服務器安全配置實用技術(shù)

1、服務器安全配置實用服務器安全配置實用技術(shù)技術(shù)第1節(jié) WINDOWS SERVER 2008安全管理第2節(jié) LINUX安全配置第3節(jié) 綜合管理規(guī)范第1節(jié) WINDOWS SERVER 2008安全管理 本節(jié)主要介紹本節(jié)主要介紹Windows Server 2008Windows Server 2008安全策略配安全策略配置與管理、高級防火墻控制功能、以及配置系統(tǒng)安全性置與管理、高級防火墻控制功能、以及配置系統(tǒng)安全性的措施等內(nèi)容的措施等內(nèi)容。包括。包括以下主要以下主要內(nèi)容：內(nèi)容： 系統(tǒng)安全系統(tǒng)安全實現(xiàn)方法實現(xiàn)方法 Windows Windows Server 2008Server 2008安全策略

2、安全策略 Windows Server 2008Windows Server 2008高級防火墻高級防火墻 Windows Server Windows Server 20082008網(wǎng)絡網(wǎng)絡訪問保護訪問保護序序Internet的迅猛發(fā)展，在給我們帶來極大方便的同時，也帶來了的迅猛發(fā)展，在給我們帶來極大方便的同時，也帶來了安全方面的問題。由于安全方面的問題。由于Internet從建立開始就缺乏安全的總體構(gòu)從建立開始就缺乏安全的總體構(gòu)想和設(shè)計，而想和設(shè)計，而TCP/IP協(xié)議也是在可信環(huán)境下為網(wǎng)絡互聯(lián)專門設(shè)協(xié)議也是在可信環(huán)境下為網(wǎng)絡互聯(lián)專門設(shè)計的，同樣缺乏安全措施的考慮，加上黑客的攻擊及各類惡意代

3、計的，同樣缺乏安全措施的考慮，加上黑客的攻擊及各類惡意代碼的干擾，使得網(wǎng)絡存在很多不安全因素，如口令猜測、地址欺碼的干擾，使得網(wǎng)絡存在很多不安全因素，如口令猜測、地址欺騙、業(yè)務否決、對域名系統(tǒng)和基礎(chǔ)設(shè)施破壞、利用騙、業(yè)務否決、對域名系統(tǒng)和基礎(chǔ)設(shè)施破壞、利用Web破壞數(shù)據(jù)破壞數(shù)據(jù)庫、郵件炸彈、病毒攜帶等。庫、郵件炸彈、病毒攜帶等。服務器是網(wǎng)絡應用的基礎(chǔ)，服務器系統(tǒng)的安全自然也就是網(wǎng)絡安服務器是網(wǎng)絡應用的基礎(chǔ)，服務器系統(tǒng)的安全自然也就是網(wǎng)絡安全的重點，全的重點，Windows Server 2008操作系統(tǒng)最突出的改進就是操作系統(tǒng)最突出的改進就是安全性的提升，服務器系統(tǒng)安全工作涉及范圍寬廣，如系統(tǒng)

4、內(nèi)核安全性的提升，服務器系統(tǒng)安全工作涉及范圍寬廣，如系統(tǒng)內(nèi)核安全、應用程序安全、用戶帳戶安全和端口安全等多個方面，根安全、應用程序安全、用戶帳戶安全和端口安全等多個方面，根據(jù)服務器所處環(huán)境的不同，據(jù)服務器所處環(huán)境的不同，Windows Server 2008系統(tǒng)支持管系統(tǒng)支持管理員啟用不同的安全防護策略。理員啟用不同的安全防護策略。 Windows服務器有多容易服務器有多容易被被惡意攻擊？惡意攻擊？Windows Server 2008能夠幫助企業(yè)管理和擴能夠幫助企業(yè)管理和擴大業(yè)務流程，對于一個企業(yè)來說，定義系統(tǒng)保護大業(yè)務流程，對于一個企業(yè)來說，定義系統(tǒng)保護策略以確保企業(yè)的關(guān)鍵業(yè)務信息的安全是

5、至關(guān)重策略以確保企業(yè)的關(guān)鍵業(yè)務信息的安全是至關(guān)重要的。保證服務器安全是一個系統(tǒng)的工程，很難要的。保證服務器安全是一個系統(tǒng)的工程，很難通過一種手段或方法保證安全目標的實現(xiàn)，我們通過一種手段或方法保證安全目標的實現(xiàn)，我們需要需要針對不同的安全需要來選擇不同方法針對不同的安全需要來選擇不同方法，立體，立體的保護的保護Windows Server 2008的系統(tǒng)安全。的系統(tǒng)安全。 1 WINDOWS SERVER 2008系統(tǒng)安全（系統(tǒng)安全（1）1初始化的安全設(shè)置初始化的安全設(shè)置（1）權(quán)限累計特性權(quán)限累計特性。如果一個用戶同時屬于兩個組，。如果一個用戶同時屬于兩個組，那么他就有了這兩個組所允許的所有權(quán)

6、限。那么他就有了這兩個組所允許的所有權(quán)限。 （2）拒絕的權(quán)限比允許的權(quán)限級別高（拒絕優(yōu)先）拒絕的權(quán)限比允許的權(quán)限級別高（拒絕優(yōu)先）。如果一個用戶屬于一個被拒絕訪問某個資源的組，那如果一個用戶屬于一個被拒絕訪問某個資源的組，那么不管其他的權(quán)限設(shè)置給他開放了多少權(quán)限，他也不么不管其他的權(quán)限設(shè)置給他開放了多少權(quán)限，他也不能訪問這個資源。所以設(shè)置拒絕權(quán)限要非常小心，任能訪問這個資源。所以設(shè)置拒絕權(quán)限要非常小心，任何一個不當?shù)木芙^都有可能造成系統(tǒng)無法正常運行。何一個不當?shù)木芙^都有可能造成系統(tǒng)無法正常運行。 （3）文件權(quán)限比文件夾權(quán)限高文件權(quán)限比文件夾權(quán)限高。（4）僅給用戶真正需要的權(quán)限，權(quán)限的）僅給用戶

7、真正需要的權(quán)限，權(quán)限的最小化原則最小化原則是安全的重要保障。是安全的重要保障。1 WINDOWS SERVER 2008系統(tǒng)安全（系統(tǒng)安全（2）2. 配置自動更新配置自動更新1 WINDOWS SERVER 2008系統(tǒng)安全（系統(tǒng)安全（3）圖圖1-1 “Windows Update”窗口窗口 圖圖1-2 “更改設(shè)置更改設(shè)置”窗口窗口 服務器不建議配置自動更新服務器不建議配置自動更新3用戶帳戶安全管理用戶帳戶安全管理 Windows Server 2008的本地安全策略可以限制的本地安全策略可以限制匿名訪問。運行匿名訪問。運行“本地安全設(shè)置本地安全設(shè)置”管理控制臺管理控制臺 1 WINDOWS

8、SERVER 2008系統(tǒng)安全（系統(tǒng)安全（4）圖圖1-3 網(wǎng)絡訪問設(shè)置網(wǎng)絡訪問設(shè)置 圖圖1-4 “用戶屬性用戶屬性”窗口窗口 4禁用或刪除不需要的服務禁用或刪除不需要的服務增強服務器安全性的最佳方法是不安裝任何與業(yè)務不增強服務器安全性的最佳方法是不安裝任何與業(yè)務不相關(guān)的應用程序，并且關(guān)閉不需要的服務。相關(guān)的應用程序，并且關(guān)閉不需要的服務。 1 WINDOWS SERVER 2008系統(tǒng)安全（系統(tǒng)安全（5）圖圖1-5 “服務屬性服務屬性”窗口窗口 5創(chuàng)建一個強大和健壯的審計和日志策略創(chuàng)建一個強大和健壯的審計和日志策略 在在Windows Server 2008中，默認創(chuàng)建的日志類型有：中，默認創(chuàng)

9、建的日志類型有：應用日志、安全日志、安裝程序日志、系統(tǒng)日志和轉(zhuǎn)發(fā)應用日志、安全日志、安裝程序日志、系統(tǒng)日志和轉(zhuǎn)發(fā)的事件日志。的事件日志。 1 WINDOWS SERVER 2008系統(tǒng)安全（系統(tǒng)安全（6）圖圖1-6 “事件查看器事件查看器”窗口窗口 安全策略安全策略概述概述 安全策略是事先定義的一系列應用計算機的行為準則，應用這安全策略是事先定義的一系列應用計算機的行為準則，應用這些安全策略保證用戶具有一致的工作方式，防止用戶破壞計算些安全策略保證用戶具有一致的工作方式，防止用戶破壞計算機上的各種重要配置，保護網(wǎng)絡上的敏感數(shù)據(jù)。機上的各種重要配置，保護網(wǎng)絡上的敏感數(shù)據(jù)。2 WINDOWS SE

10、RVER 2008安全策安全策略略 圖圖1-7 “本地安全策略本地安全策略”窗口窗口 帳戶策略主要用于限制用戶帳戶的交互方式，其中包括密碼帳戶策略主要用于限制用戶帳戶的交互方式，其中包括密碼策略和帳戶鎖定策略，這些設(shè)置同時適用于獨立服務器與環(huán)策略和帳戶鎖定策略，這些設(shè)置同時適用于獨立服務器與環(huán)境。境。安全策略之帳戶安全策略之帳戶策略（策略（1） 圖圖1-8 本地安全設(shè)置本地安全設(shè)置 1、密碼策略、密碼策略 （1）密碼必須符合復雜性要求）密碼必須符合復雜性要求（2）最短密碼長度）最短密碼長度 （3）密碼最短使用期限）密碼最短使用期限 （4）密碼最長使用期限）密碼最長使用期限 （5）強制密碼歷史）

11、強制密碼歷史 帳戶帳戶鎖定策略鎖定策略 對于域或本機的用戶帳戶來說，通過帳戶鎖定策略對于域或本機的用戶帳戶來說，通過帳戶鎖定策略可以判定帳戶鎖定的時機及對象。如圖可以判定帳戶鎖定的時機及對象。如圖1-9所示。所示。 安全策略之帳戶策略（安全策略之帳戶策略（2） （1）復位帳戶鎖定計數(shù)器）復位帳戶鎖定計數(shù)器（2）帳戶鎖定時間）帳戶鎖定時間 （3）帳戶鎖定閾值）帳戶鎖定閾值圖圖1-9 “帳戶鎖定策略帳戶鎖定策略”窗口窗口 本地本地策略包括審核策略、用戶權(quán)限分配和安全選策略包括審核策略、用戶權(quán)限分配和安全選項三個模塊。項三個模塊。1、審核策略、審核策略Windows Server 2008的默認安裝

12、不設(shè)置安全審核。在的默認安裝不設(shè)置安全審核。在“管管理工具理工具”“本地安全策略本地安全策略”管理控制臺中選擇管理控制臺中選擇“本地策略本地策略” “審核策略審核策略”，設(shè)置相應的審核，設(shè)置相應的審核 圖圖1-10 設(shè)置審核策略設(shè)置審核策略 圖圖1-11 審核帳戶管理審核帳戶管理 安全策略安全策略之本地策略（之本地策略（1）表表1 常用審核內(nèi)容常用審核內(nèi)容項目項目設(shè)置值設(shè)置值項目項目設(shè)置值設(shè)置值帳戶管理帳戶管理成功成功 失敗失敗特權(quán)使用特權(quán)使用失敗失敗登錄事件登錄事件成功成功 失敗失敗系統(tǒng)事件系統(tǒng)事件成功成功 失敗失敗對象訪問對象訪問失敗失敗目錄服務訪問目錄服務訪問失敗失敗策略更改策略更改成功

13、成功 失敗失敗帳戶登錄事件帳戶登錄事件成功成功 失敗失敗安全策略之本地安全策略之本地策略（策略（2）用戶用戶權(quán)限分配權(quán)限分配用戶權(quán)限分配是用戶權(quán)限分配是指指：針對針對系統(tǒng)的某種操作，可以修系統(tǒng)的某種操作，可以修改用戶或用戶組的權(quán)限范圍改用戶或用戶組的權(quán)限范圍圖圖1-12 “用戶權(quán)限分配用戶權(quán)限分配”窗口窗口 圖圖1-13 “屬性屬性”窗口窗口安全策略之本地策略（安全策略之本地策略（3）安全安全選項選項修改修改Windows Server 2008中默認系統(tǒng)安全選項設(shè)置。中默認系統(tǒng)安全選項設(shè)置。例如，選擇安全設(shè)置中的例如，選擇安全設(shè)置中的“本地策略本地策略”/“安全選項安全選項”，可以設(shè)置交互登

14、錄方式可以設(shè)置交互登錄方式 安全策略之本地策略（安全策略之本地策略（4）圖圖1-14 安全選項設(shè)置安全選項設(shè)置3 WINDOWS SERVER 2008高級防火高級防火墻墻 高級安全高級安全Windows防火墻防火墻（WFAS）是）是Windows Server 2008/Windows Vista的新的新增功能，該功能延續(xù)并加強了原來的增功能，該功能延續(xù)并加強了原來的Window防防火墻，是一款主機型狀態(tài)防火墻。火墻，是一款主機型狀態(tài)防火墻。默認狀態(tài)下，默認狀態(tài)下，windows防火墻已經(jīng)處于開啟狀防火墻已經(jīng)處于開啟狀態(tài)，能夠提供基本的安全防護功能，保護內(nèi)部網(wǎng)態(tài)，能夠提供基本的安全防護功能，

15、保護內(nèi)部網(wǎng)絡免受惡意攻擊者的入侵。除了使用默認配置外，絡免受惡意攻擊者的入侵。除了使用默認配置外，用戶還可以根據(jù)需要開啟或關(guān)閉防火墻。在用戶還可以根據(jù)需要開啟或關(guān)閉防火墻。在Windows Server 2008中，中，Windows防火墻防火墻的基本配置變化不大，擁有系統(tǒng)管理權(quán)限用戶帳的基本配置變化不大，擁有系統(tǒng)管理權(quán)限用戶帳戶，就可以在控制面板中，打開并配置防火墻。戶，就可以在控制面板中，打開并配置防火墻。 3.1 防火墻概述防火墻概述 （1）表表2 各版本的各版本的Windows防火墻功能比較防火墻功能比較防火墻防火墻操作系統(tǒng)版本操作系統(tǒng)版本功能功能ICFWindows XPWindow

16、s XP SP1主機型防火墻主機型防火墻Windows防火墻防火墻Windows Server 2003Windows XP SP2主機型防火墻主機型防火墻可以阻止未經(jīng)授權(quán)的連接請求可以阻止未經(jīng)授權(quán)的連接請求提供完善的操作界面提供完善的操作界面與操作系統(tǒng)結(jié)合更加緊密與操作系統(tǒng)結(jié)合更加緊密高級安全高級安全Windows防火防火墻墻（WFAS）Windows Server 2008Windows VistaWindows 7主機型防火墻主機型防火墻可以阻止未經(jīng)授權(quán)的連接請求可以阻止未經(jīng)授權(quán)的連接請求提供完善的主機型防火墻功能提供完善的主機型防火墻功能整合整合IPsec功能功能默認狀態(tài)為啟用默認狀態(tài)

17、為啟用“高級安全Windows防火墻”具有如下新特性：1、全新的控制臺管理界面2、雙向保護3、集成IPsec功能4、更詳細的規(guī)則配置5、支持網(wǎng)絡位置識別和配置6、支持IPv6協(xié)議。3.1 防火墻概述防火墻概述 （2）3.2 防火墻的基本配置（防火墻的基本配置（1） Windows Server 2008系統(tǒng)下以管理員帳戶系統(tǒng)下以管理員帳戶登錄，依次選擇登錄，依次選擇“開始開始”“控制面板控制面板” “Windows防火墻防火墻”，打開，打開“Windows防火防火墻墻”窗口。單擊窗口。單擊“更改設(shè)備更改設(shè)備”超級鏈接，即可打超級鏈接，即可打開開“Windows防火墻設(shè)置防火墻設(shè)置”對話框。對話

18、框。 Windows防火墻有防火墻有3種設(shè)置：種設(shè)置：啟用。啟用。啟用時阻止所有傳入連接。啟用時阻止所有傳入連接。關(guān)閉。關(guān)閉。2、“例外例外”選項卡選項卡在如在如圖所圖所示示“例外例外”選項卡中設(shè)置能夠直接訪問網(wǎng)絡的選項卡中設(shè)置能夠直接訪問網(wǎng)絡的程序或服務，可以直接通過單擊程序或服務，可以直接通過單擊“添加程序添加程序”或者或者“添添加端口加端口”來自行添加需要訪問外部網(wǎng)絡的程序或服務，來自行添加需要訪問外部網(wǎng)絡的程序或服務，解除系統(tǒng)防火墻程序?qū)W(wǎng)絡訪問的阻止。解除系統(tǒng)防火墻程序?qū)W(wǎng)絡訪問的阻止。 3.2 防火墻的基本配置（防火墻的基本配置（2） 允許允許/限制程序訪問限制程序訪問為了提高系統(tǒng)

19、安全性，默認情況下為了提高系統(tǒng)安全性，默認情況下Windows防火墻阻止所有與計算機防火墻阻止所有與計算機程序建立的未經(jīng)請求的連接，導致用戶許多正常的網(wǎng)絡應用無法實現(xiàn)。程序建立的未經(jīng)請求的連接，導致用戶許多正常的網(wǎng)絡應用無法實現(xiàn)。因此，需要對這些程序進行設(shè)置，在防火墻中為這些程序創(chuàng)建例外，因此，需要對這些程序進行設(shè)置，在防火墻中為這些程序創(chuàng)建例外，應用程序即可通過防火墻訪問網(wǎng)絡。應用程序即可通過防火墻訪問網(wǎng)絡。圖圖1-17 “添加程序添加程序”對話框?qū)υ捒?圖圖1-18 “更改范圍更改范圍”對話框?qū)υ捒?.2 防火墻的基本配置（防火墻的基本配置（3） 允許限制端口訪問允許限制端口訪問端口可以認

20、為是計算機與外界通信交流的出口，開啟的端口在提供端口可以認為是計算機與外界通信交流的出口，開啟的端口在提供網(wǎng)絡應用的同時，有可能成為惡意用戶入侵的通道，網(wǎng)絡應用的同時，有可能成為惡意用戶入侵的通道， 圖圖1-19 “添加端口添加端口”對話框?qū)υ捒?圖圖1-20 “高級高級”選項卡選項卡3.2 防火墻的基本配置（防火墻的基本配置（4） 3.3 高級安全高級安全WINDOWS防火墻的基本配置防火墻的基本配置 （1）高級安全高級安全Windows防火墻使用兩組規(guī)則，配置防火墻使用兩組規(guī)則，配置如何響應如何響應傳入和傳出傳入和傳出流量，確定允許或阻止流量流量，確定允許或阻止流量類型。連接安全規(guī)則確定如

21、何保護計算機與計算類型。連接安全規(guī)則確定如何保護計算機與計算機間的通訊，通過使用防火墻配置文件，可以應機間的通訊，通過使用防火墻配置文件，可以應用這些規(guī)則以及其他設(shè)置，監(jiān)視防火墻活動和規(guī)用這些規(guī)則以及其他設(shè)置，監(jiān)視防火墻活動和規(guī)則。則。（1）防火墻規(guī)則）防火墻規(guī)則（2）連接安全規(guī)則）連接安全規(guī)則（3）防火墻配置文件）防火墻配置文件（4）監(jiān)視）監(jiān)視以管理員帳戶登錄以管理員帳戶登錄Windows Server 2008系統(tǒng)后，依次單擊系統(tǒng)后，依次單擊“開開始始”/“管理工具管理工具”/“高級安全高級安全Windows防火墻防火墻”，打開，打開如如下下圖所圖所示的示的“高高級安全級安全Windows

22、防火墻防火墻”窗口，包括入站規(guī)則、出站規(guī)則和連接安全性規(guī)窗口，包括入站規(guī)則、出站規(guī)則和連接安全性規(guī)則則3種。種。 圖圖1-21 “高級安全高級安全Windows防火墻防火墻”窗口窗口 3.3 高級安全高級安全WINDOWS防火墻的基本配置防火墻的基本配置 （2）1、禁用或啟用規(guī)則、禁用或啟用規(guī)則管理員可以通過兩種方式啟用或禁用防火墻規(guī)則：管理員可以通過兩種方式啟用或禁用防火墻規(guī)則：Windows防火墻控防火墻控制臺和制臺和netsh命令。在高級安全命令。在高級安全Windows防火墻控制臺中，首先選擇防火墻控制臺中，首先選擇“入站規(guī)則入站規(guī)則”或或“出站規(guī)則出站規(guī)則”，然后右擊相應規(guī)則，然后右

23、擊相應規(guī)則，如下圖所如下圖所示，選示，選擇擇“禁用規(guī)則禁用規(guī)則”或者或者“啟用規(guī)則啟用規(guī)則”選項，即可更改其運行狀態(tài)。使用選項，即可更改其運行狀態(tài)。使用“netsh”命令啟用或禁用單一規(guī)則以及規(guī)則組。命令啟用或禁用單一規(guī)則以及規(guī)則組。 圖圖1-22 “規(guī)則啟用規(guī)則啟用/禁用禁用”對話框?qū)υ捒?.3 高級安全高級安全WINDOWS防火墻的基本配置防火墻的基本配置 （3）2、創(chuàng)建防火墻規(guī)則、創(chuàng)建防火墻規(guī)則Windows 2008的高級安全的高級安全Windows防火墻使用出站防火墻使用出站和入站兩種規(guī)則，配置其如何響應傳入和傳出的請求。默和入站兩種規(guī)則，配置其如何響應傳入和傳出的請求。默認情況下，

24、管理員在該服務器上安裝微軟公司提供的網(wǎng)絡認情況下，管理員在該服務器上安裝微軟公司提供的網(wǎng)絡服務后，將自動添加在高級防火墻的出站規(guī)則列表中，并服務后，將自動添加在高級防火墻的出站規(guī)則列表中，并允許通過防火墻。但是，如果安裝的是第三方網(wǎng)絡服務，允許通過防火墻。但是，如果安裝的是第三方網(wǎng)絡服務，則必須通過手動創(chuàng)建相關(guān)規(guī)則，才可以將服務發(fā)布到網(wǎng)絡。則必須通過手動創(chuàng)建相關(guān)規(guī)則，才可以將服務發(fā)布到網(wǎng)絡。例如，如果在當前服務器上例如，如果在當前服務器上配置基于配置基于Serv-U的的FTP服務服務器器，則必須同時創(chuàng)建提供上傳和下載的入站規(guī)則（兩個不，則必須同時創(chuàng)建提供上傳和下載的入站規(guī)則（兩個不同的端口分別

25、是同的端口分別是2121和和2020）。）。3.3 高級安全高級安全WINDOWS防火墻的基本配置防火墻的基本配置 （4）步驟一，在高級安全步驟一，在高級安全Windows防火墻控制臺中，右擊防火墻控制臺中，右擊“入站規(guī)則入站規(guī)則”，選擇快捷菜單中的，選擇快捷菜單中的“新規(guī)則新規(guī)則”選項選項 圖圖1-23 “規(guī)則類型規(guī)則類型”對話框?qū)υ捒?3.3 高級安全高級安全WINDOWS防火墻的基本配置防火墻的基本配置 （5）步驟二，單擊步驟二，單擊“下一下一步步”按鈕，顯示如圖按鈕，顯示如圖所示的所示的“協(xié)議和端口協(xié)議和端口”對話框。根據(jù)服務使對話框。根據(jù)服務使用的協(xié)議類型選擇用的協(xié)議類型選擇“TCP

26、”或者或者“UDP”單選按鈕，本例中單選按鈕，本例中FTP服務使用的是服務使用的是TCP端口，選擇端口，選擇“TCP”單選按鈕即可。單選按鈕即可。選擇選擇“特定本地端口特定本地端口”單選按鈕，輸入服務單選按鈕，輸入服務使用的端口號，如果使用的端口號，如果在配置服務器時指定在配置服務器時指定了非默認端口，則在了非默認端口，則在這里也應指定相應端這里也應指定相應端口，例如口，例如2121。 圖圖1-24 “協(xié)議和端口協(xié)議和端口”對話框?qū)υ捒?3.3 高級安全高級安全WINDOWS防火墻的基本配置防火墻的基本配置 （6）步驟三，單擊步驟三，單擊“下一步下一步”按鈕，顯示如按鈕，顯示如圖所圖所示的示的

27、“操作操作”對話框，選擇對話框，選擇“允許連接允許連接”單選按鈕。如果選擇單選按鈕。如果選擇“只允許安全連接只允許安全連接”單選按鈕，則高級單選按鈕，則高級防火墻只允許特定的安全用戶訪問服務器，即使用防火墻只允許特定的安全用戶訪問服務器，即使用IPSec身份驗證的用戶。身份驗證的用戶。如果選擇如果選擇“阻止連接阻止連接”單選按鈕，則將阻止所有用戶到服務器的連接。單選按鈕，則將阻止所有用戶到服務器的連接。 圖圖1-25 “協(xié)議協(xié)議和端口和端口”對話框?qū)υ捒?3.3 高級安全高級安全WINDOWS防火墻的基本配置防火墻的基本配置 （7）步驟四，單擊步驟四，單擊“下一步下一步”按鈕，顯示如按鈕，顯示

28、如圖所圖所示的示的“配置文件配置文件”對話框，對話框，設(shè)置該規(guī)則的應用范圍。例如，設(shè)置該規(guī)則的應用范圍。例如，F(xiàn)TP服務器僅對服務器僅對Internet用戶提供服務，用戶提供服務，則選擇則選擇“公用公用”復選框即可，內(nèi)網(wǎng)用戶對服務器的訪問將不受防火墻保復選框即可，內(nèi)網(wǎng)用戶對服務器的訪問將不受防火墻保護。護。 圖圖1-26 “配置文件配置文件”對話框?qū)υ捒?3.3 高級安全高級安全WINDOWS防火墻的基本配置防火墻的基本配置 （8）步驟五，單擊步驟五，單擊“下一步下一步”按鈕，顯示如按鈕，顯示如圖所圖所示的示的“名稱名稱”對話框。在對話框。在“名稱名稱”文本框中輸入該入站規(guī)則的顯示名文本框中輸

29、入該入站規(guī)則的顯示名稱，便于識別。在稱，便于識別。在“描述描述”文本框中，可以輸入相關(guān)的文本框中，可以輸入相關(guān)的描述信息。描述信息。 圖圖1-27 “名稱名稱”對話框?qū)υ捒?3.3 高級安全高級安全WINDOWS防火墻的基本配置防火墻的基本配置 （9）步驟六，單擊步驟六，單擊“完成完成”按鈕，即可保存已創(chuàng)建的入站規(guī)則按鈕，即可保存已創(chuàng)建的入站規(guī)則. FTP服務服務器提供下載和上傳服務時，需要使用不同的端口，因此還需要對用于器提供下載和上傳服務時，需要使用不同的端口，因此還需要對用于發(fā)布上傳服務的端口創(chuàng)建入站規(guī)則，如發(fā)布上傳服務的端口創(chuàng)建入站規(guī)則，如圖所圖所示。示。 圖圖1-28 “名稱名稱”對

30、話框?qū)υ捒?3.3 高級安全高級安全WINDOWS防火墻的基本配置防火墻的基本配置 （10）步驟七，默認情況下，成功創(chuàng)建的入站規(guī)則將自動啟步驟七，默認情況下，成功創(chuàng)建的入站規(guī)則將自動啟用，并顯示在用，并顯示在“入站規(guī)則入站規(guī)則”窗口中如窗口中如圖所圖所示。示。 圖圖1-29 “高級安全高級安全Windows防火墻防火墻”窗口窗口 3.3 高級安全高級安全WINDOWS防火墻的基本配置防火墻的基本配置 （11）3、編輯防火墻規(guī)、編輯防火墻規(guī)則則在在Windows Server 2008系系統(tǒng)防火墻中，管理統(tǒng)防火墻中，管理員可以通過配置員可以通過配置ICMP協(xié)議響應機協(xié)議響應機制，使本地計算機制，

31、使本地計算機響應或拒絕其他計響應或拒絕其他計算機的算機的“ping”命命令測試，以確保服令測試，以確保服務器安全。務器安全。 圖圖1-30 “網(wǎng)絡一路由器播發(fā)屬性網(wǎng)絡一路由器播發(fā)屬性”對話框?qū)υ捒?3.3 高級安全高級安全WINDOWS防火墻的基本配置防火墻的基本配置 （12）4 WINDOWS網(wǎng)絡訪問保護網(wǎng)絡訪問保護 遠程訪問是大多數(shù)局域網(wǎng)中比較常用的功能之一，遠程訪問是大多數(shù)局域網(wǎng)中比較常用的功能之一，由于不安全客戶端遠程撥入導致的網(wǎng)絡癱瘓故障由于不安全客戶端遠程撥入導致的網(wǎng)絡癱瘓故障也時有發(fā)生。也時有發(fā)生。Windows Server 2008系統(tǒng)的系統(tǒng)的網(wǎng)絡訪問保護功能網(wǎng)絡訪問保護功能

32、（Network Access Protection，簡稱，簡稱NAP），可以通過網(wǎng)絡策略），可以通過網(wǎng)絡策略服務器對客戶端撥入請求進行身份驗證和健康服務器對客戶端撥入請求進行身份驗證和健康 狀態(tài)評估，只有達到網(wǎng)絡健康標準的客戶端，才狀態(tài)評估，只有達到網(wǎng)絡健康標準的客戶端，才允許接入內(nèi)部網(wǎng)絡，未達到網(wǎng)絡標準的客戶端，允許接入內(nèi)部網(wǎng)絡，未達到網(wǎng)絡標準的客戶端，可以通過指定的修正服務器修復計算機的狀態(tài)后可以通過指定的修正服務器修復計算機的狀態(tài)后才允許接入內(nèi)部網(wǎng)絡。才允許接入內(nèi)部網(wǎng)絡。4.1 NAP概述概述 對于網(wǎng)絡管理人員來說，必須確認接入企業(yè)網(wǎng)絡的對于網(wǎng)絡管理人員來說，必須確認接入企業(yè)網(wǎng)絡的所有

33、計算機都更新為最新的系統(tǒng)狀態(tài)，以及符合企所有計算機都更新為最新的系統(tǒng)狀態(tài)，以及符合企業(yè)的業(yè)的“健康策略（健康策略（Health Policy）”需求需求 。Windows Server 2008與與Windows Vista的的NAP提供程序與提供程序與“應用程序編程界面應用程序編程界面(API)”以協(xié)助以協(xié)助管理人員設(shè)置，當用戶執(zhí)行網(wǎng)絡訪問或通信時，可管理人員設(shè)置，當用戶執(zhí)行網(wǎng)絡訪問或通信時，可強制其遵守企業(yè)網(wǎng)絡計算機健康管理策略。強制其遵守企業(yè)網(wǎng)絡計算機健康管理策略。 網(wǎng)絡訪問保護主要分為網(wǎng)絡訪問保護主要分為4個部分：個部分：策略驗證、隔離、策略驗證、隔離、補救和持續(xù)監(jiān)控補救和持續(xù)監(jiān)控。網(wǎng)

34、絡內(nèi)部安全已經(jīng)成為網(wǎng)絡安全的重點，用戶水平參差網(wǎng)絡內(nèi)部安全已經(jīng)成為網(wǎng)絡安全的重點，用戶水平參差不齊，使用習慣各不相同。例如，如果網(wǎng)絡中沒有安裝不齊，使用習慣各不相同。例如，如果網(wǎng)絡中沒有安裝軟件更新或者防病毒軟件的客戶端，很可能導致整個網(wǎng)軟件更新或者防病毒軟件的客戶端，很可能導致整個網(wǎng)絡遭受攻擊。絡遭受攻擊。NAP可以很好地解決這一難題，通常情況可以很好地解決這一難題，通常情況下，它可以應用于如下保護環(huán)境。下，它可以應用于如下保護環(huán)境。1、保護漫游計算機的健康、保護漫游計算機的健康2、保護桌面計算機的健康、保護桌面計算機的健康3、保護來訪用戶計算機的健康、保護來訪用戶計算機的健康4、保護家庭計

35、算機的健康、保護家庭計算機的健康4.2 NAP的環(huán)境的環(huán)境 NAP是一個用于幫助管理員保護網(wǎng)絡安全的管是一個用于幫助管理員保護網(wǎng)絡安全的管理平臺，它由多個組件構(gòu)成，其中必需的組件包理平臺，它由多個組件構(gòu)成，其中必需的組件包括網(wǎng)絡策略服務器、強制點和強制客戶端。括網(wǎng)絡策略服務器、強制點和強制客戶端。 圖圖1-31 啟用啟用NAP的網(wǎng)絡基礎(chǔ)結(jié)構(gòu)的組建的網(wǎng)絡基礎(chǔ)結(jié)構(gòu)的組建 4.3 NAP的系統(tǒng)架構(gòu)及功能的系統(tǒng)架構(gòu)及功能 默認安裝完默認安裝完Windows Server 2008后，沒有安裝網(wǎng)絡策略和后，沒有安裝網(wǎng)絡策略和遠程訪問服務，需要用戶手動安裝該服務。遠程訪問服務，需要用戶手動安裝該服務。運行

36、運行“添加角色向?qū)砑咏巧驅(qū)А?，在，在“選擇服務器角色選擇服務器角色”界面中，選中界面中，選中“網(wǎng)絡策略和訪問服務網(wǎng)絡策略和訪問服務”復選框復選框 。圖圖1-32 “選擇服務器角色選擇服務器角色”界面界面 圖圖1-33 “選擇角色服務選擇角色服務”界面界面 4.4 安裝安裝NAP（1）安裝完畢，通過安裝完畢，通過“管理工具管理工具”/“網(wǎng)絡策略服務器網(wǎng)絡策略服務器”，可以啟動可以啟動NPS。nNPS策略包含四部分的內(nèi)容，分別為：網(wǎng)絡健康驗策略包含四部分的內(nèi)容，分別為：網(wǎng)絡健康驗證器、更新服務器組、健康策略、網(wǎng)絡策略，將對證器、更新服務器組、健康策略、網(wǎng)絡策略，將對加入到公司網(wǎng)絡的計算機進行驗

37、證、隔離、補救以加入到公司網(wǎng)絡的計算機進行驗證、隔離、補救以及健康策略審核。及健康策略審核。 圖圖1-34 “網(wǎng)絡策略服務器網(wǎng)絡策略服務器”界面界面 4.4 安裝安裝NAP（2）圖圖1-35 “系統(tǒng)健康驗證器系統(tǒng)健康驗證器”界面界面 圖圖1-36 “新建健康策略新建健康策略”界面界面 4.4 安裝安裝NAP（3）5 其他安全特性其他安全特性 1、Bitlocker驅(qū)動加密驅(qū)動加密使用使用BitLocker 驅(qū)動器加密可以保護存儲在安裝驅(qū)動器加密可以保護存儲在安裝Windows的驅(qū)的驅(qū)動器上的所有文件。前代的加密文件系統(tǒng)動器上的所有文件。前代的加密文件系統(tǒng) (EFS) 可以加密單獨文可以加密單獨

38、文件，與其不同的是，件，與其不同的是，BitLocker 將加密整個系統(tǒng)驅(qū)動器，包括啟將加密整個系統(tǒng)驅(qū)動器，包括啟動和登錄所需的動和登錄所需的Windows系統(tǒng)文件。系統(tǒng)文件。2、Windows Service HardeningWindows Service Hardening能夠防止關(guān)鍵能夠防止關(guān)鍵Windows服務被文服務被文檔系統(tǒng)、注冊表或網(wǎng)絡中的異?；顒邮褂茫瑥亩_保系統(tǒng)具有更檔系統(tǒng)、注冊表或網(wǎng)絡中的異?；顒邮褂茫瑥亩_保系統(tǒng)具有更高的安全性。由于高的安全性。由于Windows Service Hardening默認運行的服默認運行的服務很少，而且服務帳戶擁有的特權(quán)極小，因而限制了網(wǎng)

39、絡訪問。務很少，而且服務帳戶擁有的特權(quán)極小，因而限制了網(wǎng)絡訪問。3、限制可移動設(shè)備安裝、限制可移動設(shè)備安裝Windows Server 2008為企業(yè)提供一種保護數(shù)據(jù)的方法，這種為企業(yè)提供一種保護數(shù)據(jù)的方法，這種方法可以防止數(shù)據(jù)被拷貝到方法可以防止數(shù)據(jù)被拷貝到U盤等可移動設(shè)備上。通過配置組策盤等可移動設(shè)備上。通過配置組策略略(Group Policy)可實現(xiàn)對鍵盤、鼠標或者可實現(xiàn)對鍵盤、鼠標或者U盤的控制。管理者盤的控制。管理者在決定移動設(shè)備如何使用方面有著充分的在決定移動設(shè)備如何使用方面有著充分的靈活性。靈活性。本節(jié)小結(jié)本節(jié)小結(jié) 保證保證Windows Server 2008服務器安全，是提

40、服務器安全，是提供可靠服務的基礎(chǔ)。供可靠服務的基礎(chǔ)。本節(jié)介紹本節(jié)介紹Windows Server 2008安全策略配置安全策略配置與管理，以及配置系統(tǒng)安全性的措施。與管理，以及配置系統(tǒng)安全性的措施。Windows Server 2008內(nèi)置了基本安全策略模內(nèi)置了基本安全策略模板，能夠滿足常規(guī)安全配置需要，用戶也可以根板，能夠滿足常規(guī)安全配置需要，用戶也可以根據(jù)具體網(wǎng)絡應用，合理配置據(jù)具體網(wǎng)絡應用，合理配置Windows Server 2008的安全策略。的安全策略。本節(jié)以本節(jié)以安全安裝操作系統(tǒng)、正確配置網(wǎng)絡服務與安全安裝操作系統(tǒng)、正確配置網(wǎng)絡服務與端口、設(shè)置帳號及安全日志策略為例，介紹了配端口

41、、設(shè)置帳號及安全日志策略為例，介紹了配置置Windows Server 2008安全策略的作用與方安全策略的作用與方法。法。 第1節(jié) WINDOWS SERVER 2008安全管理第2節(jié) LINUX安全配置第3節(jié) 綜合管理規(guī)范 本節(jié)主要介紹本節(jié)主要介紹LinuxLinux基礎(chǔ)、安全概述以及安全策略基礎(chǔ)、安全概述以及安全策略配配置置與安全管理等與安全管理等內(nèi)容內(nèi)容。包括。包括以下主要以下主要內(nèi)容：內(nèi)容： 為什么要用為什么要用LinuxLinux？ Linux Linux安全概述安全概述 Linux Linux安全安全配置配置第2節(jié) LINXU安全配置與管理1. LINUX基礎(chǔ)1.1 為什么要用L

42、inux?Linux操作系統(tǒng)具有穩(wěn)定、安全、網(wǎng)絡負載能力強、占用資源少等優(yōu)點，現(xiàn)成為當今世界主流操作系統(tǒng)之一。Linux操作系統(tǒng)是開源的，任何人或企業(yè)都可以免費得到，降低了企業(yè)成本，提升利潤空間。Linux操作系統(tǒng)是不容易受到病毒和木馬攻擊，運行安全穩(wěn)定，不需要經(jīng)常裝機，降低了運維成本。Linux操作系統(tǒng)網(wǎng)絡服務功能非常強大，支持豐富的網(wǎng)絡協(xié)議和應用；在服務器領(lǐng)域非常成熟，占據(jù)大部分市場。2.1 Linux安全概述相對Windows而言，Linux是一個安全而穩(wěn)定的操作系統(tǒng)。Linux系統(tǒng)安全與系統(tǒng)管理員有很大關(guān)系。服務安裝的越多越容易導致系統(tǒng)的安全漏洞。安裝Linux時，最好先最小化安裝，然

43、后再加上必要的軟件。這樣可以減小某個程序出現(xiàn)安全隱患的可能。如果管理得好，Linux將是最安全的系統(tǒng)。應該盡量少讓外人知道有關(guān)系統(tǒng)的信息。有時候簡單地用finger程序就能知道不少系統(tǒng)信息，比如：有多少用戶、管理員什么時候登錄、什么時候工作、是誰現(xiàn)在正在使用這個系統(tǒng)以及其他有利于黑客猜出用戶口令的信息。2. LINUX安全配置2.1 Linux安全概述日志是了解Linux系統(tǒng)運行情況的唯一方法。把所有的連接都記錄在日志中，可以發(fā)現(xiàn)攻擊者和他們試圖進行的攻擊。限制系統(tǒng)中SUID的程序。 SUID的程序是以root（Linux世界中的上帝）權(quán)限運行的程序。有時候這是必須的，但是在多數(shù)情況下則沒有必

44、要。SUID程序可以做任何root做的事，有更多的機會出現(xiàn)安全隱患。黑客可以利用SUID的程序來破壞系統(tǒng)的安全。2. LINUX安全配置2.2 Linux安全配置（1）root賬號root賬號是Linux系統(tǒng)中享有特權(quán)的賬號。 它是不受任何限制和制約的。因此，可能會因為敲錯了一個命令，導致重要的系統(tǒng)文件被刪除。用root賬號的時候，要非常小心。因為安全原因，在不是絕對必要的情況下，不要用root賬號登錄。需要的時候可以使用su命令切換到root賬號。特別要注意的是：千萬不要在別的計算機上用root登錄自己的服務器。2. LINUX安全配置2.2 Linux安全配置（2）賬號管控禁止操作系統(tǒng)中不

45、必要的預置賬號（每次升級或安裝完都要檢查一下）。Linux系統(tǒng)中提供了這樣一些可能不需要的預置賬號。如果確實不需要這些賬號，就把它們刪掉。系統(tǒng)中賬號越多就越容易受到攻擊。命令：rootAid# useradd admin 系統(tǒng)中加入必要的用戶命令：rootAid# chattr +i /etc/passwd （ /etc/shadow 、/etc/group、/etc/gshadow） 給口令文件和組文件設(shè)置不可改變位2. LINUX安全配置2.2 Linux安全配置（2）賬號管控刪除不必要帳戶1、應該刪除所有不用的缺省用戶和組賬戶（比如：lp，sync，shutdown，halt，mail）

46、；2、不用sendmail服務器可刪除帳號news，uucp，operator，games；3、不用X windows服務器可刪掉帳號gopher命令： rootAid#userdel lp 刪除一些不必要用戶命令：rootAid# groupdel adm 刪除一些不必要的組2. LINUX安全配置2.2 Linux安全配置（3）防止任何人su成為root建議盡量限制用戶通過su命令成為root。方法如下：第一步 編輯su文件（vi /etc/pam.d/su），在文件的頭部加入下面兩行： auth sufficient /lib/security/pam_rootok.so debug a

47、uth required /lib/security/pam_wheel.so group=wheel 這兩行的意義是只有 wheel組的成員才能用su命令成為root。注意， w h e e l組是系統(tǒng)中用于這個目的的特殊賬號。不能用別的組名。第二步，讓授權(quán)賬號加入wheel組。 rootAid# usermod -G10 admin2. LINUX安全配置2.2 Linux安全配置（4）禁止任意訪問本機（啟用TCP_WRAPPERS）第一步 vi /etc/hosts.deny，加入下面這些行： # Deny access to everyone. ALL: ALLALL, PARANOID第二步 vi /etc/hosts.allow。例如，可以加入下面這些行（被授權(quán)訪問的計算機要明確地列出來）： sshd: 被授權(quán)訪問的計算機的IP地址是：208.164. 186.