win服务器安全设置集锦.docx
《win服务器安全设置集锦.docx》由会员分享,可在线阅读,更多相关《win服务器安全设置集锦.docx(19页珍藏版)》请在冰豆网上搜索。
win服务器安全设置集锦
网管入门:
巧妙设置让Win2008系统更安全
2008-05-2700:
33
本文来自太平洋电脑网
伴随着Internet网络中的病毒、黑客、木马不断泛滥,以及Windows系统漏洞的不断增多,无论是普通电脑还是服务器所受到的安全威胁也是越来越多。
即使新推出的WindowsServer2008系统,在安全性方面有了很大的提高和改善,但是我们仍然难以保证它就一定不会受到病毒、黑客或木马的袭击;为了更好地保证WindowsServer2008系统的安全,相信多数网络管理员都会不惜重金“请”来各式各样的专业安全工具,对服务器系统进行安全“护驾”!
其实,在手头没有任何专业安全工具可以利用的情况下,我们可以依靠WindowsServer2008系统自身的力量,来将该系统各方面的安全防范性能全部发挥起来,这样同样能够为WindowsServer2008安全运行“护航”!
让更少的人看到自己
一般来说,局域网中的普通电脑在默认状态下能通过“网上邻居”窗口看到网络中的所有共享主机,这当然也包括WindowsServer2008服务器主机;由于服务器系统中存储有许多重要的资源,它就特别容易受到普通用户的随意访问,这么一来服务器系统受到非法攻击的可能性也就增大了。
为了不让WindowsServer2008服务器系统遭受非法攻击,我们只要想办法让普通电脑在默认状态下无法使用“网上邻居”窗口找到目标服务器主机,要做到这一点,其实很简单,因为WindowsServer2008系统特意为我们提供了一个网络发现功能,只要将该功能给关闭掉,那么局域网中的任何一台普通电脑都无法从“网上邻居”窗口中找到WindowsServer2008服务器主机的“身影”,那样的话服务器系统自然也就不会受到来自普通电脑的非法威胁了;下面是关闭WindowsServer2008系统网络发现功能的具体操作步骤:
首先以系统管理员身份登录进WindowsServer2008服务器系统,在该系统桌面中用鼠标右键单击“网络”图标,从其后的快捷菜单中选择“属性”命令,打开服务器系统的“网络和共享中心”窗口,在这里的“共享和发现”列表下面,我们会看到不少与网络共享访问操作有关的设置内容;
图1关闭网络发现功能
接着单击“网络发现”选项旁边的下拉按钮,打开如图1所示的设置区域,选中“关闭网络发现”选项,再单击“应用”按钮,最后再将服务器系统重启一下,如此一来本地服务器主机的“身影”就不会被普通电脑看到了,那么普通用户也就不能通过网上邻居窗口来对服务器实施非法攻击了。
需要提醒各位注意的是,当WindowsServer2008服务器主机没有连接到网络中时,“网络发现”功能会自动处于关闭状态,此时我们是无法使用手工方法强行启用“网络发现”功能的。
关闭安全威胁端口
许多时候,不少网络管理员为了方便管理WindowsServer2008服务器系统,常常会将一些能危及服务器系统安全的端口打开;可是他们在管理好服务器系统后,又不及时将它们关闭掉,这样一来非法用户可能就会通过这些危险端口来对服务器系统进行非法攻击。
为了有效保护服务器系统的安全,我们需要及时将本地服务器系统中的一些安全威胁端口关闭掉。
例如在关闭服务器系统的139端口时,我们可以按照如下操作步骤来进行:
首先以系统管理员身份登录进WindowsServer2008服务器系统,打开该系统的“开始”菜单,从中依次选择“设置”/“网络连接”命令,在其后的列表窗口中用鼠标右键单击本地连接图标,并执行右键菜单中的“属性”命令,进入本地服务器系统的网络连接列表窗口;
图2关闭安全威胁端口
其次选中“Internet协议版本4(TCP/IPv4)”选项,并单击“属性”按钮,在弹出的TCP/IPv4属性界面中单击“高级”按钮,进入高级属性设置窗口;单击该设置窗口中的“WINS”标签,打开如图2所示的标签设置页面;在该设置页面的“NetBios设置”处,选中“禁用TCP/IP的NetBios”选项,再单击“确定”按钮,如此一来就能将WindowsServer2008服务器系统的139安全威胁端口关闭掉了。
如果要将服务器系统中的445端口关闭时,我们可以先打开服务器系统的“开始”菜单,从中选择“运行”命令,在弹出的系统运行文本框中输入“regedit”字符串命令,单击回车键后,打开本地系统的注册表编辑窗口;
其次在该注册表编辑窗口的左侧显示窗格中,将鼠标定位于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters注册表分支选项,检查“Parameters”分支选项下面是否存在“SMBDeviceEnabled”双字节值,要是没有的话,我们可以直接用鼠标右键单击“Parameters”分支选项,从其后出现的右键菜单中依次选择“新建”/“Dword(32位)值”选项,并将新生成的双字节值名称设置为“SMBDeviceEnabled”,最后再将该键值的数值修改为“0”就可以了。
用防火墙限制Ping
为了检验WindowsServer2008服务器系统是否在线,不少朋友总会使用Ping命令来对服务器系统进行连通性测试操作;虽然这样的操作不会给服务器系统造成太大的影响,不过要是若干个用户同时对服务器系统进行Ping测试操作的话,那么服务器系统的运行性能就会受到明显影响了,并且一些非法用户还能通过Ping命令获得服务器系统的一些状态信息,之后可能会根据该状态信息对服务器系统进行有针对性攻击。
为了避免WindowsServer2008服务器系统遭遇非法Ping测试操作,我们可以利用该系统自带的高级防火墙功能,来巧妙定制禁止ping测试操作的安全策略,下面就是使用防火墙定义禁止ping测试操作规则的具体步骤:
首先以系统管理员身份登录进WindowsServer2008服务器系统,打开该系统的“开始”菜单,从中依次选择“程序”/“管理工具”/“服务器管理器”选项,在弹出的服务器管理器窗口中,依次展开左侧显示区域中的“配置”/“高级安全Windows防火墙”分支选项,进入WindowsServer2008服务器系统的防火墙高级安全设置窗口;
图3用防火墙限制Ping
其次从该设置窗口中找到“查看和创建防火墙规则”设置项,单击该设置项下面的“入站规则”选项,之后在对应该选项的右侧操作列表中,单击其中的“新规则”选项,进入防火墙高级安全规则创建向导窗口,当向导窗口提示我们选择创建类型时,我们可以先选中“自定义”选项,并单击“下一步”按钮;
之后向导窗口会提示我们该规则应用于所有程序还是特定程序,此时我们可以选中“所有程序”选项,继续单击“下一步”按钮,打开如图3所示的向导设置界面,选中其中的“ICMPv4”选项,再单击“下一步”按钮,紧接着将此规则设置为匹配本地的“任何IP地址”以及远程的“任何IP地址”,再将连接条件参数设置为“阻止连接”,最后依照向导提示设置好适用该规则的具体网络环境,同时为这个刚刚创建好的高级安全规则取一个恰当的名称;等到上面的各项设置操作完毕后,将WindowsServer2008系统重新启动一下,那样的话普通电脑就无法对服务器系统进行Ping测试操作了,那么服务器系统受到非法攻击的可能性就会明显减少了。
拒绝远程访问服务器
有时候,网络管理员没有妥善保管好服务器系统的账号信息,一旦别有用心的人意外获悉该账号时,他们就能通过远程方式来访问服务器系统,并对服务器系统做出一些破坏性操作,从而导致服务器系统无法正常为局域网用户服务。
为了有效保护WindowsServer2008服务器系统的安全,我们需要禁止任何用户来对服务器系统进行远程管理,这么一来服务器系统的管理员账号即使发生了丢失,但非法用户由于无法到服务器现场,他们同样也无法对服务器进行各种非法破坏操作;下面,就是拒绝任何用户通过远程方式访问WindowsServer2008服务器系统的具体操作步骤:
首先以系统管理员身份登录进WindowsServer2008服务器系统,打开该系统的“开始”菜单,从中选择“运行”命令,在弹出的系统运行文本框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开服务器系统的组策略编辑窗口;
其次在该编辑窗口的左侧显示区域,选中“计算机配置”选项,再用鼠标依次展开该分支下面的“Windows设置”/“安全设置”/“本地策略”/“用户权限分配”选项,在对应该选项的右侧显示区域中,用鼠标双击“从网络访问此计算机”组策略选项,打开如图4所示的组策略选项设置对话框;
图4拒绝远程访问服务器
在这里,我们看到WindowsServer2008服务器系统在默认状态下会允许四类用户通过网络来远程访问服务器系统,为了禁止这些用户对服务器系统进行远程访问,我们可以将这里的所有用户账号依次选中,再单击“删除”按钮,如此一来任何用户也不能通过网络远程访问服务器系统了。
当然,要是我们只想限制用户通过网络远程关闭服务器系统时,那只需要打开“从远程系统强制关机”组策略属性设置窗口,在该设置窗口中删除所有的用户账号就可以了。
记忆非法账号登录信息
在对服务器系统进行管理维护的时候,网络管理员可能会碰到这样一种特殊情形,那就是网络管理员在短时间离开服务器现场一段时间后,可能有某个非法攻击者趁机偷偷登录进服务器系统实施破坏攻击。
很明显,倘若本地服务器系统中存储有非常重要的隐私信息时,那无疑会存在很大的安全隐患。
事实上,我们可以对WindowsServer2008服务器系统的组策略参数进行适当设置,来让服务器能够对非法账号的登录信息进行自动记忆,以便帮助网络管理员日后能够找到故障“祸首”,下面就是设置服务器系统组策略的具体步骤:
首先以系统管理员身份登录进WindowsServer2008服务器系统,打开该系统的“开始”菜单,从中选择“运行”命令,在弹出的系统运行文本框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开服务器系统的组策略编辑窗口;
图5记忆非法账号登录信息
其次在该组策略编辑界面左侧显示窗格中选中“计算机配置”选项,再用鼠标双击该选项下面的“管理模板”/“Windows组件”/“Windows登录选项”组策略子项,在“Windows登录选项”下面用鼠标双击“在用户登录期间显示有关以前登录的信息”项目,打开如图5所示的组策略属性设置界面,检查其中的“已启动”选项是否处于选中状态,要是发现它还没有被选中时,我们可以及时将它选中,最后单击设置界面中的“确定”按钮,如此一来WindowsServer2008服务器系统就能对非法账号的登录状态信息进行自动记忆了。
日后,当网络管理员由于急事临时离开WindowsServer2008服务器主机现场时,如果某个非法攻击趁机偷偷登录进服务器系统时,那么该非法用户的账号登录状态就会被服务器系统自动记忆下来;当网络管理员下次重新启动WindowsServer2008系统并输入登录密码,再单击“确定”按钮后,网络管理员就能从屏幕上看到究竟是哪位非法用户偷偷登录本地服务器的了,此时网络管理员就能采取有针对性的措施来进行安全防范了。
自动跟踪恶意攻击记录
为了阻止网络中的各种病毒、木马、黑客对WindowsServer2008服务器系统造成非法攻击,许多网络管理员肯定会想方设法地要在本地服务器系统中安装各种正版的防火墙软件或杀毒程序,然而多数情况下,我们手头并没有正版的专业防火墙或杀毒软件可以使用,在这种条件下我们不妨尝试使用服务器系统内置的防火墙工具来有效保护服务器系统的运行安全性。
这不,WindowsServer2008服务器系统内置的防火墙具有对各种已经的检测和未知的检测进行自动记录功能,巧妙地使用该功能,我们可以让服务器系统自动跟踪记忆那些企图对服务器系统进行恶意攻击的痕迹;以后,一旦服务器系统遇到安全故障或其他威胁时,网络管理员只要及时地打开防火墙程序对应的日志记录,说不定就能从中找到攻击服务器的“罪槐祸首”了。
在启用WindowsServer2008服务器系统内置防火墙的安全记录功能时,我们不妨依照如下步骤来进行:
图6自动跟踪恶意攻击记录
首先以系统管理员身份登录进WindowsServer2008服务器系统,打开该系统的“开始”菜单,从中选择“运行”命令,在弹出的系统运行文本框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开服务器系统的组策略编辑窗口;
其次在该组策略编辑界面左侧显示窗格中选中“计算机配置”选项,再用鼠标依次选择该选项下面的“管理模板”/“Windows组件”/“WindowsDefender”子项,从“WindowsDefender”选项对应的右侧显示区域中找到“启用记录已知的正确检测”组策略项目,并用鼠标双击该项目,打开如图6所示的组策略属性设置界面,选中其中的“已启用”选项,再单击“确定”按钮,那样一来WindowsServer2008服务器系统防火墙就可以对已知文件进行跟踪测试,并将跟踪测试结果自动记录保存到对应日志文件中;
按照同样的操作办法,我们再依次展开“计算机配置”分支下面的“管理模板”/“Windows组件”/“WindowsDefender”子项,并从“WindowsDefender”子项对应的右侧显示区域中双击“启用记录未知检测”组策略选项,在其后出现的目标组策略属性设置界面中,也选中“已启用”项目,最后单击“确定”按钮,那样的话WindowsServer2008服务器系统内置的防火墙日后也会对未知的操作进行跟踪测试,并且会将跟踪测试结果保存到对应的日志文件中。
以后,当WindowsServer2008服务器系统遇到安全故障时,我们只要打开相应的日志文件,说不定就能从中找到故障应对的办法了。
设置网络策略让访问Win2008更安全
2009-09-2307:
00来源:
中国IT实验室作者:
佚名【网友评论0条查看】
0
点击分享
在局域网环境中,许多普通工作站由于没有及时安装系统补丁程序或者没有更新病毒库,导致对应系统可能存在很多安全隐患,当这些工作站尝试访问局域网网络时,可能会给整个网络的安全带来比较大的威胁。
在局域网环境中,许多普通工作站由于没有及时安装系统补丁程序或者没有更新病毒库,导致对应系统可能存在很多安全隐患,当这些工作站尝试访问局域网网络时,可能会给整个网络的安全带来比较大的威胁。
那如何才能避免这些工作站将各种潜在的安全威胁带到服务器系统中,从而给服务器系统造成非常大的影响呢?
要做到这一点,我们可以通过设置WindowsServer2008系统的网络策略,来保护服务器系统的安全,禁止危险工作站将网络病毒或木马带入到服务器系统中!
认识网络策略
为了有效保护网络以及服务器系统的安全,WindowsServer2008特意为我们新增加了网络策略服务器功能以及其他多项安全保护措施,利用网络策略功能服务器系统将会强制要求任何一台企图与之连接的普通工作站都要通过特定的网络健康检查,比方说普通工作站中是否安装了防火墙程序,是否及时更新了病毒库内容,是否安装了最新版本的系统补丁程序等,只有当普通工作站符合各种安全检查之后,服务器系统才允许该工作站连接服务器并访问其中的内容;而那些没有通过服务器系统安全检查的普通工作站将会被隔离到另外一个受限网络,或者降低服务器的访问权限。
在被隔离到另外一个受限网络中时,普通工作站需要及时通过受限网络来修复该工作站的安全状态,比方说迅速从局域网中的补丁服务器中下载安装系统补丁程序,强制启用系统中的防火墙程序等,在符合网络安全条件之后,该工作站往往就能正常访问服务器系统中的任何内容了。
内容导航
安装网络策略服务器
虽然WindowsServer2008系统已经内置了网络策略服务器功能,不过在默认状态下该功能并没有被启用,此时我们只有先将该功能组件安装起来,才能利用该功能的安全防范本领来保护服务器系统的安全。
在安装网络策略组件时,我们首先要以系统管理员权限进入到WindowsServer2008系统,打开该系统的“开始”菜单,从中依次选择“程序”/“管理工具”/“服务器管理器”命令,打开对应系统的服务器管理器窗口;
在该服务器管理器窗口的左侧显示区域,选中“角色”选项,在对应该选项的右侧显示区域中,单击“添加角色”功能图标,打开角色添加向导设置窗口;从该设置窗口的提示信息中,我们看到要安装网络策略组件需要做好三个方面的准备工作,第一就是确保管理员账号具有强密码,第二就是保证网络设置已经配制好,第三就是已经安装WindowsUpdate中的最新安全更新;
在确认上面的各项准备工作已经完成后,单击“下一步”按钮,打开如图1所示的服务器角色列表窗口中,在这里我们看到服务器系统在默认状态下并没有选中“网络策略和访问服务”功能组件,这说明网络策略功能此时并没有被安装;此时,我们可以及时选中这里的“网络策略和访问服务”选项,再单击“下一步”按钮;当屏幕上出现如图2所示的角色服务列表窗口时,选中“网络策略服务器”选项,继续单击“下一步”按钮,最后单击“安装”按钮,这样一来服务器系统就会自动将所选的角色、角色服务依次安装好了。
当网络策略组件安装操作结束后,系统会自动弹出提示现在可以利用该功能组件来配置服务器系统的网络访问保护了;并且此时此刻服务器系统中的DHCP服务也会自动将被新安装的网络策略服务器组件所替代,我们必须对网络策略服务器涉及的相关DHCP参数进行正确配置,才能起到很好的网络安全保护效果。
在缺省状态下,WindowsServer2008系统并没有将与网络策略服务器相关的“网络访问保护”组件启用起来,这需要我们在网络策略服务器的DHCP作用域属性中进行手工启用。
内容导航
设置网络策略服务器
在成功安装好网络策略服务器功能组件后,我们现在就能进入网络策略服务器来对它正确进行配置了,以便让它及时发挥作用,保护服务器系统的安全。
首先打开WindowsServer2008系统的“开始”菜单,从中依次选择“程序”/“管理工具”/“网络策略服务器”选项,打开网络策略服务器控制台窗口,如图3所示;
在该控制台窗口的左侧显示区域,我们发现网络策略服务器包含四方面的内容,它们分别是连接请求策略、网络策略、健康策略以及网络访问保护组件,这些策略和组件将会对访问单位服务器系统的普通工作站系统进行网络隔离、安全处理、健康策略审核以及网络访问保护;
使用连接请求策略,我们能够指定是在本地处理连接请求,还是将其转发到远程Radius服务器中去处理;
选用健康策略我们可以自定义普通工作站是否健康的标准,该策略通常与网络访问保护组件一起配合使用。
一般来说,我们通常需要在服务器系统中创建好两个基本策略,其中一个策略就是安全工作站的策略,另外一个就是不安全工作站的策略。
创建安全工作站的策略时,我们可以在网络策略服务器控制台窗口的左侧显示区域中,依次展开“策略”/“健康策略”选项,用鼠标右键单击“健康策略”选项,从弹出的快捷菜单中选择“新建”命令,打开如图4所示的设置对话框;在该设置对话框中将策略名称取为“安全工作站”,将“客户端SHV检查”设置为“客户端通过了所有SHV检查”,再单击“确定”按钮,这样一来安全工作站策略就创建成功了。
同样地,我们可以再创建一个“不安全工作站”策略,并将该策略的“客户端SHV检查”设置为“客户端未能通过所有SHV检查”。
那么究竟哪些工作站是安全的呢,又有哪些工作站是不安全的呢?
这需要借助网络访问保护组件下面的系统健康验证器进行评估!
而系统健康验证器将会强制检查普通工作站的一些设置,并将这些设置对照事先已经设置好的相关安全策略,来评估普通工作站究竟属于安全范围的还是不安全范围的。
比方说,我们假定系统如果不安装防火墙和杀毒软件的话,那就认定该工作站系统是不安全的;在配置这种安全策略时,我们可以在网络策略服务器控制台窗口的左侧显示区域中,依次展开“网络访问保护”/“系统健康验证器”选项,在对应该选项的右侧显示区域中,用鼠标右键单击“Windows安全健康验证程序”选项,从弹出的快捷菜单中执行“属性”命令,在其后出现的属性设置窗口中单击“配置”按钮,打开如图5所示的配置界面,在该界面中必须选中“已为所有网络连接启用防火墙”选项和“防病毒应用程序已启用”选项,最后单击“确定”按钮结束Windows安全健康验证配置操作,这么一来日后只要普通工作站安装了防火墙和杀毒软件,WindowsServer2008系统就认为该工作站是安全的工作站。
当WindowsServer2008系统检测到普通工作站属于不安全工作站时,网络策略服务器还提供了补救措施,以便让不安全的工作站自动访问局域网中的补丁更新服务器或病毒库更新服务器,从而及时将系统补丁程序以及更新病毒库程序安装到普通工作站中。
为了让不安全工作站能够自动安装补丁程序或自动更新病毒库,我们需要使用更新服务器组来定义不安全工作站能够访问哪些系统,以便从这些系统中能够自动将工作站的不安全状态恢复到安全状态。
在指定不安全工作站能够访问的服务器系统时,我们可以在网络策略服务器控制台窗口的左侧显示区域中,依次展开“网络访问保护”/“更新服务器组”选项,再用鼠标右键单击“更新服务器组”选项,从弹出的快捷菜单中执行“新建”命令,打开如图6所示的创建对话框,单击该对话框中的“添加”按钮,在其后界面中正确输入系统补丁更新服务器或病毒库更新服务器的主机名称或IP地址,这么一来日后普通工作站被检测为不安全时,那它就会自动连接到系统补丁更新服务器或病毒库更新服务器,来安装系统补丁程序或更新病毒库了。
当普通工作站安装了补丁程序或更新了病毒库后,再次访问WindowsServer2008系统时,该系统就会认为它是安全工作站,此时该工作站就能允许连接到服务器系统中,那样一来我们就能最大限度地保证服务器系统的安全了。
当然,需要在这里提醒各位的是,上面的系统健康验证器、健康策略、连接请求策略、更新服务器组等都需要网络策略组合在一起,才能发挥出有效的作用;我们可以根据普通工作站安全状态确定如何对该工作站进行处理;例如,当发现普通工作站与不安全工作站策略相符时,那么我们可以定义网络策略,来指示局域网中的DHCP服务器为目标普通工作站提供一个受限作用域选项的IP租约,确保该工作站地址只能访问指定更新服务器组中定义的系统。
确保局域网安全稳定Win2008高级防火墙功能设置
2010-01-2210:
47:
29网界网
摘要:
在局域网中下载大容量的电影或其他多媒体数据,会消耗宝贵的带宽资源,并且很容易造成整个局域网网络不能稳定地运行。
事实上,我们可以利用Win2008系统新增加的高级安全防火墙功能,来控制恶意下载行为。
在管理、维护局域网的过程中,网络管理员或许经常会遇到这样的一种现象,那就是一些不自觉的上网用户往往会在局域网中偷偷使用P2P工具,来下载大容量的电影或其他多媒体数据,这种恶意下载操作消耗掉了局域网中有限的宝贵带宽资源,并且很容易造成整个局域网网络不能稳定地运行。
事实上,我们可以利用Win2008系统新增加的高级安全防火墙功能,来控制恶意下载行为。
考虑到P2P工具在进行恶意下载操作时,会通过系统的3077,3078端口对外进行网络通信,我们只要让高级安全防火墙功能限制3077,3078端口对外进行网络通信,就能实现阻止上
升级会员 