Windows Server 2008 在安全性和可靠性方面有很多的提升,就安全策略管理方面就可以明显看到增加了很多内容。可以明显看出Windows 2008系统的安全设置比Windows 2003系统多了高级安全Windows防火墙、网络访问保护、应用程序控制策略、高级审核策略配置等几大类设置,当然相同设置中也有小的变化。而这些增加的项目对我们日常的管理是有很大帮助的。下面分别简述之。
高级安全Windows防火墙。
大家都知道现在网络上的危险无处不在。有各种各样的风险(病毒、木马、钓鱼、暴力破解、误操作、恶意删改等等问题。)同时安全保护也是一个非常复杂的系统工程。微软提出安全是要进行纵深防御多层次保护的。就像我们不能只靠小区门卫保护我们家的安全,万一小区门卫疏忽了,而我们的家没有锁。还是会造成损失的。所以我们实际生活中有小区门卫、小区监控、防盗门、房门等多重防范。有一层出了问题并不会导致全线崩溃。对计算机网络系统也是如此。公司对外有专门的防火墙保证内网的安全。有专门的杀毒软件负责杀毒。可光是这些就一定安全了吗?其实不然,有句老话是“家贼难防”,我们也常会说堡垒总是从内部被攻破的。
实际上就算外部的威胁防住了,网络内部的危险还是很多。如内部员工误操作、恶意破坏等,当然有的问题我们可以通过增强其他方面的设置来解决如权限控制、加密等。当然还有一些内部网络上的问题,如果内部某个员工用某些黑客工具进行恶意操作、用某些P2P软件下载大量占用带宽,由于计算机已经在内部网络,公司对外的防火墙就很难控制了。而Windows2008系统中的高级安全Windows防火墙就可以发挥作用了。高级安全Windows防火墙将主机防火墙和 Internet 协议安全性 (IPsec) 结合在一起。与边界防火墙不同,高级安全 Windows 防火墙在每台运行此版本 Windows 的计算机上运行,并对可能穿越边界网络或源于组织内部的网络攻击提供本地保护。通过允许您要求对通信进行身份验证和数据保护,它还提供计算机到计算机的连接安全。高级安全 Windows 防火墙专供需要在企业环境中管理网络安全的 IT 管理员使用。它不适于在家庭网络中使用。家庭用户应考虑使用“控制面板”中提供的“Windows 防火墙”程序。举例来说:公司中如果有员工偷偷使用P2P工具下载电影、游戏,大量占用带宽,影响公司网络正常使用就可用高级安全 Windows 防火墙进行控制:
考虑到P2P工具在进行恶意下载操作时,会通过系统的3077,3078端口对外进行网络通信,我们只要让高级安全防火墙功能限制3077,3078端口对外进行网络通信,就能实现阻止上网用户偷偷使用迅雷这样的P2P工具进行恶意下载了。现在,我们就利用Win2008系统的高级安全防火墙功能创建安全访问规则,禁止P2P工具进行下载连接:
首先以系统管理员权限进入Win2008系统桌面,依次点选“开始”菜单中的“程序”、“管理工具”、“服务器管理器”命令,从其后出现的服务器管理器窗口左侧位置处,将鼠标定位于“配置”节点选项上,再选中目标节点选项下面的“高级安全防火墙”项目;
其次打开“高级安全防火墙”配置界面,在该界面左侧位置处点选“出站规则”功能选项,再从对应该功能选项的右侧位置处点选“新规则”功能选项,打开安全出站规则创建向导对话框,当向导对话框询问我们要进行何种类型的控制操作时,我们应该选中这里的“端口”选项,以便让高级安全防火墙功能对本地计算机中3077、3078端口的网络连接进行限制;
接着单击“下一步”按钮,在其后出现的向导设置对话框中选中“TCP”功能选项,并且选中“特定本地端口”选项,此时“特定本地端口”文本框会被自动激活,在该文本框中直接输入“3077,3078”端口号码,
再单击“下一步”按钮后,向导屏幕会弹出提示询问“连接符合指定条件时应该进行什么操作”,这个时候我们必须将“阻止连接”功能选项选中,之后设置好该安全规则具体的应用范围,在这里我们可以同时选中“域”、“专用”、“公用”这几种应用环境,最后为新创建的出站规则设置一个合适的名称,再单击“完成”按钮结束安全出站规则的创建工作,这样的话任何一位上网用户在本地Win2008系统中尝试进行恶意下载时,Win2008系统自带的高级安全防火墙功能就对自动对这样的恶意下载进行拦截,那么本地网络的运行稳定性自然也就能得到有效保证了。
当然除了端口协议可以控制,还可以根据应用程序、用户、计算机、IP地址范围及验证方式等多方面进行控制,非常灵活。由于可以通过组策略进行设置。不需要用户在每台计算机上在进行安装设置(以前可需要在客户机上装个人防火墙软件),大大减轻了管理工作量
二.网络访问保护策略(NPS)
公司里有很多人用移动办公设备,很可能各种问题:如病毒库更新不及时、系统补丁没有安装等情况,当这样状态不健康的计算机接入公司内网后,可能给公司网络带来危险。这时就可用NPS把关了。当然要实现网络访问保护策略要先安装NPS服务,管理员可通过“服务器管理器”中的“角色添加”向导手工添加NPS服务。进而在DHCP服务中进行相应设置。就可以配置NPS策略。NPS策略包含四部分的内容,分别为:网络健康验证器、更新服务器组、健康策略和网络策略,将对加入到公司网络的计算机进行验证、隔离、补救以及健康策略审核。
NAP部署后,当外出用户回到公司登录到公司的网络时,首先进行客户端检测,没有安装最新病毒库的计算机,自动连接到病毒库更新服务器升级病毒库;没有安装系统补丁的计算机,自动连接到WSUS服务器升级补丁;没有启用防火墙的计算机,提示客户端启用防火墙。当以上条件满足后,允许客户端连接到内部网络中,最大限度地保证网络安全。
三. 应用程序控制策略(AppLocker)
AppLocker 是 Windows 7 中的新功能,Windows Server 2008 R2 中可用于取代了软件限制策略功能。AppLocker 包含减少管理开销的新功能和扩展(如可执行文件、脚本、Windows Installer 文件和 DLL),帮助管理员控制用户如何访问和使用文件。使用 AppLocker,您可以:
1.基于从数字签名派生的文件属性(包括发布者、产品名称、文件名和文件版本)定义规则。例如,可以根据更新过程中持续存在的发布者属性创建规则,或者为特定版本的文件创建规则。
2.向安全组或单个用户分配规则。
3.创建规则的例外。例如,可以创建一个规则,允许除注册表编辑器(Regedit.exe)之外的所有 Windows 进程运行。
4.使用仅审核模式部署策略并了解其影响,然后再强制该策略。
5.导入和导出规则。导入和导出影响整个策略。例如,如果导出策略,则会导出所有规则集合中的所有规则,包括规则集合的强制设置。如果导入策略,则会覆盖现有策略。
6.使用 AppLocker PowerShell cmdlet 简化 AppLocker 规则的创建和管理。
通过应用程序控制策略可以很容易做到:1.减少运行恶意软件的机会,因为我们可以限制用户运行这些应用程序(可以直接对某些可疑用户进行限制,以前的软件限制策略是对所有用户)。 2.可以很好地消除一些应用程序兼容性的问题,我们可以设置只运行比设定的版本号更新的应用程序。3.可以有效地提升我们的工作效率,防止和工作无关的应用程序占用太多系统资源,浪费无谓的工作时间。虽然AppLocker也可以通过Windows 7系统本地设置,不过由Windows 2008的域环境中的组策略设置显然更方便管理网络环境中的计算机。
简单介绍了Windows 2008系统中新增的部分安全设置,已经可以看到有了这些安全策略的设置可以大大方便我们的日常管理作业。当然要想管理好,还要对这些新增策略进行更多的学习与研究试验,才能在实际工作中把它们用得更好。