第2章 Windows Server 2008初始安全

与Windows Server 2003系统相比，Windows Server 2008的系统和网络功能都有了一定的扩展，安全性也有了很大提高。Windows系统平台安全无疑是构建服务器安全的基础，涉及操作系统和应用程序的安装安全、系统服务安全、系统设置安全和用户账户安全等诸多方面。通常情况下，采用默认方式安装的Windows Server 2008为了便于系统管理，并未注重安全性的设置，因此必须对服务器系统进行必要的安全配置。

2.1 Windows Server 2008安装安全

采取正确合理的系统安装方式，可以提高操作系统的安全性。如果是升级安装方式，除了详细了解Windows Server 2008安装注意事项之外，还应及时下载补丁更新，以免导致升级安装的失败，或者升级完成后带来的安全隐患。

2.1.1 Windows安装安全指南

安装Windows Server 2008时应注意以下几点。

使用正版Windows Server 2008系统安装光盘，防止安装过程中被植入木马或间谍软件，影响系统安全性。另外，盗版系统安装光盘也可能影响计算机的兼容性，导致一些莫名其妙的问题。

保证硬件设备的可靠性。建议为重要服务器使用磁盘阵列技术，如RAID0、RAID1和RAID 5等，确保服务器存储系统硬件的稳定性和安全性。

尽量使用全新方式安装系统，即将操作系统安装在一个干净的系统分区中，并提前做好合理规划。例如，安装之前删除系统分区的所有文件，并重新格式化，确保磁盘完好无损。

使用NTFS文件系统格式化服务器所有磁盘分区，可以为系统分区、数据分区和日志文件分区提供更高的安全性。NTFS是真正的日志型文件系统，使用日志和检查点信息，即使在系统崩溃或者电源故障的时候也可以保证文件系统的一致性。只有使用NTFS文件系统的分区，才能为文件配置ACL（控制访问列表）访问权限控制，达到访问控制安全的目的。

没有进行任何安全配置的服务器，不要与任何公共设备或网络连接，必要时可以找一台可以确保安全性的服务器进行连接。

只为服务器安装必需的协议，如TCP/IP协议，避免其他网络协议给系统带来的漏洞。

通常情况下，不要将服务器加入到域，而应安装成独立服务器模式。

为系统管理员设置一个安全性较高的密码。

不要在服务器上部署多操作系统，防止恶意用户通过其他系统控制权限获取重要信息，或对Windows Server 2008系统进行破坏。

如果条件允许，建议安装英文版Windows Server 2008。通常情况下，微软公司总是最先发布英文版本的补丁，中文版本的补丁要相对滞后一段时间才能发布。

2.1.2 安全补丁更新

安全补丁更新是Windows系统必不可少的安全配置。默认情况下，Windows Server 2008安装完成后，自动更新功能是未配置的，管理员必须开启并指定选择相应的方式，为系统下载、安装补丁更新，以保护系统的安全。具体配置步骤如下。

第1步，为Windows Server 2008配置系统更新之前，每次启动计算机后都会在任务栏的右侧系统托盘中，显示如图2-1所示提示信息。

第2步，单击此提示信息显示如图2-2所示的“Windows Update”对话框。除此之外，在“初始配置任务”窗口的“更新此服务器”选项区域，以及在“服务器管理器”窗口的“安全信息”选项区域中，同样可以启动“Windows Update”配置向导。

第3步，单击“让我选择”按钮，显示如图2-3所示的“更新设置”对话框。在“选择Windows安装更新的方法”中，选择一种安装方法即可，各种安装方式的具体含义如下。

自动安装更新（推荐）。服务器连接到Internet后，系统将自动检测Microsoft Update服务器是否有所需的更新，如果有则将自动下载并安装这些更新。选择该单选按钮后还需要指定系统自动安装更新的具体时间。

下载更新，但是让我选择是否安装更新。仅下载所需的系统更新，完成后通知用户在合适的时间手动安装。

检测更新，但是让我选择是否下载和安装更新。仅检测Microsoft Update服务器上提供的更新项目，并以列表方式提示系统管理员，管理员可以根据实际情况选择需要下载的系统更新。建议使用这种方式，可以减少不必要的服务器资源和网络带宽浪费。

从不检查更新（不推荐）。关闭系统更新功能，建议不要选择此项。

2.2 Windows Server 2008基本安全配置

为确保Windows Server 2008服务器的安全，安装完成之后应立即配置Internet防火墙等基本安全配置，防止黑客或恶意软件通过网络或Internet访问计算机。另外，还可以在安装网络服务之后，通过安全配置向导部署针对性的网络访问安全策略。

2.2.1 Internet防火墙

Internet防火墙（Internet Connection Firewall，ICF）是Windows Server 2008系统内置的简单防火墙。ICF不仅可以阻止来自外部网络的恶意访问或攻击，还可以阻止当前服务器向其他计算机发送恶意软件。默认情况下，ICF是自动开启的。

1.防火墙简介

Windows Server 2008的ICF是一种典型的状态防火墙，不仅可以监视通过其路径的所有通信，并可检查所处理的每一条消息的源地址和目的地址，其工作方式如图2-4所示。

ICF就像一个在计算机和外部Internet之间建立的“盾牌”，可以允许请求的数据包通过，而阻碍那些没有请求的数据包通过，因此ICF是一个动态数据包过滤器。可以对直接连接Internet或连接在运行ICF的“Internet连接共享主机”后的计算机提供保护。启用后，ICF会禁止所有来自Internet的未经允许的连接。为此，防火墙使用“网络地址转换器（NAT）”逻辑来验证访问网络或本地主机的入站请求。如果网络通信不是来自受保护的网络，或者没有创建任何端口映射，则入站数据就被丢弃。

通常情况下，黑客入侵的第一步就是找到所要攻击主机的IP地址，再使用ping命令ping通该主机（表示已经与该主机建立了一个通道），然后对主机进行端口扫描，查看哪些端口是开放的，最后找出系统漏洞进行攻击。ICF的一个重要功能就是阻止系统响应ping命令，而且，ICF还禁止外部程序对本机进行端口扫描，丢弃所有没有请求的IP数据包。如此一来，便可以极大地减少被黑客利用的系统漏洞。

ICF是通过保存一个表格，记录所有自本机发出的目的IP地址、端口、服务以及其他一些数据，从而达到保护本机的目的。当一个IP数据包进入本机时，ICF会检查这个表格，查看到达的这个IP数据包是否是本机所请求的，如果是就允许通过，如果在这个表格中没有找到相应的记录就抛弃这个IP数据包。

2.配置Internet防火墙

Windows Server 2008系统的ICF在默认情况下已经启动，管理员可以根据需要进行配置。如果服务器已经连接到网络，则网络访问策略的设置可能会阻止管理员对Windows防火墙的配置，此时应暂时退出网络，或请求管理员赋予相应操作权限，完成此项工作配置防火墙的具体步骤如下。

第1步，在Windows Server 2008的“控制面板”窗口中，双击“Windows防火墙”图标，显示如图2-5所示窗口，显示Windows防火墙已启用。

第2步，单击“启用或关闭Windows防火墙”链接，显示如图2-7所示“Windows防火墙设置”对话框，系统默认选择“启用”单选按钮。如果同时选中“阻止所有传入连接”复选框，则防火墙将阻止所有主动连接当前服务器的尝试，当需要为该服务器提供最大限度的保护时，才使用该设置，启用该设置后将忽略“例外”列表中的所有设置。通常情况下，不推荐选择该复选框。

第3步，切换到“例外”选项卡，或者在“Windows防火墙”窗口中，单击“允许程序通过防火墙”链接，如图2-8所示。在“程序和服务”列表框选中该服务器欲提供的网络服务即可。

第4步，单击“添加端口”按钮，显示如图2-9所示“添加端口”对话框，即可向列表中增加新的网络服务所使用的TCP或UDP端口。在“名称”文本框中，输入便于识别的名称，如telnet；在“端口号”文本框中，输入想要添加的端口，如23；根据需要，选择“TCP”或“UDP”端口类型。

第5步，单击“更改范围”按钮，显示如图2-10所示“更改范围”对话框。指定详细的限定范围可以提高防火墙策略的安全性。默认情况下，开放的防火墙端口适用于任何计算机（包括Internet上的计算机）。

第6步，切换至如图2-11 所示“高级”选项卡，在“网络连接设置”选项区域，可以设置接受Windows防火墙保护的网络连接，默认为所有本地连接。在“默认设置”选项区域，单击“还原为默认设置”按钮，即可撤销所有Windows防火墙设置，恢复至初始状态。

第7步，单击“确定”按钮，保存设置即可。

2.2.2 安全配置向导

安全配置向导（SCW，Security Configuration Wizard）可以帮助管理员快速完成创建、编辑、应用和回滚安全策略操作，在Windows Server 2003系统中，必须安装SP1或升级到R2系统才可安装并配置服务器安全配置向导，而在Windows Server 2008系统中则已经被整合为一项系统功能，用户无须安装即可直接应用。SCW是一个完全基于服务角色的工具，用户可以根据需要创建针对某个服务器角色的安全策略，并且可以将其应用到其他相应类型的服务器上。配置和应用SCW时应注意以下几点。

SCW禁用不需要的服务并提供对具有高级安全性的Windows防火墙的支持。

使用SCW创建的安全策略与安全模板不同，其中前者扩展名为.xml，而后者扩展名为.inf。用户创建的安全策略源于安全模板，安全模板包含的安全设置可以应用于所有的服务器角色。

部署SCW安全策略后并不会影响服务器提供服务时所需的组件，并且应用之后，管理员仍可以通过服务器的管理器安装所需的组件。

应用SCW安全策略之后，SCW将自动选择所有从属角色。

创建和应用SCW安全策略时，应确保服务器的IP协议及端口配置完全正确。

1.配置安全策略

第1步，依次单击“开始”→“管理工具”→“安全配置向导”，打开如图2-12所示的“欢迎使用安全配置向导”对话框。也可以在“开始”菜单的“开始搜索”文本框中输入scw.exe命令，单击“确定”按钮来启动安全配置向导。

第2步，单击“下一步”按钮，显示如图2-13所示的“配置操作”对话框。安全配置向导提供了下列四种配置操作。

创建新的安全策略：可以创建用于配置服务、Windows防火墙、Internet协议安全（IPsec）设置、审核策略和特定注册表设置的安全策略。安全策略文件是XML格式文件，默认保存路径为%systemroot%\security\msscw\Policies。

编辑现有安全策略：可以编辑已使用SCW创建的安全策略。必须先选择“编辑现有安全策略”，才能浏览要编辑的安全策略文件所在的文件夹。编辑的策略可存储在本地机器上或网络共享文件夹中。

应用现有安全策略：使用SCW创建安全策略后，可将其应用到测试服务器，或者应用到生产环境中。

回滚上一次应用的安全策略：如果使用SCW应用的安全策略使服务器功能达不到预期的效果，或者导致其他非预期结果，则可以回滚该安全策略，将自动从该服务器删除对应的安全策略。

如果是第一次使用安全配置向导，则应选择“创建新的安全策略”单选按钮。

第3步，单击“下一步”按钮，显示如图2-14所示的“选择服务器”对话框。在“服务器”文本框中，输入需要进行安全配置的Windows Server 2008服务器的主机名或IP地址。也可以单击“浏览”按钮，选择需要进行安全配置的目标计算机。

第4步，单击“下一步”按钮，开始扫描配置数据库，主要包括已安装或运行的网络服务、IP地址及子网信息等。扫描完成，显示如图2-15所示的“正在处理安全配置数据库”对话框。

第5步，单击“下一步”按钮，显示如图2-17所示的“基于角色的服务配置”对话框。安全配置向导可以根据当前服务器提供网络服务的不同，配置相应的安全策略。

第6步，单击“下一步”按钮，显示如图2-18所示的“选择服务器角色”对话框。系统默认选择“安装的角色”选项，即只设置已安装服务的安全策略。“查看”下拉列表框中提供了四种可供选择的抉择模式：

所有角色：列表框出所有的Windows Server 2008可以使用的角色列表框；

安装的角色：列出当前服务器中已经安装的角色，包括没有设置的角色；

未安装的角色：列出当前服务器中没有安装的角色，不包括没有设置的角色；

选定的角色：列出当前服务器中已经选定的角色。

第7步，单击“下一步”按钮，显示如图2-19所示的“选择客户端功能”对话框，可以选择当前服务器作为其他服务器的客户端时需要使用的功能，如自动更新客户端等。“查看”下拉列表中的选项与“选择服务器角色”中的完全相同，此处不再赘述。

第8步，单击“下一步”按钮，显示如图2-20所示的“选择管理和其他选项”对话框。在“选择用来管理限定的服务器的选项”列表中，可以选择相应的管理选项。

第9步，单击“下一步”按钮，显示“选择其他服务”对话框。其他服务是指当前服务器上已经安装但在安全配置数据库中未显示的服务。如果出现这种情况，安全配置向导将在“选择其他服务”页面上显示已安装的服务列表。展开相应的服务即可查看其详细运行模式，如图2-21所示。

第10步，单击“下一步”按钮，显示如图2-22所示的“处理未指定的服务”对话框。“未指定服务”是指安全策略配置向导扫描过程中未能发现的服务，用户可以在这里设置其运行状态，选择“不更改此服务的启用模式”单选按钮即可。

第9步和第10步两者处理方式的主要区别如下：

保持服务的当前启动模式：如果选择此选项，则在应用此安全策略的服务器上启用的未指定服务将保持启用状态，而禁用的那些服务将保持禁用状态；

禁用服务：如果选择此选项，则不在安全配置数据库中或未安装在选定服务器上的所有服务都将被禁用。

第11步，单击“下一步”按钮，显示如图2-23所示的“确认服务更改”对话框，系统默认只显示当前服务器上正在运行的服务，服务的启动模式可以是“已禁用”、“手动”或“自动”。在应用安全策略后，才能对选定服务器做出更改。

第12步，单击“下一步”按钮，显示如图2-24所示的“网络安全”对话框。如果选择“跳过这一部分”复选框，则将跳过“网络安全”配置部分。建议不要跳过此步骤，继续按照如下步骤操作。

第13步，单击“下一步”按钮，显示如图2-25所示的“网络安全规则”对话框。系统默认显示“所有规则”，即该服务器上目前开放的所有端口。也可以在“查看”下拉列表中选择其他查看方式。单击安全规则前面的三角形按钮，还可以查看其详细信息。

第14步，单击“下一步”按钮，显示如图2-27所示的“注册表设置”对话框。通过该设置可以修改Windows Server 2008服务器注册表中一些特殊键值，从而严格限制用户的访问权限。建议用户不要跳过此步骤。

第15步，单击“下一步”按钮，显示如图2-28所示的“要求SMB安全签名”对话框。设置选定的服务器和客户端的通信信息，保持系统默认的全部选择状态即可。

第16步，单击“下一步”按钮，显示如图2-29所示“出站身份验证方法”对话框。选择当前服务器远程连接到其他计算机时使用的身份验证方法，如果是在域网络中进行远程登录，则选择“域账户”复选框即可；如果是工作组环境，建议选择“远程计算机上的本地账户”复选框。

第17步，单击“下一步”按钮，显示如图2-30所示的“出站身份验证使用本地账户”对话框，此对话框中的选项与所选择的出站身份验证方法有关，这里以使用“远程计算机上的本地账户”验证方法为例。通常情况下，保持默认设置即可。

第18步，单击“下一步”按钮，显示如图2-32所示的“注册表设置摘要”对话框，显示当前安全策略中所做的注册表安全设置。

第19步，单击“下一步”按钮，显示如图2-33所示的“审核策略”对话框。Windows审核策略主要用于审核日志记录中的相关内容，并确定受影响的系统对象。安全策略回滚功能是无法回滚安全向导中的审核策略设置的。

第20步，单击“下一步”按钮，显示如图2-34所示的“系统审核策略”对话框。选择需要审核的目标，选择“审核成功的操作”单选按钮，即只审核日志记录中操作成功的事件记录。

第21步，单击“下一步”按钮，显示如图2-35所示的“审核策略摘要”对话框。列表中列出了应用的策略时，便将在选定服务器上对审核策略进行所有的更改。此页显示每个审核策略设置的当前设置和由策略定义的设置。

第22步，单击“下一步”按钮，显示如图2-36所示的“保存安全策略”对话框。保存之后，即可将该安全策略应用到当前或其他服务器上。

第23步，单击“下一步”按钮，显示如图2-37所示的“安全策略文件名”对话框。在保存安全策略文件的路径之后输入安全策略文件名，根据需要输入相关的描述信息。

第24步，单击“下一步”按钮，显示如图2-38所示的“应用安全策略”对话框。如果选择“现在应用”单选按钮，则可以将安全策略立即应用到当前服务器中；建议选择“稍后应用”单选按钮，测试之后再应用到服务器中。

第25步，单击“下一步”按钮，显示如图2-39所示的“正在完成安全配置向导”对话框。单击“完成”按钮，完成安全策略的设置。

2.应用安全配置策略

使用安全配置向导创建的安全策略，可直接应用于所有运行Windows Server 2008或者Windows Server 2003 SP1/SP2/R2操作系统的网络服务器。大规模应用安全策略之前必须经过严格测试，确认可行之后方可部署。应用安全配置策略之后，必须重新启动计算机才可以生效。应用安全策略的主要操作步骤如下。

第1步，依次单击“开始”→“管理工具”→“安全配置向导”，打开“安全配置向导”对话框，单击“下一步”按钮，在“配置操作”对话框中，选择“应用现有安全策略”单选按钮，在“现有安全策略文件”文本框中输入安全策略文件的路径，也可单击“浏览”按钮查找，如图2-40所示。

第2步，单击“下一步”按钮，显示如图2-41所示的“选择服务器”对话框，在“服务器”文本框中，输入想要应用的服务器名称或IP地址。如果目标服务器为远程主机，则应单击“指定用户账户”按钮，选择连接到指定主机部署安全策略使用的用户账户及凭证。

第3步，单击“下一步”按钮，显示如图2-42所示的“应用安全策略”对话框，在“安全策略描述”信息框中显示该策略的相关描述信息，也可以单击“查看安全策略”按钮，打开“SCW查看器”窗口，查看其详细信息。

第4步，单击“下一步”按钮，显示如图2-43所示的“正在应用安全策略”对话框。将安全策略应用到本地计算机大概需要几分钟时间，应用到远程计算机时所需时间可能更长一些。

第5步，单击“下一步”按钮，显示如图2-44所示的“正在完成安全配置向导”对话框。

第6步，单击“完成”按钮，关闭安全配置向导。重新启动计算机后，应用的安全策略即可生效。

2.3 Windows Server 2008被动防御安全

Windows防火墙和安全配置向导都是主动防御系统，即主动阻止和过滤网络访问请求，但对于已经成功入侵到系统内部的病毒或恶意软件将起不到任何安全防御作用。因此，必须为Windows Server 2008配置被动防御安全系统，如部署防病毒软件、设置Windows防间谍软件系统等，这些配置可以快速有效地处理进入系统的病毒或间谍软件。

2.3.1 配置防病毒系统

病毒对于计算机的危害性是不言而喻的，轻则造成应用程序出错、数据丢失，重则导致系统瘫痪、甚至波及网络中的其他计算机。为了避免病毒对系统的破坏，应注意如下事项：

服务器投入应用之前必须安装防病毒软件，并升级最新的病毒库；

确认防病毒软件来源的合法性、完整性，以及可升级性；

应用过程中，应确保防病毒系统处于开启状态；

刚安装完成的操作系统，应进行一次完整的病毒扫描；

查看防病毒产生的日志文件。在系统运营后，经常查看病毒软件产生的日志文件。

1.什么是计算机病毒

计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用并能自我复制的一组计算机指令或者程序代码。病毒并非总是破坏文件或计算机，但它们通常会影响计算机的性能和稳定性。

计算机病毒通常具有如下特性：

传染性；

隐蔽性；

潜伏性；

破坏性；

表现性。

2.单机防病毒系统

单机防病毒系统主要是指单个用户计算机上安装的病毒查杀软件，不必接受指定服务器的管理，通常都是通过Internet连接到官方服务器下载最新病毒库的。单机防病毒系统成本相对较低，实现简单，易于管理，适用于小型企业局域网或SOHO网络。目前，针对单机用户的防病毒软件很多，建议用户通过正规渠道购买正版软件，或者登录相关软件的官方网站，下载试用版或共享版。

（1）瑞星2008

瑞星杀毒软件是国内反病毒软件中众多电脑生产商首选的杀毒软件，目前最新版本是瑞星杀毒软件2008，它集病毒防范、病毒扫描、查杀于一身，具有扫描速度快、识别率高、占用资源少等优点。瑞星杀毒软件不仅可以保护计算机系统不受病毒入侵，而且发现感染病毒后，还可以进行自动清除。瑞星杀毒软件可以运行于Windows Server 2008或Windows Server 2003等服务器平台。瑞星杀毒软件2008的主窗口如图2-45所示。

（2）NOD32

NOD32是eset公司的防病毒产品，以应用平台广泛著称，支持平台包括DOS、Windows 9x/NT/2000/XP/2003/Vista/2008，到Novell Netware Server、Linux、BSD等。对于Windows版本，它同时支持32位和64位平台，包括Windows Vista和Windows Server 2008。NOD32在线监测功能严密，占用内存资源较少，清除病毒的速度效果都令人满意。如图2-46所示是NOD32单机版主窗口。

（3）Norton AntiVirus 2007

诺顿杀毒软件是由Symantec公司出品的一款杀毒软件，包括网络版和专业版，其中单机防病毒既可以使用网络版的客户端程序，又可以使用专业版。它可以为计算机提供全面的病毒防护，自动对计算机磁盘中的文件及Internet电子邮件进行监测、扫描，及时查杀病毒，以保证计算机的安全。今年的诺顿误杀系统文件事件，似乎并没有影响人们的热情，至今仍是众多用户的首选防病毒产品。Norton AntiVirus 2007主窗口如图2-47所示。

（4）Windows Live OneCare

Windows Live OneCare是微软公司推出的首款杀毒软件套件，包括反病毒防火墙、数据备份、反间谍、磁盘清理等功能，几乎可以覆盖所有的个人安全领域。随着时间的推移，相信会更加适合于Windows服务器。Windows Live OneCare这项全面的服务可以帮助您保护计算机免受许多不同种类的威胁，还可以帮助您在紧急情况下备份重要文档，并定期调整计算机从而帮助计算机稳定运行。如图2-48所示的窗口是Windows Live OneCare主窗口，需要注意的是，目前仅能在英文版Windows操作系统中使用。

3.网络防病毒系统

网络防病毒系统主要应用于大、中型企业网络的病毒防御工作，相对于单机防病毒软件而言，不仅防御范围广、功能强大，而且可管理性强。目前，广泛应用的企业杀毒软件有Symantec AntiVirus企业版、瑞星杀毒软件企业版、McAfee网络防病毒等。网络防病毒系统主要由服务器和客户端两部分组成。主要特点就是客户端可以直接通过局域网从服务器获得最新的病毒库升级文件，并且管理员可以通过防病毒服务器客户端监控功能，及时了解客户端的运行情况，以便统一管理和部署。因此，部署企业杀毒软件系统不仅可以节省整个网络的带宽开销，还可以提高网络安全性。如图2-49所示是大多数企业杀毒软件的运行模式，图中所示的服务器端和客户端的含义分别介绍如下。

（1）服务器端

企业杀毒软件系统中的服务器端是指安装服务器管理软件的计算机，可以直接登录杀毒软件官方升级服务器，快速下载最新病毒库文件。管理员可以通过服务器端对下属的二级服务器、客户端等进行统一管理，如分发升级文件、接收客户端病毒报警、实时状态监控等。另外，服务器端通常都集成适用于各种版本操作系统的客户端安装程序，管理员可以直接通过局域网安装客户端，免去一一安装的麻烦。

（2）客户端

客户端是指接受网络防病毒服务器管理的所有计算机，必须安装与服务器端配套的杀毒软件，并接受服务器的管理。客户端既可手动连接到局域网防病毒服务器，更新病毒库，也可以指定为自动接收来自服务器的病毒库文件。

2.3.2 配置防间谍系统

间谍软件通常是指自动安装，或者未提供足够通知、同意或控制的情况下，就在计算机上运行的应用程序。一般情况下，间谍软件在感染计算机后可能不会显示任何症状，但许多类型的恶意软件或不需要的程序都可以影响计算机的运行方式，如监视用户的实时行为、收集用户信息等。目前的防间谍软件产品很多，但应根据实际情况选择一款适合自己使用的防间谍软件产品，同时注意软件来源的合法性和安全性，以及间谍软件代码更新库的升级能力。

在安装防间谍软件时应注意如下事项：

建议配置成系统启动时自动启动防间谍软件；

定制自动更新间谍软件代码库；

定制在指定时间之内扫描系统的完整信息；

启动实施监视系统；

定制应用程序许可策略；

保存并定期察看日志信息。

为了应对网络中泛滥的木马、间谍等恶意软件对系统安全的挑战，微软也推出了反木马、间谍软件的专用程序Windows Defender。Windows Defender的前身是Giant公司的Giant Antispyware，微软将该公司收购后便将其更名为Windows Defender，并且已经成为Windows Vista系统的标准系统组件之一。Windows Defender具有如下主要功能。

提供完备的恶意软件清除功能

Windows Defender在扫描查杀的同时，还会对恶意软件添加的文件以及修改的注册表内容进行同步检测和删除，清除比较干净。

与杀毒软件相得益彰

Windows Defender是设计用来检测、删除或隔离用户电脑中的已知或可疑间谍软件的安全防御工具，针对的是杀毒工具无法处理的恶意软件，所以并不会和系统中安装的防病毒软件冲突，相反两者配合工作，安全防御效果会更好。

提供多种灵活扫描方式

Windows Defender提供如下三种扫描方式，用户可根据实际需要选择。

Quick Scan：它可以扫描间谍软件常用的安装目录，可以在最短的时间里发现大多数间谍软件。

Full Scan：它可以扫描电脑中的全部硬盘分区以及全部文件夹。这种扫描方式非常彻底，但是耗时较多，具体的耗时可根据用户的硬盘大小以及文件多少来决定。另外，扫描过程中，系统的整体运行速度会有所下降。

Custom scan：在这种方式下，用户可以选择所要扫描的硬盘分区和文件夹。如果Windows Defender在这种模式下发现了间谍软件，则将进而启动Quick Scan模式对间谍软件进行清除或隔离。实时监控功能

Windows Defender最大的特点在于当恶意软件试图入侵计算机时，会自动提醒用户。需要注意的是，只有当恶意软件是与其他软件捆绑安装时，Windows Defender才会警报提醒，而当直接安装恶意软件时，则不会表现任何动作。

管理员可以监控用户行为

管理员可以允许用户使用Windows Defender扫描电脑，在发现可疑程序后选择相应的执行动作，以及查看Windows Defender的活动记录。管理员还可以限制Windows Defender的管理权限。在默认情况下，任何用户都可以使用Windows Defender。

2.4 Windows Server 2008系统安全

Windows Server 2008系统提供的系统安全涉及诸多方面，如应用程序安全、注册表安全、系统服务安全、文件权限安全、用户账户安全、活动目录安全、注册表安全、组策略安全、端口安全、网络服务安全等。任何一处隐藏的系统安全漏洞，都可能会招致整个系统安全的灭顶之灾。

2.4.1 应用程序安全

在服务器上安装正常使用的应用程序（包括更新的IE浏览器版本），同时安装配置选择好用来提供网络服务的程序（如微软的IIS服务、FTP服务、SQL Server数据库服务等）。非必要运行服务器操作系统的计算机不要登录到Internet。

在配置系统应用程序时，应注意以下事项。

不要安装任何多余的程序。服务器仅提供网络服务，不是个人电脑，不需要安装任何服务以外的程序。

安装服务和应用程序，尽量选择最新的安装版本；这样，通常可以保证没有近期发布的程序漏洞。不需要的应用程序服务尽量不要安装，或者配置成禁止使用的模式。

通常不要在服务上运行系统提供的应用程序访问网络，服务器的漏洞有时会被恶意利用。

为安全起见，建议将系统“附件”中除写字板、记事本以外的所有应用程序卸载。

操作系统所在的服务器建议不要接入Internet。

强烈建议删除甚至拒绝在服务器上安装Microsoft Office或者其他的日常办公软件。

不要在服务器上运行任何开发工具、软件调试器、扇区读写编辑器等可对操作系统底层进行操作的应用软件，可执行程序越少越好。

服务器设置严格的权限许可，共享文件的访问建议使用ACL权限控制。

对系统文件夹（x:\windows,x:\widnows\system等）使用ACL控制，避免赋予系统文件夹“写入”的权限。

服务器的IP地址设置为静态IP。

2.4.2 系统服务安全

在安装操作系统的同时，也会自动安装大量服务。但是，运行的服务越多，可能造成的安全漏洞也越多，同时还会占用大量的系统资源。而对于有能力利用服务特权和功能来访问本地Web服务器或其他网络服务器的不法入侵者来说，服务是最主要的漏洞点。不验证客户端身份的服务、使用不安全协议的服务、特权太多的服务等都将带来风险。因此，凡是不需要的服务，均应将其禁用，既可有效地减少非法入侵者的攻击，同时也可节省大量的系统资源。服务越少、漏洞越少、系统越安全。

1.系统服务配置注意事项

配置系统服务时应注意以下事项：

根据服务的描述以及业务的需求，确定是否使用此服务；

具体每个服务的内容和功能，请参考微软的说明和咨询业内安全专家；

禁止或者设置成手动启动的方式处理系统非必需的服务；

如对系统可能造成的影响不了解，在测试环境中测试验证通过以后，再在应用环境中部署；

对于安装应用程序同步安装的服务，如无必要，应将其关闭。

依次打开“开始”→“管理工具”→“服务”，即可打开“服务”控制台窗口，并列出本地计算机中所有的服务，如图2-50所示。

系统服务的处理不同于其他设置，因为所有服务的漏洞、对策及潜在影响在本质上都是一样的。第一次安装Windows Server2008操作系统的时候，系统将在启动时创建并配置默认服务。有些服务在组织环境中并不需要，但仍在Windows中被启用，来确保应用程序或客户端兼容或辅助进行系统管理。

2.服务

服务仅在登录到某一账户的情况下才能访问操作系统中的资源和对象。大多数的服务都不更改默认的登录账户，更改默认账户可能导致服务失败。如果选定账户没有登录计算机服务的权限，Microsoft管理控制台（MMC）的服务管理单元将自动为该账户授予登录服务的用户权限，但并不一定会启动服务。Windows Server 2008与Windows Server 2003相同，系统包括以下三个内置的本地账户，分别用作各系统服务的登录账户：

（1）本地系统账户

本地系统账户功能强大，它可对本地系统进行完全访问，并为网络中的计算机提供服务。如果某服务登录到域控制器使用的“本地系统”账户，则该服务可访问整个域。有些服务的默认配置使用的是“本地系统”账户，则不需要更改默认服务设置。本地系统账户名称是LocalSystem，没有密码设置。

（2）本地服务账户

本地服务账户是一种特殊的内置账户，类似于经过身份验证的用户账户。就访问的资源的对象而言，“本地服务”账户与“Users”（用户）组成员权限等同。这种限制性访问有助于在个别服务或进程受损时保障系统安全，以“本地服务”账户运行的服务使用有匿名凭据的空会话来访问网络资源。账户名称为NTAUTHORITY\LocalService，该账户没有密码。

（3）网络服务账户

网络服务账户也是一种特殊的内置账户，类似于经身份验证的用户账户。就访问的资源的对象而言，“网络服务”账户与“Users”（用户）组成员权限等同。这种限制性访问有助于在个别服务或进程受损时保障系统安全，以“网络服务”账户运行的服务可使用计算机账户的凭据来访问网络资源。账户名称为NTAUTHORITY\NetworkService，该账户没有密码。

3.漏洞

任何服务或应用程序都是潜在的攻击点，因此，必须禁用或删除系统环境中不需要的服务或可执行文件，或者直接删除闲置的网络服务。

4.对策

系统服务中的“策略”可以有以下四种设置方式：

自动；

手动；

禁用；

未定义。

对于所有不必要的服务应当禁用。

此外，还可通过配置用户定义账户列表的访问控制列表（ACL）来编辑服务安全性。

5.潜在影响

虽然禁用不必要的服务可以减少系统资源的占用以及系统漏洞，但有些服务（如Security Accounts Manager）禁用后将导致系统无法引导，禁用一些关键服务可能使计算机无法通过域控制器的身份验证。因此，为安全起见，在禁用系统服务前应先在测试环境中测试。

要在“组策略对象编辑器”中配置“系统服务”设置，可依次打开“计算机配置”→“Windows设置”→“安全设置”→“系统服务”。

2.4.3 注册表安全

注册表作为Windows的系统配置文件，对Windows的系统安全起着决定性的作用。

1.禁止注册表远程访问

Windows Server 2008在默认安装时启用了允许远程访问注册表。不过，开启此功能将会对系统安全带来极大的隐患，因为服务的启动、ACL权限的修改、用户名的建立等信息，都可以在注册表中完成，因此，应严格禁止使用远程注册表访问功能。

该安全设置确定在网络上可访问哪些注册表路径和子路径，无论注册表项winreg的访问控制列表（ACL）中列出的是用户还是组。

禁止远程注册表访问的操作步骤如下。

第1步，打开组策略控制台，依次展开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“安全选项”，显示如图2-51所示窗口。

第2步，在右侧的策略窗口中，双击“网络访问：可远程访问的注册表路径和子路径”策略，显示如图2-52所示“网络访问：可远程访问的注册表路径和子路径 属性”对话框。

第3步，删除列表框的所有数据，最后单击“确定”按钮即可。

第4步，双击“网络访问：可远程访问的注册表路径”策略，显示如图2-53所示的“网络访问：可远程访问的注册表路径属性”对话框。

第5步，删除文本框的所有数据，然后单击“确定”按钮即可。

2.注册表安全设置

Windows Server 2008注册表中包含了许多关于安全的设置，注册表安全内容如下。

（1）隐藏重要文件/目录可以修改注册表实现完全隐藏

在注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL中，右击 “CheckedValue”，选择快捷菜单中的“修改”选项，把数值由1改为0。

（2）对匿名连接的额外限制

没有显示的匿名权限就没有办法访问，在注册表HKEY_LOCAL_MACHINE\System\Current ControlSet\Control\Lsa下修改“restrictanonymous”为2。

（3）关闭默认的根目录和管理共享

去除Windows安装后生成的默认共享。在注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters下，创建名称为autosharews的DWORD值，修改其“数值数据”值为0。

（4）禁止Guest用户访问日志

取消来宾账号机器同组账号访问日志的权利。分别将在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog下3个子键Application、Security、System下面的RestrictGuestAccess值修改为1即可。

（5）禁止显示上次登录的用户名

防止在登录界面上泄露账号信息。在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下面修改Dontdisplaylastusername为1即可。

（6）禁用文件名创建

取消Windows Server 2008和Windows Server 2003为兼容以前微软文件名命名方式带来的性能损失。在注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem下面设置Ntfsdisable8dot3namecreation为1即可。

（7）禁用无用的子系统

取消因为使用例如dos、win16、os/2、posix、应用系统下的程序子系统可能带来的隐患。修改HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Subsystems下的Optional的值为“0000”。

删除同一子键下的os2、posix项，同时删除HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Control\wow下的子键。

删除HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\ environment下的OS2libpath项。

删除“HKEY_LOCAL_MACHINE\Software\Microsoft\os/2 Subsystem for nt”下的所有子键。

（8）不支持IGMP协议

在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters的子项下，新建DWORD值，将名为IGMPLevel值修改为0即可。

（9）防止ICMP重定向报文的攻击

在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ Parameters的子项下，将EnableICMPRedirects值设为0即可。

（10）修改终端服务端口

在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp的子项下，修改PortNumber的键值，在十进制状态下修改即可，切记不要与其他已知端口冲突。

在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\ RDP-Tcp下，按照同样的方法，修改为相同的端口号。

（11）保护系统不受一定的拒绝服务攻击

防备SYN泛滥攻击。在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\parameters键下分别添加：

DWORD值SynAttackprotect为2；

Tcpmaxhalfopen值为100；

Tcpmaxhalfopenedretried的值为80；

Tcpmaxportsexhausted的值为5。

（12）加强防备拒绝服务攻击

终止半开放的TCP连接，可在上面同一键下添加Tcpmaxconnectreponseretransmissions值为3。

（13）TCP空连接计数器

可以防止死连接消耗资源，可以尽快结束死连接，在“7”的同一键值下面添加DWORD值Keepalivetime为300000，该计算单位为毫秒，即5分钟。

（14）不轻易改变MTU的值（最大传输单元）

防止Windows Server 2008和Windows Server 2003自动执行的MTU探索被恶意用户利用导致系统采用极小MTU值从而增强资源消耗的拒绝服务攻击，可在同一键值下面添加DWORD值Enablepmtudicovery为0。

（15）禁用IP路由

防止恶意用户利用非法覆盖正常路由选择，应该在“7”的键值下面添加DWORD值DisableIPsourcerouting为2。

（16）禁用ICMP转向

防止恶意用户用来改变Windows Server 2008 Windows Server 2003或路由表以响应网络设备发送给它的ICMP重定向消息，应该在“7”的键值下面修改EnableICMPredirect值为0。

（17）禁止光盘自动启动

防止恶意用户利用此手段访问系统，在HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer下设置“Nodrivetypeautorun”为149。

（18）只有本地用户才可以访问软盘

防止恶意用户利用此方法访问系统，修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon下的“allocatefloppyes”值为1。

（19）只有本地登录的用户才能访问CDROM

防止恶意用户利用此手段访问系统，修改同一键下的“allocatecdroms”值为1。

（20）在关机时清理虚拟内存页面交换文件

防止虚拟内存页面交换文件泄露可用的信息，修改HKEY_LOCAL_MACHINE\System\Current ControlSet\Control\Session Manager\Memory management键下的“clearpagefileatshutdown”值为1。

2.4.4 审核策略

审核是Windows Server 2008和Windows Server 2003中本地安全策略的一部分，它是一个维护系统安全性的工具，允许跟踪用户的活动和Windows NT/2000系统的活动，这些活动称为事件。通过设置审核策略，确定是否将安全事件记录到计算机上的安全日志中，同时也确定是否记录登录成功或登录失败，或两者都记录。安全日志是事件查看器的一部分。

执行审核策略前，必须决定要审核的事件类别。为事件类别选择的审核设置将定义审核策略。在加入域中的成员服务器和工作站上，默认情况下未定义事件类别的审核设置。在域控制器上，默认情况下审核关闭。通过为特定的事件类别定义审核设置，可以创建一个适合组织安全需要的审核策略。

依次打开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”，显示如图2-54所示“账户审核”页面。

1.审核账户登录事件

审核账户登录事件设置确定是否审核在这台计算机用于验证账户时，用户登录到其他计算机或者从其他计算机注销的每个实例。当在域控制器上对域用户账户进行身份验证时，将产生账户登录事件。该事件记录在域控制器的安全日志中。当在本地计算机上对本地用户进行身份验证时，将产生登录事件。该事件记录在本地安全日志中，不产生账户注销事件。

如果定义该策略设置，可以指定是否审核成功、审核失败，或根本不对事件类型进行审核。当某个账户的登录成功时，成功审核会生成审核项。当某个账户的登录失败时，失败审核会生成审核项。

2.审核账户管理

审核账户管理设置确定是否审核计算机上的每一个账户管理事件。账户管理事件的例子包括：

创建、更改或删除用户账户或组；

重命名、禁用或启用用户账户；

设置或更改密码。

如果定义该策略设置，可以指定是否审核成功、审核失败，或根本不对事件类型进行审核。任何账户管理事件成功时，成功审核都会生成审核项。任何账户管理事件失败时，失败审核都会生成审核项。

3.审核目录服务访问

审核目录服务访问设置确定是否审核用户访问那些指定自己的系统访问控制列表（SACL）的Active Directory对象的事件。

默认情况下，在“默认域控制器组策略对象（GPO）”中该值设置为无审核，并且在该值没有任何意义的工作站和服务器中，它保持未定义状态。

如果定义该策略设置，可以指定是否审核成功、审核失败，或根本不对事件类型进行审核。用户成功访问指定了SACL的Active Directory对象时，成功审核会生成审核项。用户尝试访问指定了SACL的Active Directory对象失败时，失败审核会生成审核项。

4.审核登录事件

审核登录事件设置确定是否审核每一个登录或注销计算机的用户实例。

在域控制器上将生成域账户活动的账户登录事件，并在本地计算机上生成本地账户活动的账户登录事件。如果同时启用账户登录和账户审核策略类别，那么使用域账户的登录将生成登录或注销工作站或服务器的事件，而且将在域控制器上生成一个账户登录事件。此外，在用户登录而检索登录脚本和策略时，使用域账户的成员服务器或工作站的交互式登录将在域控制器上生成登录事件。

如果定义该策略设置，可以指定是否审核成功、审核失败，或根本不对事件类型进行审核。登录成功时，成功审核会生成审核项。登录失败时，失败审核会生成审核项。

5.审核对象访问

审核对象访问设置确定是否审核用户访问某个对象的事件，例如文件、文件夹、注册表项、打印机等，它们都有自己特定的系统访问控制列表（SACL）。

如果定义该策略设置，可以指定是否审核成功、审核失败，或根本不对该事件类型进行审核。当用户成功访问指定了合适SACL的对象时，成功审核将生成审核项。当用户访问指定有SACL的对象失败时，失败审核会生成审核项。

6.审核策略更改

审核策略更改设置确定是否审核用户权限分配策略、审核策略或信任策略更改的每一个事件。

如果定义该策略设置，可以指定是否审核成功、审核失败，或根本不对该事件类型进行审核。对用户权限分配策略、审核策略或信任策略所作更改成功时，成功审核会生成审核项。

7.审核特权使用

审核特权使用设置确定是否审核用户实施其用户权利的每一个实例。

如果定义该策略设置，可以指定是否审核成功、审核失败，或根本不对这种事件类型进行审核。用户权利实施成功时，成功审核会生成审核项。用户权利实施失败时，失败审核会生成审核项。

8.审核过程跟踪

审核过程跟踪设置确定是否审核事件（例如程序激活、进程退出、句柄复制和间接对象访问等）的详细跟踪信息。

如果定义该策略设置，可以指定是否审核成功、审核失败，或根本不对该事件类型进行审核。所跟踪的过程成功时，成功审核会生成审核项。所跟踪的过程失败时，失败审核会生成审核项。

9.审核系统事件

当用户重新启动或关闭计算机时，或者对系统安全或安全日志有影响的事件发生时，安全设置确定是否予以审核。

如果定义该策略设置，可以指定是否审核成功、审核失败，或根本不对该事件类型进行审核。系统事件执行成功时，成功审核会生成审核项。系统事件执行失败时，失败审核会生成审核项。

2.5 高级安全Windows防火墙

高级安全Windows防火墙是Windows Server 2008和Windows Vista的新增功能之一，是一种结合主机防火墙和IPSec安全技术的状态防火墙。它可以检查并筛选所有IPv4和IPv6流量的数据包。默认情况下阻止传入流量，除非是对主机请求（请求的流量）的响应，或者被特别允许（即创建了防火墙规则允许该流量）。通过配置具有高级安全性的Windows防火墙设置（指定端口号、应用程序名称、服务名称或其他标准）可以显式允许流量。

2.5.1 工作原理

具有高级安全性的Windows防火墙使用两组规则配置其如何响应传入和传出流量。防火墙规则确定允许或阻止哪种流量。连接安全规则确定如何保护此计算机和其他计算机之间的流量。通过使用防火墙配置文件（根据计算机连接的位置应用），可以应用这些规则以及其他设置。还可以监视防火墙活动和规则。

1.防火墙规则

配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。传入数据包到达计算机时，具有高级安全性的Windows防火墙检查该数据包，并确定它是否符合防火墙规则中指定的标准。如果数据包与规则中的标准匹配，则具有高级安全性的Windows防火墙执行规则中指定的操作，即阻止连接或允许连接。如果数据包与规则中的标准不匹配，则具有高级安全性的Windows防火墙丢弃该数据包，并在防火墙日志文件中创建条目（如果启用了日志记录）。

对规则进行配置时，可以从各种标准中进行选择：例如，应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型（如网络适配器）、用户、用户组、计算机、计算机组、协议、ICMP类型等。规则中的标准添加得越多，具有高级安全性的Windows防火墙匹配传入流量就越精细。

2.连接安全性规则

可以使用连接安全性规则来配置本计算机与其他计算机之间特定连接的IPSec设置。具有高级安全性的Windows防火墙使用该规则来评估网络通信，然后根据该规则中所建立的标准来阻止或允许消息。在某些环境下具有高级安全性的Windows防火墙将阻止通信。如果所配置的设置要求连接安全（双向），而两台计算机无法互相进行身份验证，则将阻止连接。

3.防火墙配置文件

可以将防火墙规则和连接安全规则以及其他设置应用于一个或多个防火墙配置文件。然后将这些配置文件应用于计算机，这取决于连接计算机的位置。可以配置计算机何时连接到域、专用网络（例如家庭网络）或公用网络的配置文件。

4.监视

监视节点显示有关当前所连接的计算机（本地计算机或远程计算机）的信息。如果使用管理单元来管理组策略对象而不是本地计算机，则不会出现该节点。

2.5.2 配置防火墙规则

以管理员账户登录Windows Server 2008系统后，依次单击“开始”→“管理工具”→“高级安全Windows防火墙”，打开如图2-55所示的“高级安全Windows防火墙”窗口，包括入站规则、出站规则和连接安全性规则三种。如果安装Active Directory服务，还会增加13条相应的安全规则。

入站规则。入站规则明确允许或者明确阻止与规则条件匹配的通信。例如，可以将规则配置为明确允许受IPSec保护的远程桌面通信通过防火墙，但阻止不受IPSec保护的远程桌面通信。默认情况下将阻止入站通信，若要允许通信，必须先创建相应的入站规则。在没有适用的入站规则的情况下，也可以对具有高级安全性的Windows防火墙所执行的操作（无论允许还是阻止连接）进行配置。

出站规则。出站规则明确允许或者明确拒绝来自与规则条件匹配的计算机的通信。例如，可以将规则配置为明确阻止出站通信通过防火墙到达某一台计算机，但允许同样的通信到达其他计算机。默认情况下允许出站通信，因此必须创建出站规则来阻止通信。

连接安全规则。同2.5.1节中的2.，这里不再赘述。

1.禁用或启用规则

管理员可以通过两种方式启用或禁用防火墙规则：Windows防火墙控制台和netsh命令。在高级安全Windows防火墙控制台中，选择“入站规则”或“出站规则”，然后右击相应规则，并选择“禁用规则”或者“启用规则”即可。使用“netsh”命令启用或禁用单一规则以及规则组，用法如下：启用/禁用单个规则：netsh advfirewall firewall set rule name="Rule"new enable=yes|no；

启用/禁用规则组：netsh advfirewall firewall set rule name="RuleGroup"new enable=yes|no。

例如，使用如下命令可以启用“BITS对等缓存（RPC）”规则（默认情况是禁用的）：

netsh advfirewall firewall set rule name="BITS Peercaching（RPC）" new enable=yes。

使用如下命令就是用来启用“BITS对等缓存”规则组的（默认情况是禁用的）：

netsh advfirewall firewall set rule group="BITS Peercaching" new enable=yes。

2.更改规则配置

第1步，在高级安全Windows防火墙控制台中，选择“入站规则”或“出站规则”，右击需要配置的规则（以“网络-路由器请求”策略为例），并选择快捷菜单中的“属性”，打开如图2-56 所示的“网络-路由器请求 属性”对话框，默认显示常规选项卡。选择“只允许安全连接”单选按钮，即可启用IPSec保护。

第2步，单击“作用域”切换到如图2-57所示“作用域”选项卡，选择“下列IP地址”单选按钮，然后单击“添加”，添加指定的本地或远程IP地址即可。

第3步，单击“用户和计算机”切换到如图2-58所示“用户和计算机”选项卡，选中“只允许来自下列计算机的连接”或“只允许来自下列用户的连接”复选框，并单击“添加”按钮添加计算机或用户即可。需要注意的是，配置此选项之前必须确保已经选择“常规”选项卡中的“只允许安全连接”单选按钮。

第4步，单击“高级”切换到如图2-59所示“高级”选项卡，选择“下列配置文件”单选按钮，并选择需要应用规则的配置文件，包括域、专用和公用三种。

域：当计算机连接到其域账户所在的网络时应用。

专用：当计算机连接到不包括其域账户的网络时应用，例如家庭网络。专用配置文件设置应该比域配置文件设置更为严格。

公用：当计算机通过公用网络连接到域时应用。由于计算机所连接到的公用网络通常无法严格控制安全，因此公用配置文件设置应该最为严格。

第5步，修改规则完成后，单击“确定”按钮应用并保存配置即可。

2.5.3 使用组策略配置高级防火墙

当使用组策略贯穿于活动目录域执行时，防火墙策略是最有效的。在创建一个防火墙策略之前，需要确定应用的可执行文件、TCP或UDP端口号，以及其他需要应用该规则的协议类型。同时也需要考虑是否限制特定计算机或网络的通信作用域。用户在Windows Vista和Windows Server 2008计算机的组策略控制台中，可以通过如下两种方式配置和管理高级安全Windows防火墙。

计算机配置\Windows设置\安全设置\高级安全Windows防火墙\高级安全Windows防火墙：这种节点设置主要应用于Windows Vista和Windows Server 2008。建议用户使用这种方式，因为这里可以提供更加详细的防火墙规则配置，并且允许用户配置新的认证类型和新的加密选项。

计算机配置\管理面板\网络\网路连接\Windows防火墙：这种节点设置主要应用于Windows XP、Windows Server 2003、Windows Vista和Windows Server 2008。这种方法要比上面那种缺少灵活性；但是，可以应用于所有版本的Windows防火墙。如果在Windows Vista中使用的不是最新的IPSec功能，可以使用这种方式配置所有的客户端。

第1步，打开“组策略管理编辑器”中的“组策略对象”，如果是独立计算机，则直接打开“本地组策略编辑器”即可。依次展开“计算机配置”→“Windows设置”→“安全设置”→“高级安全Windows防火墙”→“高级安全Windows防火墙”，显示如图2-60所示的窗口。

第2步，右击“高级安全Windows防火墙”并选择快捷菜单中的“属性”，打开“高级安全Windows防火墙-本地组策略对象 属性”对话框，默认显示如图2-61所示的“域配置文件”选项卡。在“状态”选项区域，可以设置是否启用防火墙，以及进站和出站连接是允许还是阻止；在“设置”选项区域，可以对防火墙的控制行为进行设置。

第3步，单击“IPSec设置”切换到如图2-62所示的“IPSec设置”选项卡，IPSec默认值主要用于设置加密技术和加密周期，通常情况下默认设置就是比较理想的，但用户也可以改变默认的认证方法。在IPSec免除选项区域可以选择是否从IPSec中将ICMP免除。

第4步，单击“确定”按钮，保存配置即可。

2.5.4 新建IPSec连接安全规则

IPSec连接安全规则允许用户为满足指定标准的连接请求IPSec。这些标准类似于Windows防火墙筛选器。例如，用户可以为如下情况设置IPSec安全规则：

拒绝来自指定IP地址的所有通信；

拒绝所有来自默认网关的ICMP通信；

拒绝所有来自内网的发往指定端口的通信；

限制除了特定服务器的所有出站连接。

每个计算机只能拥有一个IPSec策略。如果多个组策略应用于一台计算机，每个组策略都有不同的IPSec策略，则只有最高级的IPSec策略会起作用。

第1步，打开“高级安全Windows防火墙”窗口，右击“连接安全规则”并选择快捷菜单中的“新规则”，启动“新建连接安全规则向导”，默认显示如图2-63所示的“规则类型”对话框。

管理员可以创建如下几种类型的安全规则。

隔离：隔离规则可根据您定义的身份验证标准对连接进行限制。例如，您可以使用此规则类型来隔离域中的计算机和域外的计算机（例如Internet上或其他域中的计算机）。

身份验证免除：可以使用此规则类型使特定的计算机或者一组或一个范围内的IP地址（计算机）免于对自身进行身份验证，而不考虑其他连接安全规则。此规则类型通常用于在授权访问可以执行身份验证之前必须与此计算机进行通信的基础结构计算机。还可以用于其他无法使用为此策略和配置文件所配置的身份验证形式的计算机。

服务器到服务器：使用此规则类型对两台特定计算机之间、两个计算机组之间、两个子网之间或者特定计算机和计算机组或子网之间的通信进行身份验证。可以使用此规则对数据库服务器和业务层计算机之间或基础结构计算机和其他服务器之间的流量进行身份验证。

隧道：使用此规则类型保护通过隧道终结点（例如VPN或IPSec L2TP隧道等）在两台对等计算机之间进行的通信。

自定义：使用此规则类型创建需要特殊设置的规则。

第2步，选择“自定义”单选按钮并单击“下一步”按钮，显示如图2-64所示的“终结点”对话框。终结点是形成对等端连接的计算机或计算机组，可以是指定单个计算机，也可以是一个本地子网。选择“下列IP地址”单选按钮，并单击“添加”按钮即可添加终结点计算机。

第3步，单击“下一步”按钮，显示如图2-65所示的“要求”对话框，为出站和入站连接选择是否需进行身份验证。身份验证并不能提供很好的安全性，因为恶意攻击者会选择不需要认证，但是它可以将所有不支持IPSec或没有证书的连接都退回。当所有合法客户端都支持IPSec时，为入站连接选择要求安全认证。当所有服务器都支持IPSec时，为出站连接选择要求安全认证。本例中选择“入站和出站连接请求身份验证”单选按钮。高级安全Windows防火墙可以提供如下几种身份验证要求。

请求对入站连接和出站连接进行身份验证：使用此选项要求对所有入站和出站流量进行身份验证，但不能进行身份验证时仍允许连接。如果可以进行身份验证，则将对流量进行身份验证。此选项通常用于低安全性环境或计算机必须要连接的环境，但不能执行具有高级安全性的Windows防火墙所具备的身份验证类型。

要求对入站连接进行身份验证并请求对出站连接进行身份验证：使用此选项要求对所有入站流量进行身份验证，否则将阻止该流量。可以对出站流量进行身份验证，但身份验证失败时仍然允许其通过。如果对出站流量可以进行身份验证，则将对该流量进行身份验证。

要求对入站和出站连接进行身份验证：使用此选项要求对所有入站和出站流量进行身份验证，否则将阻止该流量。此选项通常用于高安全性的网络环境，其中流量必须受到保护和控制，且必须能进行连接的计算机可以执行具有高级安全性的Windows防火墙所具备的身份验证类型。

不进行身份验证：对所有入站连接和出站连接请求均不进行任何身份验证，此种方式安全性最低。

第4步，单击“下一步”按钮，显示如图2-66所示的“身份验证方法”对话框，选择希望使用的身份验证方法即可，此处选择“默认值”单选按钮。除此之外，用户也可以选择“高级”单选按钮，重新定义自己需要的身份验证方法。高级安全Windows防火墙可以提供如下几种身份验证方法。

默认值：选择此选项可使用“具有高级安全性的Windows防火墙属性”对话框的“IPSec设置”选项卡上所配置的身份验证方法。

计算机和用户（Kerberos V5）：这种方法使用计算机和用户身份验证。这意味着可以请求或要求用户和计算机在继续通信之前都要进行身份验证。

计算机（Kerberos V5）：这种方法请求或要求计算机使用Kerberos V5身份验证协议进行身份验证。

用户（Kerberos V5）：这种方法请求或要求用户使用Kerberos V5身份验证协议进行身份验证。

计算机证书：这种方法请求或要求使用有效的计算机证书进行身份验证。要使用这种方法，必须至少具有一个证书颁发机构（CA）。

第5步，单击“下一步”按钮，显示如图2-67所示的“配置文件”对话框，选择需要应用规则的配置文件，系统默认为全部选择。

第6步，单击“下一步”按钮，显示如图2-68所示的“名称”对话框，在“名称”和“描述”文本框中，分别输入规则名称和描述即可。

第7步，单击“完成”按钮关闭向导，完成新规则的创建。