Windows-Server-2008安全配置基础

WindowsServer2008安全配置基础一、及时打补丁二、阻止恶意Ping攻击我们知道，巧妙地利用Windows系统自带的ping命令，可以快速判断局域网中某台重要计算机的网络连通性;可是，ping命令在给我们带来实用的同时，也容易被一些恶意用户所利用，例如恶意用户要是借助专业工具不停地向重要计算机发送ping命令测试包时，重要计算机系统由于无法对所有测试包进行应答，从而容易出现瘫痪现象。为了保证WindowsServer2008服务器系统的运行稳定性，我们可以修改该系统的组策略参数，来禁止来自外网的非法ping攻击：首先以特权身份登录进入WindowsServer2008服务器系统，依次点选该系统桌面上的“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“gpedit.msc”，单击回车键后，进入对应系统的控制台窗口;其次选中该控制台左侧列表中的“计算机配置”节点选项，并从目标节点下面逐一点选“Windows设置”、“安全设置”、“高级安全Windows防火墙”、“高级安全Windows防火墙——本地组策略对象”选项，再用鼠标选中目标选项下面的“入站规则”项目;接着在对应“入站规则”项目右侧的“操作”列表中，点选“新规则”选项，此时系统屏幕会自动弹出新建入站规则向导对话框，依照向导屏幕的提示，先将“自定义”选项选中，再将“所有程序”项目选中，之后从协议类型列表中选中“ICMPv4”，如图3所示;协议类型列表中选中“ICMPv4”，之后向导屏幕会提示我们选择什么类型的连接条件时，我们可以选中“阻止连接”选项，同时依照实际情况设置好对应入站规则的应用环境，最后为当前创建的入站规则设置一个适当的名称。完成上面的设置任务后，将WindowsServer2008服务器系统重新启动一下，这么一来WindowsServer2008服务器系统日后就不会轻易受到来自外网的非法ping测试攻击了。小提示：尽管通过WindowsServer2008服务器系统自带的高级安全防火墙功能，可以实现很多安全防范目的，不过稍微懂得一点技术的非法攻击者，可以想办法修改防火墙的安全规则，那样一来我们自行定义的各种安全规则可能会发挥不了任何作用。为了阻止非法攻击者随意修改WindowsServer2008服务器系统的防火墙安全规则，我们可以进行下面的设置操作：首先打开WindowsServer2008服务器系统的“开始”菜单，点选“运行”命令，在弹出的系统运行文本框中执行“regedit”字符串命令，打开系统注册表控制台窗口;选中该窗口左侧显示区域处的HKEY_LOCAL_MACHINE节点选项，同时从目标分支下面选中SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules注册表子项，该子项下面保存有很多安全规则;其次打开注册表控制台窗口中的“编辑”下拉菜单，从中点选“权限”选项，打开权限设置对话框，单击该对话框中的“添加”按钮，从其后出现的帐号选择框中选中“Everyone”帐号，同时将其导入进来;再将对应该帐号的“完全控制”权限调整为“拒绝”，最后点击“确定”按钮执行设置保存操作，如此一来非法用户日后就不能随意修改WindowsServer2008服务器系统的各种安全控制规则了。三、加强系统安全提示为了防止在WindowsServer2008服务器系统中不小心进行了一些不安全操作，我们建议各位还是将该系统自带的UAC功能启用起来，并且该功能还能有效防范一些木马程序自动在系统后台进行安装操作，下面就是具体的启用步骤：首先以系统管理员身份进入WindowsServer2008系统，在该系统桌面中依次点选开始、运行命令，在弹出的系统运行文本框中，输入msconfig字符串命令，单击确定按钮后，进入对应系统的实用程序配置界面;其次在实用程序配置界面中单击工具标签，进入如图4所示的标签设置页面，从该设置页面的工具列表中找到启用UAC项目，再单击启动按钮，最后单击确定按钮并重新启动一下WindowsServer2008系统，如此一来用户日后在WindowsServer2008服务器系统中不小心进行一些不安全操作时，系统就能及时弹出安全提示。四、不让恶意插件偷袭当我们使用WindowsServer2008系统自带的IE浏览器访问Internet网络中的站点内容时，经常会看到有一些恶意插件程序偷偷在系统后台进行安装操作，一旦安装完毕后，我们往往很难将它们从系统中清除干净，并且它们的存在直接影响着WindowsServer2008系统的工作状态以及运行安全。为了不让恶意插件程序偷袭WindowsServer2008系统，我们可以通过下面的设置操作，来阻止任何来自Internet网络中的下载文件安装保存到本地系统中：首先以系统管理员身份进入WindowsServer2008系统，在该系统桌面中依次点选开始、运行命令，在弹出的系统运行文本框中，输入gpedit.msc字符串命令，单击确定按钮后，进入对应系统的组策略编辑窗口;其次将鼠标定位于组策略编辑窗口左侧的计算机配置节点选项上，再从该节点选项下面依次点选管理模板、Windows组件、InternetExplorer、安全功能、限制文件下载组策略子项，在对应限制文件下载子项下面找到InternetExplorer进程目标组策略，并用鼠标双击该选项，进入如图5所示的属性设置界面;在该属性设置界面中检查已启用选项是否处于选中状态，如果发现该选项还没有被选中时，我们应该将它重新选中，最后单击确定按钮保存上述设置操作，这样的话日后要是有恶意插件程序想偷偷下载保存到本地系统硬盘中时，我们就能看到对应的系统提示，单击提示窗口中的取消按钮就能阻止恶意插件程序下载安装到WindowsServer2008系统硬盘中了。五、拒绝网络病毒藏于临时文件现在Internet网络上的病毒疯狂肆虐，一些“狡猾”的网络病毒为了躲避杀毒软件的追杀，往往会想方设法地将自己隐藏于系统临时文件夹，那样一来杀毒软件即使找到了网络病毒，也对它无可奈何，因为杀毒软件对系统临时文件夹根本无权“指手划脚”。为了防止网络病毒隐藏在系统临时文件夹中，我们可以按照下面的操作设置WindowsServer2008系统的软件限制策略：首先打开WindowsServer2008系统的“开始”菜单，从中点选“运行”命令，在弹出的系统运行对话框中，输入组策略编辑命令“gpedit.msc”，单击“确定”按钮后，进入对应系统的组策略控制台窗口;图2将“安全级别”参数设置为“不允许”其次在该控制台窗口的左侧位置处，依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”/“其他规则”选项，同时用鼠标右键单击该选项，并执行快捷菜单中的“新建路径规则”命令，打开如图2所示的设置对话框;单击其中的“浏览”按钮，从弹出的文件选择对话框中，选中并导入WindowsServer2008系统的临时文件夹，同时再将“安全级别”参数设置为“不允许”，最后单击“确定”按钮保存好上述设置操作，这样一来网络病毒日后就不能躲藏到系统的临时文件夹中了。六、断开远程连接恢复系统状态（需要时操作）很多时候，一些不怀好意的用户往往会同时建立多个远程连接，来消耗WindowsServer2008服务器系统的宝贵资源，最终达到搞垮服务器系统的目的;为此，在实际管理WindowsServer2008服务器系统的过程中，一旦我们发现服务器系统运行状态突然不正常时，可以按照下面的办法强行断开所有与WindowsServer2008服务器系统建立连接的各个远程连接，以便及时将服务器系统的工作状态恢复正常：首先在WindowsServer2008服务器系统桌面中依次点选“开始”、“运行”选项，在弹出的系统运行对话框中，输入“gpedit.msc”命令，单击回车键后，进入目标服务器系统的组策略控制台窗口;图5删除所有用户远程访问连接其次选中组策略控制台窗口左侧位置处的“用户配置”节点分支，并用鼠标逐一点选目标节点分支下面的“管理模板”/“网络”/“网络连接”组策略选项，之后双击“网络连接”分支下面的“删除所有用户远程访问连接”选项，在弹出的如图5所示的选项设置对话框中，选中“已启用”选项，再单击“确定”按钮保存好上述设置，这样一来WindowsServer2008服务器系统中的的各个远程连接都会被自动断开，此时对应系统的工作状态可能会立即恢复正常。七、巧妙实时监控系统运行安全为了能够在第一时间发现潜藏在本地系统中的安全威胁，相信很多人都安装了专业的监控工具，来对系统的运行状态进行全程监控。其实，Win2008系统也自带有实时监控程序WindowsDefender，只是该程序并不像其他应用程序那样会在系统托盘区域处出现一个控制图标，不过该程序一旦看到Win2008系统遭遇间谍程序的攻击时，它往往会立即发挥作用来帮助用户解决问题。尽管WindowsDefender程序平时并不显现出来，不过该程序实际上在系统后台启动了一个服务，通过该系统服务默默地保护Win2008系统的安全;我们可以按照下面的操作，确认WindowsDefender程序的服务状态是否正常：首先依次点选Win2008系统桌面中的“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“services.msc”，单击回车键后，打开系统服务列表窗口;其次从系统服务列表窗口的左侧位置处，找到目标系统服务选项“WindowsDefender”，并用鼠标右键单击该选项，从弹出的快捷菜单中执行“属性”命令，打开WindowsDefender服务的属性设置窗口，在该窗口的“常规”标签页面中，我们可以非常清楚地看到目标系统服务的运行状态是否正常，要是发现该服务已经被关闭运行时，我们必须及时单击“启动”按钮将它重新启动起来，同时将它的启动类型参数修改为“自动”，最后单击“确定”按钮保存好上述设置操作，这么一来我们就能确保WindowsDefender服务时刻来保护Win2008系统的安全了。为了让WindowsDefender服务更有针对性地进行实时监控，我们还可以修改Win2008系统的组策略参数，让WindowsDefender程序对已知文件或未知文件进行监测，同时对监测结果进行跟踪记录，下面就是具体的修改步骤：首先在Win2008系统桌面中依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“gpedit.msc”，单击回车键后，打开系统的组策略控制台窗口;其次在该控制台窗口的左侧显示区域处，依次点选“计算机配置”/“管理模板”/“Windows组件”/“WindowsDefender”组策略子项，从目标子项下面找到“启用记录已知的正确检测”选项，并用鼠标右键单击该选项，从弹出的快捷菜单中执行“属性”命令，打开目标组策略的属性设置窗口，如图3所示;在该设置窗口中，检查“已启用”选项是否处于选中状态，如果发现该选项还没有被选中时，我们必须及时将它重新选中，再单击“确定”按钮保存好上述设置操作。按照同样的操作步骤，我们再打开“启用记录未知检测”组策略的属性设置对话框，选中其中的“已启用”选项，这么一来Win2008系统日后就会对各种类型的文件进行自动检测、记录，我们只要定期查看记录内容就能知道本地系统是否存在安全威胁了。八、及时监控系统账号恶意创建有的时候，一些非法攻击者会利用木马程序偷偷在计算机系统中恶意创建登录帐号，以便日后可以利用该帐号来对本地系统实施非法攻击。为了及时监控本地系统中是否有新的账号被偷偷创建，我们可以巧妙利用Win2008系统的附加任务功能，针对系统帐号创建事件添加自动报警任务，确保系统中有新的登录帐号生成时，及时向系统管理员发出报警信息，确保系统管理员在第一时间判断出新创建的登录帐号是否合法，下面就是具体的实现步骤：首先在Win2008系统桌面中，依次点选“开始”/“运行”命令，从弹