Windows 2008安全策略增強(qiáng)簡(jiǎn)述

　　從上面兩圖可以明顯看出Windows2008系統(tǒng)的安全設(shè)置比Windows2003系統(tǒng)多了高級(jí)安全Windows防火墻,、網(wǎng)絡(luò)訪問(wèn)保護(hù),、應(yīng)用程序控制策略,、高級(jí)審核策略配置等幾大類設(shè)置，當(dāng)然相同設(shè)置中也有小的變化,。而這些增加的項(xiàng)目對(duì)我們?nèi)粘５墓芾硎怯泻艽髱椭?。下面分別簡(jiǎn)述之。

　　一,、高級(jí)安全Windows防火墻。

　　大家都知道現(xiàn)在網(wǎng)絡(luò)上的危險(xiǎn)無(wú)處不在,。有各種各樣的風(fēng)險(xiǎn)(病毒,、木馬、釣魚,、暴力破解,、誤操作、惡意刪改等等問(wèn)題,。)同時(shí)安全保護(hù)也是一個(gè)非常復(fù)雜的系統(tǒng)工程,。微軟提出安全是要進(jìn)行縱深防御多層次保護(hù)的。就像我們不能只靠小區(qū)門衛(wèi)保護(hù)我們家的安全,，萬(wàn)一小區(qū)門衛(wèi)疏忽了,，而我們的家沒(méi)有鎖。還是會(huì)造成損失的,。所以我們實(shí)際生活中有小區(qū)門衛(wèi),、小區(qū)監(jiān)控、防盜門,、房門等多重防范,。有一層出了問(wèn)題并不會(huì)導(dǎo)致全線崩潰。對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)也是如此,。公司對(duì)外有專門的防火墻保證內(nèi)網(wǎng)的安全,。有專門的殺毒軟件負(fù)責(zé)殺毒?？晒馐沁@些就一定安全了嗎?其實(shí)不然,，有句老話是“家賊難防”，我們也常會(huì)說(shuō)堡壘總是從內(nèi)部被攻破的,。實(shí)際上就算外部的威脅防住了,，網(wǎng)絡(luò)內(nèi)部的危險(xiǎn)還是很多。如內(nèi)部員工誤操作,、惡意破壞等,，當(dāng)然有的問(wèn)題我們可以通過(guò)增強(qiáng)其他方面的設(shè)置來(lái)解決如權(quán)限控制、加密等,。當(dāng)然還有一些內(nèi)部網(wǎng)絡(luò)上的問(wèn)題,，如果內(nèi)部某個(gè)員工用某些黑客工具進(jìn)行惡意操作、用某些P2P軟件下載大量占用帶寬，由于計(jì)算機(jī)已經(jīng)在內(nèi)部網(wǎng)絡(luò),，公司對(duì)外的防火墻就很難控制了,。而Windows2008系統(tǒng)中的高級(jí)安全Windows防火墻就可以發(fā)揮作用了。高級(jí)安全Windows防火墻將主機(jī)防火墻和Internet協(xié)議安全性(IPsec)結(jié)合在一起,。與邊界防火墻不同,，高級(jí)安全Windows防火墻在每臺(tái)運(yùn)行此版本W(wǎng)indows的計(jì)算機(jī)上運(yùn)行，并對(duì)可能穿越邊界網(wǎng)絡(luò)或源于組織內(nèi)部的網(wǎng)絡(luò)攻擊提供本地保護(hù),。通過(guò)允許您要求對(duì)通信進(jìn)行身份驗(yàn)證和數(shù)據(jù)保護(hù),，它還提供計(jì)算機(jī)到計(jì)算機(jī)的連接安全。高級(jí)安全Windows防火墻專供需要在企業(yè)環(huán)境中管理網(wǎng)絡(luò)安全的IT管理員使用,。它不適于在家庭網(wǎng)絡(luò)中使用,。家庭用戶應(yīng)考慮使用“控制面板”中提供的“Windows防火墻”程序。舉例來(lái)說(shuō)：公司中如果有員工偷偷使用P2P工具下載電影,、游戲,，大量占用帶寬，影響公司網(wǎng)絡(luò)正常使用就可用高級(jí)安全Windows防火墻進(jìn)行控制：

　　考慮到P2P工具在進(jìn)行惡意下載操作時(shí),，會(huì)通過(guò)系統(tǒng)的3077,，3078端口對(duì)外進(jìn)行網(wǎng)絡(luò)通信，我們只要讓高級(jí)安全防火墻功能限制3077,，3078端口對(duì)外進(jìn)行網(wǎng)絡(luò)通信,，就能實(shí)現(xiàn)阻止上網(wǎng)用戶偷偷使用迅雷這樣的P2P工具進(jìn)行惡意下載了。現(xiàn)在,，我們就利用Win2008系統(tǒng)的高級(jí)安全防火墻功能創(chuàng)建安全訪問(wèn)規(guī)則,，禁止P2P工具進(jìn)行下載連接：

　　首先以系統(tǒng)管理員權(quán)限進(jìn)入Win2008系統(tǒng)桌面，依次點(diǎn)選“開始”菜單中的“程序”,、“管理工具”,、“服務(wù)器管理器”命令，從其后出現(xiàn)的服務(wù)器管理器窗口左側(cè)位置處,，將鼠標(biāo)定位于“配置”節(jié)點(diǎn)選項(xiàng)上,，再選中目標(biāo)節(jié)點(diǎn)選項(xiàng)下面的“高級(jí)安全防火墻”項(xiàng)目;

　　其次打開“高級(jí)安全防火墻”配置界面，在該界面左側(cè)位置處點(diǎn)選“出站規(guī)則”功能選項(xiàng),，再?gòu)膶?duì)應(yīng)該功能選項(xiàng)的右側(cè)位置處點(diǎn)選“新規(guī)則”功能選項(xiàng),，打開安全出站規(guī)則創(chuàng)建向?qū)?duì)話框，當(dāng)向?qū)?duì)話框詢問(wèn)我們要進(jìn)行何種類型的控制操作時(shí),，我們應(yīng)該選中這里的“端口”選項(xiàng),，以便讓高級(jí)安全防火墻功能對(duì)本地計(jì)算機(jī)中3077、3078端口的網(wǎng)絡(luò)連接進(jìn)行限制;

　　接著單擊“下一步”按鈕,，在其后出現(xiàn)的向?qū)гO(shè)置對(duì)話框中選中“TCP”功能選項(xiàng),，并且選中“特定本地端口”選項(xiàng),，此時(shí)“特定本地端口”文本框會(huì)被自動(dòng)激活，在該文本框中直接輸入“3077,，3078”端口號(hào)碼,，

　　再單擊“下一步”按鈕后，向?qū)聊粫?huì)彈出提示詢問(wèn)“連接符合指定條件時(shí)應(yīng)該進(jìn)行什么操作”,，這個(gè)時(shí)候我們必須將“阻止連接”功能選項(xiàng)選中,，之后設(shè)置好該安全規(guī)則具體的應(yīng)用范圍，在這里我們可以同時(shí)選中“域”,、“專用”,、“公用”這幾種應(yīng)用環(huán)境,，最后為新創(chuàng)建的出站規(guī)則設(shè)置一個(gè)合適的名稱，再單擊“完成”按鈕結(jié)束安全出站規(guī)則的創(chuàng)建工作,，這樣的話任何一位上網(wǎng)用戶在本地Win2008系統(tǒng)中嘗試進(jìn)行惡意下載時(shí),，Win2008系統(tǒng)自帶的高級(jí)安全防火墻功能就對(duì)自動(dòng)對(duì)這樣的惡意下載進(jìn)行攔截,，那么本地網(wǎng)絡(luò)的運(yùn)行穩(wěn)定性自然也就能得到有效保證了。

　　當(dāng)然除了端口協(xié)議可以控制,，還可以根據(jù)應(yīng)用程序,、用戶、計(jì)算機(jī),、IP地址范圍及驗(yàn)證方式等多方面進(jìn)行控制,，非常靈活。由于可以通過(guò)組策略進(jìn)行設(shè)置,。不需要用戶在每臺(tái)計(jì)算機(jī)上在進(jìn)行安裝設(shè)置(以前可需要在客戶機(jī)上裝個(gè)人防火墻軟件),，大大減輕了管理工作量

　　二.網(wǎng)絡(luò)訪問(wèn)保護(hù)策略(NPS)

　　公司里有很多人用移動(dòng)辦公設(shè)備，很可能各種問(wèn)題：如病毒庫(kù)更新不及時(shí),、系統(tǒng)補(bǔ)丁沒(méi)有安裝等情況,，當(dāng)這樣狀態(tài)不健康的計(jì)算機(jī)接入公司內(nèi)網(wǎng)后，可能給公司網(wǎng)絡(luò)帶來(lái)危險(xiǎn),。這時(shí)就可用NPS把關(guān)了,。當(dāng)然要實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)保護(hù)策略要先安裝NPS服務(wù)，管理員可通過(guò)“服務(wù)器管理器”中的“角色添加”向?qū)止ぬ砑覰PS服務(wù),。進(jìn)而在DHCP服務(wù)中進(jìn)行相應(yīng)設(shè)置,。就可以配置NPS策略。NPS策略包含四部分的內(nèi)容,，分別為：網(wǎng)絡(luò)健康驗(yàn)證器,、更新服務(wù)器組、健康策略和網(wǎng)絡(luò)策略,，將對(duì)加入到公司網(wǎng)絡(luò)的計(jì)算機(jī)進(jìn)行驗(yàn)證,、隔離,、補(bǔ)救以及健康策略審核。

　　NAP部署后,，當(dāng)外出用戶回到公司登錄到公司的網(wǎng)絡(luò)時(shí),，首先進(jìn)行客戶端檢測(cè)，沒(méi)有安裝最新病毒庫(kù)的計(jì)算機(jī),，自動(dòng)連接到病毒庫(kù)更新服務(wù)器升級(jí)病毒庫(kù);沒(méi)有安裝系統(tǒng)補(bǔ)丁的計(jì)算機(jī),，自動(dòng)連接到WSUS服務(wù)器升級(jí)補(bǔ)丁;沒(méi)有啟用防火墻的計(jì)算機(jī)，提示客戶端啟用防火墻,。當(dāng)以上條件滿足后,，允許客戶端連接到內(nèi)部網(wǎng)絡(luò)中，最大限度地保證網(wǎng)絡(luò)安全,。

　　三.應(yīng)用程序控制策略(AppLocker)

　　AppLocker是Windows7中的新功能,，WindowsServer2008R2中可用于取代了軟件限制策略功能。AppLocker包含減少管理開銷的新功能和擴(kuò)展(如可執(zhí)行文件,、腳本,、WindowsInstaller文件和DLL)，幫助管理員控制用戶如何訪問(wèn)和使用文件,。使用AppLocker,，您可以：1.基于從數(shù)字簽名派生的文件屬性(包括發(fā)布者、產(chǎn)品名稱,、文件名和文件版本)定義規(guī)則,。例如，可以根據(jù)更新過(guò)程中持續(xù)存在的發(fā)布者屬性創(chuàng)建規(guī)則,，或者為特定版本的文件創(chuàng)建規(guī)則,。2.向安全組或單個(gè)用戶分配規(guī)則。3.創(chuàng)建規(guī)則的例外,。例如,，可以創(chuàng)建一個(gè)規(guī)則，允許除注冊(cè)表編輯器(Regedit.exe)之外的所有Windows進(jìn)程運(yùn)行,。4.使用僅審核模式部署策略并了解其影響,，然后再?gòu)?qiáng)制該策略。5.導(dǎo)入和導(dǎo)出規(guī)則,。導(dǎo)入和導(dǎo)出影響整個(gè)策略,。例如，如果導(dǎo)出策略,，則會(huì)導(dǎo)出所有規(guī)則集合中的所有規(guī)則,，包括規(guī)則集合的強(qiáng)制設(shè)置。如果導(dǎo)入策略,，則會(huì)覆蓋現(xiàn)有策略,。6.使用AppLockerPowerShellcmdlet簡(jiǎn)化AppLocker規(guī)則的創(chuàng)建和管理,。

　　通過(guò)應(yīng)用程序控制策略可以很容易做到：1.減少運(yùn)行惡意軟件的機(jī)會(huì)，因?yàn)槲覀兛梢韵拗朴脩暨\(yùn)行這些應(yīng)用程序(可以直接對(duì)某些可疑用戶進(jìn)行限制,，以前的軟件限制策略是對(duì)所有用戶),。2.可以很好地消除一些應(yīng)用程序兼容性的問(wèn)題，我們可以設(shè)置只運(yùn)行比設(shè)定的版本號(hào)更新的應(yīng)用程序,。3.可以有效地提升我們的工作效率,，防止和工作無(wú)關(guān)的應(yīng)用程序占用太多系統(tǒng)資源，浪費(fèi)無(wú)謂的工作時(shí)間,。雖然AppLocker也可以通過(guò)Windows7系統(tǒng)本地設(shè)置,，不過(guò)由Windows2008的域環(huán)境中的組策略設(shè)置顯然更方便管理網(wǎng)絡(luò)環(huán)境中的計(jì)算機(jī)。

　　簡(jiǎn)單介紹了Windows2008系統(tǒng)中新增的部分安全設(shè)置,，已經(jīng)可以看到有了這些安全策略的設(shè)置可以大大方便我們的日常管理作業(yè),。當(dāng)然要想管理好，還要對(duì)這些新增策略進(jìn)行更多的學(xué)習(xí)與研究試驗(yàn),，才能在實(shí)際工作中把它們用得更好,。