服务器安全配置实用技术

1、服务器安全配置实用服务器安全配置实用技术技术第1节 WINDOWS SERVER 2008安全管理第2节 LINUX安全配置第3节 综合管理规范第1节 WINDOWS SERVER 2008安全管理 本节主要介绍本节主要介绍Windows Server 2008Windows Server 2008安全策略配安全策略配置与管理、高级防火墙控制功能、以及配置系统安全性置与管理、高级防火墙控制功能、以及配置系统安全性的措施等内容的措施等内容。包括。包括以下主要以下主要内容：内容： 系统安全系统安全实现方法实现方法 Windows Windows Server 2008Server 2008安全策略

2、安全策略 Windows Server 2008Windows Server 2008高级防火墙高级防火墙 Windows Server Windows Server 20082008网络网络访问保护访问保护序序Internet的迅猛发展，在给我们带来极大方便的同时，也带来了的迅猛发展，在给我们带来极大方便的同时，也带来了安全方面的问题。由于安全方面的问题。由于Internet从建立开始就缺乏安全的总体构从建立开始就缺乏安全的总体构想和设计，而想和设计，而TCP/IP协议也是在可信环境下为网络互联专门设协议也是在可信环境下为网络互联专门设计的，同样缺乏安全措施的考虑，加上黑客的攻击及各类恶意代

3、计的，同样缺乏安全措施的考虑，加上黑客的攻击及各类恶意代码的干扰，使得网络存在很多不安全因素，如口令猜测、地址欺码的干扰，使得网络存在很多不安全因素，如口令猜测、地址欺骗、业务否决、对域名系统和基础设施破坏、利用骗、业务否决、对域名系统和基础设施破坏、利用Web破坏数据破坏数据库、邮件炸弹、病毒携带等。库、邮件炸弹、病毒携带等。服务器是网络应用的基础，服务器系统的安全自然也就是网络安服务器是网络应用的基础，服务器系统的安全自然也就是网络安全的重点，全的重点，Windows Server 2008操作系统最突出的改进就是操作系统最突出的改进就是安全性的提升，服务器系统安全工作涉及范围宽广，如系统

4、内核安全性的提升，服务器系统安全工作涉及范围宽广，如系统内核安全、应用程序安全、用户帐户安全和端口安全等多个方面，根安全、应用程序安全、用户帐户安全和端口安全等多个方面，根据服务器所处环境的不同，据服务器所处环境的不同，Windows Server 2008系统支持管系统支持管理员启用不同的安全防护策略。理员启用不同的安全防护策略。 Windows服务器有多容易服务器有多容易被被恶意攻击？恶意攻击？Windows Server 2008能够帮助企业管理和扩能够帮助企业管理和扩大业务流程，对于一个企业来说，定义系统保护大业务流程，对于一个企业来说，定义系统保护策略以确保企业的关键业务信息的安全是

5、至关重策略以确保企业的关键业务信息的安全是至关重要的。保证服务器安全是一个系统的工程，很难要的。保证服务器安全是一个系统的工程，很难通过一种手段或方法保证安全目标的实现，我们通过一种手段或方法保证安全目标的实现，我们需要需要针对不同的安全需要来选择不同方法针对不同的安全需要来选择不同方法，立体，立体的保护的保护Windows Server 2008的系统安全。的系统安全。 1 WINDOWS SERVER 2008系统安全（系统安全（1）1初始化的安全设置初始化的安全设置（1）权限累计特性权限累计特性。如果一个用户同时属于两个组，。如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权

6、限。那么他就有了这两个组所允许的所有权限。 （2）拒绝的权限比允许的权限级别高（拒绝优先）拒绝的权限比允许的权限级别高（拒绝优先）。如果一个用户属于一个被拒绝访问某个资源的组，那如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也不么不管其他的权限设置给他开放了多少权限，他也不能访问这个资源。所以设置拒绝权限要非常小心，任能访问这个资源。所以设置拒绝权限要非常小心，任何一个不当的拒绝都有可能造成系统无法正常运行。何一个不当的拒绝都有可能造成系统无法正常运行。 （3）文件权限比文件夹权限高文件权限比文件夹权限高。（4）仅给用户真正需要的权限，权限的）仅给用户

7、真正需要的权限，权限的最小化原则最小化原则是安全的重要保障。是安全的重要保障。1 WINDOWS SERVER 2008系统安全（系统安全（2）2. 配置自动更新配置自动更新1 WINDOWS SERVER 2008系统安全（系统安全（3）图图1-1 “Windows Update”窗口窗口 图图1-2 “更改设置更改设置”窗口窗口 服务器不建议配置自动更新服务器不建议配置自动更新3用户帐户安全管理用户帐户安全管理 Windows Server 2008的本地安全策略可以限制的本地安全策略可以限制匿名访问。运行匿名访问。运行“本地安全设置本地安全设置”管理控制台管理控制台 1 WINDOWS

8、SERVER 2008系统安全（系统安全（4）图图1-3 网络访问设置网络访问设置 图图1-4 “用户属性用户属性”窗口窗口 4禁用或删除不需要的服务禁用或删除不需要的服务增强服务器安全性的最佳方法是不安装任何与业务不增强服务器安全性的最佳方法是不安装任何与业务不相关的应用程序，并且关闭不需要的服务。相关的应用程序，并且关闭不需要的服务。 1 WINDOWS SERVER 2008系统安全（系统安全（5）图图1-5 “服务属性服务属性”窗口窗口 5创建一个强大和健壮的审计和日志策略创建一个强大和健壮的审计和日志策略 在在Windows Server 2008中，默认创建的日志类型有：中，默认创

9、建的日志类型有：应用日志、安全日志、安装程序日志、系统日志和转发应用日志、安全日志、安装程序日志、系统日志和转发的事件日志。的事件日志。 1 WINDOWS SERVER 2008系统安全（系统安全（6）图图1-6 “事件查看器事件查看器”窗口窗口 安全策略安全策略概述概述 安全策略是事先定义的一系列应用计算机的行为准则，应用这安全策略是事先定义的一系列应用计算机的行为准则，应用这些安全策略保证用户具有一致的工作方式，防止用户破坏计算些安全策略保证用户具有一致的工作方式，防止用户破坏计算机上的各种重要配置，保护网络上的敏感数据。机上的各种重要配置，保护网络上的敏感数据。2 WINDOWS SE

10、RVER 2008安全策安全策略略 图图1-7 “本地安全策略本地安全策略”窗口窗口 帐户策略主要用于限制用户帐户的交互方式，其中包括密码帐户策略主要用于限制用户帐户的交互方式，其中包括密码策略和帐户锁定策略，这些设置同时适用于独立服务器与环策略和帐户锁定策略，这些设置同时适用于独立服务器与环境。境。安全策略之帐户安全策略之帐户策略（策略（1） 图图1-8 本地安全设置本地安全设置 1、密码策略、密码策略 （1）密码必须符合复杂性要求）密码必须符合复杂性要求（2）最短密码长度）最短密码长度 （3）密码最短使用期限）密码最短使用期限 （4）密码最长使用期限）密码最长使用期限 （5）强制密码历史）

11、强制密码历史 帐户帐户锁定策略锁定策略 对于域或本机的用户帐户来说，通过帐户锁定策略对于域或本机的用户帐户来说，通过帐户锁定策略可以判定帐户锁定的时机及对象。如图可以判定帐户锁定的时机及对象。如图1-9所示。所示。 安全策略之帐户策略（安全策略之帐户策略（2） （1）复位帐户锁定计数器）复位帐户锁定计数器（2）帐户锁定时间）帐户锁定时间 （3）帐户锁定阈值）帐户锁定阈值图图1-9 “帐户锁定策略帐户锁定策略”窗口窗口 本地本地策略包括审核策略、用户权限分配和安全选策略包括审核策略、用户权限分配和安全选项三个模块。项三个模块。1、审核策略、审核策略Windows Server 2008的默认安装

12、不设置安全审核。在的默认安装不设置安全审核。在“管管理工具理工具”“本地安全策略本地安全策略”管理控制台中选择管理控制台中选择“本地策略本地策略” “审核策略审核策略”，设置相应的审核，设置相应的审核 图图1-10 设置审核策略设置审核策略 图图1-11 审核帐户管理审核帐户管理 安全策略安全策略之本地策略（之本地策略（1）表表1 常用审核内容常用审核内容项目项目设置值设置值项目项目设置值设置值帐户管理帐户管理成功成功 失败失败特权使用特权使用失败失败登录事件登录事件成功成功 失败失败系统事件系统事件成功成功 失败失败对象访问对象访问失败失败目录服务访问目录服务访问失败失败策略更改策略更改成功

13、成功 失败失败帐户登录事件帐户登录事件成功成功 失败失败安全策略之本地安全策略之本地策略（策略（2）用户用户权限分配权限分配用户权限分配是用户权限分配是指指：针对针对系统的某种操作，可以修系统的某种操作，可以修改用户或用户组的权限范围改用户或用户组的权限范围图图1-12 “用户权限分配用户权限分配”窗口窗口 图图1-13 “属性属性”窗口窗口安全策略之本地策略（安全策略之本地策略（3）安全安全选项选项修改修改Windows Server 2008中默认系统安全选项设置。中默认系统安全选项设置。例如，选择安全设置中的例如，选择安全设置中的“本地策略本地策略”/“安全选项安全选项”，可以设置交互登

14、录方式可以设置交互登录方式 安全策略之本地策略（安全策略之本地策略（4）图图1-14 安全选项设置安全选项设置3 WINDOWS SERVER 2008高级防火高级防火墙墙 高级安全高级安全Windows防火墙防火墙（WFAS）是）是Windows Server 2008/Windows Vista的新的新增功能，该功能延续并加强了原来的增功能，该功能延续并加强了原来的Window防防火墙，是一款主机型状态防火墙。火墙，是一款主机型状态防火墙。默认状态下，默认状态下，windows防火墙已经处于开启状防火墙已经处于开启状态，能够提供基本的安全防护功能，保护内部网态，能够提供基本的安全防护功能，

15、保护内部网络免受恶意攻击者的入侵。除了使用默认配置外，络免受恶意攻击者的入侵。除了使用默认配置外，用户还可以根据需要开启或关闭防火墙。在用户还可以根据需要开启或关闭防火墙。在Windows Server 2008中，中，Windows防火墙防火墙的基本配置变化不大，拥有系统管理权限用户帐的基本配置变化不大，拥有系统管理权限用户帐户，就可以在控制面板中，打开并配置防火墙。户，就可以在控制面板中，打开并配置防火墙。 3.1 防火墙概述防火墙概述 （1）表表2 各版本的各版本的Windows防火墙功能比较防火墙功能比较防火墙防火墙操作系统版本操作系统版本功能功能ICFWindows XPWindow

16、s XP SP1主机型防火墙主机型防火墙Windows防火墙防火墙Windows Server 2003Windows XP SP2主机型防火墙主机型防火墙可以阻止未经授权的连接请求可以阻止未经授权的连接请求提供完善的操作界面提供完善的操作界面与操作系统结合更加紧密与操作系统结合更加紧密高级安全高级安全Windows防火防火墙墙（WFAS）Windows Server 2008Windows VistaWindows 7主机型防火墙主机型防火墙可以阻止未经授权的连接请求可以阻止未经授权的连接请求提供完善的主机型防火墙功能提供完善的主机型防火墙功能整合整合IPsec功能功能默认状态为启用默认状态

17、为启用“高级安全Windows防火墙”具有如下新特性：1、全新的控制台管理界面2、双向保护3、集成IPsec功能4、更详细的规则配置5、支持网络位置识别和配置6、支持IPv6协议。3.1 防火墙概述防火墙概述 （2）3.2 防火墙的基本配置（防火墙的基本配置（1） Windows Server 2008系统下以管理员帐户系统下以管理员帐户登录，依次选择登录，依次选择“开始开始”“控制面板控制面板” “Windows防火墙防火墙”，打开，打开“Windows防火防火墙墙”窗口。单击窗口。单击“更改设备更改设备”超级链接，即可打超级链接，即可打开开“Windows防火墙设置防火墙设置”对话框。对话

18、框。 Windows防火墙有防火墙有3种设置：种设置：启用。启用。启用时阻止所有传入连接。启用时阻止所有传入连接。关闭。关闭。2、“例外例外”选项卡选项卡在如在如图所图所示示“例外例外”选项卡中设置能够直接访问网络的选项卡中设置能够直接访问网络的程序或服务，可以直接通过单击程序或服务，可以直接通过单击“添加程序添加程序”或者或者“添添加端口加端口”来自行添加需要访问外部网络的程序或服务，来自行添加需要访问外部网络的程序或服务，解除系统防火墙程序对网络访问的阻止。解除系统防火墙程序对网络访问的阻止。 3.2 防火墙的基本配置（防火墙的基本配置（2） 允许允许/限制程序访问限制程序访问为了提高系统

19、安全性，默认情况下为了提高系统安全性，默认情况下Windows防火墙阻止所有与计算机防火墙阻止所有与计算机程序建立的未经请求的连接，导致用户许多正常的网络应用无法实现。程序建立的未经请求的连接，导致用户许多正常的网络应用无法实现。因此，需要对这些程序进行设置，在防火墙中为这些程序创建例外，因此，需要对这些程序进行设置，在防火墙中为这些程序创建例外，应用程序即可通过防火墙访问网络。应用程序即可通过防火墙访问网络。图图1-17 “添加程序添加程序”对话框对话框 图图1-18 “更改范围更改范围”对话框对话框5.2 防火墙的基本配置（防火墙的基本配置（3） 允许限制端口访问允许限制端口访问端口可以认

20、为是计算机与外界通信交流的出口，开启的端口在提供端口可以认为是计算机与外界通信交流的出口，开启的端口在提供网络应用的同时，有可能成为恶意用户入侵的通道，网络应用的同时，有可能成为恶意用户入侵的通道， 图图1-19 “添加端口添加端口”对话框对话框 图图1-20 “高级高级”选项卡选项卡3.2 防火墙的基本配置（防火墙的基本配置（4） 3.3 高级安全高级安全WINDOWS防火墙的基本配置防火墙的基本配置 （1）高级安全高级安全Windows防火墙使用两组规则，配置防火墙使用两组规则，配置如何响应如何响应传入和传出传入和传出流量，确定允许或阻止流量流量，确定允许或阻止流量类型。连接安全规则确定如

21、何保护计算机与计算类型。连接安全规则确定如何保护计算机与计算机间的通讯，通过使用防火墙配置文件，可以应机间的通讯，通过使用防火墙配置文件，可以应用这些规则以及其他设置，监视防火墙活动和规用这些规则以及其他设置，监视防火墙活动和规则。则。（1）防火墙规则）防火墙规则（2）连接安全规则）连接安全规则（3）防火墙配置文件）防火墙配置文件（4）监视）监视以管理员帐户登录以管理员帐户登录Windows Server 2008系统后，依次单击系统后，依次单击“开开始始”/“管理工具管理工具”/“高级安全高级安全Windows防火墙防火墙”，打开，打开如如下下图所图所示的示的“高高级安全级安全Windows

22、防火墙防火墙”窗口，包括入站规则、出站规则和连接安全性规窗口，包括入站规则、出站规则和连接安全性规则则3种。种。 图图1-21 “高级安全高级安全Windows防火墙防火墙”窗口窗口 3.3 高级安全高级安全WINDOWS防火墙的基本配置防火墙的基本配置 （2）1、禁用或启用规则、禁用或启用规则管理员可以通过两种方式启用或禁用防火墙规则：管理员可以通过两种方式启用或禁用防火墙规则：Windows防火墙控防火墙控制台和制台和netsh命令。在高级安全命令。在高级安全Windows防火墙控制台中，首先选择防火墙控制台中，首先选择“入站规则入站规则”或或“出站规则出站规则”，然后右击相应规则，然后右

23、击相应规则，如下图所如下图所示，选示，选择择“禁用规则禁用规则”或者或者“启用规则启用规则”选项，即可更改其运行状态。使用选项，即可更改其运行状态。使用“netsh”命令启用或禁用单一规则以及规则组。命令启用或禁用单一规则以及规则组。 图图1-22 “规则启用规则启用/禁用禁用”对话框对话框3.3 高级安全高级安全WINDOWS防火墙的基本配置防火墙的基本配置 （3）2、创建防火墙规则、创建防火墙规则Windows 2008的高级安全的高级安全Windows防火墙使用出站防火墙使用出站和入站两种规则，配置其如何响应传入和传出的请求。默和入站两种规则，配置其如何响应传入和传出的请求。默认情况下，

24、管理员在该服务器上安装微软公司提供的网络认情况下，管理员在该服务器上安装微软公司提供的网络服务后，将自动添加在高级防火墙的出站规则列表中，并服务后，将自动添加在高级防火墙的出站规则列表中，并允许通过防火墙。但是，如果安装的是第三方网络服务，允许通过防火墙。但是，如果安装的是第三方网络服务，则必须通过手动创建相关规则，才可以将服务发布到网络。则必须通过手动创建相关规则，才可以将服务发布到网络。例如，如果在当前服务器上例如，如果在当前服务器上配置基于配置基于Serv-U的的FTP服务服务器器，则必须同时创建提供上传和下载的入站规则（两个不，则必须同时创建提供上传和下载的入站规则（两个不同的端口分别

25、是同的端口分别是2121和和2020）。）。3.3 高级安全高级安全WINDOWS防火墙的基本配置防火墙的基本配置 （4）步骤一，在高级安全步骤一，在高级安全Windows防火墙控制台中，右击防火墙控制台中，右击“入站规则入站规则”，选择快捷菜单中的，选择快捷菜单中的“新规则新规则”选项选项 图图1-23 “规则类型规则类型”对话框对话框 3.3 高级安全高级安全WINDOWS防火墙的基本配置防火墙的基本配置 （5）步骤二，单击步骤二，单击“下一下一步步”按钮，显示如图按钮，显示如图所示的所示的“协议和端口协议和端口”对话框。根据服务使对话框。根据服务使用的协议类型选择用的协议类型选择“TCP

26、”或者或者“UDP”单选按钮，本例中单选按钮，本例中FTP服务使用的是服务使用的是TCP端口，选择端口，选择“TCP”单选按钮即可。单选按钮即可。选择选择“特定本地端口特定本地端口”单选按钮，输入服务单选按钮，输入服务使用的端口号，如果使用的端口号，如果在配置服务器时指定在配置服务器时指定了非默认端口，则在了非默认端口，则在这里也应指定相应端这里也应指定相应端口，例如口，例如2121。 图图1-24 “协议和端口协议和端口”对话框对话框 3.3 高级安全高级安全WINDOWS防火墙的基本配置防火墙的基本配置 （6）步骤三，单击步骤三，单击“下一步下一步”按钮，显示如按钮，显示如图所图所示的示的

27、“操作操作”对话框，选择对话框，选择“允许连接允许连接”单选按钮。如果选择单选按钮。如果选择“只允许安全连接只允许安全连接”单选按钮，则高级单选按钮，则高级防火墙只允许特定的安全用户访问服务器，即使用防火墙只允许特定的安全用户访问服务器，即使用IPSec身份验证的用户。身份验证的用户。如果选择如果选择“阻止连接阻止连接”单选按钮，则将阻止所有用户到服务器的连接。单选按钮，则将阻止所有用户到服务器的连接。 图图1-25 “协议协议和端口和端口”对话框对话框 3.3 高级安全高级安全WINDOWS防火墙的基本配置防火墙的基本配置 （7）步骤四，单击步骤四，单击“下一步下一步”按钮，显示如按钮，显示

28、如图所图所示的示的“配置文件配置文件”对话框，对话框，设置该规则的应用范围。例如，设置该规则的应用范围。例如，FTP服务器仅对服务器仅对Internet用户提供服务，用户提供服务，则选择则选择“公用公用”复选框即可，内网用户对服务器的访问将不受防火墙保复选框即可，内网用户对服务器的访问将不受防火墙保护。护。 图图1-26 “配置文件配置文件”对话框对话框 3.3 高级安全高级安全WINDOWS防火墙的基本配置防火墙的基本配置 （8）步骤五，单击步骤五，单击“下一步下一步”按钮，显示如按钮，显示如图所图所示的示的“名称名称”对话框。在对话框。在“名称名称”文本框中输入该入站规则的显示名文本框中输

29、入该入站规则的显示名称，便于识别。在称，便于识别。在“描述描述”文本框中，可以输入相关的文本框中，可以输入相关的描述信息。描述信息。 图图1-27 “名称名称”对话框对话框 3.3 高级安全高级安全WINDOWS防火墙的基本配置防火墙的基本配置 （9）步骤六，单击步骤六，单击“完成完成”按钮，即可保存已创建的入站规则按钮，即可保存已创建的入站规则. FTP服务服务器提供下载和上传服务时，需要使用不同的端口，因此还需要对用于器提供下载和上传服务时，需要使用不同的端口，因此还需要对用于发布上传服务的端口创建入站规则，如发布上传服务的端口创建入站规则，如图所图所示。示。 图图1-28 “名称名称”对

30、话框对话框 3.3 高级安全高级安全WINDOWS防火墙的基本配置防火墙的基本配置 （10）步骤七，默认情况下，成功创建的入站规则将自动启步骤七，默认情况下，成功创建的入站规则将自动启用，并显示在用，并显示在“入站规则入站规则”窗口中如窗口中如图所图所示。示。 图图1-29 “高级安全高级安全Windows防火墙防火墙”窗口窗口 3.3 高级安全高级安全WINDOWS防火墙的基本配置防火墙的基本配置 （11）3、编辑防火墙规、编辑防火墙规则则在在Windows Server 2008系系统防火墙中，管理统防火墙中，管理员可以通过配置员可以通过配置ICMP协议响应机协议响应机制，使本地计算机制，

31、使本地计算机响应或拒绝其他计响应或拒绝其他计算机的算机的“ping”命命令测试，以确保服令测试，以确保服务器安全。务器安全。 图图1-30 “网络一路由器播发属性网络一路由器播发属性”对话框对话框 3.3 高级安全高级安全WINDOWS防火墙的基本配置防火墙的基本配置 （12）4 WINDOWS网络访问保护网络访问保护 远程访问是大多数局域网中比较常用的功能之一，远程访问是大多数局域网中比较常用的功能之一，由于不安全客户端远程拨入导致的网络瘫痪故障由于不安全客户端远程拨入导致的网络瘫痪故障也时有发生。也时有发生。Windows Server 2008系统的系统的网络访问保护功能网络访问保护功能

32、（Network Access Protection，简称，简称NAP），可以通过网络策略），可以通过网络策略服务器对客户端拨入请求进行身份验证和健康服务器对客户端拨入请求进行身份验证和健康 状态评估，只有达到网络健康标准的客户端，才状态评估，只有达到网络健康标准的客户端，才允许接入内部网络，未达到网络标准的客户端，允许接入内部网络，未达到网络标准的客户端，可以通过指定的修正服务器修复计算机的状态后可以通过指定的修正服务器修复计算机的状态后才允许接入内部网络。才允许接入内部网络。4.1 NAP概述概述 对于网络管理人员来说，必须确认接入企业网络的对于网络管理人员来说，必须确认接入企业网络的所有

33、计算机都更新为最新的系统状态，以及符合企所有计算机都更新为最新的系统状态，以及符合企业的业的“健康策略（健康策略（Health Policy）”需求需求 。Windows Server 2008与与Windows Vista的的NAP提供程序与提供程序与“应用程序编程界面应用程序编程界面(API)”以协助以协助管理人员设置，当用户执行网络访问或通信时，可管理人员设置，当用户执行网络访问或通信时，可强制其遵守企业网络计算机健康管理策略。强制其遵守企业网络计算机健康管理策略。 网络访问保护主要分为网络访问保护主要分为4个部分：个部分：策略验证、隔离、策略验证、隔离、补救和持续监控补救和持续监控。网

34、络内部安全已经成为网络安全的重点，用户水平参差网络内部安全已经成为网络安全的重点，用户水平参差不齐，使用习惯各不相同。例如，如果网络中没有安装不齐，使用习惯各不相同。例如，如果网络中没有安装软件更新或者防病毒软件的客户端，很可能导致整个网软件更新或者防病毒软件的客户端，很可能导致整个网络遭受攻击。络遭受攻击。NAP可以很好地解决这一难题，通常情况可以很好地解决这一难题，通常情况下，它可以应用于如下保护环境。下，它可以应用于如下保护环境。1、保护漫游计算机的健康、保护漫游计算机的健康2、保护桌面计算机的健康、保护桌面计算机的健康3、保护来访用户计算机的健康、保护来访用户计算机的健康4、保护家庭计

35、算机的健康、保护家庭计算机的健康4.2 NAP的环境的环境 NAP是一个用于帮助管理员保护网络安全的管是一个用于帮助管理员保护网络安全的管理平台，它由多个组件构成，其中必需的组件包理平台，它由多个组件构成，其中必需的组件包括网络策略服务器、强制点和强制客户端。括网络策略服务器、强制点和强制客户端。 图图1-31 启用启用NAP的网络基础结构的组建的网络基础结构的组建 4.3 NAP的系统架构及功能的系统架构及功能 默认安装完默认安装完Windows Server 2008后，没有安装网络策略和后，没有安装网络策略和远程访问服务，需要用户手动安装该服务。远程访问服务，需要用户手动安装该服务。运行

36、运行“添加角色向导添加角色向导”，在，在“选择服务器角色选择服务器角色”界面中，选中界面中，选中“网络策略和访问服务网络策略和访问服务”复选框复选框 。图图1-32 “选择服务器角色选择服务器角色”界面界面 图图1-33 “选择角色服务选择角色服务”界面界面 4.4 安装安装NAP（1）安装完毕，通过安装完毕，通过“管理工具管理工具”/“网络策略服务器网络策略服务器”，可以启动可以启动NPS。nNPS策略包含四部分的内容，分别为：网络健康验策略包含四部分的内容，分别为：网络健康验证器、更新服务器组、健康策略、网络策略，将对证器、更新服务器组、健康策略、网络策略，将对加入到公司网络的计算机进行验

37、证、隔离、补救以加入到公司网络的计算机进行验证、隔离、补救以及健康策略审核。及健康策略审核。 图图1-34 “网络策略服务器网络策略服务器”界面界面 4.4 安装安装NAP（2）图图1-35 “系统健康验证器系统健康验证器”界面界面 图图1-36 “新建健康策略新建健康策略”界面界面 4.4 安装安装NAP（3）5 其他安全特性其他安全特性 1、Bitlocker驱动加密驱动加密使用使用BitLocker 驱动器加密可以保护存储在安装驱动器加密可以保护存储在安装Windows的驱的驱动器上的所有文件。前代的加密文件系统动器上的所有文件。前代的加密文件系统 (EFS) 可以加密单独文可以加密单独

38、文件，与其不同的是，件，与其不同的是，BitLocker 将加密整个系统驱动器，包括启将加密整个系统驱动器，包括启动和登录所需的动和登录所需的Windows系统文件。系统文件。2、Windows Service HardeningWindows Service Hardening能够防止关键能够防止关键Windows服务被文服务被文档系统、注册表或网络中的异常活动使用，从而确保系统具有更档系统、注册表或网络中的异常活动使用，从而确保系统具有更高的安全性。由于高的安全性。由于Windows Service Hardening默认运行的服默认运行的服务很少，而且服务帐户拥有的特权极小，因而限制了网

39、络访问。务很少，而且服务帐户拥有的特权极小，因而限制了网络访问。3、限制可移动设备安装、限制可移动设备安装Windows Server 2008为企业提供一种保护数据的方法，这种为企业提供一种保护数据的方法，这种方法可以防止数据被拷贝到方法可以防止数据被拷贝到U盘等可移动设备上。通过配置组策盘等可移动设备上。通过配置组策略略(Group Policy)可实现对键盘、鼠标或者可实现对键盘、鼠标或者U盘的控制。管理者盘的控制。管理者在决定移动设备如何使用方面有着充分的在决定移动设备如何使用方面有着充分的灵活性。灵活性。本节小结本节小结 保证保证Windows Server 2008服务器安全，是提

40、服务器安全，是提供可靠服务的基础。供可靠服务的基础。本节介绍本节介绍Windows Server 2008安全策略配置安全策略配置与管理，以及配置系统安全性的措施。与管理，以及配置系统安全性的措施。Windows Server 2008内置了基本安全策略模内置了基本安全策略模板，能够满足常规安全配置需要，用户也可以根板，能够满足常规安全配置需要，用户也可以根据具体网络应用，合理配置据具体网络应用，合理配置Windows Server 2008的安全策略。的安全策略。本节以本节以安全安装操作系统、正确配置网络服务与安全安装操作系统、正确配置网络服务与端口、设置帐号及安全日志策略为例，介绍了配端口

41、、设置帐号及安全日志策略为例，介绍了配置置Windows Server 2008安全策略的作用与方安全策略的作用与方法。法。 第1节 WINDOWS SERVER 2008安全管理第2节 LINUX安全配置第3节 综合管理规范 本节主要介绍本节主要介绍LinuxLinux基础、安全概述以及安全策略基础、安全概述以及安全策略配配置置与安全管理等与安全管理等内容内容。包括。包括以下主要以下主要内容：内容： 为什么要用为什么要用LinuxLinux？ Linux Linux安全概述安全概述 Linux Linux安全安全配置配置第2节 LINXU安全配置与管理1. LINUX基础1.1 为什么要用L

42、inux?Linux操作系统具有稳定、安全、网络负载能力强、占用资源少等优点，现成为当今世界主流操作系统之一。Linux操作系统是开源的，任何人或企业都可以免费得到，降低了企业成本，提升利润空间。Linux操作系统是不容易受到病毒和木马攻击，运行安全稳定，不需要经常装机，降低了运维成本。Linux操作系统网络服务功能非常强大，支持丰富的网络协议和应用；在服务器领域非常成熟，占据大部分市场。2.1 Linux安全概述相对Windows而言，Linux是一个安全而稳定的操作系统。Linux系统安全与系统管理员有很大关系。服务安装的越多越容易导致系统的安全漏洞。安装Linux时，最好先最小化安装，然

43、后再加上必要的软件。这样可以减小某个程序出现安全隐患的可能。如果管理得好，Linux将是最安全的系统。应该尽量少让外人知道有关系统的信息。有时候简单地用finger程序就能知道不少系统信息，比如：有多少用户、管理员什么时候登录、什么时候工作、是谁现在正在使用这个系统以及其他有利于黑客猜出用户口令的信息。2. LINUX安全配置2.1 Linux安全概述日志是了解Linux系统运行情况的唯一方法。把所有的连接都记录在日志中，可以发现攻击者和他们试图进行的攻击。限制系统中SUID的程序。 SUID的程序是以root（Linux世界中的上帝）权限运行的程序。有时候这是必须的，但是在多数情况下则没有必

44、要。SUID程序可以做任何root做的事，有更多的机会出现安全隐患。黑客可以利用SUID的程序来破坏系统的安全。2. LINUX安全配置2.2 Linux安全配置（1）root账号root账号是Linux系统中享有特权的账号。 它是不受任何限制和制约的。因此，可能会因为敲错了一个命令，导致重要的系统文件被删除。用root账号的时候，要非常小心。因为安全原因，在不是绝对必要的情况下，不要用root账号登录。需要的时候可以使用su命令切换到root账号。特别要注意的是：千万不要在别的计算机上用root登录自己的服务器。2. LINUX安全配置2.2 Linux安全配置（2）账号管控禁止操作系统中不

45、必要的预置账号（每次升级或安装完都要检查一下）。Linux系统中提供了这样一些可能不需要的预置账号。如果确实不需要这些账号，就把它们删掉。系统中账号越多就越容易受到攻击。命令：rootAid# useradd admin 系统中加入必要的用户命令：rootAid# chattr +i /etc/passwd （ /etc/shadow 、/etc/group、/etc/gshadow） 给口令文件和组文件设置不可改变位2. LINUX安全配置2.2 Linux安全配置（2）账号管控删除不必要帐户1、应该删除所有不用的缺省用户和组账户（比如：lp，sync，shutdown，halt，mail）

46、；2、不用sendmail服务器可删除帐号news，uucp，operator，games；3、不用X windows服务器可删掉帐号gopher命令： rootAid#userdel lp 删除一些不必要用户命令：rootAid# groupdel adm 删除一些不必要的组2. LINUX安全配置2.2 Linux安全配置（3）防止任何人su成为root建议尽量限制用户通过su命令成为root。方法如下：第一步 编辑su文件（vi /etc/pam.d/su），在文件的头部加入下面两行： auth sufficient /lib/security/pam_rootok.so debug a

47、uth required /lib/security/pam_wheel.so group=wheel 这两行的意义是只有 wheel组的成员才能用su命令成为root。注意， w h e e l组是系统中用于这个目的的特殊账号。不能用别的组名。第二步，让授权账号加入wheel组。 rootAid# usermod -G10 admin2. LINUX安全配置2.2 Linux安全配置（4）禁止任意访问本机（启用TCP_WRAPPERS）第一步 vi /etc/hosts.deny，加入下面这些行： # Deny access to everyone. ALL: ALLALL, PARANOID第二步 vi /etc/hosts.allow。例如，可以加入下面这些行（被授权访问的计算机要明确地列出来）： sshd: 被授权访问的计算机的IP地址是：208.164. 186.