計算機網(wǎng)絡(luò)技術(shù)基礎(chǔ)(課件)第17章

項目17本地安全策略服務(wù)器的安全威脅主要來自本地登錄訪問和通過網(wǎng)絡(luò)的遠程訪問，為此，WindowsServer2016系統(tǒng)通過內(nèi)置一系列的安全策略和軟件防火墻來監(jiān)管和防范訪問者。雖然WindowsServer2016進行了初始的安全策略設(shè)置，但與實際的防范要求相比還有較大差距。為了降低網(wǎng)絡(luò)攻擊的威脅，保障服務(wù)器的安全，我們可以通過以下措施來加固服務(wù)器：對WindowsServer2016系統(tǒng)安裝最新的補丁程序，以修復(fù)系統(tǒng)自身的漏洞和錯誤；設(shè)置賬戶策略以防止密碼被盜；添加審核策略來跟蹤資源訪問者；啟動并配置WindowsServer2016自帶的防火墻，對進、出服務(wù)器的數(shù)據(jù)包進行篩選。2023/7/182掌握賬戶策略、審核策略的安全設(shè)置。掌握用戶權(quán)限分配、安全選項的設(shè)置。掌握Windows防火墻入站和出站規(guī)則的配置。2023/7/183賬戶策略審核策略用戶權(quán)限分配的設(shè)置安全選項的設(shè)置高級安全Windows防火墻的設(shè)置2023/7/184賬戶策略

2023/7/185入侵者最基本的攻擊方式就是破解系統(tǒng)的密碼，WindowsServer可通過密碼策略來提高密碼破解的難度。1.密碼策略的設(shè)置主要包括提高密碼復(fù)雜性、增加密碼長度、增加密碼更換頻率等。提示：密碼復(fù)雜性包含了一下三個方面的要求：密碼中的符號不能包含用戶名中超過兩個以上的連續(xù)字符；密碼長度至少為6個字符；密碼中至少包含A~Z、a~z、0~9、特殊字符（如！、$、&、#、%）四類字符中的三類。賬戶策略2023/7/186密碼策略設(shè)置步驟如下：步驟一：按下“WIN+R”組合鍵，打開“運行”命令窗口，輸入gpedit.msc，進入組策略設(shè)置。步驟二：依次選擇【計算機配置】->【W(wǎng)indows設(shè)置】->【安全設(shè)置】->【賬戶策略】對話框。步驟三：展開“賬戶策略”下的“密碼策略”窗口，雙擊“密碼必須符合復(fù)雜性要求”，打開“密碼必須符合復(fù)雜性要求屬性”對話框，選擇“已啟用”單選按鈕，啟動密碼復(fù)雜性策略，單擊“確定”按鈕賬戶策略2023/7/187步驟四：雙擊“密碼長度最小值”，在打開的屬性對話框中設(shè)置密碼必須至少包含多少個字符。此處可為0~14，0（默認(rèn)值）表示用戶可以沒有密碼.步驟五：雙擊“密碼最短使用期限”，在打開的屬性對話框中設(shè)置密碼自從上次應(yīng)用后距離下次更改密碼的最短時間（可為0~998天），期限未到前，用戶不得變更密碼。0（默認(rèn)值）表示用戶可隨時變更密碼。賬戶策略2023/7/188步驟六：雙擊“密碼最長使用期限”，在打開的屬性對話框中設(shè)置密碼使用的最長時間（可為0~999天），默認(rèn)值為0天，表示密碼永不過期。最佳設(shè)置范圍為30~90天。用戶在登錄時，若密碼最長使用期限已到，則系統(tǒng)會要求用戶更改密碼，如圖17-3所示。步驟七：雙擊“強制密碼歷史”，在打開的屬性對話框中設(shè)置是否要保存用戶以前使用過的舊密碼，以便決定用戶在更改密碼時是否可以重復(fù)使用舊密碼（可為0~24）。0（默認(rèn)值）表示不保存密碼歷史記錄，用戶在更改密碼時，可以將其設(shè)置為以前使用過的任何一個舊密碼。如設(shè)置為3，表示保存密碼記錄，且用戶的新密碼不可與前三次使用過的舊密碼相同。賬戶策略2023/7/189提示：密碼最短使用期限必須小于密碼最長使用期限。除非密碼最長使用期限設(shè)置為0，那么密碼最短使用期限可設(shè)置為0~998的任意值。步驟八：雙擊“用可還原的加密來儲存密碼”，打開屬性對話框，在“已禁用”情況下，存儲的用戶密碼只有操作系統(tǒng)能夠讀取，如果允許某些應(yīng)用程度也能讀取用戶的密碼，以便驗證用戶身份，則該項策略需要重啟，但是系統(tǒng)的安全性將大大降低。賬戶策略2023/7/18102.賬戶鎖定策略的設(shè)置賬戶鎖定是指在某些情況下（如賬戶受到采用密碼詞典或暴力破解方式等），為保護該賬戶的安全而將此賬戶進行鎖定，使其在一定時間內(nèi)不能再次使用，從而使破解失敗。WindowsServer2016系統(tǒng)在默認(rèn)情況下，為方便用戶，沒有啟用賬戶鎖定策略。賬戶策略2023/7/1811設(shè)置賬戶鎖定策略的步驟如下：步驟一：按下“WIN+R”組合鍵，打開“運行”命令窗口，輸入gpedit.msc，進入組策略設(shè)置。步驟二：依次選擇【計算機配置】->【W(wǎng)indows設(shè)置】->【安全設(shè)置】->【賬戶策略】對話框。步驟三：展開“賬戶策略”下的“賬戶鎖定策略”窗口，雙擊“賬戶鎖定閾值”，在打開的屬性對話框中設(shè)置用戶輸入幾次錯誤密碼后將被系統(tǒng)自動鎖定。設(shè)置范圍為0~999。默認(rèn)為0，表示不鎖定賬戶。如果設(shè)置5次，單擊確定按鈕后彈出“建議的數(shù)值改動”提示框，單擊“確定”按鈕。步驟四：在“賬戶鎖定閾值”設(shè)置完畢后，“賬戶鎖定時間”“重置賬戶鎖定計數(shù)器”都會被激活（此前，這兩項均不能設(shè)置）。雙擊“賬戶鎖定時間”，在打開的屬性對話框中設(shè)置賬戶被鎖定多少分鐘后將自動解鎖。設(shè)置范圍為0~99999，單位為分鐘，若設(shè)置為0分鐘，代表永久鎖定，不能自動解鎖，必須由系統(tǒng)管理員手動解鎖。步驟五：雙擊“重置賬戶鎖定計數(shù)器”，在打開的屬性對話框中設(shè)置從最近一次用戶登錄失敗開始計時，經(jīng)過多長時間計數(shù)器會自動歸零。“鎖定計數(shù)器”用來記錄用戶登錄失敗的次數(shù)，其起始值為0，若用戶登錄失敗，則鎖定計數(shù)器加1，若登錄成功，則鎖定計數(shù)器歸零。若鎖定計數(shù)器的值等于賬戶鎖定閾值，則該賬戶被鎖定。賬戶策略2023/7/1812審核策略2023/7/1813配置審核策略就是確定把哪些事件寫入計算機的安全日志中，以便跟蹤用戶和操作系統(tǒng)的活動。WindowsServer2016的所有審核策略均默認(rèn)為“無審核”狀態(tài)，需要手動開啟。常用審核策略如下表。審核策略2023/7/1814審核策略說明審核策略更改審核用戶權(quán)限分配策略、審核策略或信任策略等是否發(fā)生更改審核登錄事件審核是否發(fā)生用戶登錄與注銷的行為審核對象訪問審核是否有用戶訪問文件、文件夾、注冊表項或打印機等資源審核賬戶登錄事件審核是否發(fā)生了利用本地用戶賬戶來登錄的事件審核系統(tǒng)事件審核是否有用戶重新啟動、關(guān)機以及對系統(tǒng)安全或安全日志正常運行有影響的事件“審核對象訪問訪問”為例。說明用戶訪問某個文件夾的審核策略的配置步驟：步驟一：按下“WIN+R”組合鍵，打開“運行”命令窗口，輸入gpedit.msc，進入組策略設(shè)置。步驟二：依次選擇【計算機配置】->【W(wǎng)indows設(shè)置】->【安全設(shè)置】->【本地策略】->【審核策略】。步驟三：在【審核策略】右側(cè)窗格中雙擊【審核對象訪問】，打開【審核對象訪問屬性】對話框，若想審核成功和失敗的訪問，則勾選“成功”和“失敗”復(fù)選鍵，單擊“確定”按鈕。審核策略2023/7/1815步驟四：打開待配置的文件夾（如“測試目錄”）->右擊該文件打開【測試目錄屬性】->單擊【安全】選項卡->單擊【高級】按鈕->打開【測試目錄的高級安全設(shè)置】窗口，單擊【審核】選項卡->單擊【添加】按鈕，打開【測試目錄的審核項目】窗口->單擊【選擇主體】鏈接。審核策略2023/7/1816步驟六：驗證、查看審核結(jié)果。注銷Administrator賬號->使用被審核的用戶（如zhang3）登錄系統(tǒng)并在“測試目錄”文件夾中刪除一個子文件夾或文件->注銷當(dāng)前用戶，重新用Administrator登錄系統(tǒng)->依次單擊【開始】->【服務(wù)器管理器】->【工具】->【事件查看器】，打開【事件查看器】窗口->在左窗格中展開【W(wǎng)indows日志】->單擊【安全】節(jié)點->在右窗格中找到并雙擊審核到的事件日志，此后，可以看到剛才刪除文件的操作已被詳細(xì)記錄在此。審核策略2023/7/1817用戶權(quán)限分配的設(shè)置

2023/7/1818用戶權(quán)限分配是用戶在計算機系統(tǒng)或域中執(zhí)行某項任務(wù)的能力。如：從本地登錄系統(tǒng)、更改系統(tǒng)時間、關(guān)閉系統(tǒng)、從網(wǎng)絡(luò)訪問此計算機等。下面以“從網(wǎng)絡(luò)訪問此計算機”為例，說明用戶權(quán)限分配的設(shè)置過程：進入【本地策略】窗口->單擊【用戶權(quán)限分配】->在展開的右側(cè)窗格中雙擊【從網(wǎng)絡(luò)訪問此計算機】，打開【從網(wǎng)絡(luò)訪問此計算機屬性】對話框。用戶權(quán)限分配的設(shè)置2023/7/1819用戶權(quán)限分配的設(shè)置2023/7/1820其他用戶權(quán)限分配的方法與上面介紹的類似，這里不再贅述。下面列出WindowsServer2016中幾個常用的用戶權(quán)限分配的安全策略，見下表。常用的用戶權(quán)限分配

用戶權(quán)限分配名稱說明

從網(wǎng)絡(luò)訪問此計算機默認(rèn)任何用戶均可從網(wǎng)絡(luò)訪問計算機，根據(jù)實際需要可以撤銷某組賬戶從網(wǎng)絡(luò)訪問的權(quán)限

拒絕從網(wǎng)絡(luò)訪問這臺計算機有些用戶只在本地使用，不允許通過網(wǎng)絡(luò)訪問此計算機，就可以將此用戶加入該策略中

允許本地登錄此登錄權(quán)限確定了可交互登錄到該計算機的用戶，通過在連接的鍵盤上按【Ctrl+Alt+Delete】組合鍵啟動登錄，該操作需要用戶擁有此登錄權(quán)限，另外，一些能使用戶進行登錄的服務(wù)或管理應(yīng)用程序可能也需要此登錄權(quán)限

拒絕本地登錄此安全設(shè)置確定阻止哪些用戶登錄到該計算機。如果一個賬戶同時受上述策略的制約，則該策略設(shè)置將取代允許本地登錄策略

關(guān)閉系統(tǒng)讓普通用戶具有關(guān)閉計算機的權(quán)限安全選項的設(shè)置2023/7/1821安全選項的設(shè)置2023/7/1822在安全選項中的安全策略，是一些和操作系統(tǒng)安全有關(guān)的設(shè)置。下表列出了幾個常用的安全選項。常用安全選項安全選項名稱說明關(guān)機：允許系統(tǒng)在未登錄的情況下關(guān)閉通常情況下，只有登錄系統(tǒng)后具有權(quán)限的用戶才能關(guān)機，如果有時需要在未登錄Windows的情況下關(guān)機，可將此策略啟用賬戶：使用空白密碼的本地賬戶只允許進行控制臺登錄密碼為空的用戶不能通過網(wǎng)絡(luò)訪問此計算機，此策略禁用后，密碼為空的用戶將不會受到限制交互式登錄：試圖登錄的用戶的消息文本該安全設(shè)置指定用戶登錄時向其顯示的文本信息。該文件通常用于警告，例如警告用戶登錄后哪些操作不被允許等網(wǎng)絡(luò)訪問：不允許SAM賬戶和共享的匿名枚舉是否禁止通過共享會話猜測管理員系統(tǒng)口令賬戶：來賓賬戶狀態(tài)確實是否禁用來賓賬戶安全選項的設(shè)置2023/7/1823在局域網(wǎng)的計算機上要讓用戶在登錄前（按【Ctrl+Alt+Delete】組合鍵后）必須閱讀使用計算機的注意事項，其設(shè)置步驟如下：步驟一：進入【安全設(shè)置】->打開【本地策略】列表->選擇【安全選項】->在右窗格中雙擊【交互式登錄：試圖登錄的用戶的消息標(biāo)題】高級安全Windows防火墻的設(shè)置2023/7/1824WindowsServer2016內(nèi)置的Windows防火墻支持雙向保護，即可以對入棧、出站的數(shù)據(jù)包進行規(guī)則匹配檢查，從而決定是否讓數(shù)據(jù)包傳入或傳出。配置Windows防火墻的過程，主要就是配置入站、出站規(guī)則的過程。1.更改網(wǎng)絡(luò)位置的配置文件在默認(rèn)情況下，三種網(wǎng)絡(luò)位置（域網(wǎng)絡(luò)、專用網(wǎng)絡(luò)和公用網(wǎng)絡(luò)）都是阻止入站連接和允許出站；連接，網(wǎng)絡(luò)管理員可以根據(jù)需要進行更改，其操作如下圖：高級安全Windows防火墻的設(shè)置2023/7/1825在【入站連接】和【出站連接】的下位按鈕中可選的設(shè)置項目有：【阻止（默認(rèn)值）】：阻止沒有在防火墻規(guī)則中明確允許連接到所以連接。在入站連接中為默認(rèn)值?！咀柚顾羞B接】：阻止全部連接，不論是否在防火墻規(guī)則中明確允許的連接?！驹试S（默認(rèn)值）】：允許連接，但在防火墻規(guī)則中有明確阻止的連接除外。在出站連接中為默認(rèn)值。高級安全Windows防火墻的設(shè)置2023/7/18262.入站規(guī)則的添加與設(shè)置默認(rèn)情況下，Windows防火墻阻止所有傳入流量，除非是對計算機（請求的流量）以前的傳出請求的響應(yīng)，或者創(chuàng)建了用于允許該流量的特別允許規(guī)則。例如，若使用Windows內(nèi)置的IIS組件搭建了Web服務(wù)器，系統(tǒng)會自動添加和啟用該服務(wù)對應(yīng)的默認(rèn)端口為TCP8080的“萬維網(wǎng)服務(wù)（HTTP流入量）”的入站規(guī)則。但是，若將Wed服務(wù)的端口更改為非默認(rèn)的TCP8080端口或者安裝的是第三方的Web服務(wù)軟件（如ApacheWeb軟件），則需要配置用戶自定義入站規(guī)則，以支持網(wǎng)絡(luò)用戶能訪問該Web服務(wù)器。

高級安全Windows防火墻的設(shè)置2023/7/1827步驟一：進入【高級安全Windows防火墻】窗口->在左窗格中單擊【入站規(guī)則】->在右窗格中單擊【新建規(guī)則】高級安全Windows防火墻的設(shè)置2023/7/1828步驟二：在打開的【規(guī)則類型】對話框中選擇【端口】->單擊【下一步】->打開【協(xié)議和端口】對話框，選擇【TCP】單選按鈕->選擇【特定本地端口】單選按鈕并在其編輯框內(nèi)輸入“8080”->單擊【下一步】按鈕。步驟三：打開【操作】對話框，選擇【允許連接】->單擊【下一步】按鈕->打開【配置文件】對話框，勾選【域】【專用】【公用】（表明本規(guī)則在三種可能的網(wǎng)絡(luò)位置均可以生效）->單擊【下一步】按鈕->打開【名稱】對話框，在【名稱】編輯框中輸入“內(nèi)網(wǎng)用戶Web入站”->在【描述（可選）】編輯框內(nèi)輸入描述信息->單擊【完成】按鈕。高級安全Windows防火墻的設(shè)置2023/7/1829步驟四：系統(tǒng)返回【高級安全Windows防火墻】窗口，右擊新建的入站規(guī)則->在彈出的快捷菜單中單擊【屬性】。高級安全Windows防火墻的設(shè)置2023/7/1830步驟五：打開【內(nèi)網(wǎng)用戶Web入站屬性】對話框，單擊【作用域】選項卡->在【本地IP地址】區(qū)域內(nèi)選擇【下列IP地址】->單擊【添加】按鈕->彈出【IP地址】對話框，在【此IP地址或子網(wǎng)】編輯框中輸入允許的IP地址（如/24）->單擊【確定】按鈕兩次，如圖17-19所示。高級安全Windows防火墻的設(shè)置2023/7/18313.出站規(guī)則的添加與設(shè)置默認(rèn)情況下，高級安全Windows防火墻不阻止出去的流量（但阻止標(biāo)準(zhǔn)服務(wù)以異常方式進行通信的服務(wù)強化規(guī)則除外）。用戶可以針對數(shù)據(jù)包的協(xié)議、端口等創(chuàng)建出站規(guī)則，以阻止指定服務(wù)的出站流量。如：阻止當(dāng)前服務(wù)器主機（IP地址為）訪問其他Web服務(wù)器。由于WindowsServer2016中有64位和32位兩個IE瀏覽器程序[程序位置為“%ProgramFiles%\InternetExplorer\”和“%ProgramFiles（x86）%\InternetExplorer\”]，所以，此處要分別建立兩條出站規(guī)則來阻止兩個程序的出站。高級安全Windows防火墻的設(shè)置2023/7/1832步驟一：進入【高級安全Windows防火墻】窗口->在左窗格中右擊【出站規(guī)則】，在彈出的快捷菜單中選擇【新建規(guī)則】菜單項->打開【規(guī)則類型】對話框，單擊【程序】單選按鈕->單擊【下一步】按鈕高級安全Windows防火墻的設(shè)置2023/7/1833步驟二：在打開的【程序】對話框中選擇【此程序路徑】單選按鈕并在其編輯框內(nèi)輸入或通過【瀏覽】