Windows-Server-2008安全管理剖析

21世纪高等院校规划教材计算机网络操作系统（第二版）——WindowsServer2008配置与管理主编张浩军赵玉娟中国水利水电出版社第16章WindowsServer2008安全管理本章学习目标本章介绍WindowsServer2008安全策略配置与管理、高级防火墙控制功能、以及配置系统安全性的措施等内容。本章包括以下主要内容：：系统安全实现方法WindowsServer2008安全策略WindowsServer2008高级防火墙WindowsServer2008网络访问保护序Internet的迅猛发展，在给我们带来极大方便的同时，也带来了安全方面的问题。由于Internet从建立开始就缺乏安全的总体构想和设计，而TCP/IP协议也是在可信环境下为网络互联专门设计的，同样缺乏安全措施的考虑，加上黑客的攻击及各类恶意代码的干扰，使得网络存在很多不安全因素，如口令猜测、地址欺骗、业务否决、对域名系统和基础设施破坏、利用Web破坏数据库、邮件炸弹、病毒携带等。服务器是网络应用的基础，服务器系统的安全自然也就是网络安全的重点，WindowsServer2008操作系统最突出的改进就是安全性的提升，服务器系统安全工作涉及范围宽广，如系统内核安全、应用程序安全、用户帐户安全和端口安全等多个方面，根据服务器所处环境的不同，WindowsServer2008系统支持管理员启用不同的安全防护策略。16.1WindowsServer2008系统安全（1）WindowsServer2008能够帮助企业管理和扩大业务流程，对于一个企业来说，定义系统保护策略以确保企业的关键业务信息的安全是至关重要的。保证服务器安全是一个系统的工程，很难通过一种手段或方法保证安全目标的实现，我们需要针对不同的安全需要来选择不同方法，立体的保护WindowsServer2008的系统安全。1．初始化的安全设置（1）权限累计特性。如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。（2）拒绝的权限比允许的权限级别高（拒绝优先）。如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也不能访问这个资源。所以设置拒绝权限要非常小心，任何一个不当的拒绝都有可能造成系统无法正常运行。（3）文件权限比文件夹权限高。（4）仅给用户真正需要的权限，权限的最小化原则是安全的重要保障。16.1WindowsServer2008系统安全（2）2.配置自动更新16.1WindowsServer2008系统安全（3）图16-1“WindowsUpdate”窗口图16-2“更改设置”窗口3．用户帐户安全管理WindowsServer2008的本地安全策略可以限制匿名访问。运行“本地安全设置”管理控制台16.1WindowsServer2008系统安全（4）图16-3网络访问设置图16-4“用户属性”窗口4．禁用或删除不需要的服务增强服务器安全性的最佳方法是不安装任何与业务不相关的应用程序，并且关闭不需要的服务。16.1WindowsServer2008系统安全（5）图16-5“服务属性”窗口5．创建一个强大和健壮的审计和日志策略在WindowsServer2008中，默认创建的日志类型有：应用日志、安全日志、安装程序日志、系统日志和转发的事件日志。16.1WindowsServer2008系统安全（6）图16-6“事件查看器”窗口16.2.1本地安全策略概述安全策略是事先定义的一系列应用计算机的行为准则，应用这些安全策略保证用户具有一致的工作方式，防止用户破坏计算机上的各种重要配置，保护网络上的敏感数据。16.2WindowsServer2008安全策略图16-7“本地安全策略”窗口帐户策略主要用于限制用户帐户的交互方式，其中包括密码策略和帐户锁定策略，这些设置同时适用于独立服务器与环境。16.2.2帐户策略（1）图16-8本地安全设置1、密码策略（1）密码必须符合复杂性要求（2）最短密码长度（3）密码最短使用期限（4）密码最长使用期限（5）强制密码历史2、帐户锁定策略对于域或本机的用户帐户来说，通过帐户锁定策略可以判定帐户锁定的时机及对象。如图16-9所示。16.2.2帐户策略（2）（1）复位帐户锁定计数器（2）帐户锁定时间（3）帐户锁定阈值图16-9“帐户锁定策略”窗口16.2.3本地策略（1）本地策略包括审核策略、用户权限分配和安全选项三个模块。1、审核策略WindowsServer2008的默认安装不设置安全审核。在“管理工具”/“本地安全策略”管理控制台中选择“本地策略”/“审核策略”，设置相应的审核图16-10设置审核策略图16-11审核帐户管理16.2.3本地策略（2）表16-1常用审核内容项目设置值项目设置值帐户管理成功失败特权使用失败登录事件成功失败系统事件成功失败对象访问失败目录服务访问失败策略更改成功失败帐户登录事件成功失败2、用户权限分配用户权限分配是指，针对系统的某种操作，可以修改用户或用户组的权限范围16.2.3本地策略（3）图16-12“用户权限分配”窗口图16-13“属性”窗口3、安全选项修改WindowsServer2008中默认系统安全选项设置。例如，选择安全设置中的“本地策略”/“安全选项”，可以设置交互登录方式16.2.3本地策略（4）图16-14安全选项设置16.3WindowsServer2008高级防火墙高级安全Windows防火墙（WFAS）是WindowsServer2008/WindowsVista的新增功能，该功能延续并加强了原来的Window防火墙，是一款主机型状态防火墙。默认状态下，windows防火墙已经处于开启状态，能够提供基本的安全防护功能，保护内部网络免受恶意攻击者的入侵。除了使用默认配置外，用户还可以根据需要开启或关闭防火墙。在WindowsServer2008中，Windows防火墙的基本配置变化不大，拥有系统管理权限用户帐户，就可以在控制面板中，打开并配置防火墙。16.3.1防火墙概述（1）表16-2各版本的Windows防火墙功能比较防火墙操作系统版本功能ICFWindowsXPWindowsXPSP1主机型防火墙Windows防火墙WindowsServer2003WindowsXPSP2主机型防火墙可以阻止未经授权的连接请求提供完善的操作界面与操作系统结合更加紧密高级安全Windows防火墙（WFAS）WindowsServer2008WindowsVistaWindows7主机型防火墙可以阻止未经授权的连接请求提供完善的主机型防火墙功能整合IPsec功能默认状态为启用“高级安全Windows防火墙”具有如下新特性：1、全新的控制台管理界面2、双向保护3、集成IPsec功能4、更详细的规则配置5、支持网络位置识别和配置6、支持IPv6协议。16.3.1防火墙概述（2）16.3.2防火墙的基本配置（1）WindowsServer2008系统下以管理员帐户登录，依次选择“开始”/“控制面板”/“Windows防火墙”，打开“Windows防火墙”窗口。单击“更改设备”超级链接，即可打开“Windows防火墙设置”对话框。Windows防火墙有3种设置：①启用。②启用时阻止所有传入连接。③关闭。16.3.2防火墙的基本配置（2）2、“例外”选项卡在如图16-16所示“例外”选项卡中设置能够直接访问网络的程序或服务，可以直接通过单击“添加程序”或者“添加端口”来自行添加需要访问外部网络的程序或服务，解除系统防火墙程序对网络访问的阻止。①允许/限制程序访问为了提高系统安全性，默认情况下Windows防火墙阻止所有与计算机程序建立的未经请求的连接，导致用户许多正常的网络应用无法实现。因此，需要对这些程序进行设置，在防火墙中为这些程序创建例外，应用程序即可通过防火墙访问网络。图16-17“添加程序”对话框图16-18“更改范围”对话框16.3.2防火墙的基本配置（3）②允许限制端口访问端口可以认为是计算机与外界通信交流的出口，开启的端口在提供网络应用的同时，有可能成为恶意用户入侵的通道，图16-19“添加端口”对话框图16-20“高级”选项卡16.3.2防火墙的基本配置（4）16.3.3高级安全Windows防火墙的基本配置（1）高级安全Windows防火墙使用两组规则，配置如何响应传入和传出流量，确定允许或阻止流量类型。连接安全规则确定如何保护计算机与计算机间的通讯，通过使用防火墙配置文件，可以应用这些规则以及其他设置，监视防火墙活动和规则。（1）防火墙规则（2）连接安全规则（3）防火墙配置文件（4）监视以管理员帐户登录WindowsServer2008系统后，依次单击“开始”/“管理工具”/“高级安全Windows防火墙”，打开如图16-21所示的“高级安全Windows防火墙”窗口，包括入站规则、出站规则和连接安全性规则3种。图16-21“高级安全Windows防火墙”窗口16.3.3高级安全Windows防火墙的基本配置（2）1、禁用或启用规则管理员可以通过两种方式启用或禁用防火墙规则：Windows防火墙控制台和netsh命令。在高级安全Windows防火墙控制台中，首先选择“入站规则”或“出站规则”，然后右击相应规则，如图16-22所示，选择“禁用规则”或者“启用规则”选项，即可更改其运行状态。使用“netsh”命令启用或禁用单一规则以及规则组。图16-22“规则启用/禁用”对话框16.3.3高级安全Windows防火墙的基本配置（3）2、创建防火墙规则Windows2008的高级安全Windows防火墙使用出站和入站两种规则，配置其如何响应传入和传出的请求。默认情况下，管理员在该服务器上安装微软公司提供的网络服务后，将自动添加在高级防火墙的出站规则列表中，并允许通过防火墙。但是，如果安装的是第三方网络服务，则必须通过手动创建相关规则，才可以将服务发布到网络。例如，如果在当前服务器上配置基于Serv-U的FTP服务器，则必须同时创建提供上传和下载的入站规则（两个不同的端口分别是2121和2020）。16.3.3高级安全Windows防火墙的基本配置（4）步骤一，在高级安全Windows防火墙控制台中，右击“入站规则”，选择快捷菜单中的“新规则”选项16.3.3高级安全Windows防火墙的基本配置（5）图16-23“规则类型”对话框步骤二，单击“下一步”按钮，显示如图所示的“协议和端口”对话框。根据服务使用的协议类型选择“TCP”或者“UDP”单选按钮，本例中FTP服务使用的是TCP端口，选择“TCP”单选按钮即可。选择“特定本地端口”单选按钮，输入服务使用的端口号，如果在配置服务器时指定了非默认端口，则在这里也应指定相应端口，例如2121。16.3.3高级安全Windows防火墙的基本配置（6）图16-24“协议和端口”对话框步骤三，单击“下一步”按钮，显示如图16-25所示的“操作”对话框，选择“允许连接”单选按钮。如果选择“只允许安全连接”单选按钮，则高级防火墙只允许特定的安全用户访问服务器，即使用IPSec身份验证的用户。如果选择“阻止连接”单选按钮，则将阻止所有用户到服务器的连接。16.3.3高级安全Windows防火墙的基本配置（7）图16-25“协议和端口”对话框步骤四，单击“下一步”按钮，显示如图16-26所示的“配置文件”对话框，设置该规则的应用范围。例如，FTP服务器仅对Internet用户提供服务，则选择“公用”复选框即可，内网用户对服务器的访问将不受防火墙保护。16.3.3高级安全Windows防火墙的基本配置（8）图16-26“配置文件”对话框步骤五，单击“下一步”按钮，显示如图16-27所示的“名称”对话框。在“名称”文本框中输入该入站规则的显示名称，便于识别。在“描述”文本框中，可以输入相关的描述信息。1