服務器配置與管理 課件 4-2 管理系統(tǒng)安全

WindowsServer2019服務器配置實訓教程學習單元4管理服務器系統(tǒng)的性能與安全任務2管理系統(tǒng)安全任務背景與分析1.客戶需求需求對于這幾臺服務器系統(tǒng)，目前已經(jīng)開啟了防火墻和設(shè)置了系統(tǒng)補丁自動更新工作，但管理員還是對于系統(tǒng)的安全很擔心，希望對系統(tǒng)的安全漏洞問題做一些設(shè)置操作。

任務背景與分析2.任務分析求可以利用WindowsServer2019系統(tǒng)中的本地安全管理策略對本地計算機系統(tǒng)內(nèi)的一些安全選項進行設(shè)置，完善系統(tǒng)安全，也可以通過設(shè)置域安全策略對所有域內(nèi)計算機的安全性進行管理。任務背景與分析1客戶需求2.任務分析工作流程：分析服務器系統(tǒng)安全隱患→確定安全策略→設(shè)置安全策略選項。任務背景與分析3.任務工單求表3-2邁聯(lián)公司工程任務工單客戶名稱：xx學校網(wǎng)絡中心

任務單號：P2021060402現(xiàn)場地點XX學校網(wǎng)絡中心機房日期：2021年9月11日客戶要求1.修補本地安全系統(tǒng)漏洞2.設(shè)置計算機系統(tǒng)安全漏洞修補策略現(xiàn)場環(huán)境及參數(shù)3臺windowsserver服務器均沒有修補安全漏洞聯(lián)系方式聯(lián)系人：王主任聯(lián)系電話：133XX000001工時2任務背景與分析（1）安全管理服務器的安全是一個很重要的問題，它貫穿到許多系統(tǒng)服務功能之中，涉及網(wǎng)絡、密碼學、認證、文件加密等各個方面。在今天日益復雜的環(huán)境中，為了達到較高的安全程度，WindowsServer2019提供了一系列措施來保障系統(tǒng)的安全，如加密、數(shù)字簽名、密鑰體系、用戶驗證等。（2）認識組策略：簡單地說，與修改注冊表配置所完成的功能是一樣的。組策略使用自己更完善的管理組織方法，可以對各種對象中的設(shè)置進行管理和配置，比手工修改注冊表方便靈活，功能也更加強大。4．知識儲備任務背景與分析（3）組策略對象組策略對象的容器可以是ActiveDirectory的任何邏輯結(jié)構(gòu)單位，包括站點、域或組織單位OU。在設(shè)置組策略之前必須創(chuàng)建一個或多個組策略對象，然后通過組策略編輯器設(shè)置所創(chuàng)建的組策略對象。在運行WindowsServer2019系統(tǒng)的每臺計算機上都只有一個本地組策略對象。在這些對象中，組策略設(shè)置存儲在各個計算機上,無論它們是否屬于ActiveDirectory環(huán)境或網(wǎng)絡環(huán)境的一部分。本地策略對象包含的設(shè)置要少于非本地組策略的設(shè)置，尤其是“安全設(shè)置”下。4．知識儲備任務背景與分析（4）組策略分類及作用范圍組策略包括本地策略、站點組策略、默認域控制器組策略、域組策略。它們作用的范圍不一樣。本地策略：在客戶機上配置的策略。站點組策略：作用于整個域的所有站點的策略。默認域控制器組策略：作用于同一域內(nèi)所有DC的策略。域組策略：作用于整個域的策略。4．知識儲備任務實施（一）應用組策略系統(tǒng)的安裝步驟如下視頻：組策略主要包括本地組策略和域組策略，本地組策略就是對服務器系統(tǒng)不同的安全事件設(shè)置的規(guī)則的集合。例如賬戶策略，本地策略等。下面通過幾個實例來具體介紹相關(guān)操作。實例1：設(shè)置防火墻保護所有連接1）打開“服務器管理器”窗口，單擊“工具”菜單下的“WindowsPowershell”命令，在彈出的運行窗口中輸入命令“gpedit.msc”，進入“本地組策略編輯器”窗口，如圖所示。任務實施（一）應用組策略2）單擊“計算機配置”→“管理模板”→“網(wǎng)絡”→“網(wǎng)絡連接”→“WindowsDefender防火墻”→“標準配置文件”，在“標準配置文件”區(qū)域選擇“WindowsDefender防火墻：保護所有網(wǎng)絡連接”組策略選項，如圖所示。任務實施（一）應用組策略3）在彈出的對話框中選中“已啟用”單選按鈕，單擊“確定”按鈕，就可以完成服務器系統(tǒng)自帶防火墻強行保護所有網(wǎng)絡連接了的設(shè)置，如圖所示。任務實施（一）應用組策略實例2：封堵虛擬內(nèi)存漏洞當系統(tǒng)的虛擬內(nèi)存功能啟用后，在默認狀態(tài)下支持在內(nèi)存頁面未使用時，會自動使用系統(tǒng)頁面文件將其交換保存到本地磁盤中，這樣可使具有訪問系統(tǒng)頁面文件權(quán)限的非法用戶訪問到保存在虛擬內(nèi)存中的隱私信息。為了封堵這個虛擬內(nèi)存漏洞，應設(shè)置系統(tǒng)在執(zhí)行關(guān)閉系統(tǒng)操作時，自動清除虛擬內(nèi)存頁面文件，具體操作步驟如下：任務實施（一）應用組策略1）進入“本地組策略編輯器”窗口，點擊“計算機配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“安全選項”，在右側(cè)的“安全選項”列表區(qū)域中選擇“關(guān)機：清除虛擬內(nèi)存頁面文件”選項，如圖所示。任務實施（一）應用組策略2）用鼠標雙擊“關(guān)機：清除虛擬內(nèi)存頁面文件”選項，在彈出的對話框中選中“已啟用”單選按鈕，單擊“確定”按鈕，如圖所示。任務實施（一）應用組策略實例3：封堵特權(quán)賬號漏洞與普通服務器系統(tǒng)一樣，在缺省狀態(tài)下WindowsServer2019系統(tǒng)仍然會優(yōu)先使用Administrator賬號嘗試進行登錄系統(tǒng)操作，一些非法攻擊者往往也會利用Administrator賬號漏洞，來嘗試破解Administrator賬號的密碼，并利用該特權(quán)賬號攻擊重要的服務器系統(tǒng)。為了封堵特權(quán)賬號漏洞，管理員可以進行如下策略設(shè)置操作：任務實施（一）應用組策略1）在“本地組策略編輯器”窗口中單擊“計算機配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“安全選項”，在右側(cè)的“安全選項”列表區(qū)域中選擇“帳戶：重命名系統(tǒng)管理員帳戶”選項，如圖所示。任務實施（一）應用組策略2）鼠標雙擊“帳戶：重命名系統(tǒng)管理員帳戶”選項，在彈出的對話框中為Administrator賬號重新設(shè)置一個新名稱，單擊“確定”按鈕即可完成封堵系統(tǒng)的特權(quán)賬號漏洞操作，如圖所示。任務實施（一）應用組策略實例：限制使用迅雷進行惡意下載當用戶隨意使用迅雷工具進行惡意下載時，不但容易浪費本地系統(tǒng)的磁盤空間資源，而且也會大大消耗本地系統(tǒng)的上網(wǎng)帶寬資源。而在WindowsServer2019系統(tǒng)環(huán)境下，限制域中的普通用戶隨意使用迅雷工具進行惡意下載可以巧妙地利用該系統(tǒng)中的域安全策略中的軟件限制策略來達完，具體實現(xiàn)步驟如下：任務實施（二

）實施域安全策略1）以系統(tǒng)管理員權(quán)限登錄進入WindowsServer2019系統(tǒng)，打開“服務器管理器”窗口，單擊“工具”菜單下的“組策略管理”命令，彈出“組策略管理”窗口，如圖所示。任務實施（二

）實施域安全策略2）單擊“林：SCHOOL.EDU”→“域”→“SCHOOL.EDU”→“DefaultDomainPolicy”，在“DefaultDomainPolicy”上單擊鼠標右鍵，在彈出的快捷菜單中單擊“編輯”命令，如圖所示。任務實施（二

）實施域安全策略3）在彈出的域策略管理編輯器中單擊“計算機配置”→“策略”→“Windows設(shè)置”→“安全設(shè)置”→“軟件限制策略”，在右側(cè)區(qū)域中選擇“強制”選項，如圖所示。任務實施（二

）實施域安全策略如果沒有軟件限制策略，則直接在軟件限制策略上單擊鼠標右鍵，在彈出的快捷菜單中單擊“新建”命令即可。利用命令行啟動“性能監(jiān)視器”技能提示任務實施（二

）實施域安全策略4）雙擊“強制”項目，在彈出的“強制屬性”對話框中選擇“除本地管理員以外的所有用戶”單選按鈕，其余參數(shù)都保持默認設(shè)置，如圖所示。任務實施（二

）實施域安全策略5）單擊“確定”按鈕，用鼠標右鍵單擊“軟件限制策略”節(jié)點下面的“其他規(guī)則”選項，從彈出的快捷菜單中選擇“新建路徑規(guī)則”命令，在彈出的對話框中單擊“瀏覽”按鈕，選中迅雷程序的路徑，并設(shè)置“安全級別”為“不允許”示，最后單擊“確定”即可完成操作，如圖所示。6）重新啟動系統(tǒng)，當用戶以普通權(quán)限賬號登錄進入該系統(tǒng)后，就不能正常使用迅雷程序進行下載了。任務實施（二

）實施域安全策略拒絕網(wǎng)絡病毒藏于臨時文件為了防止網(wǎng)絡病毒隱藏在系統(tǒng)臨時文件夾中，可以設(shè)置系統(tǒng)的軟件限制策略。操作提示：打開“組策略管理編輯器”窗口，單擊“計算機配置”