Windowsserver服务器安全配置

word文档可自由复制编辑word文档可自由复制编辑word文档可自由复制编辑毕业设计(论文)题目：Windows2008server服务器安全配置系（部）：信息工程系专业：计算机网络技术姓名：学号：指导教师：毕业设计（论文）任务书毕业设计（论文）题目:Windows2008server服务器安全配置毕业设计（论文）内容:毕业设计（论文）题目:Windows2008server服务器安全配置毕业设计（论文）内容:通过在网上阅读了相关Windows2008server服务器的内容，用电脑上的虚拟机对2008server服务器进行了对IP地址、端口和Web服务器的相关配置，设置了服务器的相关访问权限，防止非法用户的侵入获取个人信息或者恶意破坏。并且，通过了解了什么是安全策略，巧妙对WindowsServer2008系统的组策略功能进行深入挖掘，我们就可以发现许多安全应用秘密，对2008server服务器配置部分的安全策略，用来保护Windows2008server服务器的安全。毕业设计（论文）专题部分:利用WindowsServer2008系统，我们可以非常轻松地在局域网中搭建属于自己的服务器，以便让安装了其他系统的普通工作站进行随意访问。尽管WindowsServer2008系统的安全性能要比其他系统的安全性能高出许多，不过在局域网环境中，WindowsServer2008仍然存在被其他局域网工作站非法访问的可能。我们可以通过通过配置来加强保护，也可以利用WindowsServer2008系统强大的组策略功能，来对相关选项参数进行有效设置。指导教师:签字年月日教研室主任:签字年月日毕业设计(论文)评语指导教师评语:成绩:指导教师:(签字)年月日评阅人评语:成绩:评阅教师:(签字)年月日摘摘要WindowsServer2008是微软一个服务器操作系统的名称，它继承WindowsServer2003。WindowsServer2008在进行开发及测试时的代号为"WindowsServerLonghorn"。WindowsServer2008的版本就有好几种，与之前的版本相比，加强了保护力、灵活性，有独特的创新性，在默认状态下，允许所有的用户匿名连接IIS网站，即访问时不需要使用用户名和密码登录。不过，如果对网站的安全性要求高，或网站中有机密信息，就需要对用户限制，禁止匿名访问，而只允许特殊的用户账户才能进行访问。在网站上，通过IP地址限制保护网站，并配置Web服务是网站更加的安全。而且，为了有效保护网络以及服务器系统的安全，WindowsServer2008特意为我们新增加了网络策略服务器功能以及其他多项安全保护措施，利用网络策略功能服务器系统将会强制要求任何一台企图与之连接的普通工作站都要通过特定的网络健康检查，比方说普通工作站中是否安装了防火墙程序，是否及时更新了病毒库内容，是否安装了最新版本的系统补丁程序等，只有当普通工作站符合各种安全检查之后，服务器系统才允许该工作站连接服务器并访问其中的内容;而那些没有通过服务器系统安全检查的普通工作站将会被隔离到另外一个受限网络，或者降低服务器的访问权限。关键词：安全配置访问权限安全策略AbstractWindowsServer2008isthenameMicrosoftaserveroperatingsystem,itinheritstheWindowsServer2003.WindowsServer2008inthedevelopmentandtestingofthecodenamed"WindowsServerLonghorn".WindowsServerversion2008thereareseveral,comparedwiththepreviousversion,strengthenedtheprotectionforce,flexibility,innovativeunique,bydefault,allowingalluserstoanonymousconnectionIISwebsite,whichdoesnotneedtouseausernamepasswordtoaccess.However,ifthesecurityrequirementsofthewebsite,anyconfidinformationorwebsites,youneedtouserlimit,prohibitionofanonymousaccess,anallowusersaccesstoaspecialaccount.Onthesite,throughtheIPaddressrestricprotection,andconfiguretheWebserviceisthesitemoresecure.Moreover,inordertoprotectthesafetyofnetworkandserversystem,WindowsSer2008speciallyforournewaddednetworkpolicyserverfunctionsandanumberofothersecuritymeasures,usingthenetworkfunctionofstrategieswillrequireanyserversacommonworkstationtoconnectedtonetworkhealthexaminationofthespecific,forexamplecommonworkstationwhethertoinstallafirewallprogram,whethertoupdatevirusdatabasecontent,isthelatestversionofthesystempatchinstalled,onlywhenordinaryworkstationswithvarioussafetyinspection,theserversystemtoallowthetoconnecttotheserverandaccessitscontents;andthosewhowillbeordinaryworkserversystemsafetyinspectiondidnotpassbyisolationtoalimitednetwork,orreserveraccesspermissions.Keyword:securityconfigurationaccesecuritypolicys目录前言.........................................................................................一、2008server服务器简介..........................................................................1.1版本.......................................................................................1.2更强的控制力...............................................................................1.3增强的保护................................................................................1.4灵活性....................................................................................1.5自修复系统................................................................................1.6并行Session创建............................................................................1.7快速关机服务...............................................................................1.8核心事务管理器.............................................................................1.9测试版本..................................................................................1.10创新特性................................................................................二、在2008server服务器上安全配置.................................................................2.1安全配置IP地址和端口......................................................................2.2配置主目录................................................................................2.3访问权限和安全.............................................................................2.4安全配置Web服务...........................................................................三、安全策略保证系统安全..........................................................................3.1WindowsServer2008系统安全...............................................................3.2Win2008系统安全交给组策略保证...........................................................3.3设置网络策略让访问Win2008更安全.........................................................3.4让Win2008系统安全更上一层楼..............................................................3.5聚焦Win2008终端服务安全问题..............................................................3.6封堵隐私漏洞守卫Win2008系统安全..........................................................结论...........................................................................................结束语...........................................................................................参考文献.........................................................................................前言WindowsServer2008是专为强化下一代网络、应用程序和Web服务的功能而设计，是有史以来最先进的WindowsServer操作系统。拥有WindowsServer2008，即可在企业中开发、提供和管理丰富的用户体验及应用程序，提供高度安全的网络基础架构，提高和增加技术效率与价值。WindowsServer2008提供了一系列新的和改进的安全技术，这些技术增强了对操作系统的保护，WindowsServer2008提供了减小内核攻击面的安全创新，因而使服务器环境更安全、更稳定。通过保护关键服务器服务使之免受文件系统、注册表或网络中异常活动的影响，Windows服务强化有助于提高系统的安全性。在WindowsServer2008局域网环境中，许多普通工作站由于没有及时安装系统补丁程序或者没有更新病毒库，导致对应系统可能存在很多安全隐患，当这些工作站尝试访问局域网网络时，可能会给整个网络的安全带来比较大的威胁。这时，我们就可以通过设置WindowsServer2008系统的网络策略，来保护服务器系统的安全，禁止危险工作站将网络病毒或木马带入到服务器系统中。一、2008server服务器简介WindowsServer2008是微软一个服务器操作系统的名称，它继承WindowsServer2003。WindowsServer2008在进行开发及测试时的代号为"WindowsServerLonghorn"。1.1版本WindowsServer2008发行了多种版本，以支持各种规模的企业对服务器不断变化的需求。WindowsServer2008有5种不同版本，另外还有三个不支持WindowsServerHyper-V技术的版本，因此总共有8种版本。WindowsServer2008Standard是迄今最稳固的WindowsServer操作系统，其内置的强化Web和虚拟化功能，是专为增加服务器基础架构的可靠性和弹性而设计，亦可节省时间及降低成本。其系利用功能强大的工具，让您拥有更好的服务器控制能力，并简化设定和管理工作；而增强的安全性功能则可强化操作系统，以协助保护数据和网路，并可为您的企业提供扎实且可高度信赖的基础。WindowsServer2008Enterprise可提供企业级的平台，部署企业关键应用。其所具备的群集和热添加（Hot-Add）处理器功能，可协助改善可用性，而整合的身份管理功能，可协助改善安全性，利用虚拟化授权权限整合应用程序，则可减少基础架构的成本，因此WindowsServer2008Enterprise能为高度动态、可扩充的IT基础架构，提供良好的基础。WindowsServer2008Datacenter所提供的企业级平台，可在小型和大型服务器上部署具企业关键应用及大规模的虚拟化。其所具备的群集和动态硬件分割功能，可改善可用性，而通过无限制的虚拟化许可授权来巩固应用，可减少基础架构的成本。此外，此版本亦可支持2到64颗处理器，因此WindowsServer2008Datacenter能够提供良好的基础，用以建立企业级虚拟化和扩充解决方案。WindowsWebServer2008是特别为单一用途Web服务器而设计的系统，而且是建立在下一代WindowsServer2008中，坚若磐石之Web基础架构功能的基础上，其整合了重新设计架构的IIS7.0、ASP.NET和MicrosoftNETFramework，以便提供任何企业快速部署网页、网站、Web应用程序和Web服务。WindowsServer2008forItanium-BasedSystems已针对大型数据库、各种企业和自订应用程序进行优化，可提供高可用性和多达64颗处理器的可扩充性，能符合高要求且具关键性的解决方案的需求。WindowsHPCServer2008是下一代高性能计算（HPC）平台，可提供企业级的工具给高生产力的HPC环境，由于其建立于WindowsServer2008及64位元技术上，因此可有效地扩充至数以千计的处理器，并可提供集中管理控制台，协助您主动监督和维护系统健康状况及稳定性。其所具备的灵活的作业调度功能，可让Windows和Linux的HPC平台间进行整合，亦可支持批量作业以及服务导向架构（SOA）工作负载，而增强的生产力、可扩充的性能以及使用容易等特色，则可使WindowsHPCServer2008成为同级中最佳的Windows环境。1.2更强的控制力使用WindowsServer2008，IT专业人员能够更好地控制服务器和网络基础结构，从而可以将精力集中在处理关键业务需求上。增强的脚本编写功能和任务自动化功能（例如，WindowsPowerShell）可帮助IT专业人员自动执行常见IT任务。通过服务器管理器进行的基于角色的安装和管理简化了在企业中管理与保护多个服务器角色的任务。服务器的配置和系统信息是从新的服务器管理器控制台这一集中位置来管理的。IT人员可以仅安装需要的角色和功能，向导会自动完成许多费时的系统部署任务。增强的系统管理工具（例如，性能和可靠性监视器）提供有关系统的信息，在潜在问题发生之前向IT人员发出警告。在WindowsServer2008中，所有的电源管理设置已被组策略启用，这样就提供了潜在地节约了成本。控制电源设置通过组策略可以大量节省公司金钱。比如，你可以通过修改组策略设置中特定电源的设置，或通过使用组策略建立一个定制的电源计划。1.3增强的保护WindowsServer2008提供了一系列新的和改进的安全技术，这些技术增强了对操作系统的保护，为企业的运营和发展奠定了坚实的基础。WindowsServer2008提供了减小内核攻击面的安全创新（例如PatchGuard），因而使服务器环境更安全、更稳定。通过保护关键服务器服务使之免受文件系统、注册表或网络中异常活动的影响，Windows服务强化有助于提高系统的安全性。借助网络访问保护(NAP）、只读域控制器(RODC）、公钥基础结构（PKI）增强功能、Windows服务强化、新的双向Windows防火墙和新一代加密支持，WindowsServer2008操作系统中的安全性也得到了增强。NetworkAccessProtection(NAP）：这是一个新的框架，允许IT管理员为网络定义健康要求，并限制不符合这些要求的计算机与网络的通信。NAP强制执行管理员定义的、用于描述特定组织健康要求的策略。例如，健康要求可以定义为安装操作系统的所有更新，或者安装或更新反病毒或反间谍软件。以这种方式，网络管理员可以定义连接到网络时计算机应具备的基准保护级别。MicrosoftBitLocker在多个驱动器上进行完整卷加密，为您的数据提供额外的安全保护，甚至当系统处于未经授权操作或运行不同的操作系统时间、数据和控制时也能提供安全保护。Read-OnlyDomainController(RODC）：这是WindowsServer2008操作系统中的一种新型域控制器配置，使组织能够在域控制器安全性无法保证的位置轻松部署域控制器。RODC维护给定域中ActiveDirectory目录服务数据库的只读副本。在此版本之前，当用户必须使用域控制器进行身份验证，但其所在的分支办公室无法为域控制器提供足够物理安全性时，必须通过广域网(WAN)进行身份验证。在很多情况下，这不是一个有效的解决方案。通过将只读ActiveDirectory数据库副本放置在更接近分支办公室用户的地方，这些用户可以更快地登录，并能更有效地访问网络上的身份验证资源，即使身处没有足够物理安全性来部署传统域控制器的环境。FailoverClustering：这些改进旨在更轻松地配置服务器群集，同时对数据和应用程序提供保护并保证其可用性。通过在故障转移群集中使用新的验证工具，您可以测试系统、存储和网络配置是否适用于群集。凭借WindowsServer2008中的故障转移群集，管理员可以更轻松地执行安装和迁移任务，以及管理和操作任务。群集基础结构的改进可帮助管理员最大限度地提高提供给用户的服务的可用性，可获得更好的存储和网络性能，并能提高安全性。1.4灵活性WindowsServer2008的设计允许管理员修改其基础结构来适应不断变化的业务需求，同时保持了此操作的灵活性。它允许用户从远程位置（如远程应用程序和终端服务网关）执行程序，这一技术为移动工作人员增强了灵活性。WindowsServer2008使用Windows部署服务(WDS）加速对IT系统的部署和维护，使用WindowsServer虚拟化（WSv）帮助合并服务器。对于需要在分支机构中使用域控制器的组织，WindowsServer2008提供了一个新配置选项：只读域控制器（RODC），它可以防止在域控制器出现安全问题时暴露用户账户。1.5自修复系统从DOS时代开始，文件系统出错就意味着相应的卷必须下线修复，而在WindowsServer2008中，一个新的系统服务会在后台默默工作，检测文件系统错误，并且可以在无需关闭服务器的状态下自动将其修复。有了这一新服务，在文件系统发生错误的时候，服务器只会暂时停止无法访问的部分数据，整体运行基本不受影响，所以CHKDSK基本就可以退休了。1.6并行Session创建如果你有一个终端服务器系统，或者多个用户同时登陆了家庭系统，这些就是Session。在WindowsServer2008之前，Session的创建都是逐一操作的，对于大型系统而言就是个瓶颈，比如周一清晨数百人返回工作的时候，不少人就必须等待Session初始化。Vista和WindowsServer2008加入了新的Session模型，可以同时发起至少4个，而如果服务器有四颗以上的处理器，还可以同时发起更多。举例来说，如果你家里有一个媒体中心，那各个家庭成员就可以同时在各自的房间里打开媒体终端、同时从Vista服务器上得到视频流，而且速度不会受到影响。1.7快速关机服务Windows的一大历史问题就是关机过程缓慢。在WindowsXP里，一旦关机开始，系统就会开始一个20秒钟的计时，之后提醒用户是否需要手动关闭程序，而在WindowsServer里，这一问题的影响会更加明显。到了WindowsServer2008，20秒钟的倒计时被一种新服务取代，可以在应用程序需要被关闭的时候随时、一直发出信号。开发人员开始怀疑这种新方法会不会过多地剥夺应用程序的权利，但他们已经接受了它，认为这是值得的。1.8核心事务管理器这项功能对开发人员来说尤其重要，因为它可以大大减少甚至消除最经常导致系统注册表或者文件系统崩溃的原因：多个线程试图访问同一资源。在Vista核心中也有KTM这一新组件，其目的是方便进行大量的错误恢复工作，而且过程几乎是透明的，而KTM之所以可以做到这一点，是因为它可以作为事务客户端接入的一个事务管理器进行工作。1.9测试版本WindowsWebServer2008RC0WebWindowsServer2008RC0EnterpriseWindowsServer2008RC0StandardEditionWindowsServer2008RC0DatacenterWindowsServer2008RC0forItanium-basedSystems2008年3月13日已在北京发布三款核心应用平台产品：WindowsServer2008、VisualStudio2008、SQLServer20081.10创新特性1.WindowsServer2008、VisualStudio2008和SQLServer2008为创建和运行高要求的应用程序提供了一个安全可靠的平台。同时，也为下一代Web应用提供了坚实的基础、广泛的虚拟化技术支持以及相关信息的访问能力。进一步改善的安全技术、开发人员对最新平台的支持、改进的管理工具和Web工具、灵活的虚拟化解决方案以及相关信息的访问能力，使得广泛的技术解决方案成为可能。为IPv4和IPv6重新设计的下一代TCP/IP协议栈的支持不同性能和连通性的网络环境和技术需求。2.WindowsServer2008在虚拟化技术及管理方案、服务器核心、安全部件及网络解决方案等方面具有众多令人兴奋的创新性能：通过内置的服务器虚拟化技术，WindowsServer2008可以帮助企业降低成本，提高硬件利用率，优化基础设施，并提高服务器可用性；通过ServerCore、PowerShell、WindowsDeploymentServices以及增强的联网与集群技术等，WindowsServer2008为工作负载和应用要求提供功能最为丰富且可靠的Windows平台；WindowsServer2008的操作系统和安全创新，为网络、数据和业务提供网络接入保护、联合权限管理以及只读的域控制器等前所未有的保护，是有史以来最安全的WindowsServer；通过改进的管理、诊断、开发与应用工具，以及更低的基础设施成本。3.WindowsServer2008能够高效地提供丰富的Web体验和最新网络解决方案。动态硬件分区有助于使WindowsServer2008在诸如增加的可靠性和可用性，提升资源管理和按需容量上受益。WindowsServer2008中改进的故障转移集群（前身为服务器集群，是一组一起工作能使应用程序和服务达到高可用性的独立服务器）的目的是简化集群，使它们更安全，提高集群的稳定性。群集的设置和管理已经编得更为简易。改进了集群中的安全性和网络，并作为一种故障转移群集与存储的方式。在创建一个集群，强烈建议您验证您的配置。验证有助于你确认配置您的服务器，网络和存储，满足一系列故障转移集群的特殊要求。4.作为新一代开发工具，VisualStudio2008能帮助开发团队在最新的平台上开发杰出的用户体验，同时，通过进行灵活快速开发实现生产效率新突破，并使开发团队更好地进行协作：从建模到编码和调试，VisualStudio2008对编程语言、设计器、编辑器和数据访问功能进行了全面的提升，确保开发人员克服软件开发难题，快速创建互连应用程序；VisualStudio2008为开发人员提供了一些新的工具，在最新的平台上快速地构建杰出的、高度人性化用户体验的和互联的应用，这些最新平台包括Web、WindowsVista、Office2007、SQLServer2008、WindowsMobile和WindowsServer2008；MicrosoftVisualStudioTeamSystem2008提供完整的工具套件和统一的开发过程，适用于任何规模的开发团队，帮助所有团队成员提高自身技能，使得开发人员、设计人员、测试人员、架构师和项目经理更好地协同工作，缩短软件或解决方案的交付时间。二、在2008server服务器上安全配置2.1安全配置IP地址和端口Web服务器安装完成以后，可以使用默认创建的Web站点来发布Web网站。不过，如果服务器中绑定有多个IP地址，就需要为Web站点指定唯一的IP地址及端口。1．在IIS管理器中，右击默认站点，单击快捷菜单中的“编辑绑定”命令，或者在右侧“操作”栏中单击“绑定”，显示如图2.1-1所示的“网站绑定”窗口。默认端口为80，使用本地计算机中的所有IP地址。2．选择该网站，单击“编辑”按钮，显示如图2.1-2所示的“编辑网站绑定”窗口，在“IP地址”下拉列表框中选择欲指定的IP地址即可。在“端口”文本框中可以设置Web站点的端口号，且不能为空。“主机名”文本框用于设置用户访问该Web网站时的名称，当前可保留为空。图2.1-1所示的“网站绑定”窗口图2.1-2所示的“编辑网站绑定”窗口3.设置完成以后，单击“确定”按钮保存设置，并单击“关闭”按钮关闭即可。此时，在IE浏览器的地址栏中输入Web服务器的地址，显示如图2.1-3所示的窗口，表示可以访问Web网站。图2.1-3Web网站2.2配置主目录主目录也就是网站的根目录，用于保存Web网站的网页、图片等数据，默认路径为“C:\Intepub\wwwroot”。但是，数据文件和操作系统放在同一磁盘分区中，会存在安全隐患，并可能影响系统运行，因此应设置为其他磁盘或分区。1.打开IIS管理器，选择欲设置主目录的站点，在右侧窗格的“操作”选项卡中单击“基本设置”，显示如图2.2-1所示的“编辑网站”窗口，在“物理路径”文本框中显示的就是网站的主目录。2.在“物理路径”文本框中输入Web站点的新主目录路径，或者单击“浏览”按钮选择，最后单击“确定”按钮保存即可。图2.2-1“编辑网站”窗口用户访问网站时，通常只需输入网站域名即可，无需输入网页名，实际上此时显示的网页就是默认文档。一般情况下，Web网站需要至少一个默认文档，当用户使用IP地址或域名访问且没有输入网页名时，Web服务器就会显示默认文档的内容。1．在IIS管理器的左侧树形列表中选择默认站点，在中间窗格显示的默认站点主页中，双击“IIS”选项区域的“默认文档”图标，显示如图2.2-2所示的“默认文档”列表。有5种默认文档，分别为Default.htm、Default.asp、index.htm、index.html和iisstar.htm。当用户访问时，IIS会自动按顺序由上至下依次查找与之相对应的文件名。图2.2-2“默认文档”列表2.单击右侧“操作”任务栏中的“添加”链接，显示如图2.2-3所示的“添加默认文档”窗口，在“名称”文本框中可输入欲添加的默认文档名称。图2.2-3“添加默认文档”窗口3．单击“确定”按钮，即可添加该默认文档。新添加的默认文档自动排列在最上方，如图2.2-4所示，可通过单击右侧“操作”栏中的“上移”和“下移”超级链接来调整各个默认文档的顺序。图2.2-4添加的默认文档2.3访问权限和安全默认状态下，允许所有的用户匿名连接IIS网站，即访问时不需要使用用户名和密码登录。不过，如果对网站的安全性要求高，或网站中有机密信息，就需要对用户限制，禁止匿名访问，而只允许特殊的用户账户才能进行访问。2.3.1用匿名访问1．在IIS管理器中，选择欲设置身份验证的Web站点，如图2.3.1-1所示。图2.3.1-1Web站点2．在站点主页窗口中，选择“身份验证”，双击，显示“身份验证”窗口。默认情况下，“匿名身份验证”为“启用”状态，如图2.3.1-2所示。图2.3.1-2“身份验证”窗口3．右击“匿名身份验证”，单击快捷菜单中的“禁用”命令，即可禁用匿名用户访问。2.3.2使用身份验证在IIS7.0的身份验证方式中，还提供基本验证、Windows身份验证和摘要身份验证。需要注意的是，一般在禁止匿名访问时，才使用其他验证方法。不过，在默认安装方式下，这些身份验证方法并没有安装。可在安装过程中或者安装完成后手动选择。1．在“服务器管理器”窗口中，展开“角色”节点，选择“Web服务器(IIS)”，单击“添加角色服务”，显示如图2.3.2-1所示的“选择角色服务”窗口。在“安全性”选项区域中，可选择欲安装的身份验证方式。图2.3.2-1“选择角色服务”窗口2．安装完成后，打开IIS管理器，再打开“身份验证”窗口，所经安装的身份验证方式显示在列表中，并且默认均为禁用状态，如图2.3.2-2所示。图2.3.2-2图2.3.2-2“身份验证”窗口2.3.3通过IP地址限制保护网站在IIS中，还可以通过限制IP的方式来增加网站的安全性。通过允许或拒绝来自特定IP地址的访问，可以有效地避免非法用户的访问。不过，这种方式只适合于向特定用户提供Web网站的情况。同样，“IP地址限制”功能也需要手动安装，可在“选择角色服务”窗口中勾选“IP和域限制”复选框以进行安装。设置允许访问的IP地址的操作步骤如下：1.打开IIS管理器，选择欲限制的Web站点，双击“IPv4地址和域限制”图标，显示如图2.3.3-1所示的“IPv4地址和域限制”窗口。图2.3.3-1“IPv4地址和域限制”窗口2．在右侧“操作”任务栏中，单击“添加允许条目”链接，显示如图2.3.3-2所示的“添加允许限制规则”窗口。如果要添加一个IP地址，可点选“特定IPv4地址”单选按钮，并输入允许访问的IP地址即可；如果要添加一个IP地址段，可点选“IPv4地址范围”单选按钮，并输入IP地址及子网掩码即可。图2.3.3-2“添加允许限制规则”窗口3．单击“确定”按钮，IP地址添加完成。“拒绝访问”与“允许访问”正好相反。通过“拒绝访问”设置将拒绝来自一个IP地址或IP地址段的计算机访问Web站点。不过，已授予访问权限的计算机仍可访问。单击“添加拒绝条目”按钮，在打开的“添加拒绝限制规则”窗口中，添加拒绝访问的IP地址，如图2.3.3-3所示。其操作步骤与“添加允许条目”中相同，这里不再赘述。图2.3.3-3“添加拒绝限制规则”窗口2.4安全配置Web服务为了保护Web网站的安全，防止数据在传输过程中被截获和篡改，可以在Web服务器上配置SSL（SecureSocketLayer，安全套接字层）。SSL是一种利用证书实现数据加密的技术，HTTP协议可用来加密传输对安全比较敏感的数据和信息，实现Web服务端与Web客户端的安全通信。而客户端访问时，则要使用“https://DNS域名或IP地址”的形式。2.4.1创建SSL证书由于SSL是利用证书实现数据加密传输，因此，若要使用SSL，必须在Web服务器端创建用于SSL加密的证书。证书包含了有关服务器的信息，服务器允许客户在共享敏感信息之前对其加以积极识别，Web服务器只有安装有效服务器证书后才拥有安全通信功能。1．在“Internet信息技术(IIS)管理器”窗口中选择服务器名称，在“主页”中的“IIS”区域中双击“服务器证书”图标，显示如图2.4.1-1所示的“服务器证书”窗口。在安装IIS7.0时，系统自动创建了一个证书，网络管理员可以直接应用该证书实现SSL，也可以导入已有证书，或者创建新证书。2．这里，以创建一个自签名证书为例。在“操作”任务栏中单击“创建自签名证书”超级链接，显示如图2.4.1-2所示的“创建证书申请”窗口。在“为证书指定一个好记名称”文本框中为新证书设置一个名称。3．单击“确定”按钮，自签名证书创建完成，并显示在证书列表中，如图2.4.1-3所示。4．选择新创建的证书，在右侧“操作”栏中单击“查看”链接，显示如图2.4.1-4所示的“证书”窗口，可以查看该证书的名称、颁发者、颁发给、到期日期和证书哈希等详细信息，单击“确定”按钮。图2.4.1-1“服务器证书”窗口图2.4.1-2“创建自签名证书”窗口图2.4.1-3证书创建完成图2.4.1-4“证书”窗口2.4.2创建SSL网站当SSL证书创建完成以后，即可创建HTTPS站点，并启用SSL设置。需要注意的是，HTTPS站点只能在创建SSL证书后创建，不能将已创建的HTTP站点更改为HTTPS站点。1．在IIS管理器窗口的“连接”栏中，右击“网站”，在快捷菜单中单击“添加网站”命令，显示“添加网站”窗口，设置网站名称、物理路径，在“类型”下拉列表中选择“https”，在“IP地址”下拉列表中指定IP地址，“端口”使用默认的443即可；在“SSL证书”下拉列表中选择该网站欲使用的证书，如图2.4.2-1所示。2．单击“确定”按钮，HTTPS网站创建完成，如图2.4.2-2所示。3．在HTTPS网站主页中，双击“IIS”区域中的“SSL设置”图标，显示如图2.4.2-3所示的“SSL设置”窗口。4．勾选“要求SSL”复选框，默认启用40位数据加密方法。如果勾选“需要128位SSL”复选框，则启动128位数据加密方法。在“客户证书”选项区域中选择三种证书接受方式，分别如下。忽略：系统默认设置，不接受提供客户端证书，因此安全性最低。接受：启用服务器端的SSL设置，并接受客户端证书（若提供），在允许客户端获得内容访问权限之前验证客户端身份。这里选择该项。必需：在接受访问之前要求用户必须提供证书，以验证客户端身份的有效性，安全性最高。设置完成后，在右侧“操作”栏中单击“应用”链接，应用所有设置，如图2.4.2-4所示。图2.4.2-1“添加网站”窗口图2.4.2-2图2.4.2-2HTTPS网站创建完成图2.4.2-3“SSL设置”窗口图2.4.2-4应用SSL设置三、安全策略保证系统安全3.1WindowsServer2008系统安全尽管WindowsServer2008系统的安全性要领先其他操作系统一大步，不过默认状态下过高的安全级别常常使不少人无法顺利地在WindowsServer2008系统环境下进行各种操作，为此许多用户往往会采用手工方法来降低WindowsServer2008系统的安全访问级别。可是，一旦降低了安全访问级别，WindowsServer2008系统遭遇安全攻击的可能性就非常大了;那么如何在安全访问级别不高的情况下，我们仍然能够让WindowsServer2008系统安全地运行?要做到这一点，我们可以利用WindowsServer2008系统强大的组策略功能，来对相关选项参数进行有效设置!3.1.1禁止恶意程序“不请自来”在WindowsServer2008系统环境中使用IE浏览器上网浏览网页内容时，时常会有一些恶意程序不请自来，偷偷下载保存到本地计算机硬盘中，这样不但会白白浪费宝贵的硬盘空间资源，而且也会给本地计算机系统的安全带来不少麻烦。为了让WindowsServer2008系统更加安全，我们往往需要借助专业的软件工具才能禁止应用程序随意下载，很显然这样操作不但麻烦而且比较累人;其实，在WindowsServer2008系统环境中，我们只要简单地设置一下系统组策略参数，就能禁止恶意程序自动下载保存到本地计算机硬盘中了，下面就是具体的设置步骤：以特权帐号进入WindowsServer2008系统环境，依次点选系统桌面中的“开始”/“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地计算机的组策略编辑窗口;其次在组策略编辑窗口左侧区域展开“计算机配置”分支，再依次选择该分支下面的“管理模板”/“Windows组件”/“InternetExplorer”/“安全功能”/“限制文件下载”子项，双击“限制文件下载”子项下面的“InternetExplorer进程”组策略选项，打开如图1所示的目标组策略属性设置窗口。选中“已启用”选项，再单击“确定”按钮退出组策略属性设置窗口，这样一来我们就能成功启用限制InternetExplorer进程下载文件的策略设置，日后WindowsServer2008系统就会自动弹出阻止InternetExplorer进程的非用户初始化的文件下载提示，单击提示对话框中的“确定”按钮，恶意程序就不会通过IE浏览器窗口随意下载保存到本地计算机硬盘中了。3.1.2对重要文件夹进行安全审核WindowsServer2008系统可以使用安全审核的方法来跟踪访问重要文件夹或其他对象的登录尝试、用户账号、系统关闭、重启系统以及其他一些事件。要是我们能够充分利用WindowsServer2008系统文件夹的审核功能，就能有效保证重要文件夹的访问安全性，其他非法攻击者就无法轻易对其进行恶意破坏;在对WindowsServer2008系统中的重要文件夹进行访问审核时，我们可以按照如下步骤来进行：首先以特权帐号进入WindowsServer2008系统环境，依次点选系统桌面中的“开始”/“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地计算机的组策略编辑窗口。其次在组策略编辑窗口左侧区域展开“计算机配置”分支，再依次选择该分支下面的“Windows设置”/“安全设置”/“本地策略”/“审核策略”选项，在对应“审核策略”选项的右侧显示区域中找到“审核对象访问”目标组策略项目，并用鼠标右键单击该项目，执行右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口。选中该属性设置窗口中的“成功”和“失败”复选项，再单击“确定”按钮，如此一来访问重要文件夹或其他对象的登录尝试、用户账号、系统关闭、重启系统以及其他一些事件无论成功与失败，都会被WindowsServer2008系统自动记录保存到对应的日志文件中，我们只要及时查看服务器系统的相关日志文件，就能知道重要文件夹以及其他一些对象是否遭受过非法访问或攻击了，一旦发现系统存在安全隐患的话，我们只要根据日志文件中的内容及时采取针对性措施进行安全防范就可以了。3.1.3禁止改变本地安全访问级别在办公室中，我们有时需要与其他同事共享使用同一台计算机，当我们对本地计算机的IE浏览器安全访问级别设置好，肯定不希望其他同事随意更改它的安全访问级别，毕竟安全级别要是设置得太低的话，会导致潜藏在网络中的各种病毒或木马对本地计算机进行恶意攻击，从而可能造成本地系统运行缓慢或者无法正常运行的故障现象。为了防止其他人随意更改本地计算机的安全访问级别，WindowsServer2008系统允许我们进入如下设置，来保护本地系统的安全：首先以特权帐号进入WindowsServer2008系统环境，依次点选系统桌面中的“开始”/“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地计算机的组策略编辑窗口;其次在组策略编辑窗口左侧区域展开“用户配置”分支，再依次选择该分支下面的“管理模板”/“Windows组件”/“InternetExplorer”/“Internet控制模板”选项，在对应“Internet控制模板”选项的右侧显示区域中找到“禁用安全页”目标组策略项目，并用鼠标右键单击该项目，执行右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口;选中该属性设置窗口中的“已启用”选项，再单击“确定”按钮结束目标组策略属性设置操作，如此一来InternetExplorer的安全设置页面就会被自动隐藏起来，这样的话其他同事就无法进入该安全标签设置页面来随意更改本地系统的安全访问级别了，那么本地计算机系统的安全性也就能得到有效保证了。当然，我们也可以通过隐藏InternetExplorer窗口中的“Internet选项”，阻止其他同事随意进入IE浏览器的选项设置界面，来调整本地系统的安全访问级别以及其他上网访问参数。在隐藏InternetExplorer窗口中的“Internet选项”时，我们可以按照前面的操作步骤打开WindowsServer2008系统的组策略编辑窗口，将鼠标定位于“用户配置”/“管理模板”/“Windows组件”/“InternetExplorer”/“浏览器菜单”分支选项上，再将该目标分支选项下面的禁用“Internet选项”组策略的属性设置窗口打开，然后选中其中的“已启用”选项，最后单击“确定”按钮就能使设置生效了。3.1.4禁止超级账号名称被偷窃许多技术高明的黑客或恶意攻击者常常会通过登录WindowsServer2008系统的SID标识，来窃取系统超级账号的名称信息，之后再利用目标账号名称尝试去暴力破解登录WindowsServer2008系统的密码，最终获得WindowsServer2008系统的所有控制权限;很明显，一旦系统的超级权限帐号名称被非法窃取使用的话，那么WindowsServer2008系统的安全性就没有任何保证了。为了有效保证WindowsServer2008系统的安全性，我们不妨进行如下设置，禁止任何用户通过SID标识获取对应系统登录账号的名称信息：以特权帐号进入WindowsServer2008系统环境，依次点选系统桌面中的“开始”/“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地计算机的组策略编辑窗口;在组策略编辑窗口左侧区域展开“计算机配置”分支，再依次选择该分支下面的“Windows设置”/“安全设置”/“本地策略”/“安全选项”项目，找到该分支项目下面的“网络访问：允许匿名SID/名称转换”目标组策略选项，并用鼠标右键单击该选项，执行右键菜单中的“属性”命令打开如图4所示的目标组策略属性设置界面，选中其中的“已禁用”选项，再单击“确定”按钮退出组策略属性设置窗口，这样的话任何用户都将无法利用SID标识来窃取WindowsServer2008系统的登录账号名称信息了，那么WindowsServer2008系统受到暴力破解登录的机会就大大减少了，此时对应系统的安全性也就能得到有效保证了。3.1.5禁止U盘病毒“趁虚而入”很多时候，我们都是通过U盘与其他计算机系统相互交换信息的，但遗憾的是现在Internet网络中的U盘病毒疯狂肆虐，那么对于WindowsServer2008系统来说，我们究竟该采取什么措施来禁止U盘病毒“趁虚而入”呢?其实很简单，我们可以通过设置WindowsServer2008系统的组策略参数，来禁止本地计算机系统读取U盘，那样一来U盘中的病毒文件就无法传播出来，下面就是具体的设置步骤：首先以特权帐号进入WindowsServer2008系统环境，依次点选系统桌面中的“开始”/“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地计算机的组策略编辑窗口，其次在组策略编辑窗口左侧区域展开“用户配置”分支，再依次选择该分支下面的“管理模板”/“系统”/“可移动存储”选项，找到该分支选项下面的“可移动磁盘：拒绝读取权限”目标组策略选项，并用鼠标右键单击该选项，执行右键菜单中的“属性”命令打开如图5所示的目标组策略属性设置界面，选中其中的“已启用”选项，再单击“确定”按钮退出组策略属性设置窗口，同样地，再打开“可移动磁盘：拒绝写入权限”目标组策略选项的属性设置窗口，选中该窗口中的“已启用”选项，最后再单击“确定”按钮就能使设置生效了，此时U盘病毒就不能“趁虚而入”了，那么WindowsServer2008系统也就不会遭遇U盘病毒的非法攻击了。3.1.6禁止来自程序的漏洞攻击不少用户往往会错误地认为，只要对WindowsServer2008服务器系统的补丁程序进行及时更新，就能让本地服务器系统远离网络中各种木马程序或恶意病毒的非法攻击了。其实，为WindowsServer2008服务器系统更新补丁程序只能堵住系统自身存在的一些安全漏洞，如果安装在WindowsServer2008系统中的应用程序有明显漏洞时，那么网络中各种木马程序或恶意病毒仍然能够利用应用程序存在的安全漏洞来对WindowsServer2008系统进行非法攻击。那么在WindowsServer2008系统环境中，我们该采取什么措施来禁止病毒或木马利用应用程序漏洞来对服务器进行非法攻击呢?很简单!我们可以利用WindowsServer2008服务器系统内置的高级防火墙程序来实现这一目的，下面就是具体的设置步骤：首先以特权帐号进入WindowsServer2008系统环境，依次点选系统桌面中的“开始”/“运行”命令，在系统运行框中执行gpedit.msc命令，打开本地服务器的组策略编辑窗口;其次在组策略编辑窗口左侧区域展开“计算机配置”分支，再依次选择该分支下面的“Windows设置”/“安全设置”/“高级安全Windows防火墙”/“高级安全Windows防火墙——本地组策略对象”选项，用鼠标右键单击该分支选项下面的“入站规则”子项，从弹出的右键菜单中执行“属性”命令打开新建入站规则向导设置界面，根据向导界面的提示，将规则类型参数设置为“程序”，然后选中“此程序路径”选项，并单击“浏览”按钮，将存在明显漏洞的目标应用程序选中，当屏幕上出现向导设置界面时，我们可以选中“阻止连接”项目，最后再设置好新建规则的名称，并单击“完成”按钮，如此一来WindowsServer2008系统中的高级防火墙程序就会禁止那些存在明显安全漏洞的应用程序访问网络了，那样的话病毒或木马自然也就不能通过应用程序漏洞对本地服务器实施恶意攻击了。3.2Win2008系统安全交给组策略保证3.2.1严禁恶意程序不请自来我们在使用WindowsServer2008系统自带的IE浏览器上网访问网页内容时，时常会碰到一些恶意的控件程序，这些恶意控件程序往往不经过我们的允许，就自动下载保存到本地系统硬盘中，这样不但会消耗宝贵的磁盘空间资源，而且还可能会给WindowsServer2008系统带来安全麻烦；为了让自己的WindowsServer2008系统更加安全，我们可以安装使用一些专业工具来拒绝恶意程序不请自来，可是这样不但操作很繁琐而且也不利于提高操作效率。事实上，WindowsServer2008系统在组策略中已经添加了这种安全问题的控制选项，我们只要对相应的控制选项进行一下合适设置就可以了，下面就是具体的控制步骤：首先在WindowsServer2008系统桌面中打开“开始”菜单，点选其中的“运行”命令，在弹出的系统运行文本框中，输入“gpedit.msc”字符串命令，单击“确定”按钮，打开对应系统的组策略编辑窗口；其次在该组策略编辑窗口的左侧显示区域中将鼠标定位于“计算机配置”分支，并从该分支下面逐一展开“管理模板”/“Windows组件”/“限制文件下载”/“安全功能”/“限制文件下载”子项；下面在“限制文件下载”子项的右侧显示列表中，双击“InternetExplorer进程”组策略选项，打开目标组策略选项的属性设置对话框，单击其中的“设置”标签，进入标签设置页面。在这里，我们发现默认状态下WindowsServer2008系统对文件下载操作是没有任何限制的，此时我们应该选中“已启用”选项，来严禁恶意程序不请自来。当然，有的恶意程序会自动通过FlashGet、迅雷工具等来完成下载任务，为了谨防这些程序自动执行下载任务，我们还可以打开“所有进程”选项的属性设置窗口，选中对应窗口中的“已启用”选项，来禁止恶意程序无法通过。3.2.2拒绝调用任务管理器在WindowsServer2008系统环境下，同时按下键盘中的Ctrl+Alt+Del组合键时，我们可以调用系统任务管理器，可以更改Windows系统登录密码，可以直接关闭、注销计算机等，特别是在调用系统任务管理器后，用户还能对WindowsServer2008系统中的一些重要进程进行控制。为了防止非法用户随意控制服务器系统中的一些重要进程，我们可以利用WindowsServer2008系统内置的组策略来拒绝普通用户随意调用任务管理器，下面就是具体的设置步骤：首先打开WindowsServer2008系统桌面中的“开始”菜单，点选其中的“运行”命令，在弹出的系统运行文本框中，输入“gpedit.msc”字符串命令，单击“确定”按钮，打开对应系统的组策略编辑窗口；其次将鼠标定位于组策略编辑窗口左侧显示区域中的“用户设置”分支上，并依次展开“管理模板”/“系统”/“Ctrl+Alt+Del”组策略子项，在对应“Ctrl+Alt+Del”组策略子项的右侧显示区域中，我们会看到删除注销、删除更改密码、删除锁定计算机、删除任务管理器等多个策略；用鼠标双击其中的删除任务管理器选项，打开目标组策略选项的属性设置对话框，单击其中的“设置”标签，进入标签设置页面；在这里，我们发现默认状态下WindowsServer2008系统是允许用户调用任务管理器窗口的，此时我们应该选中“已启用”选项，来禁止调用系统任务管理器窗口。同样地，我们可以打开其他策略的选项设置窗口，选中“已启用”选项，来禁止执行注销、更改密码、锁定计算机等操作。3.3设置网络策略让访问Win2008更安全3.3.1认识网络策略为了有效保护网络以及服务器系统的安全，WindowsServer2008特意为我们新增加了网络策略服务器功能以及其他多项安全保护措施，利用网络策略功能服务器系统将会强制要求任何一台企图与之连接的普通工作站都要通过特定的网络健康检查，比方说普通工作站中是否安装了防火墙程序，是否及时更新了病毒库内容，是否安装了最新版本的系统补丁程序等，只有当普通工作站符合各种安全检查之后，服务器系统才允许该工作站连接服务器并访问其中的内容。而那些没有通过服务器系统安全检查的普通工作站将会被隔离到另外一个受限网络，或者降低服务器的访问权限。在被隔离到另外一个受限网络中时，普通工作站需要及时通过受限网络来修复该工作站的安全状态，比方说迅速从局域网中的补丁服务器中下载安装系统补丁程序，强制启用系统中的防火墙程序等，在符合网络安全条件之后，该工作站往往就能正常访问服务器系统中的任何内容了。3.3.2安装网络策略服务器虽然WindowsServer2008系统已经内置了网络策略服务器功能，不过在默认状态下该功能并没有被启用，此时我们只有先将该功能组件安装起来，才能利用该功能的安全防范本领来保护服务器系统的安全。在安装网络策略组件时，我们首先要以系统管理员权限进入到WindowsServer2008系统，打开该系统的“开始”菜单，从中依次选择“程序”/“管理工具”/“服务器管理器”命令，打开对应系统的服务器管理器窗口。在该服务器管理器窗口的左侧显示区域，选中“角色”选项，在对应该选项的右侧显示区域中，单击“添加角色”功能图标，打开角色添加向导设置窗口;从该设置窗口的提示信息中，我们看到要安装网络策略组件需要做好三个方面的准备工作，第一就是确保管理员账号具有强密码，第二就是保证网络设置已经配制好，第三就是已经安装WindowsUpdate中的最新安全更新。在确认上面的各项准备工作已经完成后，单击“下一步”按钮，打开服务器角色列表窗口中，在这里我们看到服务器系统在默认状态下并没有选中“网络策略和访问服务”功能组件，这说明网络策略功能此时并没有被安装;此时，我们可以及时选中这里的“网络策略和访问服务”选项，再单击“下一步”按钮;当屏幕上出现角色服务列表窗口时，选中“网络策略服务器”选项，继续单击“下一步”按钮，最后单击“安装”按钮，这样一来服务器系统就会自动将所选的角色、角色服务依次安装好了。当网络策略组件安装操作结束后，系统会自动弹出提示现在可以利用该功能组件来配置服务器系统的网络访问保护了;并且此时此刻服务器系统中的DHCP服务也会自动将被新安装的网络策略服务器组件所替代，我们必须对网络策略服务器涉及的相关DHCPword文档可自由复制编辑word文档可自由复制编辑word文档可自由复制编辑参数进行正确配置，才能起到很好的网络安全保护效果。在缺省状态下，WindowsServer2008系统并没有将与网络策略服务器相关的“网络访问保护”组件启用起来，这需要我们在网络策略服务器的DHCP作用域属性中进行手工启用。3.3.3设置网络策略服务器在成功安装好网络策略服务器功能组件后，我们现在就能进入网络策略服务器来对它正确进行配置了，以便让它及时发挥作用，保护服务器系统的安全。首先打开WindowsServer2008系统的“开始”菜单，从中依次选择“程序”/“管理工具”/“网络策略服务器”选项，打开网络策略服务器控制台窗口，在该控制台窗口的左侧显示区域，我们发现网络策略服务器包含四方面的内容，它们分别是连接请求策略、网络策略、健康策略以及网络访问保护组件，这些策略和组件将会对访问单位服务器系统的普通工作站系统进行网络隔离、安全处理、健康策略审核以及网络访问保护，使用连接请求策略，我们能够指定是在本地处理连接请求，还是将其转发到远程Radius服务器中去处理;选用健康策略我们可以自定义普通工作站是否健康的标准，该策略通常与网络访问保护组件一起配合使用。一般来说，我们通常需要在服务器系统中创建好两个基本策略，其中一个策略就是安全工作站的策略，另外一个就是不安全工作站的策略。创建安全工作站的策略时，我们可以在网络策略服务器控制台窗口的左侧显示区域中，依次展开“策略”/“健康策略”选项，用鼠标右键单击“健康策略”选项，从弹出的快捷菜单中选择“新建”命令，打开如图4所示的设置对话框;在该设置对话框中将策略名称取为“安全工作站”，将“客户端SHV检查”设置为“客户端通过了所有SHV检查”，再单击“确定”按钮，这样一来安全工作站策略就创建成功了。同样地，我们可以再创建一个“不安全工作站”策略，并将该策略的“客户端SHV检查”设置为“客户端未能通过所有SHV检查”。当WindowsServer2008系统检测到普通工作站属于不安全工作站时，网络策略服务器还提供了补救措施，以便让不安全的工作站自动访问局域网中的补丁更新服务器或病毒库更新服务器，从而及时将系统补丁程序以及更新病毒库程序安装到普通工作中。为了让不安全工作站能够自动安装补丁程序或自动更新病毒库，我们需要使用更新服务器组来定义不安全工作站能够访问哪些系统，以便从这些系统中能够自动将工作站的不安全状态恢复到安全状态。在指定不安全工作站能够访问的服务器系统时，我们可以在网络策略服务器控制台窗口的左侧显示区域中，依次展开“网络访问保护”/“更新服务器组”选项，再用鼠标右键单击“更新服务器组”选项，从弹出的快捷菜单中执行“新建”命令，打开如图6所示的创建对话框，单击该对话框中的“添加”按钮，在其后界面中正确输入系统补丁更新服务器或病毒库更新服务器的主机名称或IP地址，这么一来日后普通工作站被检测为不安全时，那它就会自动连接到系统补丁更新服务器或病毒库更新服务器，来安装系统补丁程序或更新病毒库了。当普通工作站安装了补丁程序或更新了病毒库后，再次访问WindowsServer2008系统时，该系统就会认为它是安全工作站，此时该工作站就能允许连接到服务器系统中，那样一来我们就能最大限度地保证服务器系统的安全了。当然，需要在这里提醒各位的是，上面的系统健康验证器、健康策略、连接请求策略、更新服务器组等都需要网络策略组合在一起，才能发挥出有效的作用;我们可以根据普通工作站安全状态确定如何对该工作站进行处理;例如，当发现普通工作站与不安全工作站策略相符时，那么我们可以定义网络策略，来指示局域网中的DHCP服务器为目标普通工作站提供一个受限作用域选项的IP租约，确保该工作站地址只能访问指定更新服务器组中定义的系统。3.4让Win2008系统安全更上一层楼3.4.1拒绝修改防火墙安全规则我们知道，Win2008系统新增加的高级安全防火墙功能，可以允许用户根据实际需要自行定义安全规则，从而实现更加灵活的安全防护目的;不过该防火墙还有一些明显不足，我们对它进行的一些设置以及创建的安全规则，几乎都是直接存储在本地Win2008系统注册