1、网络工程设计与系统集成,杨 威,人民邮电出版社,(第3版)Network Engineering Design and System Integration(3nd Edition),“十二五”普通高等教育本科国家级规划教材,普通高等教育“十一五”国家级规划教材,2018/3/4,问题思考,你的电脑安全? 电脑访问Internet时,受到安全威胁怎么办?如何解决防御病毒、黑客攻击?,2018/3/4,学习目标:(1)了解网络安全面临的问题,解决问题的技术与方法。识别802.1x+Radius及其他的网络准入/准出控制技术的差异,熟悉防止IP地址盗用方法。能够按照网络准入/准出控制需求,设计网络
2、准入/准出控制技术方案。(2)熟悉Windows Server 2008 的安全功能,会安装与配置Windows Server 2008 操作系统的安全机制。理解IIS的安全机制,熟悉Web服务器安全设置方法,能够充分运用Windows Server 2008的安全机制,设置Web服务器的安全机制。(3)识别防火墙、路由器在网络边界安全中的作用,理解建立网络DMZ的方法。会使用路由器的标准、扩展访问控制列表,建立网络边界安全规则及保护内网服务器的安全。能够根据中小型网络安全的需求,设计中小型网络安全技术方案。,第8章网络安全技术与应用,2018/3/4,本章重点:802.1x协议及工作机制常用
3、的网络安全技术措施防止IP地址盗用,网络防病毒技术使用路由器+防火墙保护网络边界扩展访问列表与应用, NAT协议保护内网的安全Windows Server 2008操作系统安全加固技术,Web服务器安全设置技术本章难点:使用路由器+防火墙保护网络边界扩展访问列表与应用,第8章网络安全技术与应用,2018/3/4,网络安全概述 网络准入与准出控制 操作系统安全设置 Web网站安全设置 保护网络边界安全,第8章网络安全技术与应用,2018/3/4,攻击手段,8.1.1 网络安全威胁,2018/3/4,非法权限类,特洛伊木马系统欺骗拒绝服务入侵窃取,2018/3/4,一种未经授权的程序,或在合法程序
4、中有一段未经授权的程序代码,或在合法程序中包含有一段用户不了解的程序功能。上述程序对用户来说具有恶意的行为。,PKZIP300,特洛伊木马,非法权限类,信息窃取类逻辑炸弹类,陷阱入口类功能欺骗类,2018/3/4,木马病毒有可能洗劫用户网上银行存款、造成网络游戏玩家装备丢失、被黑客利用执行不法行为等。如今,针对以上各种现象的危害越来越多,木马病毒已成为威胁数字娱乐的大敌 根据木马病毒的特点与其危害范围来讲,木马病毒又分为以下五大类别:针对网游的木马病毒、针对网上银行的木马病毒、针对即时通讯工具的木马病毒、给计算机开后门的木马病毒、推广广告的木马病毒。,木马程序,2018/3/4,网站挂马,从“
5、挂马”这个词中可以知道,这和木马脱离不了关系。挂马就是黑客入侵了一些网站后,将自己编写的网页木马嵌入被黑网站的主页中,利用被黑网站的流量将自己的网页木马传播开去,以达到自己不可告人的目的。挂马使用的木马大致可以分为两类。一类是以远程控制为目的的木马,黑客使用这种木马进行挂马攻击,其目的是对某些网站实施拒绝服务攻击或达到其他目的。另一类是键盘记录木马,通常称其为盗号木马,这类木马用于盗取用户的游戏账号或者银行账号。,2018/3/4,信息窃取类攻击系统权限,2018/3/4,信息窃取类攻击系统权限-1,2018/3/4,信息窃取类攻击系统权限-2,2018/3/4,攻击口令,信息窃取类,伪造登录
6、现场,LOGIN特洛伊木马,2018/3/4,指示输入错误,重输入,捕获口令退出,LOGIN特洛伊木马,信息窃取类攻击口令-1,2018/3/4,真实登录现场,Pale Rider,密码被窃取,采用TSR技术也可达到同样的目的,输入正确进入系统,信息窃取类攻击口令-2,2018/3/4,伪造ATM是典型的欺骗类特洛伊木马案件。,信息窃取类攻击口令-3,2018/3/4,逻辑炸弹,逻辑炸弹是程序中的一部分,满足一定条件时激活某种特定的程序,并产生系统自毁,并附带破坏。,2018/3/4,逻辑炸弹-1,潜伏代码,满足条件否?,满足而爆炸,满足而爆炸,2018/3/4,陷阱入口,2018/3/4,I
7、nternet,攻击模式,WORM_SASSER.A,染毒电脑,未修补漏洞的系统,已修补漏洞的系统,被感染,不被感染,不被感染,被感染,被感染,不被感染,不被感染,2018/3/4,拨号用户 B,拨号用户 C,拨号用户 A,拨号用户 D,Internet,垃圾邮件,病毒破坏,黑客攻击,资源滥用,信息泄密,DOS攻击,不良信息,终端安全,信息丢失,未授权接入,非法外联监控,安全事件处理,IT 系统运维面临的问题,2018/3/4,导致这些问题的原因是什么?,病毒泛滥:计算机病毒的感染率比例非常高,高达89.73% 软件漏洞:软件系统中的漏洞也不断被发现,从漏洞公布到出现攻击代码的时间为5.8天黑
8、客攻击:世界上目前有20多万个黑客网站,各种黑客工具随时都可以找到,攻击方法达几千种之多。 移动用户越来越多:网络用户往往跨越多个工作区域,以上相关数据来自Symantec。,2018/3/4,现有网络安全防御体制,现有网络安全体制,IDS68%,杀毒软件99%,防火墙98%,ACL(规则控制)71%,*2004 CSI/FBI Computer Crime and Security Survey资料来源:Computer Security Institute,2018/3/4,移动用户D,广域网,如何进行信息系统的等级化保护?,各信息系统依据重要程度的等级需要划分不同安全强度的安全域,采取不
9、同的安全控制措施和制定安全策略,2018/3/4,完成安全设施的重新部署或响应,如何从全局角度对安全状况分析、评估与管理,获得全局安全视图,制定安全策略指导或自动,Internet,p,用户如何管理现有安全资源并执行策略机制?,补丁服务器,p,打补丁了吗?,更新补丁了吗?,p,p,p,p,p,p,p,p,p,p,p,困境无法知道哪些机器没有安装漏洞补丁知道哪些机器但是找不到机器在哪里机器太多不知如何做起,2018/3/4,Internet,用户如何防止内部信息的泄露?,未经安全检查与过滤,违规接入内部网络,私自拨号上网,2018/3/4,Internet,用户如何实现积极防御和综合防范?,怎样
10、定位病毒源或者攻击源,怎样实时监控病毒 与攻击,2018/3/4,我,们,怎,么,办,?,2018/3/4,语音教室网段,财务网段,多媒体教室网段,内部办公网段1,数字图书馆网段,教学网段1,网站,OA网段,教学网段3,教学网段2,教学网段4,网管网段,校园网服务器群,Internet,保户网络与基础设施的安全,1、网络设备2、通讯设备3、通讯线路4、可用性5、机密性6、完整性7、可管理性,保护边界与外部连接,边界进出数据流的有效控制与监视,保护计算环境,操作系统数据库系统终端,保护应用业务系统,办公自动化系统其他应用系统.,网络基础设施保护需求,教学网段5,内部办公N,2018/3/4,In
11、tranet,边界处的访问控制,边界处的病毒与恶意代码防护,边界内部的网络扫描与拨号监控,边界处的网络入侵检测,边界处的认证与授权,网络边界与外部连接的保护需求,边界处的垃圾邮件和内容过滤,2018/3/4,计算环境的保护需求,基于主机的入侵检测,基于主机的恶意代码和病毒检测,主机脆弱性扫描,主机系统加固,主机文件完整性检查,主机用户认证与授权,主机数据存储安全,主机访问控制,看不懂,进不来,改不了,跑不了,可审查,信息安全的目的,打不垮,2018/3/4,采取的解决办法一,对于非法访问及攻击类 -在非可信网络接口处安装访问控制防火墙、蠕虫墙、Dos/DDos墙、IPsec VPN、SSL V
12、PN、内容过滤系统,2018/3/4,领导网段,Internet,防火墙、IPSEC VPN、SSL VPN、内容过滤等,防DOS/DDOS设备,个人安全套件,语音教室网段,财务网段,多媒体教室网段,内部办公网段1,数字图书馆网段,内部办公N,OA网段,教学网段3,教学网段2,教学网段4,网管网段,校园网服务器群,教学网段5,2018/3/4,采取的解决办法二,对于病毒、蠕虫、木马类 -实施全网络防病毒系统对于垃圾邮件类 -在网关处实施防垃圾邮件系统,2018/3/4,Internet,邮件过滤网关、反垃圾邮件系统,在MAIL系统中邮件病毒过滤系统、反垃圾邮件系统,领导网段,语音教室网段,财务
13、网段,多媒体教室网段,内部办公网段1,数字图书馆网段,内部办公N,OA网段,教学网段3,教学网段2,教学网段4,网管网段,校园网服务器群,教学网段5,2018/3/4,采取的解决办法三,对于内部信息泄露、非法外联、内部攻击类 -在各网络中安装IDS系统 -在系统中安装安全隐患扫描系统 -在系统中安装事件分析响应系统 -在主机中安装资源管理系统 -在主机中安装防火墙系统 -在重要主机中安装内容过滤系统 -在重要主机中安装VPN系统,2018/3/4,人事商务网段,Internet,领导网段,语音教室网段,财务网段,多媒体教室网段,内部办公网段1,数字图书馆网段,内部办公N,OA网段,教学网段3,
14、教学网段2,教学网段4,网管网段,校园网服务器群,教学网段5,2018/3/4,采取的解决办法四,对于系统统一管理、信息分析、事件分析响应 -在网络中配置管理系统 -在网络中配置信息审计系统 -在网络中配置日志审计系统 -在网络中补丁分发系统 -在网络中配置安全管理中心,2018/3/4,销售体系网段N,Internet,安全审计中心,01010100,01010100,01010100,01010100,01010100,01010100,01010100,01010100,01010100,01010100,01010100,01010100,领导网段,语音教室网段,财务网段,多媒体教室网
15、段,内部办公网段1,数字图书馆网段,内部办公N,OA网段,教学网段3,教学网段2,教学网段4,网管网段,校园网服务器群,教学网段5,2018/3/4,Internet,领导网段,语音教室网段,财务网段,多媒体教室网段,内部办公网段1,数字图书馆网段,内部办公N,OA网段,教学网段3,安服网段,教学网段4,网管网段,校园网服务器群,教学网段5,2018/3/4,问题时间,2018/3/4,8.2 网络安全接入与认证,802.1x协议及工作机制 基于RADIUS的认证 基于802.1x的认证 几种认证方式比较 防止IP地址盗用 802.1x+RADIUS的应用案例,2018/3/4,8.2.1 8
16、02.1x协议及工作机制,802.1x协议称为基于端口的访问控制协议(Port Based Network Access Control Protocol),该协议的核心内容如下图所示。靠近用户一侧的以太网交换机上放置一个EAP(Extensible Authentication Protocol,可扩展的认证协议)代理,用户PC机运行EAPoE(EAP over Ethernet)的客户端软件与交换机通信。,2018/3/4,802.1x协议包括三个重要部分:客户端请求系统(Supplicant System)认证系统(Authenticator System)认证服务器(Authentic
17、ation Server System),8.2.1 802.1x协议及工作机制,上图描述了三者之间的关系以及互相之间的通信。客户机安装一个EAPoE客户端软件,该软件支持交换机端口的接入控制,用户通过启动客户端软件发起802.1x协议的认证过程。,认证系统通常为支持802.1x协议的交换机。该交换机有两个逻辑端口:受控端口和非受控端口。非受控端口始终处于双向连通状态,主要用来传递EAPoE协议帧,保证客户端始终可以发出或接受认证。受控端口只有在认证通过之后才导通,用于传递网络信息。如果用户未通过认证,受控端口处于非导通状态,则用户无法访问网络信息。受控端口可配置为双向受控和仅输入受控两种方式
18、,以适应不同的应用环境。,2018/3/4,8.2.2 基于RADIUS的认证,衡量RADIUS的标准 RADIUS的性能是用户该关注的地方,比如,能接受多少请求以及能处理多少事务。同时遵循标准,并具备良好的与接入控制设备的互操作性是RADIUS服务器好坏的重要指标。安全性也是关注的重点,服务器在和网络接入服务器(NAS,Network Access Servers)通信的过程中是如何保证安全和完整性的。另外,RADIUS是否能够让管理员实现诸多管理安全特性和策略是非常重要的一环。是否支持强制时间配额,这种功能使网络管理员可以限制用户或用户组能够通过RADIUS服务器接入网络多长时间。RADI
19、US服务器是否都通过ODBC或JDBC,利用SQL Server数据库保存和访问用户配置文件。,RADIUS认证系统的组成RADIUS是一种C/S结构的协议。Radius Client一般是指与NAS通信的、处理用户上网验证的软件;Radius Server一般是指认证服务器上的计费和用户验证软件。Server与Client通信进行认证处理,这两个软件都是遵循RFC相关Radius协议设计的。RADIUS的客户端最初就是NAS,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。如下图。,RADIUS的工作原理用户接入NAS,NAS向RADIUS服务器使用Access-R
20、equire数据包提交用户信息,包括用户名、口令等相关信息。其中用户口令是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播。RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证。如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问。如果允许访问,NAS向RADIUS服务器提出计费请求Account-Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。,2
21、018/3/4,8.2.3 基于802.1x的认证,(1)用户开始上网时,启动802.1x客户端软件。该软件查询网络上能处理EAPoE数据包的交换机。当支持802.1x协议的交换机接收到EAPoE数据包时,就会向请求者发送响应的包,要求用户输入登录用户名及口令。(2)客户端收到交换机的响应后,提供身份标识给认证服务器。由于此时客户端还未经过验证,因此认证流只能从交换机未受控逻辑端口经过。交换机通过EAP协议将认证流转发到AAA服务器,进行认证。(3)如果认证通过,则认证系统的交换机的受控逻辑端口打开。(4)客户端软件发起DHCP请求,经认证交换机转发到DHCP Server。(5)DHCP S
22、erver为用户分配IP地址。,(6)DHCP Server分配的地址信息返回给认证系统的服务器,服务器记录用户的相关信息,如用户ID,MAC,IP地址等信息,并建立动态的ACL访问列表,以限制用户的权限。(7)当认证交换机检测到用户的上网流量,就会向认证服务器发送计费信息,开始对用户计费。(8)当用户退出网络时间,可用鼠标点击客户端软件(在用户上网期间,该软件处于运行状态)的“退出”按钮。认证系统检测到该数据包后,会通知AAA(Authentication,Authorization,Accounting)服务器停止计费,并删除用户的相关信息(如MAC和IP地址),受控逻辑端口关闭。用户进入
23、再认证状态。(9)如果上网的PC机异常死机,当验证设备检测不到PC机在线状态后,则认为用户已经下线,即向认证服务器发送终止计费的信息。,2018/3/4,8.2.4 几种认证方式比较,PPPoE+Radius: PPPoE的本质就是在以太网上运行PPP协议。由于PPP协议认证过程的第一阶段是发现阶段,广播只能在二层网络,才能发现宽带接入服务器。因此,也就决定了在客户机和服务器之间,不能有路由器或三层交换机。另外,由于PPPoE点对点的本质,在客户机和服务器之间,限制了组播协议存在。这样,将会在一定程度上,影响视频业务的开展。除此之外,PPP协议需要再次封装到以太网中,所以效率较低。,2018/
24、3/4,WebRadius,WebRadius认证是网络用户连接Internet时常采用的一种技术方案。如图8.8所示。这种认证方式是通过IE浏览器访问Radius服务器,用户在登录界面输入“用户名+口令”。Radius服务器检查用户名、口令是否正确,若认证通过,用户即可访问外网。该技术方案的优点是客户机无需配置认证协议,用户账号可以在局域网内漫游。其缺点是账号可能被盗用,也不能防止IP地址盗。与PPPoE一样,用户连接外网的性能受制于Radius服务器的性能。,2018/3/4,802.1x+ Radius,802.1x+Radius技术方案与前两种不同。Radius服务器连接在核心交换机,
25、通过支持802.1x协议的交换机,在PC机连接网络时进行认证。如图8.9所示。这种认证方式也称为安全可信接入认证 .,2018/3/4,8.2.5 IP地址设置与防盗用,IP地址自动设置,2018/3/4,8.2.5 防止IP地址盗用,2. 使用ARP命令(1)使用操作系统的ARP命令进入“MS-DOS方式”或“命令提示符”,在命令提示符下输入命令:ARP s 202.208.176.3 00-10-5C-AD-72-E3,即可把MAC地址00-10-5C-AD-72-E3和IP地址202.208.176.3捆绑在一起。这样,就不会出现客户机IP地址被盗用而不能正常使用网络的情况发生。ARP命
26、令仅对局域网的上网服务器、客户机的静态IP地址有效。当被绑定IP地址的计算机宕机后,地址帮绑定关系解除。如果采用Modem拨号上网或是动态IP地址就不起作用。ARP命令的参数的功能如下:ARP -s -d -a-s:将相应的IP地址与物理地址的捆绑,如以上所举的例子。-d:删除相应的IP地址与物理地址的捆绑。-a:通过查询ARP协议表显示IP地址和对应物理地址的情况。,(2)使用交换机的ARP命令例如,Cisco的二层和三层交换机。在二层交换机只能绑定与该交换机IP地址具有相同网络地址的IP地址。在三层交换机可以绑定该设备所有VLAN的IP地址。交换机支持静态绑定和动态帮绑定,一般采用静态绑定
27、。其绑定操作过程是:采用Telnet命令或Console口连接交换机,进入特权模式;输入config,进入全局配置模式;输入绑定命令:arp 202.208.176.3 0010.5CAD.72E3 arpa;至此,即可完成绑定。绑定的解除,在全局配置模式下输入:no arp 202.208.176.3即可。,2018/3/4,8.2.5 防止IP地址盗用,3. 使用802.1x的安全接入防止IP盗用 (1)采用IP和账号绑定,防止静态IP冲突 用户进行802.1x认证时,用户还没有通过认证,该用户与网络是隔离的,其指定的IP不会与别的用户IP冲突。当用户使用账号密码试图通过认证时,因为认证服
28、务器端该用户账号和其IP做了绑定,认证服务器对其不予通过认证,从而同样不会造成IP冲突。当用户使用正确的账号IP通过认证后,再更改IP时,Radius客户端软件能够检测到IP的更改,即刻剔除用户下线,从而不会造成IP冲突。,(2)采用客户IP属性校验,防止动态IP冲突 用户进行802.1X认证前不用动态获得IP,而是静态指定。认证前用户还没有通过认证,该用户与网络是隔离的,其指定的IP不会与别的用户IP冲突。当用户使用账号密码试图通过认证,因为认证服务器端该用户账号的IP属性是动态IP,认证报文中该用户的IP属性确是静态IP,则认证服务器对其不予通过认证,从而同样不会造成IP冲突。,2018/
29、3/4,8.3 加固操作系统的安全,操作系统是Web服务器的基础,虽然操作系统本身在不断完善,对攻击的抵抗能力日益提高,但是要提供完整的系统安全保证,仍然有许多安全配置和管理工作要做。,2018/3/4,8.3 操作系统安全设置,系统服务包和安全补丁 系统账户安全配置 文件系统安全设置 安全模板创建与使用 使用安全配置和分析 使用安全配置向导,2018/3/4,8.3.1系统服务包和安全补丁,微软提供的安全补丁有两类:服务包(Service Pack)和热补丁(Hot fixes)。服务包已经通过回归测试,能够保证安全安装。每一个Windows的服务包都包含着在此之前所有的安全补丁。微软公司建
30、议用户及时安装服务包的最新版。安装服务包时,应仔细阅读其自带的Readme文件并查找已经发现的问题,最好先安装一个测试系统,进行试验性安装。安全热补丁的发布更及时,只是没有经过回归测试。 在安装之前,应仔细评价每一个补丁,以确定是否应立即安装还是等待更完整的测试之后再使用。在Web服务器上正式使用热补丁之前,最好在测试系统上对其进行测试。,2018/3/4,使用360安全卫士修复漏洞,2018/3/4,8.3.2 系统账户安全配置,禁止或删除不必要的账户 (如Guest )设置增强的密码策略密码长度至少9个字符。设置一个与系统或网络相适应的最短密码存留期(典型的为17天)。设置一个与系统或网络
31、相适应的最长密码存留期(典型的不超过42天)。设置密码历史至少6个。这样可强制系统记录最近使用过的几个密码。,2018/3/4,设置账户锁定策略,(1)复位账户锁定计数器。用来设置连续尝试的时限。(2)账户锁定时间。用于定义账户被锁定之后,保持锁定状态的时间。(3)账户锁定阈阀值。用于设置允许用户连续尝试登录的次数。,2018/3/4,加强管理员账户的安全性,(1)将Administrator重命名,改为一个不易猜测的名字。(2)为Administrator账户设置一个复杂密码,由多种字符类型(字母、数字和标点符号等)构成,密码长度不能少于9个字符。(3)建立一个伪账户,其名字虽然是Admin
32、istrator,但是没有任何权限。定期审查事件日志,查找对该账户的攻击企图。(4)使用Passprop.exe工具设置管理员账户的锁定阀值。(5)除管理员账户外,有必要再增加一个属于管理员组(Administrators)的账户,作为备用账户。,2018/3/4,可使用本地安全策略(或域安全策略)管理器来设置用户权限指派,检查、授予或删除用户账户特权、组成员以及组特权。,Web服务器的用户账户尽可能少严格控制账户特权,2018/3/4,8.3.3 文件系统安全设置,确保使用NTFS文件系统 安装Windows 2000服务器时,最好将硬盘的所有分区设置为NTFS分区,而不要先使用FAT分区,
33、再转换为NTFS分区。Web服务器软件应该安装在NTFS分区上。设置NTFS权限保护文件和目录 要使用NTFS权限来保护目录或文件,必须具备两个条件。 要设置权限的目录或文件必须位于NTFS分区中。 对于要授予权限的用户或用户组,应设立有效的Windows账户。,禁用NTFS的8.3文件名生成,2018/3/4,禁用某项系统服务操作:,在“计算机管理”控制台中打开“服务”项目,停止某项系统服务,并更改启动类型,最好设置为“已禁用” 。,2018/3/4,删除某组件操作:,要彻底清除某些服务,可通过删除Windows组件的方式来实现。从控制面板中选择“添加/删除程序”“添加/删除Windows组
34、件”,启动Windows组件向导来删除某些组件,2018/3/4,禁止或删除不必要的网络协议,Web服务器系统只保留TCP/IP协议,删除NetBEUI、IPX/SPX协议。卸载“Microsoft网络的文件和打印机共享”。从“网络和拨号连接”文件夹中打开任一连接的属性设置对话框,鼠标单击“卸载”按钮删除该组件。,卸载“文件和打印机共享”,禁用TCP/IP上的NetBIOS,2018/3/4,尽可能减少不必要的应用程序,如果不是绝对需要,就应该避免在服务器上安装应用程序。例如,不要安装E-mail客户端、Office产品及工具;或者对于服务器正常运行并不必需的工具。如果已经计划用服务器提供We
35、b服务,那么不必为服务器添加外部应用程序。然而,当配置Web服务器以及开发Web站点时,为了实现其功能,可能会为其添加必要的工具。,删除不必要的OS/2和POSIX子系统OS/2和POSIX子系统分别支持为OS/2和POSIX开发的应用程序。在安装Windows 2000的同时这些子系统也会被安装,应删除这些子系统。操作系统的任何部分都存在弱点,可能被攻击,删除这些额外的部分可以堵住可能出现的漏洞。,2018/3/4,8.3.4 安全模板创建与使用,Windows Server 2008的安全模板是一种用文件形式定义安全策略的方法。安全模板能够配置账户策略、本地策略、事件日志、受限制的组、文件
36、系统、注册表和系统服务等项目的安全设置。安全模板采用.inf格式的文件,将操作系统安全属性集合成文档。管理员可以方便地复制、粘贴、导入和导出安全模板,以及快速批量修改安全选项。,2018/3/4,1.添加安全配置管理单元,单击“开始”“运行”“打开”“MMC”,进入操作系统管理控制台(MMC),如图5.5所示。单击MMC菜单栏中的“文件”“添加/删除管理单元”,打开“添加/删除管理单元”对话框。选择“可用的管理单元”列表中的“安全配置”项,单击“添加”按钮,将“安全配置”添加到“所选管理单元”列表中,接着单击“确定”按钮。返回控制台界面,可看到在MMC中已经添加了“安全配置”管理单元。,201
37、8/3/4,2.创建与保存安全模板,在MMC中展开“安全模板”项,右键单击准备创建安全模板的路径“C:Users AdministratorDocumentsSecurityTemplantes”,在弹出菜单中选择“新添模板”命令,打开创建模板对话框,在对话框内输入模板名称(如anquan_1)和描述,单击“确定”按钮,完成安全模板的创建,如图5.6所示。,2018/3/4,8.3.5 使用安全配置和分析,“安全配置和分析”是配置与分析本地计算机系统安全性的一个工具。该工具可以将“安全模板”应用效果与本地计算机定义的安全设置进行比较。该工具允许管理员进行快速安全分析。在安全分析过程中,在其视窗
38、中显示当前配置与建议,包括不安全区域。也可以使用该工具配置本地计算机系统的安全。,2018/3/4,1.添加安全配置和分析管理单元,单击“开始”“运行”“打开”“MMC”,进入操作系统管理控制台(MMC)。单击MMC菜单栏中的“文件”“添加/删除管理单元”,打开“添加/删除管理单元”对话框。选择“可用的管理单元”列表中的“安全配置和分析”项,单击“添加”按钮,将“安全配置”添加到“所选管理单元”列表中,接着单击“确定”按钮。,2018/3/4,2.安全分析与配置计算机,(1)打开数据库,导入安全模板。在MMC中,右键单击“安全配置与分析”项,在弹出菜单中选择“打开数据库”命令,出现“打开数据库
39、”对话框。在默认路径“C:UsersAdministratorDocumentsSecurityDatabase”下创建数据库“aqsjk_1”。单击“打开”按钮,出现“导入模板”对话框。再次选择安全模板文件“anquan_1”,单击“打开”按钮,导入模板,如图5.8所示。,2018/3/4,计算机系统安全分析结果,(2)安全分析,查看结果。在MMC中,右键单击“安全配置和分析”项,在弹出菜单中选择“立即分析计算机”命令。打开“进行分析”对话框,指定错误文件保存位置。单击“确定”按钮,开始分析计算机系统的安全配置。分析内容包括用户权限配置、受限的组、注册表、文件系统、系统服务及安全策略等。,2
40、018/3/4,(3)配置计算机,右键单击“安全配置和分析”项,在弹出菜单中选择“立即配置计算机”命令。打开“配置系统”对话框,指定错误日志文件保存位置。单击“确定”按钮,开始配置计算机系统的安全。该配置内容包括用户权限配置、受限制的组、文件系统、系统服务及安全策略等。,2018/3/4,8.3.6 使用安全配置向导,1使用安全配置向导应注意的问题使用SCW可禁用不需要的服务,支持高安全性的Windows防火墙。SCW创建的安全策略与安全模板不同,SCW不会安装或卸载服务器执行角色需要的组件。运行SCW时,所有使用IP协议和端口的应用程序必须在服务器上运行。使用安全配置向导(SCW)创建、编辑
41、、应用安全策略后,如果安全策略无法正常工作,可以回滚上一次应用的安全策略。,2018/3/4,2启动安全配置向导,(1)配置操作。单击“开始”“管理工具”“安全配置向导”,出现“欢迎使用安全配置向导”页面,单击“下一步”按钮,进入“配置操作”页面。在该页面中选择“新建安全策略”单选钮,在计算机上创建新的安全策略,如图5.10所示。,2018/3/4,(2)选择服务器,单击“下一步”按钮,出现“选择服务器”页面,在其中指定一台服务器作为安全策略的基准。在“服务器”文本框中输入服务器主机名,如图5.11所示。,2018/3/4,(3)处理安全配置数据库,单击“下一步”按钮,开始处理安全配置数据库。
42、对服务器进行扫描,确定服务器上已经安装的角色、服务器正在执行的角色,以及服务器配置的IP地址和子网掩码等内容。如图5.12所示。,2018/3/4,(4)查看安全配置数据库,处理安全配置数据库完成后,单击“查看配置数据库”按钮,打开SCW查看器,查看安全配置数据库,可以查看服务器角色、客户端功能、管理和其他选项、服务及Windows防火墙设置信息等内容,如图5.13所示。,2018/3/4,3基于角色的服务配置,基于角色的服务配置功能项,可以依据所选服务器的角色和功能配置服务器。配置内容包括服务器角色、客户端功能、管理选项和其他选项、其他服务器,以及处理未指定的服务器及确认服务更改等。,201
43、8/3/4,(1)服务器角色,关闭SCW查看器,单击“下一步”按钮,进入“基于角色的服务器配置”页面。接着单击“下一步”按钮,进入“选择服务器角色”页面,如图5.14所示,2018/3/4,(2)客户端功能,进入“选择客户端功能”页面,如图5.15所示。该服务器可以是其他服务器的客户端,客户端功能必须启用角色特定服务。安全配置向导(SCW)启用所选服务器,执行在此页面上选择的客户端功能时所需的服务,禁用不需要的服务。,2018/3/4,(3)管理项和其他选项,此页面上,可以选择管理选项(如远程管理和备份)及使用服务和端口的其他应用程序选项与Windows 功能。安全配置向导根据管理员在“选择服
44、务器角色”页面中选择的角色启用服务器所需的服务,将禁用不需要的服务。如果在 SCW 的“网络安全”部分配置了设置,将删除不需要的防火墙规则。任何依赖于以前未选择的角色的选项将自动从列表中排除,并且不会出现。,2018/3/4,(4)选择其他服务,所选服务器执行的角色可能在安全配置数据库中找不到已安装服务。如果出现这种情况,安全配置向导将在“选择其他服务”页面上提供已安装服务的列表。,2018/3/4,(5)处理未指定的服务,未指定的服务是指未出现在安全配置数据库中的服务,这些服务当前未安装在所选服务器上,但是可能已安装在要应用安全策略的其他服务器上。这些服务也可能在以后安装在所选服务器上。任何
45、未知服务均将出现在安全配置向导的“处理未指定的服务”页面上。 在继续操作之前,要决定如何处理这些服务。可用选项说明如下。 不更改此服务的启动模式。如果选择此选项,要应用此安全策略的服务器上已启用的未指定服务仍会启用,已禁用的未指定服务仍会禁用。 禁用此服务。如果选择此选项,未在安全配置数据库中或未安装在所选服务器上的所有服务均将禁用。,2018/3/4,(6)确认服务变更,在“确认服务更改”页面上,可以看到此安全策略将对所选服务器上的服务进行的所有更改的列表。该列表将所选服务器上的服务的当前启动模式与策略中定义的启动模式进行比较。启动模式可以是“禁用”、“手动”或“自动”。在应用安全策略之前,
46、不会对所选服务器进行任何更改。,2018/3/4,4设置网络安全,在安全配置向导(SCW)的“网络安全”部分,可以添加、删除或编辑与具有高级安全性的Windows防火墙有关的规则。具有高级安全性的Windows防火墙将主机防火墙和Internet 协议安全性(IPSec)组合在一起,运行于WindowsServer2008服务器上,并对可能穿越外围网络或源于组织内部的网络攻击提供本地保护。它还可要求对通信进行身份验证和数据保护,从而帮助保护计算机到计算机的连接。,2018/3/4,(1)网络安全,2018/3/4,网络安全规则,2018/3/4,5注册表设置,(1)要求SMB安全签名。在此页面
47、中提供有关所选服务器,以及与其进行通信的客户端的信息。SMB协议为Microsoft文件和打印共享及许多其他网络操作(如远程Windows管理)提供基础。为了避免受到修改传输中的 SMB数据包的攻击,SMB协议支持SMB数据包的数字签名。此策略设置确定在允许与SMB 客户端进行进一步通信之前,是否必须协商SMB数据包签名。(2)要求LDAP签名。LDAP是轻量目录访问协议。在“选择服务器角色”页面上选择“域控制器(Active Directory)”角色时,将出现此页面。在“要求LDAP签名”页面上,收集域控制器的域中其他计算机的有关信息。(3)出站/入站身份验证方法。在此页面上,收集有关用户
48、可能尝试从其所选服务器进行身份验证的计算机的信息。这些安全设置将确定用于网络登录的质询/响应身份验证协议。此选择将影响客户端使用的身份验证协议级别、协商的会话安全级别,以及服务器接受的身份验证级别。(4)注册表设置摘要。通过“注册表设置摘要”页面可以查看此安全策略应用于所选服务器时,对特定注册表设置进行的所有更改。SCW显示每个注册表值的当前设置及策略定义的设置值。在应用安全策略之前,不会对所选服务器进行任何更改。如果一个或多个注册表设置更改不正确,可以通过在此部分的前面几页更改选择,修改这些设置。要确定需要修改哪个选择以获得所需的结果,可查看“注册表值”列。通过选择修改的注册表值将列在此部分的各页面中。返回配置该设置的页面并进行相应的更改。,
