server2008安全防护

提纲:第一章server防火墙第二章端口防护第三章杀毒软件防护第四章浏览器防护第五章软件安装规范第六章系统安全配置第一章windowsserver2008防火墙Windows防火域基本设置当我们安装好系统后，默认就已经启用了防火墙功能，此时，只要设置好网络位置，就会阻止其他计算机与此计算机的通信。查看防火墙工作状态的方法是，在控制面板中点击系统和安全，从中打开Windows防火墙即可，然后就可以看到下图所示的状态：但在实际应用中，不能把所有的传入连接都给封锁，在此用户可以根据需要设置相应的“白名单”来放开某些连接，方法是点击防火墙工作状态界面左侧中的“允许程序或功能通过Windows防火墙”，出现下图所示的界面：防火墙的高级安全设置刚才的基本设置操作比较简单，但功能也单一，如果需要进一步设置Windows防火墙规则，就需要通过“高级安全Windows防火墙”功能。打开方法如下：管理工具中点击高级安全Windows防火墙，或者是在刚才的防火墙状态中点击高级设置。如下图所示，然后，可以看到右侧所示的界面。使用高级安全Windows防火墙可以帮助用户保护网络上的计算机。通过该防火墙您可以确定允许在计算机和网络之间传输的网络流量。它还包括使用Internet协议安全性(IPsec)保护在网络间传送的流量的连接安全规则。高级安全Windows防火墙是一种有状态的防火墙，它检查并筛选IP版本4(IPv4)和IP版本6(IPv6)流量的所有数据包。在此上下文中，筛选意味着通过管理员定义的规则对网络流量进行处理，进而允许或阻止网络流量。默认情况下阻止传入流量，除非是对主机请求(请求的流量)的响应，或者得到特别允许(即创建了允许该流量的防火墙规则)。可以通过指定端口号、应用程序名称、服务名称或其他标准将高级安全Windows防火墙配置为显示允许流量。创建防火墙规则：可以创建防火墙规则以允许此计算机向程序、系统服务、计算机或用户发送流量，或者从程序、系统、服务、计算机或用户接收流量。当用户的连接匹配该规则标准的所有连接执行以下三个操作之一：允许连接、只允许通过使用Internet协议安全(IPSec)保护的连接、阻止连接。可以为入站通信或出站通信创建规则。可配置规则以指定计算机或用户、程序、服务或者端口和协议。可以指定要应用规则的网络适配器类型：局域网(LAN)、无线、远程访问，例如虚拟专用网络(VPN)连接或者所有类型。还可以将规则配置为使用任意配置文件或仅使用指定配置文件时应用，当IT环境更改时，可能必须更改、创建、禁用或删除规则。(了解内容:连接安全的实现：连接安全包括在两台计算机开始通信之前对它们进行身份验证，并确保在两台计算机之间发送的信息的安全性。高级安全Windows防火墙使用Internet协议安全(IPsec)实现连接安全，方法是使用密钥交换、身份验证、数据完整性和数据加密(可选)。连接安全规则使用IPsec确保其通过网络时的流量安全。使用连接安全规则指定必须对两台计算机之间的连接进行身份验证或加密。可能还要必须创建防火墙规则以允许由连接安全规则保护的网络流量。)(了解内容:什么是防火墙配置文件：防火墙配置文件是一种分组设置的方法，如防火墙规则和连接安全规则，根据计算机连接到的位置将其应用于该计算机。在运行此版本Windows的计算机上，高级安全Windows防火墙有三个配置文件：每个网络适配器也就是网卡，分配匹配所检测网络类型的防火墙配置文件。例如，如果将网络适配器连接到公用网络，则到达或来自该网络的所有流量会由与公用配置文件关联的防火墙规则筛选。WindowsServer2008R2和Windows7为每个活动网络适配器配置文件提供支持。在WindowsVista和WindowsServer2008中，每次计算机上只能有一个配置文件处于活动状态。如果存在多个连接到不同网络的网络适配器，则具有最严格配置文件设置的配置文件应用于计算机上的所有适配器。公用配置文件被认为是最为严格的，然后是专用配置文件;域配置文件被认为是最不严格的。)如果不更改配置文件的设置，则只要高级安全Windows防火墙使用配置文件，就应用其默认值。建议为所有三个配置文件启用高级安全Windows防火墙。若要配置这些配置文件，请在高级安全Windows防火墙MMC管理单元中，右键单击“高级安全Windows防火墙”，然后单击“属性”。如果需要使用的服务或应用程序在列表中没有出现的，用户可以通过新建规则的方式来创建，如现在操作的计算机是一台WEB服务器，而需要开放给其他用户连接此网站，可以通过新建规则来开放一个80端口的规则。本地IP地址由本地计算机用于确定规则是否适用。规则仅适用于通过配置为使用一个指定本地IP地址的网络适配器的网络流量。任何IP地址，选择此选项可以指定匹配具有指定为本地IP地址的任意地址的网络数据包的规则。选中此选项时本地计算机始终匹配规则。下列IP地址，选择此选项可以指定规则匹配具有“本地IP地址”中指定的一个地址的网络流量。如果本地计算机没有使用一个指定IP地址配置的网络适配器，则规则不适用。在“IP地址”对话框上，单击“添加”可以在列表中创建新条目，或单击“编辑”可以更改列表中的现有条目。还可以通过选择项目然后单击“删除”从列表中删除某个条目。远程IP地址：指定应用规则的远程IP地址。如果目标IP地址是列表中的地址之一，则网络流量匹配规则。任何IP地址，此选项可以指定规则匹配发自(对于入站规则)或发往(对于出站规则)包含在列表中的任意IP地址的网络数据包。下列IP地址，选择此选项可以指定规则仅匹配具有“远程IP地址”中指定的一个地址的网络流量。在“IP地址”对话此外还需要将此防火墙规则应用到相应的配置文件和接口类型上，因此需要指定此规则所使用的配置文件，Windows确定每个网络适配器的网络位置类型，然后对该网络适配器应用相应的配置文件。接口类型指的是单击“自定义”可以指定应用连接安全规则的接口类型。通过“自定义接口类型”对话框，可以选择“所有接口类型”或“局域网”、“远程访问”或“无线”类型的任意组合。最后一个需要介绍的就是边缘遍历。边缘遍历允许指的是计算机接受未经请求的入站数据包，这些数据包已通过诸如网络地址转换(NAT)路由器或防火墙之类的边缘设备。系统默认是阻止应用程序通过NAT边缘设备从Internet接收主动提供的流量。也可以设置为遵从用户或者是遵从应用程序，所谓遵从用户指的是让用户决定当应用程序请求通过NAT边缘设备从Internet接收主动提供的流量时是否允许该流量。遵从应用程序指的是让每个应用程序确定是否允许通过NAT边缘设备从Internet接收主动提供的流量。第二章端口防护一,修改常用端口号.win2008远程桌面端口默认是用的是3389端口，但是由于安全考虑，经常我们安装好系统后一般都会考虑把原来的3389端口更改为另外的端口。本文以改为端口为25608商品为例，讲解一下具体操作过程。打开注册表：运行regedit。找到：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]双击右边PortNumber——点十进制——更改值为：25608——点确定。然后找到：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]双击右边PortNumber——点十进制——更改值为：25608——点确定。到些就改好了，然后记得要在防火墙设置一下开放刚刚改好的端口。重启电脑试下，原来的端口是不是不能登陆了，改用新的端口就可以正常远程登陆，远程登陆设置端口知识:1默认状态下，Windows会在你的电脑上打开许多服务端口，黑客常常利用这些端口来实施入侵，因此掌握端口方面的知识，是安全上网必备的技能。一、常用端口及其分类电脑在Internet上相互通信需要使用TCP/IP协议，根据TCP/IP协议规定，电脑有256×256(65536)个端口，这些端口可分为TCP端口和UDP端口两种。如果按照端口号划分，它们又可以分为以下两大类:1.系统保留端口(从0到1023)这些端口不允许你使用，它们都有确切的定义，对应着因特网上常见的一些服务，每一个打开的此类端口，都代表一个系统服务，例如80端口就代表Web服务。21对应着FTP，25对应着SMTP、110对应着POP3等。2.动态端口(从1024到65535)当你需要与别人通信时，Windows会从1024起，在本机上分配一个动态端口，如果1024端口未关闭，再需要端口时就会分配1025端口供你使用，依此类推。但是有个别的系统服务会绑定在1024到49151的端口上，例如3389端口(远程终端服务)。从49152到65535这一段端口，通常没有捆绑系统服务，允许Windows动态分配给你使用。二、如何查看本机开放了哪些端口在默认状态下，Windows会打开很多“服务端口”，如果你想查看本机打开了哪些端口、有哪些电脑正在与本机连接，可以使用以下两种方法。1.利用netstat命令Windows提供了netstat命令，能够显示当前的TCP/IP网络连接情况，注意:只有安装了TCP/IP协议，才能使用netstat命令。操作方法:单击“开始→程序→附件→命令提示符”，进入DOS窗口，输入命令netstat-na回车，于是就会显示本机连接情况及打开的端口。其中LocalAddress代表本机IP地址和打开的端口号，ForeignAddress是远程计算机IP地址和端口号，State表明当前TCP的连接状态，LISTENING是监听状态，表明本机正在打开135端口监听，等待远程电脑的连接。如果你在DOS窗口中输入了netstat-nab命令，还将显示每个连接都是由哪些程序创建的。本机在135端口监听，就是由svchost.exe程序创建的，该程序一共调用了5个组件(WS2_32.dll、RPCRT4.dll、rpcss.dll、svchost.exe、ADVAPI32.dll)来完成创建工作。如果你发现本机打开了可疑的端口，就可以用该命令察看它调用了哪些组件，然后再检查各组件的创建时间和修改时间，如果发现异常，就可能是中了木马。2.使用端口监视类软件与netstat命令类似，端口监视类软件也能查看本机打开了哪些端口，这类软件非常多，著名的有Tcpview、PortReporter、绿鹰PC万能精灵、网络端口查看器等，推荐你上网时启动Tcpview，密切监视本机端口连接情况，这样就能严防非法连接，确保自己的网络安全三、关闭本机不用的端口默认情况下Windows有很多端口是开放的，一旦你上网，黑客可以通过这些端口连上你的电脑，因此你应该封闭这些端口。主要有:TCP139、445、593、1025端口和UDP123、137、138、445、1900端口、一些流行病毒的后门端口(如TCP2513、2745、3127、6129端口)，以及远程服务访问端口3389。关闭的方法是:①137、138、139、445端口:它们都是为共享而开放的，你应该禁止别人共享你的机器，所以要把这些端口全部关闭，方法是:单击“开始→控制面板→系统→硬件→设备管理器”，单击“查看”菜单下的“显示隐藏的设备”，双击“非即插即用驱动程序”，找到并双击NetBiosoverTcpip，在打开的“NetBiosoverTcpip属性”窗口中，单击选中“常规”标签下的“不要使用这个设备(停用)”，单击“确定”按钮后重新启动后即可。②关闭UDP123端口:单击“开始→设置→控制面板”，双击“管理工具→服务”，停止WindowsTime服务即可。关闭UDP123端口，可以防范某些蠕虫病毒。③关闭UDP1900端口:在控制面板中双击“管理工具→服务”，停止SSDPDiscoveryService服