1、Windows Server 2008 安全配置基础一、及时打补丁二、阻止恶意 Ping 攻击我们知道,巧妙地利用 Windows 系统自带的 ping 命令,可以快速判断局域网中某台重要计算机的网络连通性;可是,ping 命令在给我们带来实用的同时,也容易被一些恶意用户所利用,例如恶意用户要是借助专业工具不停地向重要计算机发送 ping 命令测试包时,重要计算机系统由于无法对所有测试包进行应答,从而容易出现瘫痪现象。为了保证Windows Server 2008 服务器系统的运行稳定性,我们可以修改该系统的组策略参数,来禁止来自外网的非法 ping 攻击:首先以特权身份登录进入 Window
2、s Server 2008 服务器系统,依次点选该系统桌面上的“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击回车键后,进入对应系统的控制台窗口;其次选中该控制台左侧列表中的“计算机配置”节点选项,并从目标节点下面逐一点选“Windows 设置”、“安全设置”、“高级安全 Windows 防火墙”、“高级安全Windows 防火墙本地组策略对象”选项,再用鼠标选中目标选项下面的“入站规则”项目;接着在对应“入站规则”项目右侧的“操作”列表中,点选“新规则”选项,此时系统屏幕会自动弹出新建入站规则向导对话框,依照向导屏幕的提示,先将“自定义”选项选中
3、,再将“所有程序”项目选中,之后从协议类型列表中选中“ICMPv4”,如图 3 所示;协议类型列表中选中“ICMPv4”,之后向导屏幕会提示我们选择什么类型的连接条件时,我们可以选中“阻止连接”选项,同时依照实际情况设置好对应入站规则的应用环境,最后为当前创建的入站规则设置一个适当的名称。完成上面的设置任务后,将 Windows Server 2008 服务器系统重新启动一下,这么一来 Windows Server 2008 服务器系统日后就不会轻易受到来自外网的非法ping 测试攻击了。小提示:尽管通过 Windows Server 2008 服务器系统自带的高级安全防火墙功能,可以实现很多
4、安全防范目的,不过稍微懂得一点技术的非法攻击者,可以想办法修改防火墙的安全规则,那样一来我们自行定义的各种安全规则可能会发挥不了任何作用。为了阻止非法攻击者随意修改 Windows Server 2008 服务器系统的防火墙安全规则,我们可以进行下面的设置操作:首先打开 Windows Server 2008 服务器系统的“开始”菜单,点选“运行”命令,在弹出的系统运行文本框中执行“regedit”字符串命令,打开系统注册表控制台窗口;选中该窗口左侧显示区域处的 HKEY_LOCAL_MACHINE 节点选项,同时从目标分支下面选中SYSTEMControlSet001ServicesShar
5、edAccessParametersFirewallPolicyFirewallRules 注册表子项,该子项下面保存有很多安全规则;其次打开注册表控制台窗口中的“编辑”下拉菜单,从中点选“权限”选项,打开权限设置对话框,单击该对话框中的“添加”按钮,从其后出现的帐号选择框中选中“Everyone”帐号,同时将其导入进来;再将对应该帐号的“完全控制”权限调整为“拒绝”,最后点击“确定”按钮执行设置保存操作,如此一来非法用户日后就不能随意修改Windows Server 2008 服务器系统的各种安全控制规则了。 三、加强系统安全提示为了防止在 Windows Server 2008 服务器系统
6、中不小心进行了一些不安全操作,我们建议各位还是将该系统自带的 UAC 功能启用起来,并且该功能还能有效防范一些木马程序自动在系统后台进行安装操作,下面就是具体的启用步骤:首先以系统管理员身份进入 Windows Server 2008 系统,在该系统桌面中依次点选“开始“、“运行“命令,在弹出的系统运行文本框中,输入“msconfig“字符串命令,单击“确定“按钮后,进入对应系统的实用程序配置界面;其次在实用程序配置界面中单击“工具“标签,进入如图 4 所示的标签设置页面,从该设置页面的工具列表中找到“启用 UAC“项目,再单击“启动“按钮,最后单击“确定“按钮并重新启动一下 Windows
7、Server 2008 系统,如此一来用户日后在 Windows Server 2008 服务器系统中不小心进行一些不安全操作时,系统就能及时弹出安全提示。四、不让恶意插件偷袭当我们使用 Windows Server 2008 系统自带的 IE 浏览器访问 Internet 网络中的站点内容时,经常会看到有一些恶意插件程序偷偷在系统后台进行安装操作,一旦安装完毕后,我们往往很难将它们从系统中清除干净,并且它们的存在直接影响着 Windows Server 2008 系统的工作状态以及运行安全。为了不让恶意插件程序偷袭 Windows Server 2008 系统,我们可以通过下面的设置操作,来
8、阻止任何来自 Internet网络中的下载文件安装保存到本地系统中:首先以系统管理员身份进入 Windows Server 2008 系统,在该系统桌面中依次点选“开始“、“运行“命令,在弹出的系统运行文本框中,输入“gpedit.msc“字符串命令,单击“确定“按钮后,进入对应系统的组策略编辑窗口;其次将鼠标定位于组策略编辑窗口左侧的“计算机配置“节点选项上,再从该节点选项下面依次点选“管理模板“、“Windows 组件“、“Internet Explorer“、“安全功能“、“限制文件下载“组策略子项,在对应“限制文件下载“子项下面找到“Internet Explorer 进程“目标组策略
9、,并用鼠标双击该选项,进入如图 5所示的属性设置界面;在该属性设置界面中检查“已启用“选项是否处于选中状态,如果发现该选项还没有被选中时,我们应该将它重新选中,最后单击“确定“按钮保存上述设置操作,这样的话日后要是有恶意插件程序想偷偷下载保存到本地系统硬盘中时,我们就能看到对应的系统提示,单击提示窗口中的“取消“按钮就能阻止恶意插件程序下载安装到 Windows Server 2008 系统硬盘中了。五、拒绝网络病毒藏于临时文件现在 Internet 网络上的病毒疯狂肆虐,一些“狡猾”的网络病毒为了躲避杀毒软件的追杀,往往会想方设法地将自己隐藏于系统临时文件夹,那样一来杀毒软件即使找到了网络病
10、毒,也对它无可奈何,因为杀毒软件对系统临时文件夹根本无权“指手划脚”。为了防止网络病毒隐藏在系统临时文件夹中,我们可以按照下面的操作设置 Windows Server 2008 系统的软件限制策略:首先打开 Windows Server 2008 系统的“开始”菜单,从中点选“运行”命令,在弹出的系统运行对话框中,输入组策略编辑命令“gpedit.msc”,单击“确定”按钮后,进入对应系统的组策略控制台窗口;图 2 将“安全级别”参数设置为“不允许”其次在该控制台窗口的左侧位置处,依次选中“计算机配置”/“Windows 设置”/“安全设置”/“软件限制策略”/“其他规则”选项,同时用鼠标右键
11、单击该选项,并执行快捷菜单中的“新建路径规则”命令,打开如图 2 所示的设置对话框;单击其中的“浏览”按钮,从弹出的文件选择对话框中,选中并导入 Windows Server 2008 系统的临时文件夹,同时再将“安全级别”参数设置为“不允许”,最后单击“确定”按钮保存好上述设置操作,这样一来网络病毒日后就不能躲藏到系统的临时文件夹中了。 六、巧妙实时监控系统运行安全 为了能够在第一时间发现潜藏在本地系统中的安全威胁,相信很多人都安装了专业的监控工具,来对系统的运行状态进行全程监控。其实,Win2008 系统也自带有实时监控程序 Windows Defender,只是该程序并不像其他应用程序那
12、样会在系统托盘区域处出现一个控制图标,不过该程序一旦看到 Win2008 系统遭遇间谍程序的攻击时,它往往会立即发挥作用来帮助用户解决问题。尽管 Windows Defender 程序平时并不显现出来,不过该程序实际上在系统后台启动了一个服务,通过该系统服务默默地保护 Win2008 系统的安全;我们可以按照下面的操作,确认 Windows Defender 程序的服务状态是否正常:首先依次点选 Win2008 系统桌面中的“ 开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“services.msc”,单击回车键后,打开系统服务列表窗口 ;其次从系统服务列表窗口的左侧位置处,找
13、到目标系统服务选项“Windows Defender”,并用鼠标右键单击该选项,从弹出的快捷菜单中执行“属性” 命令,打开 Windows Defender服务的属性设置窗口,在该窗口的“常规” 标签页面中,我们可以非常清楚地看到目标系统服务的运行状态是否正常,要是发现该服务已经被关闭运行时,我们必须及时单击“启动”按钮将它重新启动起来,同时将它的启动类型参数修改为“自动” ,最后单击“确定”按钮保存好上述设置操作,这么一来我们就能确保 Windows Defender 服务时刻来保护 Win2008 系统的安全了。为了让 Windows Defender 服务更有针对性地进行实时监控,我们还
14、可以修改Win2008 系统的组策略参数,让 Windows Defender 程序对已知文件或未知文件进行监测,同时对监测结果进行跟踪记录,下面就是具体的修改步骤:首先在 Win2008 系统桌面中依次单击 “开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击回车键后,打开系统的组策略控制台窗口;其次在该控制台窗口的左侧显示区域处,依次点选“计算机配置”/“管理模板”/“Windows组件”/“Windows Defender”组策略子项,从目标子项下面找到“ 启用记录已知的正确检测”选项,并用鼠标右键单击该选项,从弹出的快捷菜单中执行“属性” 命令
15、,打开目标组策略的属性设置窗口,如图 3 所示;在该设置窗口中,检查“已启用”选项是否处于选中状态,如果发现该选项还没有被选中时,我们必须及时将它重新选中,再单击“确定” 按钮保存好上述设置操作。按照同样的操作步骤,我们再打开“启用记录未知检测 ”组策略的属性设置对话框,选中其中的 “已启用”选项,这么一来 Win2008 系统日后就会对各种类型的文件进行自动检测、记录,我们只要定期查看记录内容就能知道本地系统是否存在安全威胁了。七、及时监控系统账号恶意创建 有的时候,一些非法攻击者会利用木马程序偷偷在计算机系统中恶意创建登录帐号,以便日后可以利用该帐号来对本地系统实施非法攻击。为了及时监控本
16、地系统中是否有新的账号被偷偷创建,我们可以巧妙利用 Win2008 系统的附加任务功能,针对系统帐号创建事件添加自动报警任务,确保系统中有新的登录帐号生成时,及时向系统管理员发出报警信息,确保系统管理员在第一时间判断出新创建的登录帐号是否合法,下面就是具体的实现步骤:首先在 Win2008 系统桌面中,依次点选 “开始”/“运行 ”命令,从弹出的系统运行框中执行“secpol.msc”命令,进入本地安全策略设置界面,从该界面的左侧位置处逐一展开“安全设置”、“ 本地策略” 、“审核策略”节点选项,再从目标节点下面找到“审核帐户管理”组策略选项,打开如图 4 所示的设置对话框,将该对话框中的“
17、成功”、“ 失败”选项全部选中,再单击“确定”按钮保存好上述设置操作;其次用鼠标右键单击 Win2008 系统桌面中的“计算机”图标,从弹出的快捷菜单中点选“管理”命令,打开对应系统的计算机管理对话框,在该对话框的左侧显示区域依次点选“服务器管理器”/“配置”/“ 本地用户和组”/“ 用户” 选项,同时用鼠标右键单击该选项,并执行快捷菜单中的“新用户”命令,在其后出现的新用户创建对话框中,随意创建一个用户账号,一旦创建成功后,系统就会自动生成一个登录账号创建成功日志记录;接着依次单击“开始”/“程序”/“管理工具”/“事件查看器”选项,打开事件查看器控制台窗口,从该控制台窗口的左侧位置处依次点
18、选“Windows 日志”/“系统” 分支选项,并从目标分支下面找到刚刚生成的新用户账号创建成功的日志记录,再用鼠标右键单击该记录选项,同时执行右键菜单中的“将任务附加到此事件 ”命令,打开创建基本任务向导对话框 ;按照向导提示将基本任务名称设置为“账号创建报警”,将该任务执行的操作设置为“显示消息”,之后设置消息标题为 “谨防账号被恶意创建”,将消息内容设置为“有新用户账号刚刚被创建,请系统管理员立即验证其合法性”,最后单击“完成”按钮结束基本任务的附加操作,如此一来日后本地 Win2008 系统中有新的用户账号被偷偷创建时,系统屏幕上会立即出现“有新用户账号刚刚被创建,请系统管理员立即验证
19、其合法性” 这样的提示信息,看到这样的提示系统管理员就能及时监控到有人在偷偷创建用户账号了,此时只要采用针对性措施进行应对就能保证本地 Win2008 系统的运行安全性了八、限制数量,确保远程连接高效很多人为了方便管理 Windows Server 2008 服务器系统,往往会将该系统的远程桌面连接数量设置得很大;殊不知,每一个远程桌面连接都需要耗费 Windows Server 2008 服务器系统资源,一旦同时建立的远程连接数量比较多时,那么 Windows Server 2008 服务器系统的反应就比较迟钝,这样一来每一个远程桌面连接的反应自然也就迟钝了,此时自然也就不能高效进行远程控制
20、操作了。为了确保远程桌面连接始终高效,我们可以对 Windows Server 2008 服务器系统允许建立的远程连接数量进行适当限制,下面就是具体的限制步骤:首先打开 Windows Server 2008 服务器系统的“开始”菜单,从中依次点选/“设置”/“控制面板 ”命令,在弹出的系统控制面板窗口中,用鼠标双击“管理工具”图表,再从系统管理工具列表窗口中依次双击“终端服务”、“终端服务配置”选项,弹出系统终端服务配置界面;其次在终端服务配置界面的左侧位置处单击“授权诊断”节点选项,选中在对应该分支选项的右侧显示区域中的“RDP-Tcp”选项,并用鼠标右键单击“RDP-Tcp”选项,再点选
21、快捷菜单中的“属性”命令,进入到“RDP-Tcp”选项设置界面;点选“RDP-Tcp”选项设置界面中的“网络适配器”选项卡,在对应的选项设置页面中,将最大连接数参数修改为适当的数值,该数值通常需要根据服务器系统的硬件性能来设置,一般情况下我们可以将该数值设置为“5”以下,最后单击“确定”按钮执行设置保存操作。图 2 修改注册表限制远程连接数量要是我们对系统注册表比较熟悉的话,也可以通过修改系统相关键值的方法,来限制Windows Server 2008 服务器系统的远程桌面连接数量;我们可以打开对应系统的“开始”菜单,从中点选“运行”命令,在弹出的系统运行对话框中输入字符串命令“regedit
22、”,单击回车键后,进入系统注册表控制台窗口;展开该控制台窗口中的“HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services”注册表子项(如图 2 所示) ,在目标注册表子项下面创建好“MaxInstanceCount”双字节值,同时将该键值数值调整为“10”,最后单击“确定”按钮保存好上述设置操作。九、防止系统安全级别意外降低在公共场合下,与他人共用一台电脑的事情是经常会出现的,当我们辛辛苦苦地将本地电脑的 IE 浏览器安全级别调整合适后,肯定不想让其他人再随意降低它的安全级别,毕竟随意降低 IE 浏览器的安全级别,容易引起本地电脑遭遇网络病毒或恶意木马的袭击,最终造成所有的人都不能正常使用电脑。为了防止系统安全级别意外降低,安装了 Windows Server 2008 系统的电脑可以允许用户进行下面的设置操作:
