|
Windows 2008安全策略增強(qiáng)簡(jiǎn)述
從上面兩圖可以明顯看出Windows2008系統(tǒng)的安全設(shè)置比Windows2003系統(tǒng)多了高級(jí)安全Windows防火墻��、網(wǎng)絡(luò)訪問(wèn)保護(hù)�����、應(yīng)用程序控制策略、高級(jí)審核策略配置等幾大類設(shè)置����,當(dāng)然相同設(shè)置中也有小的變化���。而這些增加的項(xiàng)目對(duì)我們?nèi)粘5墓芾硎怯泻艽髱椭?���。下面分別簡(jiǎn)述之。
一����、高級(jí)安全Windows防火墻����。
大家都知道現(xiàn)在網(wǎng)絡(luò)上的危險(xiǎn)無(wú)處不在��。有各種各樣的風(fēng)險(xiǎn)(病毒�、木馬�、釣魚(yú)��、暴力破解���、誤操作、惡意刪改等等問(wèn)題��。)同時(shí)安全保護(hù)也是一個(gè)非常復(fù)雜的系統(tǒng)工程。微軟提出安全是要進(jìn)行縱深防御多層次保護(hù)的���。就像我們不能只靠小區(qū)門衛(wèi)保護(hù)我們家的安全���,萬(wàn)一小區(qū)門衛(wèi)疏忽了,而我們的家沒(méi)有鎖����。還是會(huì)造成損失的�����。所以我們實(shí)際生活中有小區(qū)門衛(wèi)�����、小區(qū)監(jiān)控、防盜門��、房門等多重防范�����。有一層出了問(wèn)題并不會(huì)導(dǎo)致全線崩潰�����。對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)也是如此�����。公司對(duì)外有專門的防火墻保證內(nèi)網(wǎng)的安全。有專門的殺毒軟件負(fù)責(zé)殺毒�。可光是這些就一定安全了嗎?其實(shí)不然��,有句老話是“家賊難防”���,我們也常會(huì)說(shuō)堡壘總是從內(nèi)部被攻破的��。實(shí)際上就算外部的威脅防住了��,網(wǎng)絡(luò)內(nèi)部的危險(xiǎn)還是很多�����。如內(nèi)部員工誤操作�、惡意破壞等���,當(dāng)然有的問(wèn)題我們可以通過(guò)增強(qiáng)其他方面的設(shè)置來(lái)解決如權(quán)限控制��、加密等����。當(dāng)然還有一些內(nèi)部網(wǎng)絡(luò)上的問(wèn)題��,如果內(nèi)部某個(gè)員工用某些黑客工具進(jìn)行惡意操作�、用某些P2P軟件下載大量占用帶寬��,由于計(jì)算機(jī)已經(jīng)在內(nèi)部網(wǎng)絡(luò)�,公司對(duì)外的防火墻就很難控制了���。而Windows2008系統(tǒng)中的高級(jí)安全Windows防火墻就可以發(fā)揮作用了。高級(jí)安全Windows防火墻將主機(jī)防火墻和Internet協(xié)議安全性(IPsec)結(jié)合在一起���。與邊界防火墻不同����,高級(jí)安全Windows防火墻在每臺(tái)運(yùn)行此版本W(wǎng)indows的計(jì)算機(jī)上運(yùn)行�����,并對(duì)可能穿越邊界網(wǎng)絡(luò)或源于組織內(nèi)部的網(wǎng)絡(luò)攻擊提供本地保護(hù)。通過(guò)允許您要求對(duì)通信進(jìn)行身份驗(yàn)證和數(shù)據(jù)保護(hù)�����,它還提供計(jì)算機(jī)到計(jì)算機(jī)的連接安全�。高級(jí)安全Windows防火墻專供需要在企業(yè)環(huán)境中管理網(wǎng)絡(luò)安全的IT管理員使用�。它不適于在家庭網(wǎng)絡(luò)中使用���。家庭用戶應(yīng)考慮使用“控制面板”中提供的“Windows防火墻”程序。舉例來(lái)說(shuō):公司中如果有員工偷偷使用P2P工具下載電影�����、游戲,大量占用帶寬�,影響公司網(wǎng)絡(luò)正常使用就可用高級(jí)安全Windows防火墻進(jìn)行控制:
考慮到P2P工具在進(jìn)行惡意下載操作時(shí)�����,會(huì)通過(guò)系統(tǒng)的3077,3078端口對(duì)外進(jìn)行網(wǎng)絡(luò)通信���,我們只要讓高級(jí)安全防火墻功能限制3077,3078端口對(duì)外進(jìn)行網(wǎng)絡(luò)通信����,就能實(shí)現(xiàn)阻止上網(wǎng)用戶偷偷使用迅雷這樣的P2P工具進(jìn)行惡意下載了。現(xiàn)在�,我們就利用Win2008系統(tǒng)的高級(jí)安全防火墻功能創(chuàng)建安全訪問(wèn)規(guī)則,禁止P2P工具進(jìn)行下載連接:
首先以系統(tǒng)管理員權(quán)限進(jìn)入Win2008系統(tǒng)桌面�����,依次點(diǎn)選“開(kāi)始”菜單中的“程序”����、“管理工具”����、“服務(wù)器管理器”命令�����,從其后出現(xiàn)的服務(wù)器管理器窗口左側(cè)位置處��,將鼠標(biāo)定位于“配置”節(jié)點(diǎn)選項(xiàng)上�����,再選中目標(biāo)節(jié)點(diǎn)選項(xiàng)下面的“高級(jí)安全防火墻”項(xiàng)目;
其次打開(kāi)“高級(jí)安全防火墻”配置界面,在該界面左側(cè)位置處點(diǎn)選“出站規(guī)則”功能選項(xiàng)���,再?gòu)膶?duì)應(yīng)該功能選項(xiàng)的右側(cè)位置處點(diǎn)選“新規(guī)則”功能選項(xiàng),打開(kāi)安全出站規(guī)則創(chuàng)建向?qū)?duì)話框����,當(dāng)向?qū)?duì)話框詢問(wèn)我們要進(jìn)行何種類型的控制操作時(shí)���,我們應(yīng)該選中這里的“端口”選項(xiàng)���,以便讓高級(jí)安全防火墻功能對(duì)本地計(jì)算機(jī)中3077�、3078端口的網(wǎng)絡(luò)連接進(jìn)行限制;
接著單擊“下一步”按鈕����,在其后出現(xiàn)的向?qū)гO(shè)置對(duì)話框中選中“TCP”功能選項(xiàng)�,并且選中“特定本地端口”選項(xiàng)�,此時(shí)“特定本地端口”文本框會(huì)被自動(dòng)激活�,在該文本框中直接輸入“3077���,3078”端口號(hào)碼�,
再單擊“下一步”按鈕后,向?qū)聊粫?huì)彈出提示詢問(wèn)“連接符合指定條件時(shí)應(yīng)該進(jìn)行什么操作”��,這個(gè)時(shí)候我們必須將“阻止連接”功能選項(xiàng)選中��,之后設(shè)置好該安全規(guī)則具體的應(yīng)用范圍,在這里我們可以同時(shí)選中“域”�����、“專用”�����、“公用”這幾種應(yīng)用環(huán)境���,最后為新創(chuàng)建的出站規(guī)則設(shè)置一個(gè)合適的名稱,再單擊“完成”按鈕結(jié)束安全出站規(guī)則的創(chuàng)建工作�,這樣的話任何一位上網(wǎng)用戶在本地Win2008系統(tǒng)中嘗試進(jìn)行惡意下載時(shí)���,Win2008系統(tǒng)自帶的高級(jí)安全防火墻功能就對(duì)自動(dòng)對(duì)這樣的惡意下載進(jìn)行攔截,那么本地網(wǎng)絡(luò)的運(yùn)行穩(wěn)定性自然也就能得到有效保證了�����。
當(dāng)然除了端口協(xié)議可以控制�,還可以根據(jù)應(yīng)用程序�、用戶���、計(jì)算機(jī)�、IP地址范圍及驗(yàn)證方式等多方面進(jìn)行控制����,非常靈活���。由于可以通過(guò)組策略進(jìn)行設(shè)置。不需要用戶在每臺(tái)計(jì)算機(jī)上在進(jìn)行安裝設(shè)置(以前可需要在客戶機(jī)上裝個(gè)人防火墻軟件)�����,大大減輕了管理工作量
二.網(wǎng)絡(luò)訪問(wèn)保護(hù)策略(NPS)
公司里有很多人用移動(dòng)辦公設(shè)備,很可能各種問(wèn)題:如病毒庫(kù)更新不及時(shí)��、系統(tǒng)補(bǔ)丁沒(méi)有安裝等情況�����,當(dāng)這樣狀態(tài)不健康的計(jì)算機(jī)接入公司內(nèi)網(wǎng)后��,可能給公司網(wǎng)絡(luò)帶來(lái)危險(xiǎn)��。這時(shí)就可用NPS把關(guān)了��。當(dāng)然要實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)保護(hù)策略要先安裝NPS服務(wù),管理員可通過(guò)“服務(wù)器管理器”中的“角色添加”向?qū)止ぬ砑覰PS服務(wù)���。進(jìn)而在DHCP服務(wù)中進(jìn)行相應(yīng)設(shè)置���。就可以配置NPS策略�。NPS策略包含四部分的內(nèi)容,分別為:網(wǎng)絡(luò)健康驗(yàn)證器����、更新服務(wù)器組�����、健康策略和網(wǎng)絡(luò)策略�����,將對(duì)加入到公司網(wǎng)絡(luò)的計(jì)算機(jī)進(jìn)行驗(yàn)證��、隔離�、補(bǔ)救以及健康策略審核。
NAP部署后�,當(dāng)外出用戶回到公司登錄到公司的網(wǎng)絡(luò)時(shí)���,首先進(jìn)行客戶端檢測(cè)�,沒(méi)有安裝最新病毒庫(kù)的計(jì)算機(jī)�����,自動(dòng)連接到病毒庫(kù)更新服務(wù)器升級(jí)病毒庫(kù);沒(méi)有安裝系統(tǒng)補(bǔ)丁的計(jì)算機(jī),自動(dòng)連接到WSUS服務(wù)器升級(jí)補(bǔ)丁;沒(méi)有啟用防火墻的計(jì)算機(jī)�����,提示客戶端啟用防火墻。當(dāng)以上條件滿足后�����,允許客戶端連接到內(nèi)部網(wǎng)絡(luò)中��,最大限度地保證網(wǎng)絡(luò)安全�����。
三.應(yīng)用程序控制策略(AppLocker)
AppLocker是Windows7中的新功能,WindowsServer2008R2中可用于取代了軟件限制策略功能����。AppLocker包含減少管理開(kāi)銷的新功能和擴(kuò)展(如可執(zhí)行文件���、腳本、WindowsInstaller文件和DLL)���,幫助管理員控制用戶如何訪問(wèn)和使用文件。使用AppLocker��,您可以:1.基于從數(shù)字簽名派生的文件屬性(包括發(fā)布者����、產(chǎn)品名稱�����、文件名和文件版本)定義規(guī)則��。例如���,可以根據(jù)更新過(guò)程中持續(xù)存在的發(fā)布者屬性創(chuàng)建規(guī)則,或者為特定版本的文件創(chuàng)建規(guī)則�。2.向安全組或單個(gè)用戶分配規(guī)則�����。3.創(chuàng)建規(guī)則的例外��。例如,可以創(chuàng)建一個(gè)規(guī)則�,允許除注冊(cè)表編輯器(Regedit.exe)之外的所有Windows進(jìn)程運(yùn)行��。4.使用僅審核模式部署策略并了解其影響,然后再?gòu)?qiáng)制該策略���。5.導(dǎo)入和導(dǎo)出規(guī)則。導(dǎo)入和導(dǎo)出影響整個(gè)策略���。例如,如果導(dǎo)出策略���,則會(huì)導(dǎo)出所有規(guī)則集合中的所有規(guī)則�����,包括規(guī)則集合的強(qiáng)制設(shè)置�。如果導(dǎo)入策略�,則會(huì)覆蓋現(xiàn)有策略����。6.使用AppLockerPowerShellcmdlet簡(jiǎn)化AppLocker規(guī)則的創(chuàng)建和管理�����。
通過(guò)應(yīng)用程序控制策略可以很容易做到:1.減少運(yùn)行惡意軟件的機(jī)會(huì)���,因?yàn)槲覀兛梢韵拗朴脩暨\(yùn)行這些應(yīng)用程序(可以直接對(duì)某些可疑用戶進(jìn)行限制,以前的軟件限制策略是對(duì)所有用戶)���。2.可以很好地消除一些應(yīng)用程序兼容性的問(wèn)題�,我們可以設(shè)置只運(yùn)行比設(shè)定的版本號(hào)更新的應(yīng)用程序�����。3.可以有效地提升我們的工作效率�,防止和工作無(wú)關(guān)的應(yīng)用程序占用太多系統(tǒng)資源��,浪費(fèi)無(wú)謂的工作時(shí)間。雖然AppLocker也可以通過(guò)Windows7系統(tǒng)本地設(shè)置�����,不過(guò)由Windows2008的域環(huán)境中的組策略設(shè)置顯然更方便管理網(wǎng)絡(luò)環(huán)境中的計(jì)算機(jī)��。
簡(jiǎn)單介紹了Windows2008系統(tǒng)中新增的部分安全設(shè)置����,已經(jīng)可以看到有了這些安全策略的設(shè)置可以大大方便我們的日常管理作業(yè)����。當(dāng)然要想管理好�����,還要對(duì)這些新增策略進(jìn)行更多的學(xué)習(xí)與研究試驗(yàn),才能在實(shí)際工作中把它們用得更好����。
|
