Windows 2008 安全策略增強簡述
WindowsServer2008在安全性和可靠性方面有很多的提升,就安全策略管理方面就可以明顯看到增加了很多內容,我們僅從截圖就明顯的可以比較出來。
Windows2003域安全設置圖 Windows2008域安全設置圖
從上面兩圖可以明顯看出Windows2008系統的安全設置比Windows2003系統多了高級安全Windows防火墻、網絡訪問保護、應用程序控制策略、高級審核策略配置等幾大類設置,當然相同設置中也有小的變化。而這些增加的項目對我們日常的管理是有很大幫助的。下面分別簡述之。
一、高級安全Windows防火墻。
大家都知道現在網絡上的危險無處不在。有各種各樣的風險(病毒、木馬、釣魚、暴力破解、誤操作、惡意刪改等等問題。)同時安全保護也是一個非常復雜的系統工程。微軟提出安全是要進行縱深防御多層次保護的。就像我們不能只靠小區門衛保護我們家的安全,萬一小區門衛疏忽了,而我們的家沒有鎖。還是會造成損失的。所以我們實際生活中有小區門衛、小區監控、防盜門、房門等多重防范。有一層出了問題并不會導致全線崩潰。對計算機網絡系統也是如此。公司對外有專門的防火墻保證內網的安全。有專門的殺毒軟件負責殺毒。可光是這些就一定安全了嗎?其實不然,有句老話是“家賊難防”,我們也常會說堡壘總是從內部被攻破的。實際上就算外部的威脅防住了,網絡內部的危險還是很多。如內部員工誤操作、惡意破壞等,當然有的問題我們可以通過增強其他方面的設置來解決如權限控制、加密等。當然還有一些內部網絡上的問題,如果內部某個員工用某些黑客工具進行惡意操作、用某些P2P軟件下載大量占用帶寬,由于計算機已經在內部網絡,公司對外的防火墻就很難控制了。而Windows2008系統中的高級安全Windows防火墻就可以發揮作用了。高級安全Windows防火墻將主機防火墻和Internet協議安全性(IPsec)結合在一起。與邊界防火墻不同,高級安全Windows防火墻在每臺運行此版本Windows的計算機上運行,并對可能穿越邊界網絡或源于組織內部的網絡攻擊提供本地保護。通過允許您要求對通信進行身份驗證和數據保護,它還提供計算機到計算機的連接安全。高級安全Windows防火墻專供需要在企業環境中管理網絡安全的IT管理員使用。它不適于在家庭網絡中使用。家庭用戶應考慮使用“控制面板”中提供的“Windows防火墻”程序。舉例來說:公司中如果有員工偷偷使用P2P工具下載電影、游戲,大量占用帶寬,影響公司網絡正常使用就可用高級安全Windows防火墻進行控制:
考慮到P2P工具在進行惡意下載操作時,會通過系統的3077,3078端口對外進行網絡通信,我們只要讓高級安全防火墻功能限制3077,3078端口對外進行網絡通信,就能實現阻止上網用戶偷偷使用迅雷這樣的P2P工具進行惡意下載了。現在,我們就利用Win2008系統的高級安全防火墻功能創建安全訪問規則,禁止P2P工具進行下載連接:
首先以系統管理員權限進入Win2008系統桌面,依次點選“開始”菜單中的“程序”、“管理工具”、“服務器管理器”命令,從其后出現的服務器管理器窗口左側位置處,將鼠標定位于“配置”節點選項上,再選中目標節點選項下面的“高級安全防火墻”項目;
其次打開“高級安全防火墻”配置界面,在該界面左側位置處點選“出站規則”功能選項,再從對應該功能選項的右側位置處點選“新規則”功能選項,打開安全出站規則創建向導對話框,當向導對話框詢問我們要進行何種類型的控制操作時,我們應該選中這里的“端口”選項,以便讓高級安全防火墻功能對本地計算機中3077、3078端口的網絡連接進行限制;
接著單擊“下一步”按鈕,在其后出現的向導設置對話框中選中“TCP”功能選項,并且選中“特定本地端口”選項,此時“特定本地端口”文本框會被自動激活,在該文本框中直接輸入“3077,3078”端口號碼,
再單擊“下一步”按鈕后,向導屏幕會彈出提示詢問“連接符合指定條件時應該進行什么操作”,這個時候我們必須將“阻止連接”功能選項選中,之后設置好該安全規則具體的應用范圍,在這里我們可以同時選中“域”、“專用”、“公用”這幾種應用環境,最后為新創建的出站規則設置一個合適的名稱,再單擊“完成”按鈕結束安全出站規則的創建工作,這樣的話任何一位上網用戶在本地Win2008系統中嘗試進行惡意下載時,Win2008系統自帶的高級安全防火墻功能就對自動對這樣的惡意下載進行攔截,那么本地網絡的運行穩定性自然也就能得到有效保證了。
當然除了端口協議可以控制,還可以根據應用程序、用戶、計算機、IP地址范圍及驗證方式等多方面進行控制,非常靈活。由于可以通過組策略進行設置。不需要用戶在每臺計算機上在進行安裝設置(以前可需要在客戶機上裝個人防火墻軟件),大大減輕了管理工作量
二.網絡訪問保護策略(NPS)
公司里有很多人用移動辦公設備,很可能各種問題:如病毒庫更新不及時、系統補丁沒有安裝等情況,當這樣狀態不健康的計算機接入公司內網后,可能給公司網絡帶來危險。這時就可用NPS把關了。當然要實現網絡訪問保護策略要先安裝NPS服務,管理員可通過“服務器管理器”中的“角色添加”向導手工添加NPS服務。進而在DHCP服務中進行相應設置。就可以配置NPS策略。NPS策略包含四部分的內容,分別為:網絡健康驗證器、更新服務器組、健康策略和網絡策略,將對加入到公司網絡的計算機進行驗證、隔離、補救以及健康策略審核。
NAP部署后,當外出用戶回到公司登錄到公司的網絡時,首先進行客戶端檢測,沒有安裝最新病毒庫的計算機,自動連接到病毒庫更新服務器升級病毒庫;沒有安裝系統補丁的計算機,自動連接到WSUS服務器升級補丁;沒有啟用防火墻的計算機,提示客戶端啟用防火墻。當以上條件滿足后,允許客戶端連接到內部網絡中,最大限度地保證網絡安全。
三.應用程序控制策略(AppLocker)
AppLocker是Windows7中的新功能,WindowsServer2008R2中可用于取代了軟件限制策略功能。AppLocker包含減少管理開銷的新功能和擴展(如可執行文件、腳本、WindowsInstaller文件和DLL),幫助管理員控制用戶如何訪問和使用文件。使用AppLocker,您可以:1.基于從數字簽名派生的文件屬性(包括發布者、產品名稱、文件名和文件版本)定義規則。例如,可以根據更新過程中持續存在的發布者屬性創建規則,或者為特定版本的文件創建規則。2.向安全組或單個用戶分配規則。3.創建規則的例外。例如,可以創建一個規則,允許除注冊表編輯器(Regedit.exe)之外的所有Windows進程運行。4.使用僅審核模式部署策略并了解其影響,然后再強制該策略。5.導入和導出規則。導入和導出影響整個策略。例如,如果導出策略,則會導出所有規則集合中的所有規則,包括規則集合的強制設置。如果導入策略,則會覆蓋現有策略。6.使用AppLockerPowerShellcmdlet簡化AppLocker規則的創建和管理。
通過應用程序控制策略可以很容易做到:1.減少運行惡意軟件的機會,因為我們可以限制用戶運行這些應用程序(可以直接對某些可疑用戶進行限制,以前的軟件限制策略是對所有用戶)。2.可以很好地消除一些應用程序兼容性的問題,我們可以設置只運行比設定的版本號更新的應用程序。3.可以有效地提升我們的工作效率,防止和工作無關的應用程序占用太多系統資源,浪費無謂的工作時間。雖然AppLocker也可以通過Windows7系統本地設置,不過由Windows2008的域環境中的組策略設置顯然更方便管理網絡環境中的計算機。
簡單介紹了Windows2008系統中新增的部分安全設置,已經可以看到有了這些安全策略的設置可以大大方便我們的日常管理作業。當然要想管理好,還要對這些新增策略進行更多的學習與研究試驗,才能在實際工作中把它們用得更好。
【編輯推薦】
