操作系統(tǒng)安全配置二

項目一操作系統(tǒng)安全配置與測試《網(wǎng)絡(luò)安全技術(shù)應(yīng)用》胡志齊主編單元學(xué)習(xí)目標(biāo)能力目標(biāo)具備對Windows服務(wù)器操作系統(tǒng)進行安全策略配置的能力具備對Windows服務(wù)器進行端口和服務(wù)安全加固的能力具備安全配置Web服務(wù)器的能力具備利用MBSA掃描系統(tǒng)漏洞并查看報告的能力具備利用微軟WSUS服務(wù)器為客戶端分發(fā)和安裝系統(tǒng)補丁的能力知識目標(biāo)了解Windows服務(wù)器操作系統(tǒng)的安全策略掌握Windows服務(wù)器操作系統(tǒng)安全策略的配置方法掌握安全配置Web服務(wù)器的方法掌握服務(wù)和端口安全了解系統(tǒng)漏洞的概念掌握使用MBSA檢測系統(tǒng)漏洞的方法掌握企業(yè)操作系統(tǒng)補丁更新的方法情感態(tài)度價值觀培養(yǎng)認(rèn)真細(xì)致的工作態(tài)度逐步形成網(wǎng)絡(luò)安全的主動防御意識單元學(xué)習(xí)內(nèi)容計算機系統(tǒng)安全是網(wǎng)絡(luò)安全的基礎(chǔ)。目前，Windows操作系統(tǒng)是應(yīng)用最多的計算機操作系統(tǒng)之一，市場占有率始終維持在90%左右。常用的Windows服務(wù)器操作系統(tǒng)包括Windows2003和WindowsServer2008。任何安全措施都無法保證萬無一失，而強有力的安全措施可以增加入侵的難度，從一定程度上提升系統(tǒng)的安全性。通常情況下，用戶安裝操作系統(tǒng)后便投入使用是非常危險的。要想使服務(wù)器在復(fù)雜的環(huán)境下平穩(wěn)運行，必須進行安全加固。本章將以Windows2003系統(tǒng)為例進行安全加固，保證系統(tǒng)安全運行。主要內(nèi)容任務(wù)2網(wǎng)絡(luò)服務(wù)安全配置任務(wù)3檢查與防護漏洞任務(wù)4操作系統(tǒng)補丁更新服務(wù)器配置任務(wù)1Windows系統(tǒng)基本安全設(shè)置任務(wù)1

Windows系統(tǒng)基本安全設(shè)置活動一設(shè)置本地安全策略活動二關(guān)閉不必要的服務(wù)和端口任務(wù)分析活動1設(shè)置本地安全策略【任務(wù)描述】

齊威公司新購置了幾臺計算機準(zhǔn)備作為服務(wù)器，小齊給它們安裝了比較流行的Windows2003服務(wù)器操作系統(tǒng)，而且安裝的時候選擇的是默認(rèn)安裝。但由于是服務(wù)器，對公司來說非常重要，來不得半點馬虎，于是在默認(rèn)安裝結(jié)束后，小齊決定對系統(tǒng)進行安全加固?！救蝿?wù)分析】

小齊利用網(wǎng)絡(luò)查找資料了解到，利用WindowsServer2003的安全配置工具來配置安全策略，微軟提供了一套基于管理控制臺的安全配置和分析工具，可以配置服務(wù)器的安全策略，在管理工具中可以找到“本地安全設(shè)置”配置5類安全策略：賬戶策略、本地策略、公鑰策略、軟件限制策略和IP安全策略。小齊決定先進行賬戶策略的設(shè)置?；顒?設(shè)置本地安全策略【任務(wù)實戰(zhàn)】

（1）選擇“開始”→“所有程序”→“管理工具”→“本地安全策略”，顯示“本地安全設(shè)置”窗口，如圖1-1所示。圖1-1“本地安全設(shè)置”窗口活動1設(shè)置本地安全策略

（2）開啟賬戶策略。開啟賬戶策略就可以有效防止字典式攻擊，設(shè)置如下。①單擊“賬戶策略”左邊的

，展開“賬戶策略”項，看到“密碼策略”與“賬戶鎖定策略”兩項。②選擇“賬戶鎖定策略”，在窗口的右邊將出現(xiàn)“復(fù)位賬戶鎖定計數(shù)器”、“賬戶鎖定時間”、“賬戶鎖定閾值”3項，如圖1-2所示。圖1-2“賬戶鎖定策略”選項活動1設(shè)置本地安全策略③選擇“賬戶鎖定閾值”，單擊鼠標(biāo)右鍵，選擇“屬性”，打開“賬戶鎖定閾值屬性”對話框，如圖1-3所示。④在對話框中選擇需要設(shè)置的登錄次數(shù)，超過該次數(shù)后就會鎖定該登錄賬戶，以防止非授權(quán)用戶的無限次嘗試登錄。其余項目設(shè)置與此相同。圖1-3“賬戶鎖定閾值屬性”對話框活動1設(shè)置本本地安安全策策略（3）開啟啟密碼碼策略略。密密碼對對系統(tǒng)統(tǒng)安全全非常常重要要。本本地安安全設(shè)設(shè)置中中的密密碼策策略在在默認(rèn)認(rèn)情況況下都都沒有有開啟啟。①選選擇““密碼碼策略略”，，在窗窗口右右邊窗窗格中中顯示示策略略具體體項，，如圖圖1-4所示。。圖1-4““本地安安全設(shè)設(shè)置-密碼策策略””選項項活動1設(shè)置本本地安安全策策略②以以“密密碼長長度最最小值值”的的設(shè)置置為例例，說說明密密碼策策略的的設(shè)置置。選選擇““密碼碼長度度最小小值””，單單擊擊鼠標(biāo)標(biāo)右鍵鍵，選選擇““屬性性”，，打開開“密密碼長長度最最小值值屬屬性””對話話框，，如圖圖1-5所示。。③在在“密密碼必必須至至少是是”文文本框框中選選擇要要規(guī)定定的字字符個個數(shù)，，然后后單擊擊“應(yīng)應(yīng)用””按鈕鈕，再再單擊擊“確確定””按鈕鈕。這這樣就就設(shè)置置了密密碼策策略的的長度度項，，其余余項的的設(shè)置置與此此相同同。圖1-5““密碼長長度最最小值值屬屬性””對話話框活動1設(shè)置本本地安安全策策略（4）開啟啟審核核策略略。安安全審審核是是WindowsServer2003最基本本的入入侵檢檢測的的方法法。當(dāng)當(dāng)有人人嘗試試對系系統(tǒng)進進行某某種方方式（（如嘗嘗試用用戶密密碼、、改變變賬戶戶策略略和未未經(jīng)許許可的的文件件訪問問等））入侵侵時，，都會會被安安全審審核記記錄下下來。。①選選擇““審核核策略略”，，在窗窗口右右邊窗窗格中中顯示示審核核策略略具體體項，，如圖圖1-6所示。。圖1-6““審核策策略””列表表框②以“審核策策略更更改”的設(shè)置置為例例說明明審核核策略略的設(shè)設(shè)置。。選擇擇“審核策策略更更改”，并單單擊鼠鼠標(biāo)右右鍵，，選擇擇“屬性”，打開開“審核策策略更更改屬屬性”對話框框?；顒?設(shè)置本本地安安全策策略（5）不顯顯示上上次登登錄名名。默默認(rèn)情情況下下，終終端服服務(wù)接接入服服務(wù)器器時候候，登登錄對對話框框中會會顯示示上次次登錄錄的賬賬戶名名，本本地的的登錄錄對話話框也也是一一樣。。黑客客們可可以得得到系系統(tǒng)的的一些些用戶戶，進進而猜猜測密密碼。。通過過修改改注冊冊表可可以禁禁止顯顯示上上次登登錄名名，方方法是是在HKEY_LOCAL_MACHINE主鍵下下修改改子鍵鍵SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName，將鍵鍵值修修改為為“1”。（6）禁止止建立立空連連接。。默認(rèn)認(rèn)情況況下，，任何何用戶戶可以以通過過空連連接進進入服服務(wù)器器，進進而枚枚舉出出賬號號，猜猜測密密碼。?？梢砸酝ㄟ^過修改改注冊冊表來來禁止止建立立空連連接，，方法法是在在HKEY_LOCAL_MACHINE主鍵下下修改改子鍵鍵System\CurrentControlSet\Control\LSA\RestrictAnonymous，將鍵鍵值改改為““1”。活動1設(shè)置本本地安安全策策略【任務(wù)描描述】小齊已已經(jīng)把把服務(wù)務(wù)器進進行了了密碼碼策略略的加加固，，而且且安裝裝上了了殺毒毒軟件件，小小齊得得意地地認(rèn)為為這樣樣就可可以萬萬無一一失了了。可可是服服務(wù)器器運行行一段段時間間后，，小齊齊發(fā)現(xiàn)現(xiàn)服務(wù)務(wù)器還還是遭遭受到到了多多次的的黑客客入侵侵和網(wǎng)網(wǎng)絡(luò)病病毒的的侵襲襲，這這是怎怎么回回事呢呢？【任務(wù)分分析】小齊通通過訪訪問微微軟的的官方方網(wǎng)站站了解解到，，黑客客的入入侵和和網(wǎng)絡(luò)絡(luò)病毒毒的感感染都都是通通過服服務(wù)器器的端端口進進行的的，而而Windows系統(tǒng)在在默認(rèn)認(rèn)情況況下，，有些些沒有有用的的端口口和服服務(wù)是是開啟啟的，，這就就給黑黑客和和病毒毒有了了可乘乘之機機，小小齊決決定現(xiàn)現(xiàn)在就就把那那些沒沒有用用的端端口和和服務(wù)務(wù)關(guān)閉閉?；顒?關(guān)閉不不必要要的服服務(wù)和和端口口【任務(wù)務(wù)實戰(zhàn)戰(zhàn)】1．關(guān)閉閉不必必要的的端口口（1）查看看端口口。主要有有兩種種方式式：>>利用系系統(tǒng)內(nèi)內(nèi)部的的命令令查看看>>使用第第三方方軟件件查看看。（2）關(guān)閉閉端口口（四四個步步驟））。(1)查看端端口Netstat工具可可以顯顯示有有關(guān)統(tǒng)統(tǒng)計信信息和和當(dāng)前前TCP/IP網(wǎng)絡(luò)連連接的的情況況，通通過該該工具具，用用戶或或網(wǎng)絡(luò)絡(luò)管理理人員員可以以得到到非常常詳細(xì)細(xì)的統(tǒng)統(tǒng)計結(jié)結(jié)果，，當(dāng)網(wǎng)網(wǎng)絡(luò)中中沒有有安裝裝特殊殊的網(wǎng)網(wǎng)管軟軟件，，但要要對整整個網(wǎng)網(wǎng)絡(luò)的的使用用狀況況做詳詳細(xì)的的了解解時，，Netstat就非常常有用用。它它可以以用來來獲得得系統(tǒng)統(tǒng)網(wǎng)絡(luò)絡(luò)連接接的信信息（（使用用端口口和在在使用用的協(xié)協(xié)議等等）、、收到到和發(fā)發(fā)出的的數(shù)據(jù)據(jù)、被被連接接的遠(yuǎn)遠(yuǎn)程系系統(tǒng)的的端口口等。。在命命令行行狀態(tài)態(tài)下，，輸入入以下下命令令并按按Enter鍵：netstat-a，結(jié)果果如圖圖1-7所示。。圖1-7Netstat-a參數(shù)使使用情情況ForeignAddress：指連連接該該端口口的遠(yuǎn)遠(yuǎn)程計計算機機的名名稱和和端口口號；；State：表明明當(dāng)前前計算算機TCP的連接接狀態(tài)態(tài)。主主要狀狀態(tài)有有LISTENING、TIMEWAITESTABLISHED、。其其中LISTENING表示監(jiān)監(jiān)聽狀狀態(tài)，，表明明主機機正在在對打打開的的端口口進行行監(jiān)聽聽，等等待遠(yuǎn)遠(yuǎn)程計計算機機的連連接，，這比比較危危險，，有可可能會會被病病毒或或者黑黑客作作為入入侵系系統(tǒng)的的端口口；ESTABLISHED表示已已經(jīng)建建立起起的連連接，，表明明兩臺臺主機機之間間正在在通過過TCP進行通信；；TIMEWAIT表示這次連連接結(jié)束，，表明端口口曾經(jīng)有過過訪問，但但現(xiàn)在訪問問結(jié)束。另另外，UDP端口不需要要監(jiān)聽。-n這個參數(shù)基基本上是-a參數(shù)的數(shù)字字形式，它它是用數(shù)字字的形式顯顯示信息，，這個參數(shù)數(shù)用于檢測測自己的IP，也有些人人則因為更更喜歡用數(shù)數(shù)字的形式式顯示主機機名而使用用該參數(shù)。。-e參數(shù)顯示靜靜態(tài)的網(wǎng)卡卡數(shù)據(jù)統(tǒng)計計情況，如如圖1-8所示。圖1-8Netstat-e參數(shù)使用-p參數(shù)用來顯顯示特定的的協(xié)議所在在的端口信信息，它的的格式為““netstat––pxxx”。其中xxx可以是UDP、IP、ICMP或TCP，如圖1-9所示。圖1-9Netstat-p參數(shù)使用-s參數(shù)顯示在在默認(rèn)的情情況下每個個協(xié)議的配配置統(tǒng)計，，默認(rèn)情況況下包括TCP、IP、UDP、ICMP等協(xié)議，如如圖1-10所示。Netstat的-a、-n兩個參數(shù)同同時使用時時，可以用用來查看系系統(tǒng)端口狀狀態(tài)，列出出系統(tǒng)正在在開放的端端口號及其其狀態(tài)，如如圖1-11所示。圖1-10Netstat-e-s參數(shù)的綜合合應(yīng)用圖1-11Netstat-na參數(shù)的綜合合使用Netstat的-a、-n、-b3個參數(shù)同時時使用時，，可用來查查看系統(tǒng)端端口狀態(tài)，，顯示每個個連接是由由哪些程序序創(chuàng)建的，，如圖1-12所示。圖1-12Netstat-nab參數(shù)的綜合合使用步驟1選擇“開始”→“設(shè)置”→“控制面板”→“管理工具”，雙擊打開開“本地安全策策略”，選擇“IP安全策略，，在本地計計算機”，如圖1-13所示。圖1-13““本地安全設(shè)設(shè)置”窗口(2)關(guān)閉端口（（四個步驟驟）在右邊窗格格的空白位位置右擊，，彈出快捷捷菜單，選選擇“創(chuàng)建建IP安全策略””，于是彈彈出一個向向?qū)?。在向向?qū)е袉螕魮簟跋乱徊讲健卑粹o。。為新的安安全策略命命名為“關(guān)關(guān)閉端口””，如圖1-14所示。圖1-14““IP安全策略名名稱”對話話框單擊“下一一步”按鈕鈕，則打開開“安全通通信請求””對話框（（圖1-15），在對話話框上取消消選中“激激活默認(rèn)相相應(yīng)規(guī)則””，單擊““完成”按按鈕就創(chuàng)建建了一個新新的IP安全策略。。圖1-15““安全通信請請求”對話話框步驟2右擊該IP安全策略，，選擇“屬屬性”在打打開的“關(guān)關(guān)閉端口屬屬性”對話話框中（圖圖1-16），取消選選中“使用用添加向?qū)?dǎo)”，然后后單擊“添添加”按鈕鈕添加新的的規(guī)則，隨隨后彈出““新規(guī)則屬屬性”對話話框（圖1-17），其中顯顯示“IP篩選器列表表”選項卡卡。圖1-16““關(guān)閉端口屬屬性”對話話框圖1-17““新規(guī)則屬性性”對話框框在圖1-17中單擊“添添加”按鈕鈕，彈出““IP篩選器列表表”對話框框，如圖1-18所示。在列表中，，首先取消消選中“使用添加向向?qū)А?，然后再單單擊右邊的的“添加”按鈕添加新新的篩選器器。圖1-18““IP篩選器列表表”對話框框步驟3進入“篩選選器屬性””對話框，，首先看到到的是“地地址”選項項卡（圖1-19），源地址址選擇“任任何IP地址”，目目標(biāo)地址選選擇“我的的IP地址”。選擇“協(xié)議議”選項卡卡，在“選選擇協(xié)議類類型”下拉拉列表中選選擇“TCP”，然后在““到此端口口”下的文文本框中輸輸入“135”，單擊“確確定”按鈕鈕，如圖1-20所示。這樣樣就添加了了一個屏蔽蔽TCP135（RPC）端口的篩篩選器，它它可以防止止外界通過過135端口進入你你的計算機機。單擊“確定定”按鈕后后回到篩選選器列表的的對話框，，可以看到到已經(jīng)添加加了一條策策略。重復(fù)以上步步驟繼續(xù)添添加TCP137、139、445、593端口和UDP135、139、445端口，為它它們建立相相應(yīng)的篩選選器。重復(fù)復(fù)以上步驟驟添加TCP1025、2745、3127、6129、3389端口的屏蔽蔽策略，建建立好上述述端口的篩篩選器，最最后單擊““確定”按按鈕。圖1-19““IP篩選器屬性性”對話框框圖1-20““協(xié)議”選項項卡步驟4在“編輯規(guī)規(guī)則屬性””對話框中中，選擇““新IP篩選器列表表”，然后后選中其左左邊單選按按鈕，表示示已經(jīng)激活活，最后選選擇“篩選選器操作””選項卡，，如圖1-21所示。圖1-21““編輯規(guī)則屬屬性”對話話框在“篩選器操作作”選項卡中，，取消選中中“使用添加向向?qū)А?，單擊“添加”按鈕（圖1-22），添加“阻止”操作（圖1-23）：在打開開的“需要安全屬屬性”對話框的“安全措施”選項卡中，，選擇“阻止”，然后單擊擊“確定”按鈕。圖1-22““篩選器操作作”選項卡圖1-23““安全措施”選項卡步驟5進入“新規(guī)則屬性性”對話框，選選擇“新篩選器操操作列表”，其左邊的的圓圈會加加了一個點點，表示已已經(jīng)激活，，單擊“關(guān)閉”按鈕，關(guān)閉閉對話框；；最后回到到“新規(guī)則屬性性”對話框，選選中“新IP篩選器列表表”（圖1-24）左邊的單單選按鈕，，激活選項項，單擊“確定”按鈕關(guān)閉對對話框。在在“本地安全策策略”窗口，用鼠鼠標(biāo)右擊新新添加的IP安全策略，，然后選擇擇“指派”。圖1-24““IP篩選器列表表”選項卡重新啟動后后，計算機機中上述網(wǎng)網(wǎng)絡(luò)端口就就被關(guān)閉，，病毒和黑黑客再也不不能連上這這些端口。。活動2關(guān)閉不必要要的服務(wù)和和端口【任務(wù)實戰(zhàn)戰(zhàn)】2．關(guān)閉不必必要的服務(wù)務(wù)在Windows操作系統(tǒng)中中，默認(rèn)開開啟的服務(wù)務(wù)很多，但但并非所有有的服務(wù)都都是操作系系統(tǒng)運行必必須的，而而禁止所有有不必要的的服務(wù)可以以節(jié)省內(nèi)存存和大量系系統(tǒng)資源，，更重要的的是提升系系統(tǒng)的安全全性。（1）查看服務(wù)務(wù)。單擊“開始”菜單，展開開“管理工具”，選擇“服務(wù)”，打開“服務(wù)”窗口，如圖圖1-25所示。圖1-25““服務(wù)”窗口（2）關(guān)閉服務(wù)務(wù)。下面以以“程序在指定定時間運行行”服務(wù)為例說說明如何關(guān)關(guān)閉服務(wù)。?！俺绦蛟谥付ǘ〞r間運行行”的服務(wù)名稱稱為“TaskSchedule”，它就是是計劃任務(wù)務(wù)的服務(wù)，，可以讓有有權(quán)限的用用戶，制定定一個計劃劃讓某個程程序在未來來某個時間間自動運行行。這個服服務(wù)很容易易被黑客利利用，讓木木馬自動在在某個時間間運行，因因此如果不不使用這項項功能，建建議停止這這項服務(wù)。。在系統(tǒng)服服務(wù)中找到到TaskSchedule服務(wù)，單擊擊鼠標(biāo)右鍵鍵，選擇“屬性”，打開的對對話框如圖圖1-26所示。然后后選擇啟動動類型為““禁用”。。單擊“服務(wù)狀態(tài)”下的“停止”按鈕，彈出出如圖1-27所示的對話話框，則該該服務(wù)就被被關(guān)閉了。。圖1-26“TaskSchedule的屬性”對對話框圖1-27““服務(wù)控制”對話框活動2關(guān)閉不必要要的服務(wù)和和端口【任務(wù)拓展展】一、理論題題1．請說明Windows系統(tǒng)自身安安全的重要要性。2．請列舉出出你所了解解的Windows安全的配置置方法。3．WindowsServer2003用戶“密碼策略”設(shè)置中，“密碼必須符符合復(fù)雜性性要求”策略啟用，，用戶設(shè)置置密碼必須須滿足什么么要求？4．查看端口口的命令是是什么？二、實訓(xùn)1．自動播放放功能不僅僅對光驅(qū)起起作用，而而且對其他他驅(qū)動器也也起作用，，這樣很容容易被黑客客用來執(zhí)行行黑客程序序。為了系系統(tǒng)安全起起見，建議議關(guān)閉自動動播放功能能，請寫出出工作流程程并截圖。。2．除了系統(tǒng)統(tǒng)自帶的端端口查看工工具Netstat外，互聯(lián)網(wǎng)網(wǎng)上還有很很多第三方方的查看工工具，操作作簡單，界界面友好，，如Tcpview等。請從互互聯(lián)網(wǎng)上找找到一款端端口查看軟軟件，并熟熟悉其使用用方法，給給大家講解解一下。任務(wù)2網(wǎng)絡(luò)服務(wù)安安全配置活動一Web服務(wù)安全設(shè)設(shè)置活動二Web瀏覽器安全全設(shè)置任務(wù)分析活動1Web服務(wù)安全設(shè)置【任務(wù)描述述】齊威公司準(zhǔn)準(zhǔn)備在剛剛剛配置好的的Windows2003上安裝一臺臺Web服務(wù)器，發(fā)發(fā)布公司的的網(wǎng)站。通通過網(wǎng)絡(luò)學(xué)學(xué)習(xí)，網(wǎng)管管員小齊了了解到可以以用微軟提提供的IIS6.0組件，并可可以通過安安全設(shè)置打打造一個安安全的Web服務(wù)器?！救蝿?wù)分析析】小齊通過查查看微軟中中國的官方方在線幫助助網(wǎng)站了解解，IIS6.0并沒有作為為默認(rèn)組件件安裝，需需要先安裝裝，然后再再進行安全全配置?！救蝿?wù)實戰(zhàn)戰(zhàn)】1．IIS的安裝2.設(shè)置IIS安全活動1Web服務(wù)安全設(shè)置1.IIS的安裝步驟1運行“控制面板”中的“添加刪除程程序”，選擇“添加/刪除Windows組件”，進入“Windows組件向?qū)А睂υ捒?，選選中“應(yīng)用程序服服務(wù)器”復(fù)選框，單單擊“詳細(xì)細(xì)信息”按鈕，如圖圖1-28所示。步驟2單擊“下一步”按鈕，進入入“正在配置組組件”對話框。圖1-28“Windows組件向?qū)А薄睂υ捒虿襟E3將WindowsServer2003的光盤放入入光驅(qū)中，，單擊“確定”按鈕，完成成組件的安安裝。活動1Web服務(wù)安全設(shè)置（1）IP地址限制通過IP地址及域名名限制，用用戶可禁止止某些特定定的計算機機或者某些些區(qū)域中的的主機對自自己的Web和FTP站點點及及SMTP虛擬擬服服務(wù)務(wù)器器的的訪訪問問。。當(dāng)當(dāng)有有大大量量的的攻攻擊擊和和破破壞壞來來自自于于某某些些地地址址或或者者某某個個子子網(wǎng)網(wǎng)時時，，使使用用這這種種限限制制機機制制是是非非常常有有用用的的。。不不過過，，進進行行IP地址址及及域域名名限限制制的的首首要要條條件件是是用用戶戶必必須須知知道道網(wǎng)網(wǎng)絡(luò)絡(luò)黑黑客客的的計計算算機機使使用用哪哪些些IP地址址或或?qū)賹儆谟谀哪男┬┚W(wǎng)網(wǎng)絡(luò)絡(luò)區(qū)區(qū)域域，，否否則則無無法法進進行行限限制制。。對對基基于于Internet的信信息息服服務(wù)務(wù)器器，，站站點點接接受受來來自自于于各各方方的的訪訪問問，，用用戶戶很很難難進進行行地地址址限限制制。。一一般般來來說說，，只只有有基基于于企企業(yè)業(yè)內(nèi)內(nèi)部部網(wǎng)網(wǎng)絡(luò)絡(luò)的的信信息息服服務(wù)務(wù)器器才才使使用用IP地址址及及域域名名進進行行安安全全保保護護。。2.設(shè)置置IIS安全全步驟驟1選擇擇Web站點點，，單單擊擊鼠鼠標(biāo)標(biāo)右右鍵鍵，，選選擇擇““屬屬性性””，，打打開開““站站點點屬屬性性””對對話話框框，，選選擇擇“目錄錄安安全全性性”選項項卡卡，，打打開開如如圖圖1-29所示示的的對對話話框框。。步驟驟2單擊擊“IP地址址和和域域名名限限制制”選擇擇區(qū)區(qū)域域的的“編輯輯”按鈕鈕，，打打開開如如圖圖1-30所示示的的“IP地址址和和域域名名限限制制”對話話框框。。圖1-29“Web站點點屬屬性性””對對話話框框圖1-30“IP地址址和和域域名名限限制制””對對話話框框步驟驟3選中中“授權(quán)權(quán)訪訪問問”單選選按按鈕鈕，，單單擊擊“添加加”按鈕鈕，，打打開開“拒絕絕訪訪問問”對話話框框。?？煽赏ㄍㄟ^過以以下下3種類類型型的的選選擇擇來來拒拒絕絕訪訪問問。。①一臺臺計計算算機機：：IP為所所填填地地址址的的計計算算機機被被拒拒絕絕訪訪問問Web站點點，，如如圖圖1-31所示示。。②一組組計計算算機機：：用用“網(wǎng)絡(luò)絡(luò)標(biāo)標(biāo)識識”和“子網(wǎng)網(wǎng)掩掩碼碼”來規(guī)規(guī)定定某某個個網(wǎng)網(wǎng)段段的的所所有有計計算算機機被被拒拒絕絕訪訪問問Web站點點，，如如圖圖1-32所示示。。圖1-31根據(jù)據(jù)IP地址址拒拒絕絕一一臺臺計計算算機機圖1-32根據(jù)據(jù)IP地址址段段拒拒絕絕一一組組計計算算機機③域名名：：以以域域名名標(biāo)標(biāo)識識某某臺臺計計算算機機被被拒拒絕絕訪訪問問Web站點點，，如如圖圖1-33所示示。。通過過這這些些方方式式限限定定的的計計算算機機都都會會在在““IP地址址和和域域名名限限制制””對對話話框框中中的的空空白白處處顯顯示示，，所所選選擇擇的的““授授權(quán)權(quán)訪訪問問””的的含含義義是是除除了了在在空空白白處處顯顯示示的的這這些些計計算算機機外外，，其其余余計計算算機機被被授授權(quán)權(quán)訪訪問問Web站點點，，即即在在空空白白處處顯顯示示的的計計算算機機是是不不能能訪訪問問站站點點的的。。相相反反，，““拒拒絕絕訪訪問問””就就是是除除了了空空白白處處顯顯示示的的計計算算可可以以訪訪問問以以外外，，其其余余的的計計算算機機都都不不能能訪訪問問。?！啊熬芫芙^絕訪訪問問””項項的的設(shè)設(shè)置置方方式式和和內(nèi)內(nèi)容容與與““授授權(quán)權(quán)訪訪問問””相相同同。。圖1-33根據(jù)據(jù)域域名名拒拒絕絕計計算算機機活動動1Web服務(wù)務(wù)安安全全設(shè)置置（2）IP端口口限限制制網(wǎng)絡(luò)絡(luò)訪訪問問的的各各種種服服務(wù)務(wù)基基本本上上都都可可以以通通過過端端口口的的方方式式發(fā)發(fā)送送接接收收請請求求，，如如FTP常用用的的端端口口是是21，Web常用用的的是是80等，，因因此此可可以以通通過過修修改改默默認(rèn)認(rèn)的的端端口口號號來來提提高高服服務(wù)務(wù)的的安安全全性性。。具體操操作步步驟是是選擇擇“網(wǎng)網(wǎng)站屬屬性”對話框框的“網(wǎng)站”選項卡卡，如如圖1-34所示。。將“TCP端口”項的默默認(rèn)端端口80修改成成其他他的端端口就就可以以了。。②文件和和文件件夾的的訪問問權(quán)限限控制制。步驟1選擇要要訪問問的文文件或或文件件夾，，單擊擊鼠標(biāo)標(biāo)右鍵鍵，選選擇““屬性性”打打開“文件夾夾屬性性”對話框框，選選擇“安全”選項卡卡，如如圖1-36所示。。圖1-36“文件件夾屬屬性””對話話框““安全全”選選項卡卡步驟2在“組或用用戶名名稱”列表框框中選選擇訪訪問該該文件件或文文件夾夾的用用戶，，然后后在““用戶戶權(quán)限限”列列表框框中設(shè)設(shè)置該該用戶戶的權(quán)權(quán)限。。另外外可以以通過過NTFS分區(qū)格格式的的審核核功能能來實實現(xiàn)訪訪問控控制。。即在在“文件夾夾屬性性”對話框框中，，單擊擊“高級”按鈕，，打開開如圖圖1-37所示的的對話話框，，然后后選擇擇“審核”選項卡卡。在在“審核”選項卡卡中，，單擊擊“添加”按鈕，，打開開“選擇用用戶或或組”對話框框。步驟3單擊“選擇用用戶或或組”對話框框中的的“高級”按鈕，，彈出出“審核項項目”對話框框，在在該對對話框框中設(shè)設(shè)置相相應(yīng)的的權(quán)限限。設(shè)設(shè)置好好后單單擊“確定”按鈕，，就會會在““選擇擇用戶戶或組組”對對話框框中的的“輸入要要選擇擇的對對象名名稱”列表框框里顯顯示審審核的的項目目，然然后單單擊“確定”按鈕。。該審審核項項目便便會在在“文件夾夾的高高級安安全設(shè)設(shè)置”對話框框的“審核項項目”中出現(xiàn)現(xiàn)，然然后單單擊該該對話話框中中的“確定”按鈕，，則特特定用用戶和和組的的審核核功能能就設(shè)設(shè)置成成功了了。圖1-37““審核”選項卡卡活動2Web瀏覽器器安全全設(shè)置置【任務(wù)務(wù)描述述】現(xiàn)在無無論是是公司司辦公公，還還是日日常生生活，，人們們都無無法離離開網(wǎng)網(wǎng)絡(luò)了了。網(wǎng)網(wǎng)上購購物、、收發(fā)發(fā)郵件件、在在線視視頻等等使人人們更更加地地離不不開瀏瀏覽器器了，，因此此瀏覽覽器的的安全全對人人們的的生活活和工工作至至關(guān)重重要。?！救蝿?wù)務(wù)分析析】為了提提升瀏瀏覽器器的安安全性性，可可以直直接對對瀏覽覽器進進行設(shè)設(shè)置，，也可可以通通過第第三方方軟件件進行行設(shè)置置，本本任務(wù)務(wù)以IE8.0瀏覽器器為例例進行行設(shè)置置?！救蝿?wù)務(wù)實戰(zhàn)戰(zhàn)】1．了解瀏瀏覽器器安全全級別別2.用戶自自定義義安全全級別別3用戶自自定義義安全全級別別活動2Web瀏覽器器安全全設(shè)置置1.了解瀏瀏覽器器安全全級別別IE8.0瀏覽器器安全全級別別的高高低是是以用用戶通通過瀏瀏覽器器發(fā)送送數(shù)據(jù)據(jù)和訪訪問本本地客客戶資資源的的能力力高低低來進進行區(qū)區(qū)分的的，通通常定定義了了3個級別別，分分別是是高、、中高高、中中，并并提供供了4類訪問問對象象分別別是Internet、本地地Intranet、可信信站點點和受受限站站點。。另外外用戶戶可根根據(jù)自自己的的需要要進行行添加加。打開IE瀏覽器器，單單擊“工具”菜單，，選擇擇“Internet選項”，彈出出如圖圖1-38所示的的“Internet選項”對話框框，選選擇“安全”選項卡卡，安安全級級別和和訪問問對象象設(shè)置置如圖圖1-38所示。。圖1-38““安全””選項項卡活動2Web瀏覽器器安全全設(shè)置置2.用戶自自定義義安全全級別別如果用用戶想想自己己設(shè)置置安全全級別別，可可單擊擊“自定義義級別別”按鈕，，彈出出如圖圖1-39所示的的“安全設(shè)設(shè)置”對話框框。在在“重置自自定義義設(shè)置置”區(qū)域中中“重置為為”下拉列列表中中選擇擇需要要更改改的安安全級級別。。圖1-38““安全設(shè)置”對話框框活動2Web瀏覽器器安全全設(shè)置置3．SmartScreen篩選器器設(shè)置置Smartscreen篩選器器是InternetExplorer8中的一一個功功能，，可幫幫助在在瀏覽覽網(wǎng)頁頁時防防范社社會工工程學(xué)學(xué)釣魚魚網(wǎng)站站，以以及網(wǎng)網(wǎng)絡(luò)詐詐騙。。步驟1選擇瀏瀏覽器器“工工具””菜單單中的的“SmartScreen篩選選器””，打打開SmartSrceen篩選選器，，如圖圖1-40所示示。圖1-40從從工工具欄欄打開開SmartScreen篩篩選器器步驟2在彈出出的對對話框框中選選中““打開開SmartScreen篩篩選器器（推推薦））”單單選按按鈕，，如圖圖1-41所示示。圖1-41開開啟啟SmartScreen篩篩選器器活動2Web瀏覽器器安全全設(shè)置置4．刪除除瀏覽覽的歷歷史記記錄為了加加快瀏瀏覽速速度和和保護護用戶戶的隱隱私數(shù)數(shù)據(jù)，，用戶戶應(yīng)該該養(yǎng)成成定期期刪除除瀏覽覽的歷歷史記記錄的的習(xí)慣慣。方方法是是選擇擇“工工具””菜單單中的的“刪刪除瀏瀏覽的的歷史史記錄錄”，，如圖圖1-42所示示。圖1-42刪刪除除瀏覽覽的歷歷史記記錄活動2Web瀏覽器器安全全設(shè)置置【任務(wù)務(wù)拓展展】一、理理論題題1．請分分析在在安裝裝IIS時為什什么最最好不不要安安裝Internet服務(wù)管管理器器（HTML）、SMTPService和NNTPService、腳本本組件件？2．請簡簡單敘敘述一一下從從哪幾幾方面面對IIS進行安安全加加固？？二、實實訓(xùn)1．設(shè)置置IE瀏覽器器來禁禁止病病毒通通過瀏瀏覽器器進入入系統(tǒng)統(tǒng)。2．利用用如“360安全衛(wèi)衛(wèi)士”等第三三方工工具來來保護護IE瀏覽器器。任務(wù)3檢查與與防護護漏洞洞活動動一一利利用用MBSA檢查查常常見見的的漏漏洞洞活動動二二防防護護系系統(tǒng)統(tǒng)漏漏洞洞系統(tǒng)統(tǒng)漏漏洞洞是是指指應(yīng)應(yīng)用用軟軟件件或或操操作作系系統(tǒng)統(tǒng)軟軟件件在在邏邏輯輯設(shè)設(shè)計計上上的的缺缺陷陷或或在在編編寫寫時時產(chǎn)產(chǎn)生生的的錯錯誤誤，，這這個個缺缺陷陷或或錯錯誤誤可可以以被被不不法法者者或或者者計計算算機機黑黑客客利利用用，，通通過過植植入入木木馬馬、、病病毒毒等等方方式式來來攻攻擊擊或或控控制制整整個個計計算算機機，，從從而而竊竊取取計計算算機機中中的的重重要要資資料料和和信信息息，，甚甚至至破破壞壞系系統(tǒng)統(tǒng)。。任務(wù)分析活動動1利用用MBSA檢查查常常見見的的漏洞洞【任任務(wù)務(wù)描描述述】】小齊齊的的安安全全防防范范意意識識很很強強，，給給服服務(wù)務(wù)器器安安裝裝了了殺殺毒毒軟軟件件和和防防火火墻墻等等防防護護措措施施，，但但是是他他忽忽略略了了一一個個重重要要環(huán)環(huán)節(jié)節(jié)：：不不管管什什么么操操作作系系統(tǒng)統(tǒng)或或者者軟軟件件產(chǎn)產(chǎn)品品都都是是存存在在設(shè)設(shè)計計缺缺陷陷和和漏漏洞洞的的，，隨隨時時都都有有可可能能被被黑黑客客利利用用。?！救稳蝿?wù)務(wù)分分析析】】因此此定定期期地地對對操操作作系系統(tǒng)統(tǒng)進進行行體體檢檢是是非非常常必必要要的的，，對對于于Windows操作作系系統(tǒng)統(tǒng)可可以以使使用用微微軟軟公公司司提提供供的的一一款款名名為為“系統(tǒng)統(tǒng)漏漏洞洞檢檢測測工工具具（（MBSA）”的小小軟軟件件對對系系統(tǒng)統(tǒng)進進行行掃掃描描，，可可以以找找出出系系統(tǒng)統(tǒng)存存在在的的漏漏洞洞并并給給出出分分析析報報告告，，指指導(dǎo)導(dǎo)我我們們修修補補漏漏洞洞。?；顒觿?利用用MBSA檢查查常常見見的的漏漏洞洞【任任務(wù)務(wù)實實戰(zhàn)戰(zhàn)】】1．工工具具的的獲獲取取及及安安裝裝步驟驟1到微微軟軟的的官官方方網(wǎng)網(wǎng)站站/zh-cn/security/cc184923下載載該該軟軟件件。。步驟驟2按照照“安裝裝向向?qū)?dǎo)”的提提示示完完成成安安裝裝。。步驟驟3軟件件安安裝裝完完成成后后，，在在“程序序”菜單單中中顯顯示示，表表示示MBSA成功功安安裝裝。。步驟驟4打開開MBSA工具具主主頁頁面面。。安安裝裝完完成成后后，，依依次次選選擇擇“開始始”→→““程序序”→→““MicrosoftBaselineSecurityAnalyzer2.2””，或或雙雙擊擊桌桌面面圖圖標(biāo)標(biāo)，，即即可可彈彈出出MBSA的主主頁頁面面，，如如圖圖1-43所示示。。圖1-43MBSA主界界面面步驟驟5參數(shù)數(shù)設(shè)設(shè)置置，，單單擊擊MBSA主界界面面中中的的“Scanacomputer”菜單單，，彈彈出出““Whichcomputerdoyouwanttoscan”對對話話框框，，如如圖圖1-44所示示。。以以使使用用該該工工具具掃掃描描一一臺臺計計算算機機為為例例介介紹紹該該工工具具的的使使用用方方法法和和過過程程。。要想讓MBSA成功掃描描計算機機，需在在此對話話框中進進行正確確地參數(shù)數(shù)設(shè)置（點擊））圖1-44“Whichcomputerdoyouwanttoscan”對話框框步驟6用戶根據(jù)據(jù)自身情情況設(shè)置置好各項項參數(shù)后后單擊“StartScan”菜單，將將彈出“Scanning””對話框，，MBSA將開始掃掃描指定定的計算算機，并并經(jīng)過一一段時間間后彈出出掃描結(jié)結(jié)果，如如圖1-45所示，并并根據(jù)報報告的掃掃描結(jié)果果進行漏漏洞修復(fù)復(fù)。圖1-45掃描結(jié)果果窗口步驟7查看掃描描結(jié)果的的漏洞修修補提示示。以筆者的的計算機機為例，，第2個紅色圖圖標(biāo)提示示。FileSystem：為文件件系統(tǒng)問問題，后后面給出出了具體體解釋為為“并不不是所有有的分區(qū)區(qū)都是NTFS分區(qū)格式式”，如如圖1-46所示。單單擊“Resultdetails”鏈接彈彈出具體體的結(jié)果果細(xì)節(jié)，，如圖1-47所示，可可知本臺臺計算機機的D盤是FAT32的文件結(jié)結(jié)構(gòu)。圖1-46紅色圖標(biāo)標(biāo)提示窗窗口圖1-47具體細(xì)節(jié)節(jié)窗口單擊“Howtocorrectthis”鏈接彈彈出一個個具體解解決這個個漏洞的的辦法的的頁面，，如圖1-48所示。圖1-48解決漏洞洞窗口①設(shè)定要掃掃描的對對象。告訴MBSA要掃描的的計算機機是掃描描成功的的基礎(chǔ)。。MBSA提供以下下兩種方方法。方法1：在“Computername”文本框框中輸入入計算機機名稱，，格式為為“工作作組名\計算機名名”。默認(rèn)情況況下，MBSA會顯示運運行MBSA的計算機機的名稱稱。提示：如圖1-44所示，“XXGLDOMAIN”是筆者運運行MBSA的計算機機所屬的的工作組組名稱，，“U”是計算機機名稱。。方法2：在“IPaddress”文本框框中輸入入計算機機的IP地址。在此文本本框中允允許輸入入在同一一個網(wǎng)段段中的任任意IP地址，但但不能輸輸入跨網(wǎng)網(wǎng)段的IP，否則會會提示“Computernotfound（計算機機沒有找找到）”的信息。。②設(shè)定安全全報告的的名稱格格式。每次掃描描成功后后，MBSA會將掃描描結(jié)果以以“安全報告告”的形式自自動地保保存起來來。MBSA允許用戶戶自行定定義安全全報告的的文件名名格式，，只要在在“Securityreportname””文本框中中輸入文文件格式式即可。。提示：MBSA提供兩種種默認(rèn)的的名稱格格式：“%D%-%C%（%T%）”（域名——計算機機名（日日期戳）））和“%D%—%IP%（%T%）”（域名-IP地址（日日期戳）））。MBSA成功掃描描計算機機③設(shè)定掃描描中要檢檢測的項項目。MBSA允許檢測測包括Office、IIS等在內(nèi)的的多種微微軟軟件件產(chǎn)品的的漏洞。。在默認(rèn)認(rèn)情況下下，無論論計算機機是否安安裝了以以上軟件件，MBSA都要檢測測計算機機上是否否存在以以上軟件件的漏洞洞。這不不但浪費費掃描時時間，而而且影響響掃描速速度。用用戶可以以根據(jù)自自身情況況進行選選擇，對對于一些些沒有安安裝的軟軟件可以以不選，，例如，，若沒有有安裝SQLServer，則可不不選中“CheckforSQLadministrativevulnerabilities””復(fù)選框，，這樣能能縮短掃掃描時間間，提高高掃描速速度?；谶@點點考慮，，MBSA提供了讓讓用戶自自主選擇擇檢測項項目的功功能。只只要用戶戶選中（（或取消消）“Options”中某個復(fù)復(fù)選框，，就可讓讓MBSA檢測（或或忽略））該項目目。提示：允許用用戶自主主選擇的的項目只只有“CheckforWindowsadministrativevulnerabilities”（檢查Windows的漏洞））、“Checkforweakpasswords”（檢查密密碼的安安全性））、“CheckforIISadministrativevulnerabilities””（檢查IIS系統(tǒng)的漏漏洞）、、“CheckforSQLadministrativevulnerabilities””（檢查SQLServer的漏洞））4項。至于于其他項項目（如如Office軟件的漏漏洞等））MBSA會強制掃掃描。MBSA成功掃描描計算機機④設(shè)定安全全漏洞清清單的下下載途徑徑。MBSA的工作原原理：以以一份包包含了所所有已發(fā)發(fā)現(xiàn)的漏漏洞的詳詳細(xì)信息息（如什什么軟件件隱含漏漏洞、漏漏洞存在在的具體體位置、、漏洞的的嚴(yán)重級級別等））的安全全漏洞清清單為藍(lán)藍(lán)本，全全面掃描描計算機機，將計計算機上上安裝的的所有軟軟件與安安全漏洞洞清單進進行對比比。如果果發(fā)現(xiàn)某某個漏洞洞，MBSA就會將其其寫入到到安全報報告中。。因此，，要想讓讓MBSA準(zhǔn)確地檢檢測出計計算機上上是否存存在漏洞洞，安全全漏洞清清單的內(nèi)內(nèi)容是否否是最新新的就至至關(guān)重要要了。由由于新的的漏洞不不斷被發(fā)發(fā)現(xiàn)，所所以我們們要像更更新防病病毒軟件件的病毒毒庫一樣樣，及時時更新安安全漏洞洞清單。。MBSA提供了以以下兩種種更新方方法。方法1：從微軟軟官方網(wǎng)網(wǎng)站上下下載。微軟會在在它的官官方網(wǎng)站站上及時時發(fā)布最最新的安安全漏洞洞清單，，所以MBSA被默認(rèn)設(shè)設(shè)置為每每一次掃掃描時自自動鏈接接到微軟軟官方網(wǎng)網(wǎng)站下載載最新的的安全漏漏洞清單單。此方方法適用用于能連連入Internet的計算機機用戶。。方法2：從SUS服務(wù)器上上下載。。有些局域域網(wǎng)中架架設(shè)了SUS（SoftwareUpdateServices，軟件升升級服務(wù)務(wù)）服務(wù)務(wù)器，所所以此類類用戶可可以選擇擇此方法法下載最最新的安安全漏洞洞清單，，只要選選中“UseSUSServer””復(fù)選框，，并在其其下的文文本框中中輸入SUS的地址即即可。返回MBSA成功掃描描計算機機活動2防護系統(tǒng)漏洞洞【任務(wù)描描述】雖然MBSA能幫人們們檢測出出系統(tǒng)的的漏洞，，但是不不能幫人人們修復(fù)復(fù)漏洞，，有沒有有好的辦辦法修復(fù)復(fù)漏洞呢呢？【任務(wù)分分析】對于服務(wù)務(wù)器操作作系統(tǒng)如如Windows2003、Windows2008，人們可可以利用用系統(tǒng)自自帶的自自動更新新功能修修復(fù)漏洞洞。對于于WindowsXP、WindowsVista等個人版版操作系系統(tǒng)，既既可以采采用系統(tǒng)統(tǒng)自帶的的自動更更新功能能，也可可以采用用更為人人性化和和方便的的第三方方漏洞修修復(fù)軟件件，如360安全衛(wèi)士士?！救蝿?wù)實實戰(zhàn)】方法一：：使用操操作系統(tǒng)統(tǒng)自動更更新修復(fù)復(fù)漏洞方法二：：使用第第三方軟軟件進行行更新（（以360安全衛(wèi)士士為例））方法一：使用操作作系統(tǒng)自動動更新修復(fù)復(fù)漏洞一般情況下下，比較著著名的系統(tǒng)統(tǒng)軟件都會會不定期地地發(fā)布補丁丁。對于Windows操作系統(tǒng)，，由于它們們具備自動動更新的功功能，因此此只要微軟軟發(fā)布補丁丁程序，而而且操作系系統(tǒng)的自動動更新設(shè)置置為開啟狀狀態(tài)并連接接上了Internet，則操作系系統(tǒng)會及時時下載補丁丁程序，修修補漏洞。。以WindowsXP操作系統(tǒng)為為例，進行行自動更新新配置，步步驟如下：打開“開始”菜單，選擇擇“設(shè)置”→“控制面板”，在新開啟啟的窗口中中雙擊“自動更新”，打開如圖圖1-49所示的對話話框，查看看當(dāng)前計算算機的自動動更新配置置。圖1-49““自動更新”對話框方法2：使用第三三方軟件進進行更新（（以360安全衛(wèi)士為為例）通過網(wǎng)絡(luò)下下載360安全衛(wèi)士，，按步驟安安裝完成后后，選擇““修復(fù)漏洞洞”選項卡卡，360安全衛(wèi)士會會對系統(tǒng)的的漏洞情況況進行掃描描，如圖1-50所示。安全全衛(wèi)士并不不是把所有有的補丁都都讓用戶下下載，而是是把補丁劃劃分為高危危補丁和功功能性更新新補丁，高高危補丁是是360安全衛(wèi)士強強烈建議用用戶必須打打的，而功功能性補丁丁是360安全衛(wèi)士建建議可以不不打的，而而且使用360安全衛(wèi)士打打補丁比從從微軟官方方網(wǎng)站下載載有一個優(yōu)優(yōu)勢，即360安全衛(wèi)士的的服務(wù)器先先要測試這這些補丁，，這些補丁丁沒有問題題，才讓用用戶去安全全地打補丁丁。圖1-50利用360安全衛(wèi)士修修補漏洞活動2防護系統(tǒng)漏漏洞【任務(wù)拓展展】一、理論題題1．什么是系系統(tǒng)漏洞？？2．系統(tǒng)漏洞洞有哪些危危害？二、實訓(xùn)利用MBSA對遠(yuǎn)程單臺臺主機進行行掃描（操操作提示：：①在目標(biāo)計算算機上以Administrator賬戶或Administrators組中的成員員登錄系統(tǒng)統(tǒng)，并開啟啟Guest賬戶；②將Guest賬戶添加到到Administrators組中；③修改目標(biāo)計計算機組策策略，使Guest賬戶擁有遠(yuǎn)遠(yuǎn)程訪問權(quán)權(quán)限）任務(wù)4操作系統(tǒng)補丁更新服服務(wù)器配置置活動一WSUS的部署活動二利用用WSUS進行補丁分分發(fā)任務(wù)分析活動1WSUS的部署【任務(wù)描述述】鑒于公司補補丁管理的的無效狀態(tài)態(tài)，小齊決決定看看有有沒有什么么好的辦法法給公司內(nèi)內(nèi)部的計算算機打補丁丁，并進行行補丁管理理?！救蝿?wù)分析析】由于公司都都是Windows操作系統(tǒng)，，小齊訪問問了微軟中中國網(wǎng)站了了解到微軟軟正好有這這么一款軟軟件WSUS，用來進行行補丁的分分發(fā)和管理理，小齊決決定就用它它了。步驟1登錄微軟網(wǎng)網(wǎng)站下載WSUS3.0sp2。WSUS3.0sp2是免費軟件件，因此可可以去微軟軟的官網(wǎng)直直接下載，，也可以去去各大軟件件下載網(wǎng)站站下載。步驟2準(zhǔn)備WSUS3.0的安裝。安裝WSUS3.0之前，需要要在你的機機器上安裝裝以下組件件。當(dāng)這些些組件安裝裝完成后需需要重新啟啟動機器。。WSUS3.0可以在WindowsServer2003家族操作系系統(tǒng)上安裝裝。以下是是需要安裝裝的組件：：①Internet信息服務(wù)（（IIS）6.0。②后臺智智能傳送服服務(wù)（BITS）2.0。③Microsoft.NETFramework2.0。④管理控控制臺（MMC）3.0。⑤MicrosoftReportViewer。以上組件都都可以去微微軟的官方方網(wǎng)站直接接下載安裝裝。步驟3WSUS服務(wù)器的安安裝。（1）做好安裝裝前的準(zhǔn)備備工作后我我們就可以以進行WSUS3.0的安裝了，，如圖1-51所示，啟動動WSUS3.0的安裝程序序后出現(xiàn)了了安裝向?qū)?dǎo)。（2）安裝模式式選擇，如如圖1-52所示，選擇擇“包括管管理控制臺臺的完整服服務(wù)器安裝裝”，這樣樣才能在此此計算機上上安裝WSUS服務(wù)器。圖1-51安裝向?qū)D1-52安裝模式選選擇（3）選擇安裝裝模式后，，單擊“下下一步”按按鈕。（4）選擇更新新源，如圖圖1-53所示，在安安裝向?qū)У牡摹斑x擇更新源源”對話框中，，可以指定定客戶端獲獲得更新的的位置。如如果選中“本地存儲更更新”復(fù)選框，則則會更新存存儲在WSUS3.0服務(wù)器上，，需要在文文件系統(tǒng)中中選擇一個個用于存儲儲更新的位位置。如果果不在本地地存儲更新新，客戶端端計算機將將連接到MicrosoftUpdate以獲取已審審批的更新新。請將存存儲位置放放到系統(tǒng)盤盤以外的分分區(qū)上存放放，同時該該分區(qū)容量量推薦不要要少于20GB，然后單擊擊“下一步”按鈕。圖1-53選擇更新源源（5）選擇WSUS的數(shù)據(jù)庫，，如圖1-54所示，本例例WSUS后臺數(shù)據(jù)庫庫選用自帶帶的WMSDE，設(shè)置數(shù)據(jù)據(jù)庫的存儲儲目錄為E:\update。也可以選選擇本地或或遠(yuǎn)程的SQLServer數(shù)據(jù)庫，只只需要選擇擇第二項或或第三項并并填寫數(shù)據(jù)據(jù)庫服務(wù)器器的地址。。圖1-54數(shù)據(jù)庫選項項（6）在“網(wǎng)站選擇”對話框中，，指定WSUS3.0將使用的網(wǎng)網(wǎng)站，如圖圖1-55所示。如果果要在端口口80上使用默認(rèn)認(rèn)IIS網(wǎng)站，請選選擇第一個個選項。如如果端口80上已有一個個網(wǎng)站，可可通過選擇擇第二個選選項在端口口8530上創(chuàng)建備用用站點。部部署時選擇擇開通8530端口，建立立一個新IIS站點（強烈烈建議使用用此選項，，建議在默默認(rèn)網(wǎng)站上上不加載任任何Web應(yīng)用程序））。圖1-55網(wǎng)站選擇（7）在“準(zhǔn)備安裝WindowsServerUpdateServices”對話框中，，檢查各項項選擇，然然后單擊“下一步”按鈕。（8）安裝向?qū)?dǎo)的最后一一頁將說明明WSUS3.0安裝是否成成功完成。。單擊“完成”按鈕后，將將自動運行行配置向?qū)?dǎo)。步驟4WSUS服務(wù)器的配配置及應(yīng)用用。在完成了WSUS的安裝后，，安裝程序序會自動跳跳轉(zhuǎn)到“WSUS的配置向?qū)?dǎo)”，根據(jù)此向向?qū)?，就可可以完成WSUS的配置了。。（1）詢問服務(wù)務(wù)器防火墻墻是否允許許客戶端訪訪問服務(wù)器器，能夠?qū)⒎?wù)器連連接到上游游服務(wù)器，，用戶是否否具有代理理服務(wù)器憑憑證。（2）詢問是否否加入MicrosoftUpdate改善計劃。。（3）選擇上游游服務(wù)器，，此處有兩兩個選項，，如圖1-56所示。第一一項是“從從MicrosoftUpdate進行同步”，就是從微微軟的更新新網(wǎng)站進行行下載補丁丁并保持同同步更新，，當(dāng)公司的的內(nèi)網(wǎng)中只只有一臺WSUS服務(wù)器的時時候我們選選擇這個選選項，當(dāng)公公司有兩臺臺以上WSUS服務(wù)器部署署的時候，，可以讓第第一臺指向向微軟的更更新站點，，而其他的的WSUS服務(wù)器選擇擇第二項，，指向第一一臺WSUS服務(wù)器，這這樣就加快快了更新速速度。圖1-56選擇上游服服務(wù)器（4）設(shè)置代理理服務(wù)器。。沒有代理理服務(wù)器就就不設(shè)置，，然后就可可以開始連連接微軟的的Update服務(wù)器進行行連接了。。（5）連接到上上游服務(wù)器器，從WindowsUpdate中下載更新新信息，連連接時間視視網(wǎng)速、時時間段而定定，這里只只能耐心等等待連接完完成了，如如圖1-57所示。圖1-57開始進行連連接（6）連接完成成后，出現(xiàn)現(xiàn)選擇更新新文件的語語種，選擇擇“中文(簡體)”，如圖1-58所示。圖1-58選擇同步更更新的語言言（7）選擇更新新的產(chǎn)品，，根據(jù)實際際需要選擇擇公司內(nèi)部部的微軟產(chǎn)產(chǎn)品，小齊齊從來沒有有接觸過WSUS服務(wù)器，因因此為了穩(wěn)穩(wěn)妥起見，，只選擇WindowsXP操作系統(tǒng)的的更新，如如圖1-59所示的產(chǎn)品品列表中包包括了微軟軟所有的產(chǎn)產(chǎn)品，從操操作系統(tǒng)到到應(yīng)用軟件件都可以選選擇。圖1-59選擇更新的的產(chǎn)品（8）選擇更新新