意下载，很显然这样操作不但麻烦而且比较累人，其实，在 Windows Server 2008 系统环境中，我们只要简单地设置一下系统组策略参数，就能禁止恶意程序自动下载保存到本地计算机硬盘中了，下面就是具体的设置步骤：首先以特权帐号进入 Windows Server 2008 系统环境，依次点选系统桌面中的“开始”“运行”命令，在系统运行框中执行 gpedit.msc 命令，打开本地计算机的组策略编辑窗口。其次在组策略编辑窗口左侧区域展开“计算机配置”分支，再依次选择该分支下面的“管理模板”“Windows 组

65、件”“Internet Explorer”“安全功能”“限制文件下载”子项，双击“限制文件下载”子项下面的“Internet Explorer 进程”组策略选项，在属性设置窗口，选中“已启用”选项，再单击“确定”按钮退出组策略属性设置窗口。这样一来我们就能成功启用限制 Internet Explorer 进程下载文件的策略设置，日后Windows Server 2008 系统就会自动弹出阻止 Internet Explorer 进程的非用户初始化的文件下载提示，单击提示对话框中的“确定”按钮，恶意程序就不会通过 IE 浏览器窗口随意下载保存到本地计算机硬盘中了。1.9.5 跟踪用户登录情况一般

66、情况下，用户对自己的计算机使用情况都比较熟悉，比如你会记得上一次你登录系统的大概时间。如果用户还能让 Windows Server 2008 记录下登录信息，然后你在每次登录系统时，将前后两次的时间比较一下，如果发现时间不一致，这就说明有人曾经试图非法登录你的帐户。此策略设置控制系统是否向用户显示有关以前的登录和登录失败次数的信息。对于 Microsoft Windows Server 2008 功能级别域中的本地用户帐户和域用户帐户，如果启用了此设置，将在该用户登录后出现一则消息，显示该用户上次成功登录的日期和时间、该用户名上次尝试登录而未成功的日期和时间以及自该用户上次成功登录以来未成功登录的次数。用户必须确认该消息，然后才能登录到 Microsoft Windows 桌面。点击“开始”“运行”，输入“gpedit.msc”，打开组策略编辑器。点击“计算机配置”“管理模板”“Windows 组件”“Windows 登录选项”，然后在右侧对话框中选中并双击“在用户登录期间显示有关以前登录的信息”，然后在弹出的对话框中点选“已启用”即可。注销，以管理员的帐户登录输入一次错误的密码，然后输入正确的密码，将会出现登录不成功的信息。