首页 > 技术支持 > 正文

Windows Server 2008安全配置基础

【发布时间】2017/7/7 9:01:19 【来源】 【作者】Admin 【浏览量】

一、及时打补丁

二、阻止恶意Ping攻击

  我们知道,巧妙地利用Windows系统自带的ping命令,可以快速判断局域网中某台重要计算机的网络连通性;可是,ping命令在给我们带来实用的同时,也容易被一些恶意用户所利用,例如恶意用户要是借助专业工具不停地向重要计算机发送ping命令测试包时,重要计算机系统由于无法对所有测试包进行应答,从而容易出现瘫痪现象。为了保证Windows Server 2008服务器系统的运行稳定性,我们可以修改该系统的组策略参数,来禁止来自外网的非法ping攻击:

  首先以特权身份登录进入Windows Server 2008服务器系统,依次点选该系统桌面上的“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击回车键后,进入对应系统的控制台窗口;

  其次选中该控制台左侧列表中的“计算机配置”节点选项,并从目标节点下面逐一点选“Windows设置”、“安全设置”、“高级安全Windows防火墙”、“高级安全Windows防火墙——本地组策略对象”选项,再用鼠标选中目标选项下面的“入站规则”项目;

  接着在对应“入站规则”项目右侧的“操作”列表中,点选“新规则”选项,此时系统屏幕会自动弹出新建入站规则向导对话框,依照向导屏幕的提示,先将“自定义”选项选中,再将“所有程序”项目选中,之后从协议类型列表中选中“ICMPv4”,如图所示;

Windows Server 2008安全配置基础

协议类型列表中选中“ICMPv4”,

  之后向导屏幕会提示我们选择什么类型的连接条件时,我们可以选中“阻止连接”选项,同时依照实际情况设置好对应入站规则的应用环境,最后为当前创建的入站规则设置一个适当的名称。完成上面的设置任务后,将Windows Server 2008服务器系统重新启动一下,这么一来Windows Server 2008服务器系统日后就不会轻易受到来自外网的非法ping测试攻击了。

  小提示:尽管通过Windows Server 2008服务器系统自带的高级安全防火墙功能,可以实现很多安全防范目的,不过稍微懂得一点技术的非法攻击者,可以想办法修改防火墙的安全规则,那样一来我们自行定义的各种安全规则可能会发挥不了任何作用。为了阻止非法攻击者随意修改Windows Server 2008服务器系统的防火墙安全规则,我们可以进行下面的设置操作:

  首先打开Windows Server 2008服务器系统的“开始”菜单,点选“运行”命令,在弹出的系统运行文本框中执行“regedit”字符串命令,打开系统注册表控制台窗口;选中该窗口左侧显示区域处的HKEY_LOCAL_MACHINE节点选项,同时从目标分支下面选中SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules注册表子项,该子项下面保存有很多安全规则;

  其次打开注册表控制台窗口中的“编辑”下拉菜单,从中点选“权限”选项,打开权限设置对话框,单击该对话框中的“添加”按钮,从其后出现的帐号选择框中选中“Everyone”帐号,同时将其导入进来;再将对应该帐号的“完全控制”权限调整为“拒绝”,最后点击“确定”按钮执行设置保存操作,如此一来非法用户日后就不能随意修改Windows Server 2008服务器系统的各种安全控制规则了。

  三、加强系统安全提示

为了防止在Windows Server 2008服务器系统中不小心进行了一些不安全操作,我们建议各位还是将该系统自带的UAC功能启用起来,并且该功能还能有效防范一些木马程序自动在系统后台进行安装操作,下面就是具体的启用步骤:

  首先以系统管理员身份进入Windows Server 2008系统,在该系统桌面中依次点选"开始"、"运行"命令,在弹出的系统运行文本框中,输入"msconfig"字符串命令,单击"确定"按钮后,进入对应系统的实用程序配置界面;
 其次在实用程序配置界面中单击"工具"标签,进入如图4所示的标签设置页面,从该设置页面的工具列表中找到"启用UAC"项目,再单击"启动"按钮,最后单击"确定"按钮并重新启动一下Windows Server 2008系统,如此一来用户日后在Windows Server 2008服务器系统中不小心进行一些不安全操作时,系统就能及时弹出安全提示。

Windows Server 2008安全配置基础

四、不让恶意插件偷袭

  当我们使用Windows Server 2008系统自带的IE浏览器访问Internet网络中的站点内容时,经常会看到有一些恶意插件程序偷偷在系统后台进行安装操作,一旦安装完毕后,我们往往很难将它们从系统中清除干净,并且它们的存在直接影响着Windows Server 2008系统的工作状态以及运行安全。为了不让恶意插件程序偷袭Windows Server 2008系统,我们可以通过下面的设置操作,来阻止任何来自Internet网络中的下载文件安装保存到本地系统中:

  首先以系统管理员身份进入Windows Server 2008系统,在该系统桌面中依次点选"开始"、"运行"命令,在弹出的系统运行文本框中,输入"gpedit.msc"字符串命令,单击"确定"按钮后,进入对应系统的组策略编辑窗口;

  其次将鼠标定位于组策略编辑窗口左侧的"计算机配置"节点选项上,再从该节点选项下面依次点选"管理模板"、"Windows组件"、"Internet Explorer"、"安全功能"、"限制文件下载"组策略子项,在对应"限制文件下载"子项下面找到"Internet Explorer进程"目标组策略,并用鼠标双击该选项,进入如图5所示的属性设置界面;

Windows Server 2008安全配置基础

在该属性设置界面中检查"已启用"选项是否处于选中状态,如果发现该选项还没有被选中时,我们应该将它重新选中,最后单击"确定"按钮保存上述设置操作,这样的话日后要是有恶意插件程序想偷偷下载保存到本地系统硬盘中时,我们就能看到对应的系统提示,单击提示窗口中的"取消"按钮就能阻止恶意插件程序下载安装到Windows Server 2008系统硬盘中了。

五、拒绝网络病毒藏于临时文件

  现在Internet网络上的病毒疯狂肆虐,一些“狡猾”的网络病毒为了躲避杀毒软件的追杀,往往会想方设法地将自己隐藏于系统临时文件夹,那样一来杀毒软件即使找到了网络病毒,也对它无可奈何,因为杀毒软件对系统临时文件夹根本无权“指手划脚”。为了防止网络病毒隐藏在系统临时文件夹中,我们可以按照下面的操作设置Windows Server 2008系统的软件限制策略:

  首先打开Windows Server 2008系统的“开始”菜单,从中点选“运行”命令,在弹出的系统运行对话框中,输入组策略编辑命令“gpedit.msc”,单击“确定”按钮后,进入对应系统的组策略控制台窗口;

Windows Server 2008安全配置基础

“安全级别”参数设置为“不允许”

  其次在该控制台窗口的左侧位置处,依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”/“其他规则”选项,同时用鼠标右键单击该选项,并执行快捷菜单中的“新建路径规则”命令,打开如图2所示的设置对话框;单击其中的“浏览”按钮,从弹出的文件选择对话框中,选中并导入Windows Server 2008系统的临时文件夹,同时再将“安全级别”参数设置为“不允许”,最后单击“确定”按钮保存好上述设置操作,这样一来网络病毒日后就不能躲藏到系统的临时文件夹中了。

六、断开远程连接恢复系统状态 (需要时操作)

  很多时候,一些不怀好意的用户往往会同时建立多个远程连接,来消耗Windows Server 2008服务器系统的宝贵资源,最终达到搞垮服务器系统的目的;为此,在实际管理Windows Server 2008服务器系统的过程中,一旦我们发现服务器系统运行状态突然不正常时,可以按照下面的办法强行断开所有与Windows Server 2008服务器系统建立连接的各个远程连接,以便及时将服务器系统的工作状态恢复正常:

  首先在Windows Server 2008服务器系统桌面中依次点选“开始”、“运行”选项,在弹出的系统运行对话框中,输入“gpedit.msc”命令,单击回车键后,进入目标服务器系统的组策略控制台窗口;

Windows Server 2008安全配置基础

其次选中组策略控制台窗口左侧位置处的“用户配置”节点分支,并用鼠标逐一点选目标节点分支下面的“管理模板”/“网络”/“网络连接”组策略选项,之后双击“网络连接”分支下面的“删除所有用户远程访问连接”选项,在弹出的如图5所示的选项设置对话框中,选中“已启用”选项,再单击“确定”按钮保存好上述设置,这样一来Windows Server 2008服务器系统中的的各个远程连接都会被自动断开,此时对应系统的工作状态可能会立即恢复正常。

、巧妙实时监控系统运行安全 

  为了能够在第一时间发现潜藏在本地系统中的安全威胁,相信很多人都安装了专业的监控工具,来对系统的运行状态进行全程监控。其实,Win2008系统也自带有实时监控程序Windows Defender,只是该程序并不像其他应用程序那样会在系统托盘区域处出现一个控制图标,不过该程序一旦看到Win2008系统遭遇间谍程序的攻击时,它往往会立即发挥作用来帮助用户解决问题。尽管Windows Defender程序平时并不显现出来,不过该程序实际上在系统后台启动了一个服务,通过该系统服务默默地保护Win2008系统的安全;我们可以按照下面的操作,确认Windows Defender程序的服务状态是否正常:

  首先依次点选Win2008系统桌面中的开始”/“运行命令,在弹出的系统运行对话框中,输入字符串命令“services.msc”,单击回车键后,打开系统服务列表窗口;

  其次从系统服务列表窗口的左侧位置处,找到目标系统服务选项“Windows Defender”,并用鼠标右键单击该选项,从弹出的快捷菜单中执行属性命令,打开Windows Defender服务的属性设置窗口,在该窗口的常规标签页面中,我们可以非常清楚地看到目标系统服务的运行状态是否正常,要是发现该服务已经被关闭运行时,我们必须及时单击启动按钮将它重新启动起来,同时将它的启动类型参数修改为自动,最后单击确定按钮保存好上述设置操作,这么一来我们就能确保Windows Defender服务时刻来保护Win2008系统的安全了。

  为了让Windows Defender服务更有针对性地进行实时监控,我们还可以修改Win2008系统的组策略参数,让Windows Defender程序对已知文件或未知文件进行监测,同时对监测结果进行跟踪记录,下面就是具体的修改步骤:

  首先在Win2008系统桌面中依次单击开始”/“运行命令,在弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击回车键后,打开系统的组策略控制台窗口;

  其次在该控制台窗口的左侧显示区域处,依次点选计算机配置”/“管理模板”/“Windows组件”/“Windows Defender”组策略子项,从目标子项下面找到启用记录已知的正确检测选项,并用鼠标右键单击该选项,从弹出的快捷菜单中执行属性命令,打开目标组策略的属性设置窗口,如图所示;

Windows Server 2008安全配置基础

在该设置窗口中,检查已启用选项是否处于选中状态,如果发现该选项还没有被选中时,我们必须及时将它重新选中,再单击确定按钮保存好上述设置操作。按照同样的操作步骤,我们再打开启用记录未知检测组策略的属性设置对话框,选中其中的已启用选项,这么一来Win2008系统日后就会对各种类型的文件进行自动检测、记录,我们只要定期查看记录内容就能知道本地系统是否存在安全威胁了。

、及时监控系统账号恶意创建 

   有的时候,一些非法攻击者会利用木马程序偷偷在计算机系统中恶意创建登录帐号,以便日后可以利用该帐号来对本地系统实施非法攻击。为了及时监控本地系统中是否有新的账号被偷偷创建,我们可以巧妙利用Win2008系统的附加任务功能,针对系统帐号创建事件添加自动报警任务,确保系统中有新的登录帐号生成时,及时向系统管理员发出报警信息,确保系统管理员在第一时间判断出新创建的登录帐号是否合法,下面就是具体的实现步骤:

  首先在Win2008系统桌面中,依次点选开始”/“运行命令,从弹出的系统运行框中执行“secpol.msc”命令,进入本地安全策略设置界面,从该界面的左侧位置处逐一展开安全设置本地策略审核策略节点选项,再从目标节点下面找到审核帐户管理组策略选项,打开如图4所示的设置对话框,将该对话框中的成功失败选项全部选中,再单击确定按钮保存好上述设置操作;

Windows Server 2008安全配置基础

  其次用鼠标右键单击Win2008系统桌面中的计算机图标,从弹出的快捷菜单中点选管理命令,打开对应系统的计算机管理对话框,在该对话框的左侧显示区域依次点选服务器管理器”/“配置”/“本地用户和组”/“用户选项,同时用鼠标右键单击该选项,并执行快捷菜单中的新用户命令,在其后出现的新用户创建对话框中,随意创建一个用户账号,一旦创建成功后,系统就会自动生成一个登录账号创建成功日志记录;

  接着依次单击开始”/“程序”/“管理工具”/“事件查看器选项,打开事件查看器控制台窗口,从该控制台窗口的左侧位置处依次点选“Windows日志”/“系统分支选项,并从目标分支下面找到刚刚生成的新用户账号创建成功的日志记录,再用鼠标右键单击该记录选项,同时执行右键菜单中的将任务附加到此事件命令,打开创建基本任务向导对话框;

  按照向导提示将基本任务名称设置为账号创建报警,将该任务执行的操作设置为显示消息,之后设置消息标题为谨防账号被恶意创建,将消息内容设置为有新用户账号刚刚被创建,请系统管理员立即验证其合法性,最后单击完成按钮结束基本任务的附加操作,如此一来日后本地Win2008系统中有新的用户账号被偷偷创建时,系统屏幕上会立即出现有新用户账号刚刚被创建,请系统管理员立即验证其合法性这样的提示信息,看到这样的提示系统管理员就能及时监控到有人在偷偷创建用户账号了,此时只要采用针对性措施进行应对就能保证本地Win2008系统的运行安全性了

 

、限制数量,确保远程连接高效

  很多人为了方便管理Windows Server 2008服务器系统,往往会将该系统的远程桌面连接数量设置得很大;殊不知,每一个远程桌面连接都需要耗费Windows Server 2008服务器系统资源,一旦同时建立的远程连接数量比较多时,那么Windows Server 2008服务器系统的反应就比较迟钝,这样一来每一个远程桌面连接的反应自然也就迟钝了,此时自然也就不能高效进行远程控制操作了。为了确保远程桌面连接始终高效,我们可以对Windows Server 2008服务器系统允许建立的远程连接数量进行适当限制,下面就是具体的限制步骤:

  首先打开Windows Server 2008服务器系统的开始菜单,从中依次点选/“设置”/“控制面板命令,在弹出的系统控制面板窗口中,用鼠标双击管理工具图表,再从系统管理工具列表窗口中依次双击终端服务终端服务配置选项,弹出系统终端服务配置界面;

  其次在终端服务配置界面的左侧位置处单击授权诊断节点选项,选中在对应该分支选项的右侧显示区中的“RDP-Tcp”选项,并用鼠标右键单击“RDP-Tcp”选项,再点选快捷菜单中的属性命令,进入到“RDP-Tcp”选项设置界面;

  点选“RDP-Tcp”选项设置界面中的网络适配器选项卡,在对应的选项设置页面中,将最大连接数参数修改为适当的数值,该数值通常需要根据服务器系统的硬件性能来设置,一般情况下我们可以将该数值设置为“5”以下,最后单击确定按钮执行设置保存操作。

Windows Server 2008安全配置基础

2 修改注册表限制远程连接数量

  要是我们对系统注册表比较熟悉的话,也可以通过修改系统相关键值的方法,来限制Windows Server 2008服务器系统的远程桌面连接数量;我们可以打开对应系统的开始菜单,从中点选运行命令,在弹出的系统运行对话框中输入字符串命令“regedit”,单击回车键后,进入系统注册表控制台窗口;展开该控制台窗口中的“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services”注册表子项(如图2所示),在目标注册表子项下面创建好“MaxInstanceCount”双字节值,同时将该键值数值调整为“10”,最后单击确定按钮保存好上述设置操作。

十、巧妙限制普通用户上网访问 (需要时操作)

  在Win2008系统环境下,如果随意让拥有普通权限的用户上网访问时,可能会给本地系统带来安全威胁,而系统管理员往往由于工作原因,又必须要有权限可以上网访问,那么如何才能实现这种特殊的访问要求呢?通过下面的设置操作,我们可以很轻松地限制普通用户上网的权限,同时又可以让系统管理员的上网访问不受影响:

  首先以普通权限账号登录Win2008系统,打开对应系统的开始菜单,从中点选IE浏览器选项,在弹出的IE浏览器窗口中单击工具选项,从下拉菜单中执行“Internet选项命令,进入Internet选项设置窗口;

Windows Server 2008安全配置基础

其次单击该设置窗口中的连接选项卡,并单击对应选项设置页面中的局域网设置按钮,此时系统屏幕上会出现一个如图5所示的设置对话框,选中其中的LAN使用代理服务器项目,同时任意输入一个无效的代理服务器主机地址以及端口号码,再单击确定按钮执行参数保存作;

  接着注销Win2008系统,换以系统管理员身份重新登录系统,打开该系统桌面中的开始菜单,从中点选运行命令,从其后出现的系统运行框中执行“gpedit.msc”命令,进入对应系统的组策略控制台界面;

  选中该控制台界面左侧位置处的计算机配置节点分支,并从目标分支下面依次展开管理模板“Windows组件“Internet Explorer”“Internet控制面板组策略子项,之后双击目标组策略子项下面的禁用连接页选项,选中对应设置界面中的已启用选项,再单击确定按钮保存好上述设置操作,最后将Win2008系统重新启动一下。

  这样一来,日后当用户以普通权限的账号登录Win2008系统,并在该系统环境中上网访问时,IE浏览器会自动先搜索一个无效的代理服务器,并企图通过该代理服务器进行网络访问,显然这样的访问操作是不会成功的;而用户以系统管理员权限在Win2008系统环境下访问时,IE浏览器不会优先连接代理服务器,而是直接可以进行上网访问,这样的访问当然能够看到内容。

十一、防止系统安全级别意外降低

  在公共场合下,与他人共用一台电脑的事情是经常会出现的,当我们辛辛苦苦地将本地电脑的IE浏览器安全级别调整合适后,肯定不想让其他人再随意降低它的安全级别,毕竟随意降低IE浏览器的安全级别,容易引起本地电脑遭遇网络病毒或恶意木马的袭击,最终造成所有的人都不能正常使用电脑。为了防止系统安全级别意外降低,安装了Windows Server 2008系统的电脑可以允许用户进行下面的设置操作:

  首先在Windows Server 2008系统桌面中逐一点选“开始”、“运行”命令,打开对应系统的运行文本框,在其中输入“gpedit.msc”字符串命令,单击“确定”按钮后进入对应系统的组策略控制台窗口;

  其次将鼠标定位于该控制台窗口左侧子窗格中的“用户配置”节点选项,再从目标节点选项下面依次展开“管理模板”、“Windows组件”、“Internet Explorer”、“Internet控制模板”组策略子项,再用鼠标双击目标组策略子项下面的“禁用安全页”选项,打开如图4所示的目标组策略属性设置对话框;

Windows Server 2008安全配置基础

检查该设置对话框中的“已启用”选项是否处于选中状态,如果发现它还没有被选中时,我们应该及时将它重新选中,再单击“确定”按钮保存好设置操作,这样的话其他人日后即使进入到Windows Server 2008系统的Internet选项设置窗口,也不能进入其中的安全设置页面,因为该页面已经被自动隐藏起来了,如此一来其他人自然就不能随意在安全设置页面中改动本地电脑的安全访问级别了,这时Windows Server 2008系统的访问安全性也就有保证了。

  此外,我们也能通过合适设置将本地电脑IE浏览器窗口中的“Internet选项”命令隐藏起来,让其他人无法打开IE浏览器的选项设置窗口,这样也能阻止恶意用户随意降低本地电脑的安全访问级别。在隐藏“Internet选项”选项命令时,我们可以先进入Windows Server 2008系统的组策略控制台窗口,依次展开其中的“用户配置”、“管理模板”、“Windows组件”、“Internet Explorer”、“浏览器菜单”分支选项,再在目标分支选项的右侧子窗格中双击“禁用Internet选项”项目,在其后出现的组策略属性界面中,选中“已启用”项目,再单击“确定”按钮就OK了。

十二、巧妙备份系统所有账号信息

通常情况下,Windows Server 2008系统中往往会同时保存有不少用户的系统登录账号信息,这些登录账号信息在服务器系统突然遭遇崩溃故障时,很可能会永远丢失掉,日后网络管理员可能很难通过大脑记忆的方法将所有丢失的用户账号逐一恢复成功。为了防止重要用户的账号信息发生丢失,我们应该及时在Windows Server 2008系统工作正常的时候,对用户账号信息进行巧妙备份,然后将备份文件保存到其他安全的地方,日后Windows Server 2008系统要是发生故障而不能正常启动运行时,用户账号信息也不会受到任何损坏,因为到时候将备份好的用户帐号恢复一下就可以了,下面就是备份用户账号的具体步骤:

首先打开Windows Server 2008系统桌面的“开始”菜单,从中点选“运行”命令,在其后出现的系统运行对话框中,输入“credwiz”字符串命令,单击“确定”按钮后,打开如图5所示的备份还原设置对话框;

Windows Server 2008安全配置基础

 其次将其中的“备份存储的用户名和密码”项目选中,同时根据向导提示单击“下一步”按钮,在其后界面中单击“浏览”按钮,打开文件选择对话框,在这里我们需要指定好保存用户帐号的文件名称以及保存位置,之后再单击对应对话框中的“保存”按钮,如此一来在Windows Server 2008系统环境下创建的所有用户账号信息都将被自动保存到特定的文件中了,只是该文件默认会使用crd扩展名;

日后一旦发现Windows Server 2008系统的用户账号意外丢失时,我们只要将之前备份好的用户账号文件复制到Windows Server 2008系统环境下,之后再依次单击“开始”/“运行”命令,从其后出现的系统运行框中执行字符串命令“credwiz”,进入用户帐号还原向导设置窗口,选中其中的“还原存储的用户名和密码”功能选项,然后将目标用户帐号备份文件选择并加入进来,最后单击“还原”按钮,这样一来发生丢失或受到损坏的用户账号信息就能被成功恢复好了。