Windows 2008 安全策略增強(qiáng)簡述
WindowsServer2008在安全性和可靠性方面有很多的提升,就安全策略管理方面就可以明顯看到增加了很多內(nèi)容,我們僅從截圖就明顯的可以比較出來。
Windows2003域安全設(shè)置圖 Windows2008域安全設(shè)置圖
從上面兩圖可以明顯看出Windows2008系統(tǒng)的安全設(shè)置比Windows2003系統(tǒng)多了高級安全Windows防火墻、網(wǎng)絡(luò)訪問保護(hù)、應(yīng)用程序控制策略、高級審核策略配置等幾大類設(shè)置,當(dāng)然相同設(shè)置中也有小的變化。而這些增加的項目對我們?nèi)粘5墓芾硎怯泻艽髱椭摹O旅娣謩e簡述之。
一、高級安全Windows防火墻。
大家都知道現(xiàn)在網(wǎng)絡(luò)上的危險無處不在。有各種各樣的風(fēng)險(病毒、木馬、釣魚、暴力破解、誤操作、惡意刪改等等問題。)同時安全保護(hù)也是一個非常復(fù)雜的系統(tǒng)工程。微軟提出安全是要進(jìn)行縱深防御多層次保護(hù)的。就像我們不能只靠小區(qū)門衛(wèi)保護(hù)我們家的安全,萬一小區(qū)門衛(wèi)疏忽了,而我們的家沒有鎖。還是會造成損失的。所以我們實際生活中有小區(qū)門衛(wèi)、小區(qū)監(jiān)控、防盜門、房門等多重防范。有一層出了問題并不會導(dǎo)致全線崩潰。對計算機(jī)網(wǎng)絡(luò)系統(tǒng)也是如此。公司對外有專門的防火墻保證內(nèi)網(wǎng)的安全。有專門的殺毒軟件負(fù)責(zé)殺毒。可光是這些就一定安全了嗎?其實不然,有句老話是“家賊難防”,我們也常會說堡壘總是從內(nèi)部被攻破的。實際上就算外部的威脅防住了,網(wǎng)絡(luò)內(nèi)部的危險還是很多。如內(nèi)部員工誤操作、惡意破壞等,當(dāng)然有的問題我們可以通過增強(qiáng)其他方面的設(shè)置來解決如權(quán)限控制、加密等。當(dāng)然還有一些內(nèi)部網(wǎng)絡(luò)上的問題,如果內(nèi)部某個員工用某些黑客工具進(jìn)行惡意操作、用某些P2P軟件下載大量占用帶寬,由于計算機(jī)已經(jīng)在內(nèi)部網(wǎng)絡(luò),公司對外的防火墻就很難控制了。而Windows2008系統(tǒng)中的高級安全Windows防火墻就可以發(fā)揮作用了。高級安全Windows防火墻將主機(jī)防火墻和Internet協(xié)議安全性(IPsec)結(jié)合在一起。與邊界防火墻不同,高級安全Windows防火墻在每臺運行此版本W(wǎng)indows的計算機(jī)上運行,并對可能穿越邊界網(wǎng)絡(luò)或源于組織內(nèi)部的網(wǎng)絡(luò)攻擊提供本地保護(hù)。通過允許您要求對通信進(jìn)行身份驗證和數(shù)據(jù)保護(hù),它還提供計算機(jī)到計算機(jī)的連接安全。高級安全Windows防火墻專供需要在企業(yè)環(huán)境中管理網(wǎng)絡(luò)安全的IT管理員使用。它不適于在家庭網(wǎng)絡(luò)中使用。家庭用戶應(yīng)考慮使用“控制面板”中提供的“Windows防火墻”程序。舉例來說:公司中如果有員工偷偷使用P2P工具下載電影、游戲,大量占用帶寬,影響公司網(wǎng)絡(luò)正常使用就可用高級安全Windows防火墻進(jìn)行控制:
考慮到P2P工具在進(jìn)行惡意下載操作時,會通過系統(tǒng)的3077,3078端口對外進(jìn)行網(wǎng)絡(luò)通信,我們只要讓高級安全防火墻功能限制3077,3078端口對外進(jìn)行網(wǎng)絡(luò)通信,就能實現(xiàn)阻止上網(wǎng)用戶偷偷使用迅雷這樣的P2P工具進(jìn)行惡意下載了。現(xiàn)在,我們就利用Win2008系統(tǒng)的高級安全防火墻功能創(chuàng)建安全訪問規(guī)則,禁止P2P工具進(jìn)行下載連接:
首先以系統(tǒng)管理員權(quán)限進(jìn)入Win2008系統(tǒng)桌面,依次點選“開始”菜單中的“程序”、“管理工具”、“服務(wù)器管理器”命令,從其后出現(xiàn)的服務(wù)器管理器窗口左側(cè)位置處,將鼠標(biāo)定位于“配置”節(jié)點選項上,再選中目標(biāo)節(jié)點選項下面的“高級安全防火墻”項目;
其次打開“高級安全防火墻”配置界面,在該界面左側(cè)位置處點選“出站規(guī)則”功能選項,再從對應(yīng)該功能選項的右側(cè)位置處點選“新規(guī)則”功能選項,打開安全出站規(guī)則創(chuàng)建向?qū)υ捒颍?dāng)向?qū)υ捒蛟儐栁覀円M(jìn)行何種類型的控制操作時,我們應(yīng)該選中這里的“端口”選項,以便讓高級安全防火墻功能對本地計算機(jī)中3077、3078端口的網(wǎng)絡(luò)連接進(jìn)行限制;
接著單擊“下一步”按鈕,在其后出現(xiàn)的向?qū)гO(shè)置對話框中選中“TCP”功能選項,并且選中“特定本地端口”選項,此時“特定本地端口”文本框會被自動激活,在該文本框中直接輸入“3077,3078”端口號碼,
再單擊“下一步”按鈕后,向?qū)聊粫棾鎏崾驹儐?ldquo;連接符合指定條件時應(yīng)該進(jìn)行什么操作”,這個時候我們必須將“阻止連接”功能選項選中,之后設(shè)置好該安全規(guī)則具體的應(yīng)用范圍,在這里我們可以同時選中“域”、“專用”、“公用”這幾種應(yīng)用環(huán)境,最后為新創(chuàng)建的出站規(guī)則設(shè)置一個合適的名稱,再單擊“完成”按鈕結(jié)束安全出站規(guī)則的創(chuàng)建工作,這樣的話任何一位上網(wǎng)用戶在本地Win2008系統(tǒng)中嘗試進(jìn)行惡意下載時,Win2008系統(tǒng)自帶的高級安全防火墻功能就對自動對這樣的惡意下載進(jìn)行攔截,那么本地網(wǎng)絡(luò)的運行穩(wěn)定性自然也就能得到有效保證了。
當(dāng)然除了端口協(xié)議可以控制,還可以根據(jù)應(yīng)用程序、用戶、計算機(jī)、IP地址范圍及驗證方式等多方面進(jìn)行控制,非常靈活。由于可以通過組策略進(jìn)行設(shè)置。不需要用戶在每臺計算機(jī)上在進(jìn)行安裝設(shè)置(以前可需要在客戶機(jī)上裝個人防火墻軟件),大大減輕了管理工作量
二.網(wǎng)絡(luò)訪問保護(hù)策略(NPS)
公司里有很多人用移動辦公設(shè)備,很可能各種問題:如病毒庫更新不及時、系統(tǒng)補(bǔ)丁沒有安裝等情況,當(dāng)這樣狀態(tài)不健康的計算機(jī)接入公司內(nèi)網(wǎng)后,可能給公司網(wǎng)絡(luò)帶來危險。這時就可用NPS把關(guān)了。當(dāng)然要實現(xiàn)網(wǎng)絡(luò)訪問保護(hù)策略要先安裝NPS服務(wù),管理員可通過“服務(wù)器管理器”中的“角色添加”向?qū)止ぬ砑覰PS服務(wù)。進(jìn)而在DHCP服務(wù)中進(jìn)行相應(yīng)設(shè)置。就可以配置NPS策略。NPS策略包含四部分的內(nèi)容,分別為:網(wǎng)絡(luò)健康驗證器、更新服務(wù)器組、健康策略和網(wǎng)絡(luò)策略,將對加入到公司網(wǎng)絡(luò)的計算機(jī)進(jìn)行驗證、隔離、補(bǔ)救以及健康策略審核。
NAP部署后,當(dāng)外出用戶回到公司登錄到公司的網(wǎng)絡(luò)時,首先進(jìn)行客戶端檢測,沒有安裝最新病毒庫的計算機(jī),自動連接到病毒庫更新服務(wù)器升級病毒庫;沒有安裝系統(tǒng)補(bǔ)丁的計算機(jī),自動連接到WSUS服務(wù)器升級補(bǔ)丁;沒有啟用防火墻的計算機(jī),提示客戶端啟用防火墻。當(dāng)以上條件滿足后,允許客戶端連接到內(nèi)部網(wǎng)絡(luò)中,最大限度地保證網(wǎng)絡(luò)安全。
三.應(yīng)用程序控制策略(AppLocker)
AppLocker是Windows7中的新功能,WindowsServer2008R2中可用于取代了軟件限制策略功能。AppLocker包含減少管理開銷的新功能和擴(kuò)展(如可執(zhí)行文件、腳本、WindowsInstaller文件和DLL),幫助管理員控制用戶如何訪問和使用文件。使用AppLocker,您可以:1.基于從數(shù)字簽名派生的文件屬性(包括發(fā)布者、產(chǎn)品名稱、文件名和文件版本)定義規(guī)則。例如,可以根據(jù)更新過程中持續(xù)存在的發(fā)布者屬性創(chuàng)建規(guī)則,或者為特定版本的文件創(chuàng)建規(guī)則。2.向安全組或單個用戶分配規(guī)則。3.創(chuàng)建規(guī)則的例外。例如,可以創(chuàng)建一個規(guī)則,允許除注冊表編輯器(Regedit.exe)之外的所有Windows進(jìn)程運行。4.使用僅審核模式部署策略并了解其影響,然后再強(qiáng)制該策略。5.導(dǎo)入和導(dǎo)出規(guī)則。導(dǎo)入和導(dǎo)出影響整個策略。例如,如果導(dǎo)出策略,則會導(dǎo)出所有規(guī)則集合中的所有規(guī)則,包括規(guī)則集合的強(qiáng)制設(shè)置。如果導(dǎo)入策略,則會覆蓋現(xiàn)有策略。6.使用AppLockerPowerShellcmdlet簡化AppLocker規(guī)則的創(chuàng)建和管理。
通過應(yīng)用程序控制策略可以很容易做到:1.減少運行惡意軟件的機(jī)會,因為我們可以限制用戶運行這些應(yīng)用程序(可以直接對某些可疑用戶進(jìn)行限制,以前的軟件限制策略是對所有用戶)。2.可以很好地消除一些應(yīng)用程序兼容性的問題,我們可以設(shè)置只運行比設(shè)定的版本號更新的應(yīng)用程序。3.可以有效地提升我們的工作效率,防止和工作無關(guān)的應(yīng)用程序占用太多系統(tǒng)資源,浪費無謂的工作時間。雖然AppLocker也可以通過Windows7系統(tǒng)本地設(shè)置,不過由Windows2008的域環(huán)境中的組策略設(shè)置顯然更方便管理網(wǎng)絡(luò)環(huán)境中的計算機(jī)。
簡單介紹了Windows2008系統(tǒng)中新增的部分安全設(shè)置,已經(jīng)可以看到有了這些安全策略的設(shè)置可以大大方便我們的日常管理作業(yè)。當(dāng)然要想管理好,還要對這些新增策略進(jìn)行更多的學(xué)習(xí)與研究試驗,才能在實際工作中把它們用得更好。
【編輯推薦】
