服務(wù)器配置與管理 課件 4-2 管理系統(tǒng)安全

WindowsServer2019服務(wù)器配置實(shí)訓(xùn)教程學(xué)習(xí)單元4管理服務(wù)器系統(tǒng)的性能與安全任務(wù)2管理系統(tǒng)安全任務(wù)背景與分析1.客戶需求需求對(duì)于這幾臺(tái)服務(wù)器系統(tǒng)，目前已經(jīng)開啟了防火墻和設(shè)置了系統(tǒng)補(bǔ)丁自動(dòng)更新工作，但管理員還是對(duì)于系統(tǒng)的安全很擔(dān)心，希望對(duì)系統(tǒng)的安全漏洞問題做一些設(shè)置操作。

任務(wù)背景與分析2.任務(wù)分析求可以利用WindowsServer2019系統(tǒng)中的本地安全管理策略對(duì)本地計(jì)算機(jī)系統(tǒng)內(nèi)的一些安全選項(xiàng)進(jìn)行設(shè)置，完善系統(tǒng)安全，也可以通過設(shè)置域安全策略對(duì)所有域內(nèi)計(jì)算機(jī)的安全性進(jìn)行管理。任務(wù)背景與分析1客戶需求2.任務(wù)分析工作流程：分析服務(wù)器系統(tǒng)安全隱患→確定安全策略→設(shè)置安全策略選項(xiàng)。任務(wù)背景與分析3.任務(wù)工單求表3-2邁聯(lián)公司工程任務(wù)工單客戶名稱：xx學(xué)校網(wǎng)絡(luò)中心

任務(wù)單號(hào)：P2021060402現(xiàn)場(chǎng)地點(diǎn)XX學(xué)校網(wǎng)絡(luò)中心機(jī)房日期：2021年9月11日客戶要求1.修補(bǔ)本地安全系統(tǒng)漏洞2.設(shè)置計(jì)算機(jī)系統(tǒng)安全漏洞修補(bǔ)策略現(xiàn)場(chǎng)環(huán)境及參數(shù)3臺(tái)windowsserver服務(wù)器均沒有修補(bǔ)安全漏洞聯(lián)系方式聯(lián)系人：王主任聯(lián)系電話：133XX000001工時(shí)2任務(wù)背景與分析（1）安全管理服務(wù)器的安全是一個(gè)很重要的問題，它貫穿到許多系統(tǒng)服務(wù)功能之中，涉及網(wǎng)絡(luò)、密碼學(xué)、認(rèn)證、文件加密等各個(gè)方面。在今天日益復(fù)雜的環(huán)境中，為了達(dá)到較高的安全程度，WindowsServer2019提供了一系列措施來保障系統(tǒng)的安全，如加密、數(shù)字簽名、密鑰體系、用戶驗(yàn)證等。（2）認(rèn)識(shí)組策略：簡(jiǎn)單地說，與修改注冊(cè)表配置所完成的功能是一樣的。組策略使用自己更完善的管理組織方法，可以對(duì)各種對(duì)象中的設(shè)置進(jìn)行管理和配置，比手工修改注冊(cè)表方便靈活，功能也更加強(qiáng)大。4．知識(shí)儲(chǔ)備任務(wù)背景與分析（3）組策略對(duì)象組策略對(duì)象的容器可以是ActiveDirectory的任何邏輯結(jié)構(gòu)單位，包括站點(diǎn)、域或組織單位OU。在設(shè)置組策略之前必須創(chuàng)建一個(gè)或多個(gè)組策略對(duì)象，然后通過組策略編輯器設(shè)置所創(chuàng)建的組策略對(duì)象。在運(yùn)行WindowsServer2019系統(tǒng)的每臺(tái)計(jì)算機(jī)上都只有一個(gè)本地組策略對(duì)象。在這些對(duì)象中，組策略設(shè)置存儲(chǔ)在各個(gè)計(jì)算機(jī)上,無論它們是否屬于ActiveDirectory環(huán)境或網(wǎng)絡(luò)環(huán)境的一部分。本地策略對(duì)象包含的設(shè)置要少于非本地組策略的設(shè)置，尤其是“安全設(shè)置”下。4．知識(shí)儲(chǔ)備任務(wù)背景與分析（4）組策略分類及作用范圍組策略包括本地策略、站點(diǎn)組策略、默認(rèn)域控制器組策略、域組策略。它們作用的范圍不一樣。本地策略：在客戶機(jī)上配置的策略。站點(diǎn)組策略：作用于整個(gè)域的所有站點(diǎn)的策略。默認(rèn)域控制器組策略：作用于同一域內(nèi)所有DC的策略。域組策略：作用于整個(gè)域的策略。4．知識(shí)儲(chǔ)備任務(wù)實(shí)施（一）應(yīng)用組策略系統(tǒng)的安裝步驟如下視頻：組策略主要包括本地組策略和域組策略，本地組策略就是對(duì)服務(wù)器系統(tǒng)不同的安全事件設(shè)置的規(guī)則的集合。例如賬戶策略，本地策略等。下面通過幾個(gè)實(shí)例來具體介紹相關(guān)操作。實(shí)例1：設(shè)置防火墻保護(hù)所有連接1）打開“服務(wù)器管理器”窗口，單擊“工具”菜單下的“WindowsPowershell”命令，在彈出的運(yùn)行窗口中輸入命令“gpedit.msc”，進(jìn)入“本地組策略編輯器”窗口，如圖所示。任務(wù)實(shí)施（一）應(yīng)用組策略2）單擊“計(jì)算機(jī)配置”→“管理模板”→“網(wǎng)絡(luò)”→“網(wǎng)絡(luò)連接”→“WindowsDefender防火墻”→“標(biāo)準(zhǔn)配置文件”，在“標(biāo)準(zhǔn)配置文件”區(qū)域選擇“WindowsDefender防火墻：保護(hù)所有網(wǎng)絡(luò)連接”組策略選項(xiàng)，如圖所示。任務(wù)實(shí)施（一）應(yīng)用組策略3）在彈出的對(duì)話框中選中“已啟用”單選按鈕，單擊“確定”按鈕，就可以完成服務(wù)器系統(tǒng)自帶防火墻強(qiáng)行保護(hù)所有網(wǎng)絡(luò)連接了的設(shè)置，如圖所示。任務(wù)實(shí)施（一）應(yīng)用組策略實(shí)例2：封堵虛擬內(nèi)存漏洞當(dāng)系統(tǒng)的虛擬內(nèi)存功能啟用后，在默認(rèn)狀態(tài)下支持在內(nèi)存頁(yè)面未使用時(shí)，會(huì)自動(dòng)使用系統(tǒng)頁(yè)面文件將其交換保存到本地磁盤中，這樣可使具有訪問系統(tǒng)頁(yè)面文件權(quán)限的非法用戶訪問到保存在虛擬內(nèi)存中的隱私信息。為了封堵這個(gè)虛擬內(nèi)存漏洞，應(yīng)設(shè)置系統(tǒng)在執(zhí)行關(guān)閉系統(tǒng)操作時(shí)，自動(dòng)清除虛擬內(nèi)存頁(yè)面文件，具體操作步驟如下：任務(wù)實(shí)施（一）應(yīng)用組策略1）進(jìn)入“本地組策略編輯器”窗口，點(diǎn)擊“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“安全選項(xiàng)”，在右側(cè)的“安全選項(xiàng)”列表區(qū)域中選擇“關(guān)機(jī)：清除虛擬內(nèi)存頁(yè)面文件”選項(xiàng)，如圖所示。任務(wù)實(shí)施（一）應(yīng)用組策略2）用鼠標(biāo)雙擊“關(guān)機(jī)：清除虛擬內(nèi)存頁(yè)面文件”選項(xiàng)，在彈出的對(duì)話框中選中“已啟用”單選按鈕，單擊“確定”按鈕，如圖所示。任務(wù)實(shí)施（一）應(yīng)用組策略實(shí)例3：封堵特權(quán)賬號(hào)漏洞與普通服務(wù)器系統(tǒng)一樣，在缺省狀態(tài)下WindowsServer2019系統(tǒng)仍然會(huì)優(yōu)先使用Administrator賬號(hào)嘗試進(jìn)行登錄系統(tǒng)操作，一些非法攻擊者往往也會(huì)利用Administrator賬號(hào)漏洞，來嘗試破解Administrator賬號(hào)的密碼，并利用該特權(quán)賬號(hào)攻擊重要的服務(wù)器系統(tǒng)。為了封堵特權(quán)賬號(hào)漏洞，管理員可以進(jìn)行如下策略設(shè)置操作：任務(wù)實(shí)施（一）應(yīng)用組策略1）在“本地組策略編輯器”窗口中單擊“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“安全選項(xiàng)”，在右側(cè)的“安全選項(xiàng)”列表區(qū)域中選擇“帳戶：重命名系統(tǒng)管理員帳戶”選項(xiàng)，如圖所示。任務(wù)實(shí)施（一）應(yīng)用組策略2）鼠標(biāo)雙擊“帳戶：重命名系統(tǒng)管理員帳戶”選項(xiàng)，在彈出的對(duì)話框中為Administrator賬號(hào)重新設(shè)置一個(gè)新名稱，單擊“確定”按鈕即可完成封堵系統(tǒng)的特權(quán)賬號(hào)漏洞操作，如圖所示。任務(wù)實(shí)施（一）應(yīng)用組策略實(shí)例：限制使用迅雷進(jìn)行惡意下載當(dāng)用戶隨意使用迅雷工具進(jìn)行惡意下載時(shí)，不但容易浪費(fèi)本地系統(tǒng)的磁盤空間資源，而且也會(huì)大大消耗本地系統(tǒng)的上網(wǎng)帶寬資源。而在WindowsServer2019系統(tǒng)環(huán)境下，限制域中的普通用戶隨意使用迅雷工具進(jìn)行惡意下載可以巧妙地利用該系統(tǒng)中的域安全策略中的軟件限制策略來達(dá)完，具體實(shí)現(xiàn)步驟如下：任務(wù)實(shí)施（二

）實(shí)施域安全策略1）以系統(tǒng)管理員權(quán)限登錄進(jìn)入WindowsServer2019系統(tǒng)，打開“服務(wù)器管理器”窗口，單擊“工具”菜單下的“組策略管理”命令，彈出“組策略管理”窗口，如圖所示。任務(wù)實(shí)施（二

）實(shí)施域安全策略2）單擊“林：SCHOOL.EDU”→“域”→“SCHOOL.EDU”→“DefaultDomainPolicy”，在“DefaultDomainPolicy”上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中單擊“編輯”命令，如圖所示。任務(wù)實(shí)施（二

）實(shí)施域安全策略3）在彈出的域策略管理編輯器中單擊“計(jì)算機(jī)配置”→“策略”→“Windows設(shè)置”→“安全設(shè)置”→“軟件限制策略”，在右側(cè)區(qū)域中選擇“強(qiáng)制”選項(xiàng)，如圖所示。任務(wù)實(shí)施（二

）實(shí)施域安全策略如果沒有軟件限制策略，則直接在軟件限制策略上單擊鼠標(biāo)右鍵，在彈出的快捷菜單中單擊“新建”命令即可。利用命令行啟動(dòng)“性能監(jiān)視器”技能提示任務(wù)實(shí)施（二

）實(shí)施域安全策略4）雙擊“強(qiáng)制”項(xiàng)目，在彈出的“強(qiáng)制屬性”對(duì)話框中選擇“除本地管理員以外的所有用戶”單選按鈕，其余參數(shù)都保持默認(rèn)設(shè)置，如圖所示。任務(wù)實(shí)施（二

）實(shí)施域安全策略5）單擊“確定”按鈕，用鼠標(biāo)右鍵單擊“軟件限制策略”節(jié)點(diǎn)下面的“其他規(guī)則”選項(xiàng)，從彈出的快捷菜單中選擇“新建路徑規(guī)則”命令，在彈出的對(duì)話框中單擊“瀏覽”按鈕，選中迅雷程序的路徑，并設(shè)置“安全級(jí)別”為“不允許”示，最后單擊“確定”即可完成操作，如圖所示。6）重新啟動(dòng)系統(tǒng)，當(dāng)用戶以普通權(quán)限賬號(hào)登錄進(jìn)入該系統(tǒng)后，就不能正常使用迅雷程序進(jìn)行下載了。任務(wù)實(shí)施（二

）實(shí)施域安全策略拒絕網(wǎng)絡(luò)病毒藏于臨時(shí)文件為了防止網(wǎng)絡(luò)病毒隱藏在系統(tǒng)臨時(shí)文件夾中，可以設(shè)置系統(tǒng)的軟件限制策略。操作提示：打開“組策略管理編輯器”窗口，單擊“計(jì)算機(jī)配置”