Windowsserver服務(wù)器安全配置

word文檔可自由復(fù)制編輯word文檔可自由復(fù)制編輯word文檔可自由復(fù)制編輯畢業(yè)設(shè)計(jì)(論文)題目：Windows2008server服務(wù)器安全配置系（部）：信息工程系專業(yè)：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)姓名：學(xué)號(hào)：指導(dǎo)教師：畢業(yè)設(shè)計(jì)（論文）任務(wù)書畢業(yè)設(shè)計(jì)（論文）題目:Windows2008server服務(wù)器安全配置畢業(yè)設(shè)計(jì)（論文）內(nèi)容:畢業(yè)設(shè)計(jì)（論文）題目:Windows2008server服務(wù)器安全配置畢業(yè)設(shè)計(jì)（論文）內(nèi)容:通過在網(wǎng)上閱讀了相關(guān)Windows2008server服務(wù)器的內(nèi)容，用電腦上的虛擬機(jī)對(duì)2008server服務(wù)器進(jìn)行了對(duì)IP地址、端口和Web服務(wù)器的相關(guān)配置，設(shè)置了服務(wù)器的相關(guān)訪問權(quán)限，防止非法用戶的侵入獲取個(gè)人信息或者惡意破壞。并且，通過了解了什么是安全策略，巧妙對(duì)WindowsServer2008系統(tǒng)的組策略功能進(jìn)行深入挖掘，我們就可以發(fā)現(xiàn)許多安全應(yīng)用秘密，對(duì)2008server服務(wù)器配置部分的安全策略，用來保護(hù)Windows2008server服務(wù)器的安全。畢業(yè)設(shè)計(jì)（論文）專題部分:利用WindowsServer2008系統(tǒng)，我們可以非常輕松地在局域網(wǎng)中搭建屬于自己的服務(wù)器，以便讓安裝了其他系統(tǒng)的普通工作站進(jìn)行隨意訪問。盡管WindowsServer2008系統(tǒng)的安全性能要比其他系統(tǒng)的安全性能高出許多，不過在局域網(wǎng)環(huán)境中，WindowsServer2008仍然存在被其他局域網(wǎng)工作站非法訪問的可能。我們可以通過通過配置來加強(qiáng)保護(hù)，也可以利用WindowsServer2008系統(tǒng)強(qiáng)大的組策略功能，來對(duì)相關(guān)選項(xiàng)參數(shù)進(jìn)行有效設(shè)置。指導(dǎo)教師:簽字年月日教研室主任:簽字年月日畢業(yè)設(shè)計(jì)(論文)評(píng)語指導(dǎo)教師評(píng)語:成績(jī):指導(dǎo)教師:(簽字)年月日評(píng)閱人評(píng)語:成績(jī):評(píng)閱教師:(簽字)年月日摘摘要WindowsServer2008是微軟一個(gè)服務(wù)器操作系統(tǒng)的名稱，它繼承WindowsServer2003。WindowsServer2008在進(jìn)行開發(fā)及測(cè)試時(shí)的代號(hào)為"WindowsServerLonghorn"。WindowsServer2008的版本就有好幾種，與之前的版本相比，加強(qiáng)了保護(hù)力、靈活性，有獨(dú)特的創(chuàng)新性，在默認(rèn)狀態(tài)下，允許所有的用戶匿名連接IIS網(wǎng)站，即訪問時(shí)不需要使用用戶名和密碼登錄。不過，如果對(duì)網(wǎng)站的安全性要求高，或網(wǎng)站中有機(jī)密信息，就需要對(duì)用戶限制，禁止匿名訪問，而只允許特殊的用戶賬戶才能進(jìn)行訪問。在網(wǎng)站上，通過IP地址限制保護(hù)網(wǎng)站，并配置Web服務(wù)是網(wǎng)站更加的安全。而且，為了有效保護(hù)網(wǎng)絡(luò)以及服務(wù)器系統(tǒng)的安全，WindowsServer2008特意為我們新增加了網(wǎng)絡(luò)策略服務(wù)器功能以及其他多項(xiàng)安全保護(hù)措施，利用網(wǎng)絡(luò)策略功能服務(wù)器系統(tǒng)將會(huì)強(qiáng)制要求任何一臺(tái)企圖與之連接的普通工作站都要通過特定的網(wǎng)絡(luò)健康檢查，比方說普通工作站中是否安裝了防火墻程序，是否及時(shí)更新了病毒庫內(nèi)容，是否安裝了最新版本的系統(tǒng)補(bǔ)丁程序等，只有當(dāng)普通工作站符合各種安全檢查之后，服務(wù)器系統(tǒng)才允許該工作站連接服務(wù)器并訪問其中的內(nèi)容;而那些沒有通過服務(wù)器系統(tǒng)安全檢查的普通工作站將會(huì)被隔離到另外一個(gè)受限網(wǎng)絡(luò)，或者降低服務(wù)器的訪問權(quán)限。關(guān)鍵詞：安全配置訪問權(quán)限安全策略AbstractWindowsServer2008isthenameMicrosoftaserveroperatingsystem,itinheritstheWindowsServer2003.WindowsServer2008inthedevelopmentandtestingofthecodenamed"WindowsServerLonghorn".WindowsServerversion2008thereareseveral,comparedwiththepreviousversion,strengthenedtheprotectionforce,flexibility,innovativeunique,bydefault,allowingalluserstoanonymousconnectionIISwebsite,whichdoesnotneedtouseausernamepasswordtoaccess.However,ifthesecurityrequirementsofthewebsite,anyconfidinformationorwebsites,youneedtouserlimit,prohibitionofanonymousaccess,anallowusersaccesstoaspecialaccount.Onthesite,throughtheIPaddressrestricprotection,andconfiguretheWebserviceisthesitemoresecure.Moreover,inordertoprotectthesafetyofnetworkandserversystem,WindowsSer2008speciallyforournewaddednetworkpolicyserverfunctionsandanumberofothersecuritymeasures,usingthenetworkfunctionofstrategieswillrequireanyserversacommonworkstationtoconnectedtonetworkhealthexaminationofthespecific,forexamplecommonworkstationwhethertoinstallafirewallprogram,whethertoupdatevirusdatabasecontent,isthelatestversionofthesystempatchinstalled,onlywhenordinaryworkstationswithvarioussafetyinspection,theserversystemtoallowthetoconnecttotheserverandaccessitscontents;andthosewhowillbeordinaryworkserversystemsafetyinspectiondidnotpassbyisolationtoalimitednetwork,orreserveraccesspermissions.Keyword:securityconfigurationaccesecuritypolicys目錄前言.........................................................................................一、2008server服務(wù)器簡(jiǎn)介..........................................................................1.1版本.......................................................................................1.2更強(qiáng)的控制力...............................................................................1.3增強(qiáng)的保護(hù)................................................................................1.4靈活性....................................................................................1.5自修復(fù)系統(tǒng)................................................................................1.6并行Session創(chuàng)建............................................................................1.7快速關(guān)機(jī)服務(wù)...............................................................................1.8核心事務(wù)管理器.............................................................................1.9測(cè)試版本..................................................................................1.10創(chuàng)新特性................................................................................二、在2008server服務(wù)器上安全配置.................................................................2.1安全配置IP地址和端口......................................................................2.2配置主目錄................................................................................2.3訪問權(quán)限和安全.............................................................................2.4安全配置Web服務(wù)...........................................................................三、安全策略保證系統(tǒng)安全..........................................................................3.1WindowsServer2008系統(tǒng)安全...............................................................3.2Win2008系統(tǒng)安全交給組策略保證...........................................................3.3設(shè)置網(wǎng)絡(luò)策略讓訪問Win2008更安全.........................................................3.4讓W(xué)in2008系統(tǒng)安全更上一層樓..............................................................3.5聚焦Win2008終端服務(wù)安全問題..............................................................3.6封堵隱私漏洞守衛(wèi)Win2008系統(tǒng)安全..........................................................結(jié)論...........................................................................................結(jié)束語...........................................................................................參考文獻(xiàn).........................................................................................前言WindowsServer2008是專為強(qiáng)化下一代網(wǎng)絡(luò)、應(yīng)用程序和Web服務(wù)的功能而設(shè)計(jì)，是有史以來最先進(jìn)的WindowsServer操作系統(tǒng)。擁有WindowsServer2008，即可在企業(yè)中開發(fā)、提供和管理豐富的用戶體驗(yàn)及應(yīng)用程序，提供高度安全的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，提高和增加技術(shù)效率與價(jià)值。WindowsServer2008提供了一系列新的和改進(jìn)的安全技術(shù)，這些技術(shù)增強(qiáng)了對(duì)操作系統(tǒng)的保護(hù)，WindowsServer2008提供了減小內(nèi)核攻擊面的安全創(chuàng)新，因而使服務(wù)器環(huán)境更安全、更穩(wěn)定。通過保護(hù)關(guān)鍵服務(wù)器服務(wù)使之免受文件系統(tǒng)、注冊(cè)表或網(wǎng)絡(luò)中異?；顒?dòng)的影響，Windows服務(wù)強(qiáng)化有助于提高系統(tǒng)的安全性。在WindowsServer2008局域網(wǎng)環(huán)境中，許多普通工作站由于沒有及時(shí)安裝系統(tǒng)補(bǔ)丁程序或者沒有更新病毒庫，導(dǎo)致對(duì)應(yīng)系統(tǒng)可能存在很多安全隱患，當(dāng)這些工作站嘗試訪問局域網(wǎng)網(wǎng)絡(luò)時(shí)，可能會(huì)給整個(gè)網(wǎng)絡(luò)的安全帶來比較大的威脅。這時(shí)，我們就可以通過設(shè)置WindowsServer2008系統(tǒng)的網(wǎng)絡(luò)策略，來保護(hù)服務(wù)器系統(tǒng)的安全，禁止危險(xiǎn)工作站將網(wǎng)絡(luò)病毒或木馬帶入到服務(wù)器系統(tǒng)中。一、2008server服務(wù)器簡(jiǎn)介WindowsServer2008是微軟一個(gè)服務(wù)器操作系統(tǒng)的名稱，它繼承WindowsServer2003。WindowsServer2008在進(jìn)行開發(fā)及測(cè)試時(shí)的代號(hào)為"WindowsServerLonghorn"。1.1版本W(wǎng)indowsServer2008發(fā)行了多種版本，以支持各種規(guī)模的企業(yè)對(duì)服務(wù)器不斷變化的需求。WindowsServer2008有5種不同版本，另外還有三個(gè)不支持WindowsServerHyper-V技術(shù)的版本，因此總共有8種版本。WindowsServer2008Standard是迄今最穩(wěn)固的WindowsServer操作系統(tǒng)，其內(nèi)置的強(qiáng)化Web和虛擬化功能，是專為增加服務(wù)器基礎(chǔ)架構(gòu)的可靠性和彈性而設(shè)計(jì)，亦可節(jié)省時(shí)間及降低成本。其系利用功能強(qiáng)大的工具，讓您擁有更好的服務(wù)器控制能力，并簡(jiǎn)化設(shè)定和管理工作；而增強(qiáng)的安全性功能則可強(qiáng)化操作系統(tǒng)，以協(xié)助保護(hù)數(shù)據(jù)和網(wǎng)路，并可為您的企業(yè)提供扎實(shí)且可高度信賴的基礎(chǔ)。WindowsServer2008Enterprise可提供企業(yè)級(jí)的平臺(tái)，部署企業(yè)關(guān)鍵應(yīng)用。其所具備的群集和熱添加（Hot-Add）處理器功能，可協(xié)助改善可用性，而整合的身份管理功能，可協(xié)助改善安全性，利用虛擬化授權(quán)權(quán)限整合應(yīng)用程序，則可減少基礎(chǔ)架構(gòu)的成本，因此WindowsServer2008Enterprise能為高度動(dòng)態(tài)、可擴(kuò)充的IT基礎(chǔ)架構(gòu)，提供良好的基礎(chǔ)。WindowsServer2008Datacenter所提供的企業(yè)級(jí)平臺(tái)，可在小型和大型服務(wù)器上部署具企業(yè)關(guān)鍵應(yīng)用及大規(guī)模的虛擬化。其所具備的群集和動(dòng)態(tài)硬件分割功能，可改善可用性，而通過無限制的虛擬化許可授權(quán)來鞏固應(yīng)用，可減少基礎(chǔ)架構(gòu)的成本。此外，此版本亦可支持2到64顆處理器，因此WindowsServer2008Datacenter能夠提供良好的基礎(chǔ)，用以建立企業(yè)級(jí)虛擬化和擴(kuò)充解決方案。WindowsWebServer2008是特別為單一用途W(wǎng)eb服務(wù)器而設(shè)計(jì)的系統(tǒng)，而且是建立在下一代WindowsServer2008中，堅(jiān)若磐石之Web基礎(chǔ)架構(gòu)功能的基礎(chǔ)上，其整合了重新設(shè)計(jì)架構(gòu)的IIS7.0、ASP.NET和MicrosoftNETFramework，以便提供任何企業(yè)快速部署網(wǎng)頁、網(wǎng)站、Web應(yīng)用程序和Web服務(wù)。WindowsServer2008forItanium-BasedSystems已針對(duì)大型數(shù)據(jù)庫、各種企業(yè)和自訂應(yīng)用程序進(jìn)行優(yōu)化，可提供高可用性和多達(dá)64顆處理器的可擴(kuò)充性，能符合高要求且具關(guān)鍵性的解決方案的需求。WindowsHPCServer2008是下一代高性能計(jì)算（HPC）平臺(tái)，可提供企業(yè)級(jí)的工具給高生產(chǎn)力的HPC環(huán)境，由于其建立于WindowsServer2008及64位元技術(shù)上，因此可有效地?cái)U(kuò)充至數(shù)以千計(jì)的處理器，并可提供集中管理控制臺(tái)，協(xié)助您主動(dòng)監(jiān)督和維護(hù)系統(tǒng)健康狀況及穩(wěn)定性。其所具備的靈活的作業(yè)調(diào)度功能，可讓W(xué)indows和Linux的HPC平臺(tái)間進(jìn)行整合，亦可支持批量作業(yè)以及服務(wù)導(dǎo)向架構(gòu)（SOA）工作負(fù)載，而增強(qiáng)的生產(chǎn)力、可擴(kuò)充的性能以及使用容易等特色，則可使WindowsHPCServer2008成為同級(jí)中最佳的Windows環(huán)境。1.2更強(qiáng)的控制力使用WindowsServer2008，IT專業(yè)人員能夠更好地控制服務(wù)器和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)，從而可以將精力集中在處理關(guān)鍵業(yè)務(wù)需求上。增強(qiáng)的腳本編寫功能和任務(wù)自動(dòng)化功能（例如，WindowsPowerShell）可幫助IT專業(yè)人員自動(dòng)執(zhí)行常見IT任務(wù)。通過服務(wù)器管理器進(jìn)行的基于角色的安裝和管理簡(jiǎn)化了在企業(yè)中管理與保護(hù)多個(gè)服務(wù)器角色的任務(wù)。服務(wù)器的配置和系統(tǒng)信息是從新的服務(wù)器管理器控制臺(tái)這一集中位置來管理的。IT人員可以僅安裝需要的角色和功能，向?qū)?huì)自動(dòng)完成許多費(fèi)時(shí)的系統(tǒng)部署任務(wù)。增強(qiáng)的系統(tǒng)管理工具（例如，性能和可靠性監(jiān)視器）提供有關(guān)系統(tǒng)的信息，在潛在問題發(fā)生之前向IT人員發(fā)出警告。在WindowsServer2008中，所有的電源管理設(shè)置已被組策略啟用，這樣就提供了潛在地節(jié)約了成本?？刂齐娫丛O(shè)置通過組策略可以大量節(jié)省公司金錢。比如，你可以通過修改組策略設(shè)置中特定電源的設(shè)置，或通過使用組策略建立一個(gè)定制的電源計(jì)劃。1.3增強(qiáng)的保護(hù)WindowsServer2008提供了一系列新的和改進(jìn)的安全技術(shù)，這些技術(shù)增強(qiáng)了對(duì)操作系統(tǒng)的保護(hù)，為企業(yè)的運(yùn)營和發(fā)展奠定了堅(jiān)實(shí)的基礎(chǔ)。WindowsServer2008提供了減小內(nèi)核攻擊面的安全創(chuàng)新（例如PatchGuard），因而使服務(wù)器環(huán)境更安全、更穩(wěn)定。通過保護(hù)關(guān)鍵服務(wù)器服務(wù)使之免受文件系統(tǒng)、注冊(cè)表或網(wǎng)絡(luò)中異?；顒?dòng)的影響，Windows服務(wù)強(qiáng)化有助于提高系統(tǒng)的安全性。借助網(wǎng)絡(luò)訪問保護(hù)(NAP）、只讀域控制器(RODC）、公鑰基礎(chǔ)結(jié)構(gòu)（PKI）增強(qiáng)功能、Windows服務(wù)強(qiáng)化、新的雙向Windows防火墻和新一代加密支持，WindowsServer2008操作系統(tǒng)中的安全性也得到了增強(qiáng)。NetworkAccessProtection(NAP）：這是一個(gè)新的框架，允許IT管理員為網(wǎng)絡(luò)定義健康要求，并限制不符合這些要求的計(jì)算機(jī)與網(wǎng)絡(luò)的通信。NAP強(qiáng)制執(zhí)行管理員定義的、用于描述特定組織健康要求的策略。例如，健康要求可以定義為安裝操作系統(tǒng)的所有更新，或者安裝或更新反病毒或反間諜軟件。以這種方式，網(wǎng)絡(luò)管理員可以定義連接到網(wǎng)絡(luò)時(shí)計(jì)算機(jī)應(yīng)具備的基準(zhǔn)保護(hù)級(jí)別。MicrosoftBitLocker在多個(gè)驅(qū)動(dòng)器上進(jìn)行完整卷加密，為您的數(shù)據(jù)提供額外的安全保護(hù)，甚至當(dāng)系統(tǒng)處于未經(jīng)授權(quán)操作或運(yùn)行不同的操作系統(tǒng)時(shí)間、數(shù)據(jù)和控制時(shí)也能提供安全保護(hù)。Read-OnlyDomainController(RODC）：這是WindowsServer2008操作系統(tǒng)中的一種新型域控制器配置，使組織能夠在域控制器安全性無法保證的位置輕松部署域控制器。RODC維護(hù)給定域中ActiveDirectory目錄服務(wù)數(shù)據(jù)庫的只讀副本。在此版本之前，當(dāng)用戶必須使用域控制器進(jìn)行身份驗(yàn)證，但其所在的分支辦公室無法為域控制器提供足夠物理安全性時(shí)，必須通過廣域網(wǎng)(WAN)進(jìn)行身份驗(yàn)證。在很多情況下，這不是一個(gè)有效的解決方案。通過將只讀ActiveDirectory數(shù)據(jù)庫副本放置在更接近分支辦公室用戶的地方，這些用戶可以更快地登錄，并能更有效地訪問網(wǎng)絡(luò)上的身份驗(yàn)證資源，即使身處沒有足夠物理安全性來部署傳統(tǒng)域控制器的環(huán)境。FailoverClustering：這些改進(jìn)旨在更輕松地配置服務(wù)器群集，同時(shí)對(duì)數(shù)據(jù)和應(yīng)用程序提供保護(hù)并保證其可用性。通過在故障轉(zhuǎn)移群集中使用新的驗(yàn)證工具，您可以測(cè)試系統(tǒng)、存儲(chǔ)和網(wǎng)絡(luò)配置是否適用于群集。憑借WindowsServer2008中的故障轉(zhuǎn)移群集，管理員可以更輕松地執(zhí)行安裝和遷移任務(wù)，以及管理和操作任務(wù)。群集基礎(chǔ)結(jié)構(gòu)的改進(jìn)可幫助管理員最大限度地提高提供給用戶的服務(wù)的可用性，可獲得更好的存儲(chǔ)和網(wǎng)絡(luò)性能，并能提高安全性。1.4靈活性WindowsServer2008的設(shè)計(jì)允許管理員修改其基礎(chǔ)結(jié)構(gòu)來適應(yīng)不斷變化的業(yè)務(wù)需求，同時(shí)保持了此操作的靈活性。它允許用戶從遠(yuǎn)程位置（如遠(yuǎn)程應(yīng)用程序和終端服務(wù)網(wǎng)關(guān)）執(zhí)行程序，這一技術(shù)為移動(dòng)工作人員增強(qiáng)了靈活性。WindowsServer2008使用Windows部署服務(wù)(WDS）加速對(duì)IT系統(tǒng)的部署和維護(hù)，使用WindowsServer虛擬化（WSv）幫助合并服務(wù)器。對(duì)于需要在分支機(jī)構(gòu)中使用域控制器的組織，WindowsServer2008提供了一個(gè)新配置選項(xiàng)：只讀域控制器（RODC），它可以防止在域控制器出現(xiàn)安全問題時(shí)暴露用戶賬戶。1.5自修復(fù)系統(tǒng)從DOS時(shí)代開始，文件系統(tǒng)出錯(cuò)就意味著相應(yīng)的卷必須下線修復(fù)，而在WindowsServer2008中，一個(gè)新的系統(tǒng)服務(wù)會(huì)在后臺(tái)默默工作，檢測(cè)文件系統(tǒng)錯(cuò)誤，并且可以在無需關(guān)閉服務(wù)器的狀態(tài)下自動(dòng)將其修復(fù)。有了這一新服務(wù)，在文件系統(tǒng)發(fā)生錯(cuò)誤的時(shí)候，服務(wù)器只會(huì)暫時(shí)停止無法訪問的部分?jǐn)?shù)據(jù)，整體運(yùn)行基本不受影響，所以CHKDSK基本就可以退休了。1.6并行Session創(chuàng)建如果你有一個(gè)終端服務(wù)器系統(tǒng)，或者多個(gè)用戶同時(shí)登陸了家庭系統(tǒng)，這些就是Session。在WindowsServer2008之前，Session的創(chuàng)建都是逐一操作的，對(duì)于大型系統(tǒng)而言就是個(gè)瓶頸，比如周一清晨數(shù)百人返回工作的時(shí)候，不少人就必須等待Session初始化。Vista和WindowsServer2008加入了新的Session模型，可以同時(shí)發(fā)起至少4個(gè)，而如果服務(wù)器有四顆以上的處理器，還可以同時(shí)發(fā)起更多。舉例來說，如果你家里有一個(gè)媒體中心，那各個(gè)家庭成員就可以同時(shí)在各自的房間里打開媒體終端、同時(shí)從Vista服務(wù)器上得到視頻流，而且速度不會(huì)受到影響。1.7快速關(guān)機(jī)服務(wù)Windows的一大歷史問題就是關(guān)機(jī)過程緩慢。在WindowsXP里，一旦關(guān)機(jī)開始，系統(tǒng)就會(huì)開始一個(gè)20秒鐘的計(jì)時(shí)，之后提醒用戶是否需要手動(dòng)關(guān)閉程序，而在WindowsServer里，這一問題的影響會(huì)更加明顯。到了WindowsServer2008，20秒鐘的倒計(jì)時(shí)被一種新服務(wù)取代，可以在應(yīng)用程序需要被關(guān)閉的時(shí)候隨時(shí)、一直發(fā)出信號(hào)。開發(fā)人員開始懷疑這種新方法會(huì)不會(huì)過多地剝奪應(yīng)用程序的權(quán)利，但他們已經(jīng)接受了它，認(rèn)為這是值得的。1.8核心事務(wù)管理器這項(xiàng)功能對(duì)開發(fā)人員來說尤其重要，因?yàn)樗梢源蟠鬁p少甚至消除最經(jīng)常導(dǎo)致系統(tǒng)注冊(cè)表或者文件系統(tǒng)崩潰的原因：多個(gè)線程試圖訪問同一資源。在Vista核心中也有KTM這一新組件，其目的是方便進(jìn)行大量的錯(cuò)誤恢復(fù)工作，而且過程幾乎是透明的，而KTM之所以可以做到這一點(diǎn)，是因?yàn)樗梢宰鳛槭聞?wù)客戶端接入的一個(gè)事務(wù)管理器進(jìn)行工作。1.9測(cè)試版本W(wǎng)indowsWebServer2008RC0WebWindowsServer2008RC0EnterpriseWindowsServer2008RC0StandardEditionWindowsServer2008RC0DatacenterWindowsServer2008RC0forItanium-basedSystems2008年3月13日已在北京發(fā)布三款核心應(yīng)用平臺(tái)產(chǎn)品：WindowsServer2008、VisualStudio2008、SQLServer20081.10創(chuàng)新特性1.WindowsServer2008、VisualStudio2008和SQLServer2008為創(chuàng)建和運(yùn)行高要求的應(yīng)用程序提供了一個(gè)安全可靠的平臺(tái)。同時(shí)，也為下一代Web應(yīng)用提供了堅(jiān)實(shí)的基礎(chǔ)、廣泛的虛擬化技術(shù)支持以及相關(guān)信息的訪問能力。進(jìn)一步改善的安全技術(shù)、開發(fā)人員對(duì)最新平臺(tái)的支持、改進(jìn)的管理工具和Web工具、靈活的虛擬化解決方案以及相關(guān)信息的訪問能力，使得廣泛的技術(shù)解決方案成為可能。為IPv4和IPv6重新設(shè)計(jì)的下一代TCP/IP協(xié)議棧的支持不同性能和連通性的網(wǎng)絡(luò)環(huán)境和技術(shù)需求。2.WindowsServer2008在虛擬化技術(shù)及管理方案、服務(wù)器核心、安全部件及網(wǎng)絡(luò)解決方案等方面具有眾多令人興奮的創(chuàng)新性能：通過內(nèi)置的服務(wù)器虛擬化技術(shù)，WindowsServer2008可以幫助企業(yè)降低成本，提高硬件利用率，優(yōu)化基礎(chǔ)設(shè)施，并提高服務(wù)器可用性；通過ServerCore、PowerShell、WindowsDeploymentServices以及增強(qiáng)的聯(lián)網(wǎng)與集群技術(shù)等，WindowsServer2008為工作負(fù)載和應(yīng)用要求提供功能最為豐富且可靠的Windows平臺(tái)；WindowsServer2008的操作系統(tǒng)和安全創(chuàng)新，為網(wǎng)絡(luò)、數(shù)據(jù)和業(yè)務(wù)提供網(wǎng)絡(luò)接入保護(hù)、聯(lián)合權(quán)限管理以及只讀的域控制器等前所未有的保護(hù)，是有史以來最安全的WindowsServer；通過改進(jìn)的管理、診斷、開發(fā)與應(yīng)用工具，以及更低的基礎(chǔ)設(shè)施成本。3.WindowsServer2008能夠高效地提供豐富的Web體驗(yàn)和最新網(wǎng)絡(luò)解決方案。動(dòng)態(tài)硬件分區(qū)有助于使WindowsServer2008在諸如增加的可靠性和可用性，提升資源管理和按需容量上受益。WindowsServer2008中改進(jìn)的故障轉(zhuǎn)移集群（前身為服務(wù)器集群，是一組一起工作能使應(yīng)用程序和服務(wù)達(dá)到高可用性的獨(dú)立服務(wù)器）的目的是簡(jiǎn)化集群，使它們更安全，提高集群的穩(wěn)定性。群集的設(shè)置和管理已經(jīng)編得更為簡(jiǎn)易。改進(jìn)了集群中的安全性和網(wǎng)絡(luò)，并作為一種故障轉(zhuǎn)移群集與存儲(chǔ)的方式。在創(chuàng)建一個(gè)集群，強(qiáng)烈建議您驗(yàn)證您的配置。驗(yàn)證有助于你確認(rèn)配置您的服務(wù)器，網(wǎng)絡(luò)和存儲(chǔ)，滿足一系列故障轉(zhuǎn)移集群的特殊要求。4.作為新一代開發(fā)工具，VisualStudio2008能幫助開發(fā)團(tuán)隊(duì)在最新的平臺(tái)上開發(fā)杰出的用戶體驗(yàn)，同時(shí)，通過進(jìn)行靈活快速開發(fā)實(shí)現(xiàn)生產(chǎn)效率新突破，并使開發(fā)團(tuán)隊(duì)更好地進(jìn)行協(xié)作：從建模到編碼和調(diào)試，VisualStudio2008對(duì)編程語言、設(shè)計(jì)器、編輯器和數(shù)據(jù)訪問功能進(jìn)行了全面的提升，確保開發(fā)人員克服軟件開發(fā)難題，快速創(chuàng)建互連應(yīng)用程序；VisualStudio2008為開發(fā)人員提供了一些新的工具，在最新的平臺(tái)上快速地構(gòu)建杰出的、高度人性化用戶體驗(yàn)的和互聯(lián)的應(yīng)用，這些最新平臺(tái)包括Web、WindowsVista、Office2007、SQLServer2008、WindowsMobile和WindowsServer2008；MicrosoftVisualStudioTeamSystem2008提供完整的工具套件和統(tǒng)一的開發(fā)過程，適用于任何規(guī)模的開發(fā)團(tuán)隊(duì)，幫助所有團(tuán)隊(duì)成員提高自身技能，使得開發(fā)人員、設(shè)計(jì)人員、測(cè)試人員、架構(gòu)師和項(xiàng)目經(jīng)理更好地協(xié)同工作，縮短軟件或解決方案的交付時(shí)間。二、在2008server服務(wù)器上安全配置2.1安全配置IP地址和端口Web服務(wù)器安裝完成以后，可以使用默認(rèn)創(chuàng)建的Web站點(diǎn)來發(fā)布Web網(wǎng)站。不過，如果服務(wù)器中綁定有多個(gè)IP地址，就需要為Web站點(diǎn)指定唯一的IP地址及端口。1．在IIS管理器中，右擊默認(rèn)站點(diǎn)，單擊快捷菜單中的“編輯綁定”命令，或者在右側(cè)“操作”欄中單擊“綁定”，顯示如圖2.1-1所示的“網(wǎng)站綁定”窗口。默認(rèn)端口為80，使用本地計(jì)算機(jī)中的所有IP地址。2．選擇該網(wǎng)站，單擊“編輯”按鈕，顯示如圖2.1-2所示的“編輯網(wǎng)站綁定”窗口，在“IP地址”下拉列表框中選擇欲指定的IP地址即可。在“端口”文本框中可以設(shè)置Web站點(diǎn)的端口號(hào)，且不能為空?！爸鳈C(jī)名”文本框用于設(shè)置用戶訪問該Web網(wǎng)站時(shí)的名稱，當(dāng)前可保留為空。圖2.1-1所示的“網(wǎng)站綁定”窗口圖2.1-2所示的“編輯網(wǎng)站綁定”窗口3.設(shè)置完成以后，單擊“確定”按鈕保存設(shè)置，并單擊“關(guān)閉”按鈕關(guān)閉即可。此時(shí)，在IE瀏覽器的地址欄中輸入Web服務(wù)器的地址，顯示如圖2.1-3所示的窗口，表示可以訪問Web網(wǎng)站。圖2.1-3Web網(wǎng)站2.2配置主目錄主目錄也就是網(wǎng)站的根目錄，用于保存Web網(wǎng)站的網(wǎng)頁、圖片等數(shù)據(jù)，默認(rèn)路徑為“C:\Intepub\wwwroot”。但是，數(shù)據(jù)文件和操作系統(tǒng)放在同一磁盤分區(qū)中，會(huì)存在安全隱患，并可能影響系統(tǒng)運(yùn)行，因此應(yīng)設(shè)置為其他磁盤或分區(qū)。1.打開IIS管理器，選擇欲設(shè)置主目錄的站點(diǎn)，在右側(cè)窗格的“操作”選項(xiàng)卡中單擊“基本設(shè)置”，顯示如圖2.2-1所示的“編輯網(wǎng)站”窗口，在“物理路徑”文本框中顯示的就是網(wǎng)站的主目錄。2.在“物理路徑”文本框中輸入Web站點(diǎn)的新主目錄路徑，或者單擊“瀏覽”按鈕選擇，最后單擊“確定”按鈕保存即可。圖2.2-1“編輯網(wǎng)站”窗口用戶訪問網(wǎng)站時(shí)，通常只需輸入網(wǎng)站域名即可，無需輸入網(wǎng)頁名，實(shí)際上此時(shí)顯示的網(wǎng)頁就是默認(rèn)文檔。一般情況下，Web網(wǎng)站需要至少一個(gè)默認(rèn)文檔，當(dāng)用戶使用IP地址或域名訪問且沒有輸入網(wǎng)頁名時(shí)，Web服務(wù)器就會(huì)顯示默認(rèn)文檔的內(nèi)容。1．在IIS管理器的左側(cè)樹形列表中選擇默認(rèn)站點(diǎn)，在中間窗格顯示的默認(rèn)站點(diǎn)主頁中，雙擊“IIS”選項(xiàng)區(qū)域的“默認(rèn)文檔”圖標(biāo)，顯示如圖2.2-2所示的“默認(rèn)文檔”列表。有5種默認(rèn)文檔，分別為Default.htm、Default.asp、index.htm、index.html和iisstar.htm。當(dāng)用戶訪問時(shí)，IIS會(huì)自動(dòng)按順序由上至下依次查找與之相對(duì)應(yīng)的文件名。圖2.2-2“默認(rèn)文檔”列表2.單擊右側(cè)“操作”任務(wù)欄中的“添加”鏈接，顯示如圖2.2-3所示的“添加默認(rèn)文檔”窗口，在“名稱”文本框中可輸入欲添加的默認(rèn)文檔名稱。圖2.2-3“添加默認(rèn)文檔”窗口3．單擊“確定”按鈕，即可添加該默認(rèn)文檔。新添加的默認(rèn)文檔自動(dòng)排列在最上方，如圖2.2-4所示，可通過單擊右側(cè)“操作”欄中的“上移”和“下移”超級(jí)鏈接來調(diào)整各個(gè)默認(rèn)文檔的順序。圖2.2-4添加的默認(rèn)文檔2.3訪問權(quán)限和安全默認(rèn)狀態(tài)下，允許所有的用戶匿名連接IIS網(wǎng)站，即訪問時(shí)不需要使用用戶名和密碼登錄。不過，如果對(duì)網(wǎng)站的安全性要求高，或網(wǎng)站中有機(jī)密信息，就需要對(duì)用戶限制，禁止匿名訪問，而只允許特殊的用戶賬戶才能進(jìn)行訪問。2.3.1用匿名訪問1．在IIS管理器中，選擇欲設(shè)置身份驗(yàn)證的Web站點(diǎn)，如圖2.3.1-1所示。圖2.3.1-1Web站點(diǎn)2．在站點(diǎn)主頁窗口中，選擇“身份驗(yàn)證”，雙擊，顯示“身份驗(yàn)證”窗口。默認(rèn)情況下，“匿名身份驗(yàn)證”為“啟用”狀態(tài)，如圖2.3.1-2所示。圖2.3.1-2“身份驗(yàn)證”窗口3．右擊“匿名身份驗(yàn)證”，單擊快捷菜單中的“禁用”命令，即可禁用匿名用戶訪問。2.3.2使用身份驗(yàn)證在IIS7.0的身份驗(yàn)證方式中，還提供基本驗(yàn)證、Windows身份驗(yàn)證和摘要身份驗(yàn)證。需要注意的是，一般在禁止匿名訪問時(shí)，才使用其他驗(yàn)證方法。不過，在默認(rèn)安裝方式下，這些身份驗(yàn)證方法并沒有安裝?？稍诎惭b過程中或者安裝完成后手動(dòng)選擇。1．在“服務(wù)器管理器”窗口中，展開“角色”節(jié)點(diǎn)，選擇“Web服務(wù)器(IIS)”，單擊“添加角色服務(wù)”，顯示如圖2.3.2-1所示的“選擇角色服務(wù)”窗口。在“安全性”選項(xiàng)區(qū)域中，可選擇欲安裝的身份驗(yàn)證方式。圖2.3.2-1“選擇角色服務(wù)”窗口2．安裝完成后，打開IIS管理器，再打開“身份驗(yàn)證”窗口，所經(jīng)安裝的身份驗(yàn)證方式顯示在列表中，并且默認(rèn)均為禁用狀態(tài)，如圖2.3.2-2所示。圖2.3.2-2圖2.3.2-2“身份驗(yàn)證”窗口2.3.3通過IP地址限制保護(hù)網(wǎng)站在IIS中，還可以通過限制IP的方式來增加網(wǎng)站的安全性。通過允許或拒絕來自特定IP地址的訪問，可以有效地避免非法用戶的訪問。不過，這種方式只適合于向特定用戶提供Web網(wǎng)站的情況。同樣，“IP地址限制”功能也需要手動(dòng)安裝，可在“選擇角色服務(wù)”窗口中勾選“IP和域限制”復(fù)選框以進(jìn)行安裝。設(shè)置允許訪問的IP地址的操作步驟如下：1.打開IIS管理器，選擇欲限制的Web站點(diǎn)，雙擊“IPv4地址和域限制”圖標(biāo)，顯示如圖2.3.3-1所示的“IPv4地址和域限制”窗口。圖2.3.3-1“IPv4地址和域限制”窗口2．在右側(cè)“操作”任務(wù)欄中，單擊“添加允許條目”鏈接，顯示如圖2.3.3-2所示的“添加允許限制規(guī)則”窗口。如果要添加一個(gè)IP地址，可點(diǎn)選“特定IPv4地址”單選按鈕，并輸入允許訪問的IP地址即可；如果要添加一個(gè)IP地址段，可點(diǎn)選“IPv4地址范圍”單選按鈕，并輸入IP地址及子網(wǎng)掩碼即可。圖2.3.3-2“添加允許限制規(guī)則”窗口3．單擊“確定”按鈕，IP地址添加完成。“拒絕訪問”與“允許訪問”正好相反。通過“拒絕訪問”設(shè)置將拒絕來自一個(gè)IP地址或IP地址段的計(jì)算機(jī)訪問Web站點(diǎn)。不過，已授予訪問權(quán)限的計(jì)算機(jī)仍可訪問。單擊“添加拒絕條目”按鈕，在打開的“添加拒絕限制規(guī)則”窗口中，添加拒絕訪問的IP地址，如圖2.3.3-3所示。其操作步驟與“添加允許條目”中相同，這里不再贅述。圖2.3.3-3“添加拒絕限制規(guī)則”窗口2.4安全配置Web服務(wù)為了保護(hù)Web網(wǎng)站的安全，防止數(shù)據(jù)在傳輸過程中被截獲和篡改，可以在Web服務(wù)器上配置SSL（SecureSocketLayer，安全套接字層）。SSL是一種利用證書實(shí)現(xiàn)數(shù)據(jù)加密的技術(shù)，HTTP協(xié)議可用來加密傳輸對(duì)安全比較敏感的數(shù)據(jù)和信息，實(shí)現(xiàn)Web服務(wù)端與Web客戶端的安全通信。而客戶端訪問時(shí)，則要使用“https://DNS域名或IP地址”的形式。2.4.1創(chuàng)建SSL證書由于SSL是利用證書實(shí)現(xiàn)數(shù)據(jù)加密傳輸，因此，若要使用SSL，必須在Web服務(wù)器端創(chuàng)建用于SSL加密的證書。證書包含了有關(guān)服務(wù)器的信息，服務(wù)器允許客戶在共享敏感信息之前對(duì)其加以積極識(shí)別，Web服務(wù)器只有安裝有效服務(wù)器證書后才擁有安全通信功能。1．在“Internet信息技術(shù)(IIS)管理器”窗口中選擇服務(wù)器名稱，在“主頁”中的“IIS”區(qū)域中雙擊“服務(wù)器證書”圖標(biāo)，顯示如圖2.4.1-1所示的“服務(wù)器證書”窗口。在安裝IIS7.0時(shí)，系統(tǒng)自動(dòng)創(chuàng)建了一個(gè)證書，網(wǎng)絡(luò)管理員可以直接應(yīng)用該證書實(shí)現(xiàn)SSL，也可以導(dǎo)入已有證書，或者創(chuàng)建新證書。2．這里，以創(chuàng)建一個(gè)自簽名證書為例。在“操作”任務(wù)欄中單擊“創(chuàng)建自簽名證書”超級(jí)鏈接，顯示如圖2.4.1-2所示的“創(chuàng)建證書申請(qǐng)”窗口。在“為證書指定一個(gè)好記名稱”文本框中為新證書設(shè)置一個(gè)名稱。3．單擊“確定”按鈕，自簽名證書創(chuàng)建完成，并顯示在證書列表中，如圖2.4.1-3所示。4．選擇新創(chuàng)建的證書，在右側(cè)“操作”欄中單擊“查看”鏈接，顯示如圖2.4.1-4所示的“證書”窗口，可以查看該證書的名稱、頒發(fā)者、頒發(fā)給、到期日期和證書哈希等詳細(xì)信息，單擊“確定”按鈕。圖2.4.1-1“服務(wù)器證書”窗口圖2.4.1-2“創(chuàng)建自簽名證書”窗口圖2.4.1-3證書創(chuàng)建完成圖2.4.1-4“證書”窗口2.4.2創(chuàng)建SSL網(wǎng)站當(dāng)SSL證書創(chuàng)建完成以后，即可創(chuàng)建HTTPS站點(diǎn)，并啟用SSL設(shè)置。需要注意的是，HTTPS站點(diǎn)只能在創(chuàng)建SSL證書后創(chuàng)建，不能將已創(chuàng)建的HTTP站點(diǎn)更改為HTTPS站點(diǎn)。1．在IIS管理器窗口的“連接”欄中，右擊“網(wǎng)站”，在快捷菜單中單擊“添加網(wǎng)站”命令，顯示“添加網(wǎng)站”窗口，設(shè)置網(wǎng)站名稱、物理路徑，在“類型”下拉列表中選擇“https”，在“IP地址”下拉列表中指定IP地址，“端口”使用默認(rèn)的443即可；在“SSL證書”下拉列表中選擇該網(wǎng)站欲使用的證書，如圖2.4.2-1所示。2．單擊“確定”按鈕，HTTPS網(wǎng)站創(chuàng)建完成，如圖2.4.2-2所示。3．在HTTPS網(wǎng)站主頁中，雙擊“IIS”區(qū)域中的“SSL設(shè)置”圖標(biāo)，顯示如圖2.4.2-3所示的“SSL設(shè)置”窗口。4．勾選“要求SSL”復(fù)選框，默認(rèn)啟用40位數(shù)據(jù)加密方法。如果勾選“需要128位SSL”復(fù)選框，則啟動(dòng)128位數(shù)據(jù)加密方法。在“客戶證書”選項(xiàng)區(qū)域中選擇三種證書接受方式，分別如下。忽略：系統(tǒng)默認(rèn)設(shè)置，不接受提供客戶端證書，因此安全性最低。接受：?jiǎn)⒂梅?wù)器端的SSL設(shè)置，并接受客戶端證書（若提供），在允許客戶端獲得內(nèi)容訪問權(quán)限之前驗(yàn)證客戶端身份。這里選擇該項(xiàng)。必需：在接受訪問之前要求用戶必須提供證書，以驗(yàn)證客戶端身份的有效性，安全性最高。設(shè)置完成后，在右側(cè)“操作”欄中單擊“應(yīng)用”鏈接，應(yīng)用所有設(shè)置，如圖2.4.2-4所示。圖2.4.2-1“添加網(wǎng)站”窗口圖2.4.2-2圖2.4.2-2HTTPS網(wǎng)站創(chuàng)建完成圖2.4.2-3“SSL設(shè)置”窗口圖2.4.2-4應(yīng)用SSL設(shè)置三、安全策略保證系統(tǒng)安全3.1WindowsServer2008系統(tǒng)安全盡管WindowsServer2008系統(tǒng)的安全性要領(lǐng)先其他操作系統(tǒng)一大步，不過默認(rèn)狀態(tài)下過高的安全級(jí)別常常使不少人無法順利地在WindowsServer2008系統(tǒng)環(huán)境下進(jìn)行各種操作，為此許多用戶往往會(huì)采用手工方法來降低WindowsServer2008系統(tǒng)的安全訪問級(jí)別。可是，一旦降低了安全訪問級(jí)別，WindowsServer2008系統(tǒng)遭遇安全攻擊的可能性就非常大了;那么如何在安全訪問級(jí)別不高的情況下，我們?nèi)匀荒軌蜃學(xué)indowsServer2008系統(tǒng)安全地運(yùn)行?要做到這一點(diǎn)，我們可以利用WindowsServer2008系統(tǒng)強(qiáng)大的組策略功能，來對(duì)相關(guān)選項(xiàng)參數(shù)進(jìn)行有效設(shè)置!3.1.1禁止惡意程序“不請(qǐng)自來”在WindowsServer2008系統(tǒng)環(huán)境中使用IE瀏覽器上網(wǎng)瀏覽網(wǎng)頁內(nèi)容時(shí)，時(shí)常會(huì)有一些惡意程序不請(qǐng)自來，偷偷下載保存到本地計(jì)算機(jī)硬盤中，這樣不但會(huì)白白浪費(fèi)寶貴的硬盤空間資源，而且也會(huì)給本地計(jì)算機(jī)系統(tǒng)的安全帶來不少麻煩。為了讓W(xué)indowsServer2008系統(tǒng)更加安全，我們往往需要借助專業(yè)的軟件工具才能禁止應(yīng)用程序隨意下載，很顯然這樣操作不但麻煩而且比較累人;其實(shí)，在WindowsServer2008系統(tǒng)環(huán)境中，我們只要簡(jiǎn)單地設(shè)置一下系統(tǒng)組策略參數(shù)，就能禁止惡意程序自動(dòng)下載保存到本地計(jì)算機(jī)硬盤中了，下面就是具體的設(shè)置步驟：以特權(quán)帳號(hào)進(jìn)入WindowsServer2008系統(tǒng)環(huán)境，依次點(diǎn)選系統(tǒng)桌面中的“開始”/“運(yùn)行”命令，在系統(tǒng)運(yùn)行框中執(zhí)行g(shù)pedit.msc命令，打開本地計(jì)算機(jī)的組策略編輯窗口;其次在組策略編輯窗口左側(cè)區(qū)域展開“計(jì)算機(jī)配置”分支，再依次選擇該分支下面的“管理模板”/“Windows組件”/“InternetExplorer”/“安全功能”/“限制文件下載”子項(xiàng)，雙擊“限制文件下載”子項(xiàng)下面的“InternetExplorer進(jìn)程”組策略選項(xiàng)，打開如圖1所示的目標(biāo)組策略屬性設(shè)置窗口。選中“已啟用”選項(xiàng)，再單擊“確定”按鈕退出組策略屬性設(shè)置窗口，這樣一來我們就能成功啟用限制InternetExplorer進(jìn)程下載文件的策略設(shè)置，日后WindowsServer2008系統(tǒng)就會(huì)自動(dòng)彈出阻止InternetExplorer進(jìn)程的非用戶初始化的文件下載提示，單擊提示對(duì)話框中的“確定”按鈕，惡意程序就不會(huì)通過IE瀏覽器窗口隨意下載保存到本地計(jì)算機(jī)硬盤中了。3.1.2對(duì)重要文件夾進(jìn)行安全審核WindowsServer2008系統(tǒng)可以使用安全審核的方法來跟蹤訪問重要文件夾或其他對(duì)象的登錄嘗試、用戶賬號(hào)、系統(tǒng)關(guān)閉、重啟系統(tǒng)以及其他一些事件。要是我們能夠充分利用WindowsServer2008系統(tǒng)文件夾的審核功能，就能有效保證重要文件夾的訪問安全性，其他非法攻擊者就無法輕易對(duì)其進(jìn)行惡意破壞;在對(duì)WindowsServer2008系統(tǒng)中的重要文件夾進(jìn)行訪問審核時(shí)，我們可以按照如下步驟來進(jìn)行：首先以特權(quán)帳號(hào)進(jìn)入WindowsServer2008系統(tǒng)環(huán)境，依次點(diǎn)選系統(tǒng)桌面中的“開始”/“運(yùn)行”命令，在系統(tǒng)運(yùn)行框中執(zhí)行g(shù)pedit.msc命令，打開本地計(jì)算機(jī)的組策略編輯窗口。其次在組策略編輯窗口左側(cè)區(qū)域展開“計(jì)算機(jī)配置”分支，再依次選擇該分支下面的“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“審核策略”選項(xiàng)，在對(duì)應(yīng)“審核策略”選項(xiàng)的右側(cè)顯示區(qū)域中找到“審核對(duì)象訪問”目標(biāo)組策略項(xiàng)目，并用鼠標(biāo)右鍵單擊該項(xiàng)目，執(zhí)行右鍵菜單中的“屬性”命令打開目標(biāo)組策略項(xiàng)目的屬性設(shè)置窗口。選中該屬性設(shè)置窗口中的“成功”和“失敗”復(fù)選項(xiàng)，再單擊“確定”按鈕，如此一來訪問重要文件夾或其他對(duì)象的登錄嘗試、用戶賬號(hào)、系統(tǒng)關(guān)閉、重啟系統(tǒng)以及其他一些事件無論成功與失敗，都會(huì)被WindowsServer2008系統(tǒng)自動(dòng)記錄保存到對(duì)應(yīng)的日志文件中，我們只要及時(shí)查看服務(wù)器系統(tǒng)的相關(guān)日志文件，就能知道重要文件夾以及其他一些對(duì)象是否遭受過非法訪問或攻擊了，一旦發(fā)現(xiàn)系統(tǒng)存在安全隱患的話，我們只要根據(jù)日志文件中的內(nèi)容及時(shí)采取針對(duì)性措施進(jìn)行安全防范就可以了。3.1.3禁止改變本地安全訪問級(jí)別在辦公室中，我們有時(shí)需要與其他同事共享使用同一臺(tái)計(jì)算機(jī)，當(dāng)我們對(duì)本地計(jì)算機(jī)的IE瀏覽器安全訪問級(jí)別設(shè)置好，肯定不希望其他同事隨意更改它的安全訪問級(jí)別，畢竟安全級(jí)別要是設(shè)置得太低的話，會(huì)導(dǎo)致潛藏在網(wǎng)絡(luò)中的各種病毒或木馬對(duì)本地計(jì)算機(jī)進(jìn)行惡意攻擊，從而可能造成本地系統(tǒng)運(yùn)行緩慢或者無法正常運(yùn)行的故障現(xiàn)象。為了防止其他人隨意更改本地計(jì)算機(jī)的安全訪問級(jí)別，WindowsServer2008系統(tǒng)允許我們進(jìn)入如下設(shè)置，來保護(hù)本地系統(tǒng)的安全：首先以特權(quán)帳號(hào)進(jìn)入WindowsServer2008系統(tǒng)環(huán)境，依次點(diǎn)選系統(tǒng)桌面中的“開始”/“運(yùn)行”命令，在系統(tǒng)運(yùn)行框中執(zhí)行g(shù)pedit.msc命令，打開本地計(jì)算機(jī)的組策略編輯窗口;其次在組策略編輯窗口左側(cè)區(qū)域展開“用戶配置”分支，再依次選擇該分支下面的“管理模板”/“Windows組件”/“InternetExplorer”/“Internet控制模板”選項(xiàng)，在對(duì)應(yīng)“Internet控制模板”選項(xiàng)的右側(cè)顯示區(qū)域中找到“禁用安全頁”目標(biāo)組策略項(xiàng)目，并用鼠標(biāo)右鍵單擊該項(xiàng)目，執(zhí)行右鍵菜單中的“屬性”命令打開目標(biāo)組策略項(xiàng)目的屬性設(shè)置窗口;選中該屬性設(shè)置窗口中的“已啟用”選項(xiàng)，再單擊“確定”按鈕結(jié)束目標(biāo)組策略屬性設(shè)置操作，如此一來InternetExplorer的安全設(shè)置頁面就會(huì)被自動(dòng)隱藏起來，這樣的話其他同事就無法進(jìn)入該安全標(biāo)簽設(shè)置頁面來隨意更改本地系統(tǒng)的安全訪問級(jí)別了，那么本地計(jì)算機(jī)系統(tǒng)的安全性也就能得到有效保證了。當(dāng)然，我們也可以通過隱藏InternetExplorer窗口中的“Internet選項(xiàng)”，阻止其他同事隨意進(jìn)入IE瀏覽器的選項(xiàng)設(shè)置界面，來調(diào)整本地系統(tǒng)的安全訪問級(jí)別以及其他上網(wǎng)訪問參數(shù)。在隱藏InternetExplorer窗口中的“Internet選項(xiàng)”時(shí)，我們可以按照前面的操作步驟打開WindowsServer2008系統(tǒng)的組策略編輯窗口，將鼠標(biāo)定位于“用戶配置”/“管理模板”/“Windows組件”/“InternetExplorer”/“瀏覽器菜單”分支選項(xiàng)上，再將該目標(biāo)分支選項(xiàng)下面的禁用“Internet選項(xiàng)”組策略的屬性設(shè)置窗口打開，然后選中其中的“已啟用”選項(xiàng)，最后單擊“確定”按鈕就能使設(shè)置生效了。3.1.4禁止超級(jí)賬號(hào)名稱被偷竊許多技術(shù)高明的黑客或惡意攻擊者常常會(huì)通過登錄WindowsServer2008系統(tǒng)的SID標(biāo)識(shí)，來竊取系統(tǒng)超級(jí)賬號(hào)的名稱信息，之后再利用目標(biāo)賬號(hào)名稱嘗試去暴力破解登錄WindowsServer2008系統(tǒng)的密碼，最終獲得WindowsServer2008系統(tǒng)的所有控制權(quán)限;很明顯，一旦系統(tǒng)的超級(jí)權(quán)限帳號(hào)名稱被非法竊取使用的話，那么WindowsServer2008系統(tǒng)的安全性就沒有任何保證了。為了有效保證WindowsServer2008系統(tǒng)的安全性，我們不妨進(jìn)行如下設(shè)置，禁止任何用戶通過SID標(biāo)識(shí)獲取對(duì)應(yīng)系統(tǒng)登錄賬號(hào)的名稱信息：以特權(quán)帳號(hào)進(jìn)入WindowsServer2008系統(tǒng)環(huán)境，依次點(diǎn)選系統(tǒng)桌面中的“開始”/“運(yùn)行”命令，在系統(tǒng)運(yùn)行框中執(zhí)行g(shù)pedit.msc命令，打開本地計(jì)算機(jī)的組策略編輯窗口;在組策略編輯窗口左側(cè)區(qū)域展開“計(jì)算機(jī)配置”分支，再依次選擇該分支下面的“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“安全選項(xiàng)”項(xiàng)目，找到該分支項(xiàng)目下面的“網(wǎng)絡(luò)訪問：允許匿名SID/名稱轉(zhuǎn)換”目標(biāo)組策略選項(xiàng)，并用鼠標(biāo)右鍵單擊該選項(xiàng)，執(zhí)行右鍵菜單中的“屬性”命令打開如圖4所示的目標(biāo)組策略屬性設(shè)置界面，選中其中的“已禁用”選項(xiàng)，再單擊“確定”按鈕退出組策略屬性設(shè)置窗口，這樣的話任何用戶都將無法利用SID標(biāo)識(shí)來竊取WindowsServer2008系統(tǒng)的登錄賬號(hào)名稱信息了，那么WindowsServer2008系統(tǒng)受到暴力破解登錄的機(jī)會(huì)就大大減少了，此時(shí)對(duì)應(yīng)系統(tǒng)的安全性也就能得到有效保證了。3.1.5禁止U盤病毒“趁虛而入”很多時(shí)候，我們都是通過U盤與其他計(jì)算機(jī)系統(tǒng)相互交換信息的，但遺憾的是現(xiàn)在Internet網(wǎng)絡(luò)中的U盤病毒瘋狂肆虐，那么對(duì)于WindowsServer2008系統(tǒng)來說，我們究竟該采取什么措施來禁止U盤病毒“趁虛而入”呢?其實(shí)很簡(jiǎn)單，我們可以通過設(shè)置WindowsServer2008系統(tǒng)的組策略參數(shù)，來禁止本地計(jì)算機(jī)系統(tǒng)讀取U盤，那樣一來U盤中的病毒文件就無法傳播出來，下面就是具體的設(shè)置步驟：首先以特權(quán)帳號(hào)進(jìn)入WindowsServer2008系統(tǒng)環(huán)境，依次點(diǎn)選系統(tǒng)桌面中的“開始”/“運(yùn)行”命令，在系統(tǒng)運(yùn)行框中執(zhí)行g(shù)pedit.msc命令，打開本地計(jì)算機(jī)的組策略編輯窗口，其次在組策略編輯窗口左側(cè)區(qū)域展開“用戶配置”分支，再依次選擇該分支下面的“管理模板”/“系統(tǒng)”/“可移動(dòng)存儲(chǔ)”選項(xiàng)，找到該分支選項(xiàng)下面的“可移動(dòng)磁盤：拒絕讀取權(quán)限”目標(biāo)組策略選項(xiàng)，并用鼠標(biāo)右鍵單擊該選項(xiàng)，執(zhí)行右鍵菜單中的“屬性”命令打開如圖5所示的目標(biāo)組策略屬性設(shè)置界面，選中其中的“已啟用”選項(xiàng)，再單擊“確定”按鈕退出組策略屬性設(shè)置窗口，同樣地，再打開“可移動(dòng)磁盤：拒絕寫入權(quán)限”目標(biāo)組策略選項(xiàng)的屬性設(shè)置窗口，選中該窗口中的“已啟用”選項(xiàng)，最后再單擊“確定”按鈕就能使設(shè)置生效了，此時(shí)U盤病毒就不能“趁虛而入”了，那么WindowsServer2008系統(tǒng)也就不會(huì)遭遇U盤病毒的非法攻擊了。3.1.6禁止來自程序的漏洞攻擊不少用戶往往會(huì)錯(cuò)誤地認(rèn)為，只要對(duì)WindowsServer2008服務(wù)器系統(tǒng)的補(bǔ)丁程序進(jìn)行及時(shí)更新，就能讓本地服務(wù)器系統(tǒng)遠(yuǎn)離網(wǎng)絡(luò)中各種木馬程序或惡意病毒的非法攻擊了。其實(shí)，為WindowsServer2008服務(wù)器系統(tǒng)更新補(bǔ)丁程序只能堵住系統(tǒng)自身存在的一些安全漏洞，如果安裝在WindowsServer2008系統(tǒng)中的應(yīng)用程序有明顯漏洞時(shí)，那么網(wǎng)絡(luò)中各種木馬程序或惡意病毒仍然能夠利用應(yīng)用程序存在的安全漏洞來對(duì)WindowsServer2008系統(tǒng)進(jìn)行非法攻擊。那么在WindowsServer2008系統(tǒng)環(huán)境中，我們?cè)摬扇∈裁创胧﹣斫共《净蚰抉R利用應(yīng)用程序漏洞來對(duì)服務(wù)器進(jìn)行非法攻擊呢?很簡(jiǎn)單!我們可以利用WindowsServer2008服務(wù)器系統(tǒng)內(nèi)置的高級(jí)防火墻程序來實(shí)現(xiàn)這一目的，下面就是具體的設(shè)置步驟：首先以特權(quán)帳號(hào)進(jìn)入WindowsServer2008系統(tǒng)環(huán)境，依次點(diǎn)選系統(tǒng)桌面中的“開始”/“運(yùn)行”命令，在系統(tǒng)運(yùn)行框中執(zhí)行g(shù)pedit.msc命令，打開本地服務(wù)器的組策略編輯窗口;其次在組策略編輯窗口左側(cè)區(qū)域展開“計(jì)算機(jī)配置”分支，再依次選擇該分支下面的“Windows設(shè)置”/“安全設(shè)置”/“高級(jí)安全Windows防火墻”/“高級(jí)安全Windows防火墻——本地組策略對(duì)象”選項(xiàng)，用鼠標(biāo)右鍵單擊該分支選項(xiàng)下面的“入站規(guī)則”子項(xiàng)，從彈出的右鍵菜單中執(zhí)行“屬性”命令打開新建入站規(guī)則向?qū)гO(shè)置界面，根據(jù)向?qū)Ы缑娴奶崾?，將?guī)則類型參數(shù)設(shè)置為“程序”，然后選中“此程序路徑”選項(xiàng)，并單擊“瀏覽”按鈕，將存在明顯漏洞的目標(biāo)應(yīng)用程序選中，當(dāng)屏幕上出現(xiàn)向?qū)гO(shè)置界面時(shí)，我們可以選中“阻止連接”項(xiàng)目，最后再設(shè)置好新建規(guī)則的名稱，并單擊“完成”按鈕，如此一來WindowsServer2008系統(tǒng)中的高級(jí)防火墻程序就會(huì)禁止那些存在明顯安全漏洞的應(yīng)用程序訪問網(wǎng)絡(luò)了，那樣的話病毒或木馬自然也就不能通過應(yīng)用程序漏洞對(duì)本地服務(wù)器實(shí)施惡意攻擊了。3.2Win2008系統(tǒng)安全交給組策略保證3.2.1嚴(yán)禁惡意程序不請(qǐng)自來我們?cè)谑褂肳indowsServer2008系統(tǒng)自帶的IE瀏覽器上網(wǎng)訪問網(wǎng)頁內(nèi)容時(shí)，時(shí)常會(huì)碰到一些惡意的控件程序，這些惡意控件程序往往不經(jīng)過我們的允許，就自動(dòng)下載保存到本地系統(tǒng)硬盤中，這樣不但會(huì)消耗寶貴的磁盤空間資源，而且還可能會(huì)給WindowsServer2008系統(tǒng)帶來安全麻煩；為了讓自己的WindowsServer2008系統(tǒng)更加安全，我們可以安裝使用一些專業(yè)工具來拒絕惡意程序不請(qǐng)自來，可是這樣不但操作很繁瑣而且也不利于提高操作效率。事實(shí)上，WindowsServer2008系統(tǒng)在組策略中已經(jīng)添加了這種安全問題的控制選項(xiàng)，我們只要對(duì)相應(yīng)的控制選項(xiàng)進(jìn)行一下合適設(shè)置就可以了，下面就是具體的控制步驟：首先在WindowsServer2008系統(tǒng)桌面中打開“開始”菜單，點(diǎn)選其中的“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行文本框中，輸入“gpedit.msc”字符串命令，單擊“確定”按鈕，打開對(duì)應(yīng)系統(tǒng)的組策略編輯窗口；其次在該組策略編輯窗口的左側(cè)顯示區(qū)域中將鼠標(biāo)定位于“計(jì)算機(jī)配置”分支，并從該分支下面逐一展開“管理模板”/“Windows組件”/“限制文件下載”/“安全功能”/“限制文件下載”子項(xiàng)；下面在“限制文件下載”子項(xiàng)的右側(cè)顯示列表中，雙擊“InternetExplorer進(jìn)程”組策略選項(xiàng)，打開目標(biāo)組策略選項(xiàng)的屬性設(shè)置對(duì)話框，單擊其中的“設(shè)置”標(biāo)簽，進(jìn)入標(biāo)簽設(shè)置頁面。在這里，我們發(fā)現(xiàn)默認(rèn)狀態(tài)下WindowsServer2008系統(tǒng)對(duì)文件下載操作是沒有任何限制的，此時(shí)我們應(yīng)該選中“已啟用”選項(xiàng)，來嚴(yán)禁惡意程序不請(qǐng)自來。當(dāng)然，有的惡意程序會(huì)自動(dòng)通過FlashGet、迅雷工具等來完成下載任務(wù)，為了謹(jǐn)防這些程序自動(dòng)執(zhí)行下載任務(wù)，我們還可以打開“所有進(jìn)程”選項(xiàng)的屬性設(shè)置窗口，選中對(duì)應(yīng)窗口中的“已啟用”選項(xiàng)，來禁止惡意程序無法通過。3.2.2拒絕調(diào)用任務(wù)管理器在WindowsServer2008系統(tǒng)環(huán)境下，同時(shí)按下鍵盤中的Ctrl+Alt+Del組合鍵時(shí)，我們可以調(diào)用系統(tǒng)任務(wù)管理器，可以更改Windows系統(tǒng)登錄密碼，可以直接關(guān)閉、注銷計(jì)算機(jī)等，特別是在調(diào)用系統(tǒng)任務(wù)管理器后，用戶還能對(duì)WindowsServer2008系統(tǒng)中的一些重要進(jìn)程進(jìn)行控制。為了防止非法用戶隨意控制服務(wù)器系統(tǒng)中的一些重要進(jìn)程，我們可以利用WindowsServer2008系統(tǒng)內(nèi)置的組策略來拒絕普通用戶隨意調(diào)用任務(wù)管理器，下面就是具體的設(shè)置步驟：首先打開WindowsServer2008系統(tǒng)桌面中的“開始”菜單，點(diǎn)選其中的“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行文本框中，輸入“gpedit.msc”字符串命令，單擊“確定”按鈕，打開對(duì)應(yīng)系統(tǒng)的組策略編輯窗口；其次將鼠標(biāo)定位于組策略編輯窗口左側(cè)顯示區(qū)域中的“用戶設(shè)置”分支上，并依次展開“管理模板”/“系統(tǒng)”/“Ctrl+Alt+Del”組策略子項(xiàng)，在對(duì)應(yīng)“Ctrl+Alt+Del”組策略子項(xiàng)的右側(cè)顯示區(qū)域中，我們會(huì)看到刪除注銷、刪除更改密碼、刪除鎖定計(jì)算機(jī)、刪除任務(wù)管理器等多個(gè)策略；用鼠標(biāo)雙擊其中的刪除任務(wù)管理器選項(xiàng)，打開目標(biāo)組策略選項(xiàng)的屬性設(shè)置對(duì)話框，單擊其中的“設(shè)置”標(biāo)簽，進(jìn)入標(biāo)簽設(shè)置頁面；在這里，我們發(fā)現(xiàn)默認(rèn)狀態(tài)下WindowsServer2008系統(tǒng)是允許用戶調(diào)用任務(wù)管理器窗口的，此時(shí)我們應(yīng)該選中“已啟用”選項(xiàng)，來禁止調(diào)用系統(tǒng)任務(wù)管理器窗口。同樣地，我們可以打開其他策略的選項(xiàng)設(shè)置窗口，選中“已啟用”選項(xiàng)，來禁止執(zhí)行注銷、更改密碼、鎖定計(jì)算機(jī)等操作。3.3設(shè)置網(wǎng)絡(luò)策略讓訪問Win2008更安全3.3.1認(rèn)識(shí)網(wǎng)絡(luò)策略為了有效保護(hù)網(wǎng)絡(luò)以及服務(wù)器系統(tǒng)的安全，WindowsServer2008特意為我們新增加了網(wǎng)絡(luò)策略服務(wù)器功能以及其他多項(xiàng)安全保護(hù)措施，利用網(wǎng)絡(luò)策略功能服務(wù)器系統(tǒng)將會(huì)強(qiáng)制要求任何一臺(tái)企圖與之連接的普通工作站都要通過特定的網(wǎng)絡(luò)健康檢查，比方說普通工作站中是否安裝了防火墻程序，是否及時(shí)更新了病毒庫內(nèi)容，是否安裝了最新版本的系統(tǒng)補(bǔ)丁程序等，只有當(dāng)普通工作站符合各種安全檢查之后，服務(wù)器系統(tǒng)才允許該工作站連接服務(wù)器并訪問其中的內(nèi)容。而那些沒有通過服務(wù)器系統(tǒng)安全檢查的普通工作站將會(huì)被隔離到另外一個(gè)受限網(wǎng)絡(luò)，或者降低服務(wù)器的訪問權(quán)限。在被隔離到另外一個(gè)受限網(wǎng)絡(luò)中時(shí)，普通工作站需要及時(shí)通過受限網(wǎng)絡(luò)來修復(fù)該工作站的安全狀態(tài)，比方說迅速從局域網(wǎng)中的補(bǔ)丁服務(wù)器中下載安裝系統(tǒng)補(bǔ)丁程序，強(qiáng)制啟用系統(tǒng)中的防火墻程序等，在符合網(wǎng)絡(luò)安全條件之后，該工作站往往就能正常訪問服務(wù)器系統(tǒng)中的任何內(nèi)容了。3.3.2安裝網(wǎng)絡(luò)策略服務(wù)器雖然WindowsServer2008系統(tǒng)已經(jīng)內(nèi)置了網(wǎng)絡(luò)策略服務(wù)器功能，不過在默認(rèn)狀態(tài)下該功能并沒有被啟用，此時(shí)我們只有先將該功能組件安裝起來，才能利用該功能的安全防范本領(lǐng)來保護(hù)服務(wù)器系統(tǒng)的安全。在安裝網(wǎng)絡(luò)策略組件時(shí)，我們首先要以系統(tǒng)管理員權(quán)限進(jìn)入到WindowsServer2008系統(tǒng)，打開該系統(tǒng)的“開始”菜單，從中依次選擇“程序”/“管理工具”/“服務(wù)器管理器”命令，打開對(duì)應(yīng)系統(tǒng)的服務(wù)器管理器窗口。在該服務(wù)器管理器窗口的左側(cè)顯示區(qū)域，選中“角色”選項(xiàng)，在對(duì)應(yīng)該選項(xiàng)的右側(cè)顯示區(qū)域中，單擊“添加角色”功能圖標(biāo)，打開角色添加向?qū)гO(shè)置窗口;從該設(shè)置窗口的提示信息中，我們看到要安裝網(wǎng)絡(luò)策略組件需要做好三個(gè)方面的準(zhǔn)備工作，第一就是確保管理員賬號(hào)具有強(qiáng)密碼，第二就是保證網(wǎng)絡(luò)設(shè)置已經(jīng)配制好，第三就是已經(jīng)安裝WindowsUpdate中的最新安全更新。在確認(rèn)上面的各項(xiàng)準(zhǔn)備工作已經(jīng)完成后，單擊“下一步”按鈕，打開服務(wù)器角色列表窗口中，在這里我們看到服務(wù)器系統(tǒng)在默認(rèn)狀態(tài)下并沒有選中“網(wǎng)絡(luò)策略和訪問服務(wù)”功能組件，這說明網(wǎng)絡(luò)策略功能此時(shí)并沒有被安裝;此時(shí)，我們可以及時(shí)選中這里的“網(wǎng)絡(luò)策略和訪問服務(wù)”選項(xiàng)，再單擊“下一步”按鈕;當(dāng)屏幕上出現(xiàn)角色服務(wù)列表窗口時(shí)，選中“網(wǎng)絡(luò)策略服務(wù)器”選項(xiàng)，繼續(xù)單擊“下一步”按鈕，最后單擊“安裝”按鈕，這樣一來服務(wù)器系統(tǒng)就會(huì)自動(dòng)將所選的角色、角色服務(wù)依次安裝好了。當(dāng)網(wǎng)絡(luò)策略組件安裝操作結(jié)束后，系統(tǒng)會(huì)自動(dòng)彈出提示現(xiàn)在可以利用該功能組件來配置服務(wù)器系統(tǒng)的網(wǎng)絡(luò)訪問保護(hù)了;并且此時(shí)此刻服務(wù)器系統(tǒng)中的DHCP服務(wù)也會(huì)自動(dòng)將被新安裝的網(wǎng)絡(luò)策略服務(wù)器組件所替代，我們必須對(duì)網(wǎng)絡(luò)策略服務(wù)器涉及的相關(guān)DHCPword文檔可自由復(fù)制編輯word文檔可自由復(fù)制編輯word文檔可自由復(fù)制編輯參數(shù)進(jìn)行正確配置，才能起到很好的網(wǎng)絡(luò)安全保護(hù)效果。在缺省狀態(tài)下，WindowsServer2008系統(tǒng)并沒有將與網(wǎng)絡(luò)策略服務(wù)器相關(guān)的“網(wǎng)絡(luò)訪問保護(hù)”組件啟用起來，這需要我們?cè)诰W(wǎng)絡(luò)策略服務(wù)器的DHCP作用域?qū)傩灾羞M(jìn)行手工啟用。3.3.3設(shè)置網(wǎng)絡(luò)策略服務(wù)器在成功安裝好網(wǎng)絡(luò)策略服務(wù)器功能組件后，我們現(xiàn)在就能進(jìn)入網(wǎng)絡(luò)策略服務(wù)器來對(duì)它正確進(jìn)行配置了，以便讓它及時(shí)發(fā)揮作用，保護(hù)服務(wù)器系統(tǒng)的安全。首先打開WindowsServer2008系統(tǒng)的“開始”菜單，從中依次選擇“程序”/“管理工具”/“網(wǎng)絡(luò)策略服務(wù)器”選項(xiàng)，打開網(wǎng)絡(luò)策略服務(wù)器控制臺(tái)窗口，在該控制臺(tái)窗口的左側(cè)顯示區(qū)域，我們發(fā)現(xiàn)網(wǎng)絡(luò)策略服務(wù)器包含四方面的內(nèi)容，它們分別是連接請(qǐng)求策略、網(wǎng)絡(luò)策略、健康策略以及網(wǎng)絡(luò)訪問保護(hù)組件，這些策略和組件將會(huì)對(duì)訪問單位服務(wù)器系統(tǒng)的普通工作站系統(tǒng)進(jìn)行網(wǎng)絡(luò)隔離、安全處理、健康策略審核以及網(wǎng)絡(luò)訪問保護(hù)，使用連接請(qǐng)求策略，我們能夠指定是在本地處理連接請(qǐng)求，還是將其轉(zhuǎn)發(fā)到遠(yuǎn)程Radius服務(wù)器中去處理;選用健康策略我們可以自定義普通工作站是否健康的標(biāo)準(zhǔn)，該策略通常與網(wǎng)絡(luò)訪問保護(hù)組件一起配合使用。一般來說，我們通常需要在服務(wù)器系統(tǒng)中創(chuàng)建好兩個(gè)基本策略，其中一個(gè)策略就是安全工作站的策略，另外一個(gè)就是不安全工作站的策略。創(chuàng)建安全工作站的策略時(shí)，我們可以在網(wǎng)絡(luò)策略服務(wù)器控制臺(tái)窗口的左側(cè)顯示區(qū)域中，依次展開“策略”/“健康策略”選項(xiàng)，用鼠標(biāo)右鍵單擊“健康策略”選項(xiàng)，從彈出的快捷菜單中選擇“新建”命令，打開如圖4所示的設(shè)置對(duì)話框;在該設(shè)置對(duì)話框中將策略名稱取為“安全工作站”，將“客戶端SHV檢查”設(shè)置為“客戶端通過了所有SHV檢查”，再單擊“確定”按鈕，這樣一來安全工作站策略就創(chuàng)建成功了。同樣地，我們可以再創(chuàng)建一個(gè)“不安全工作站”策略，并將該策略的“客戶端SHV檢查”設(shè)置為“客戶端未能通過所有SHV檢查”。當(dāng)WindowsServer2008系統(tǒng)檢測(cè)到普通工作站屬于不安全工作站時(shí)，網(wǎng)絡(luò)策略服務(wù)器還提供了補(bǔ)救措施，以便讓不安全的工作站自動(dòng)訪問局域網(wǎng)中的補(bǔ)丁更新服務(wù)器或病毒庫更新服務(wù)器，從而及時(shí)將系統(tǒng)補(bǔ)丁程序以及更新病毒庫程序安裝到普通工作中。為了讓不安全工作站能夠自動(dòng)安裝補(bǔ)丁程序或自動(dòng)更新病毒庫，我們需要使用更新服務(wù)器組來定義不安全工作站能夠訪問哪些系統(tǒng)，以便從這些系統(tǒng)中能夠自動(dòng)將工作站的不安全狀態(tài)恢復(fù)到安全狀態(tài)。在指定不安全工作站能夠訪問的服務(wù)器系統(tǒng)時(shí)，我們可以在網(wǎng)絡(luò)策略服務(wù)器控制臺(tái)窗口的左側(cè)顯示區(qū)域中，依次展開“網(wǎng)絡(luò)訪問保護(hù)”/“更新服務(wù)器組”選項(xiàng)，再用鼠標(biāo)右鍵單擊“更新服務(wù)器組”選項(xiàng)，從彈出的快捷菜單中執(zhí)行“新建”命令，打開如圖6所示的創(chuàng)建對(duì)話框，單擊該對(duì)話框中的“添加”按鈕，在其后界面中正確輸入系統(tǒng)補(bǔ)丁更新服務(wù)器或病毒庫更新服務(wù)器的主機(jī)名稱或IP地址，這么一來日后普通工作站被檢測(cè)為不安全時(shí)，那它就會(huì)自動(dòng)連接到系統(tǒng)補(bǔ)丁更新服務(wù)器或病毒庫更新服務(wù)器，來安裝系統(tǒng)補(bǔ)丁程序或更新病毒庫了。當(dāng)普通工作站安裝了補(bǔ)丁程序或更新了病毒庫后，再次訪問WindowsServer2008系統(tǒng)時(shí)，該系統(tǒng)就會(huì)認(rèn)為它是安全工作站，此時(shí)該工作站就能允許連接到服務(wù)器系統(tǒng)中，那樣一來我們就能最大限度地保證服務(wù)器系統(tǒng)的安全了。當(dāng)然，需要在這里提醒各位的是，上面的系統(tǒng)健康驗(yàn)證器、健康策略、連接請(qǐng)求策略、更新服務(wù)器組等都需要網(wǎng)絡(luò)策略組合在一起，才能發(fā)揮出有效的作用;我們可以根據(jù)普通工作站安全狀態(tài)確定如何對(duì)該工作站進(jìn)行處理;例如，當(dāng)發(fā)現(xiàn)普通工作站與不安全工作站策略相符時(shí)，那么我們可以定義網(wǎng)絡(luò)策略，來指示局域網(wǎng)中的DHCP服務(wù)器為目標(biāo)普通工作站提供一個(gè)受限作用域選項(xiàng)的IP租約，確保該工作站地址只能訪問指定更新服務(wù)器組中定義的系統(tǒng)。3.4讓W(xué)in2008系統(tǒng)安全更上一層樓3.4.1拒絕修改防火墻安全規(guī)則我們知道，Win2008系統(tǒng)新增加的高級(jí)安全防火墻功能，可以允許用戶根據(jù)實(shí)際需要自行定義安全規(guī)則，從而實(shí)現(xiàn)更加靈活的安全防護(hù)目的;不過該防火墻還有一些明顯不足，我們對(duì)它進(jìn)行的一些設(shè)置以及創(chuàng)建的安全規(guī)則，幾乎都是直接存儲(chǔ)在本地Win2008系統(tǒng)注冊(cè)