WindowsServer上实施服务器安全（课堂PPT）

1、保密性保密性完整性完整性可用性可用性安全安全原则原则策略、过程和通告物理安全周边内部网络内部网络主机主机应用程序应用程序数据应用最新的应用最新的 Service Pack 和和所有可用的安全修补程序所有可用的安全修补程序使用组策略来加固服务器使用组策略来加固服务器- 禁用不需要的服务禁用不需要的服务- 实施安全密码策略实施安全密码策略- 禁用禁用 LAN Manager 和和 NTLMv1 身份验证身份验证限制对服务器的物理和网络访问限制对服务器的物理和网络访问WMI被监控的客户端被监控的客户端被监控的服务器被监控的服务器SQL收集程序收集程序易受篡改的事件易受篡改的事件在审核者控制下的事件在

2、审核者控制下的事件事件日志事件日志事件日志事件日志实时入侵检测应用程序实时入侵检测应用程序法庭分析法庭分析管理系统管理系统加固操作系统的安全，并应用所有相关的安全修加固操作系统的安全，并应用所有相关的安全修补程序补程序删除不必要的组件删除不必要的组件运行运行 IIS 锁定工具锁定工具配置配置 URLScan将内容放在单独的将内容放在单独的 NTFS 分区上分区上通过使用最少权限来保护文件通过使用最少权限来保护文件要求对敏感的要求对敏感的 Web 通信进行加密通信进行加密如有可能，请不要同时启用同一如有可能，请不要同时启用同一 Web 站点的站点的“执行执行”和和“写写”权限权限使用使用“中级中

3、级”或或“高级应用程序保护高级应用程序保护”运行应用运行应用程序程序使用使用 IPSec 筛选以只允许与筛选以只允许与 Web 服务器进行服务器进行必需的通信（必需的通信（HTTP 和和 HTTPS）12345678910指定安全和管理边界指定安全和管理边界基于授权要求设计基于授权要求设计Active Directory 结构结构 基于基于最佳做法指南最佳做法指南 实施安全边界实施安全边界确保密码和帐户策略符合组织的安全要求确保密码和帐户策略符合组织的安全要求增强增强“默认域策略默认域策略 GPO”中的设置，或在中的设置，或在域级别创建一个新的域级别创建一个新的 GPO检查重要检查重要 Act

4、ive Directory 对象的审核设置对象的审核设置域策略域域工程成员服务器基准策略成员服务器域控制器域控制器策略打印服务器策略文件服务器策略IIS 服务器策略打印服务器文件服务器Web 服务器操作管理员操作管理员Web 服务管理员建立安全目录服务和数据管理做法建立安全目录服务和数据管理做法授予所需的最小权限授予所需的最小权限区分服务和数据管理角色区分服务和数据管理角色基础结构服务器基础结构服务器文件和打印服务器文件和打印服务器IIS 服务器服务器认证服务服务器认证服务服务器堡垒主机堡垒主机保护保护 Active Directory 安全安全应用成员服务器应用成员服务器基准策略基准策略RA

5、DIUS (IAS) 服务器服务器加固程序加固程序应用增量式基于应用增量式基于角色的安全设置角色的安全设置在使用安全模板之前对模板进行在使用安全模板之前对模板进行检查和修改检查和修改使用安全配置和分析工具在使用安全配置和分析工具在应用模板设置之前对设置进行应用模板设置之前对设置进行检查检查在部署模板之前对它们进行在部署模板之前对它们进行彻底测试彻底测试将安全模板存储在一个安全的位置将安全模板存储在一个安全的位置保护域控制器构建环境的安全保护域控制器构建环境的安全建立提供安全的域控制器构建做法建立提供安全的域控制器构建做法 保持物理安全保持物理安全使用适当的安全方法来控制对域控制器的物理访问使用

6、适当的安全方法来控制对域控制器的物理访问实施适当的审核和事件日志设置实施适当的审核和事件日志设置使用组策略将域控制器安全模板应用到所有域控制器使用组策略将域控制器安全模板应用到所有域控制器禁用不需要的服务禁用不需要的服务保护广为人知的用户帐户的安全保护广为人知的用户帐户的安全仅启用角色需要的服务仅启用角色需要的服务启用服务日志记录以捕获相关信息启用服务日志记录以捕获相关信息使用使用 IPSec 筛选，以便基于服务器角色阻止筛选，以便基于服务器角色阻止特定端口特定端口根据需要为具有多个角色的服务器修改模板根据需要为具有多个角色的服务器修改模板使用使用“安全配置和分析安全配置和分析”工具将模板应用于工具将模板应用于独立服务器独立服务器根据