Windows_Server_2008安全配置需要注意的几点

Windowsserver2008服务器配置知识点总结1. 系统内部使⽤安全标识符来识别⽤户的⾝份。

（SID）2. 系统内置账户Administartor 管理⽤户和来宾⽤户（Guest）3. 账户类型分为本地⽤户，域⽤户，组账户。

根据服务器⼯作模式分为⼯作组和域。

4. ⼯作组模式下，本地⽤户的账户信息存储在SAM中。

域模式下，⽤户账户存储在DC中。

5. 活动⽬录中，组按照能够接受的范围分为本地域组，全局组和通⽤组。

6. ⼯作组（计算机之间是平等的，⼯作组可以跨⼯作组访问）和域环境（必须有DC）本地⽤户和域⽤户。

7. Win2008的三种⾓⾊域控制器，成员服务器，独⽴服务器。

安装win2008内存不低于512MB，硬盘可⽤空间不低于10GB，只⽀持64位版本。

8. AD是活动⽬录，域（逻辑单位）就是共享同⼀份AD数据库（DC（域控制器）⾥边）的计算机所组成的集合。

AD数据库⽂件保存在%systemRoot%中。

9. AD数据库中包含⽤户账户，⽤户密码，计算机账户，权限设定。

10. 每⼀个window域都需要⼀个唯⼀的域名与之对应。

（DNS域名和LDAP域名两种格式）DNS服务器是⽤来解析DNS域名。

域名空间连续的称为⼀个域树，两个域树形成域森林。

信任关系：双向可传递的。

11. 站点代表⽹络的物理结构或拓扑，是⼀组有效连接的⼦⽹，站点和域不同，站点代表⽹络的物理结构，⽽域代表组织的逻辑结构。

12. Ou组织单位也是⼀个容器，⽐喻⼩⼀个规模的容器。

⼀个⽤户账号只能属于⼀个Ou⽽⽤户账号可以加⼊多个组中，所以OU是管理模型，⽽组是权限和权⼒的划分。

13. OU是活动⽬录的⼀种对象，可以将安全策略应⽤域OU，ou是AD的容器，在其中存放⽤户,组，计算机和其他OU14. 特殊规则：读，写，取得所有权。

15. 拒绝优先，组规则⽆冲突时，执⾏累加规则。

16. ⽂件移动复制规则继承：同⼀磁盘移动将会保留⽂件原有权限，其它都是随着⽬标地址的规则⽽改变。

win2008配置要求以及详细优化MS公布了全新SERVER OS 2008以来，反响强烈。

经过在下亲自使用过后感觉不错，现将自己的心得体会整理后发表出来供大家参考。

安装WINDOWS SERVER 2008前请确认你已经做好了以下准备：1.你的硬件必须满足下列要求处理器：最小: 1GHz 建议: 2GHz 最佳: 3GHz 或者更快速的内存：最小: 512MB RAM建议: 1GB RAM最佳: 2GB RAM (完整安装) 或者1GB RAM (Server Core 安装) 或者最大(32位系统): 4GB (标准版) 或者64GB (企业版以及数据中心版)最大(64位系統): 32GB (标准版) 或者2TB (企业版, 数据中心版, 以及Itanium-based 系統) 允许的硬盘空间：最小: 8GB建议: 40GB (完整安装) 或者10GB (Server Core 安装)最佳: 80GB (完整安装) 或者40GB (Server Core 安装) 或者其他要开启AERO，显卡硬件必须支持DX9.0和PS2.0（因为AERO会用到DX9和PS2.0的特效），最好有128MB以上显存2.下载WINDOWS SERVER 2008 ISO安装文件2008安装文件目前有RC0,RC1的32位和64位各5个版本，由于RC1没有官方的中文版，因此偶推荐下载RC0的官方简体中文版。

考虑到做为家用，因此推荐安装32位的RC0企业完整版。

3.到这个网址去申请官方正版的KEY，/zh-cn/bb383572.aspx最多一次可以申请到5个激活KEY，应该足够你用了。

做好以上准备后，我们来开始安装吧。

安装方法（以安装RC0 32位X86企业版为例,）：A.将ISO文件用DVD刻录机刻成启动盘用光盘启动安装，安装过程和安装XP没什么区别，大家应该都很熟了，就不再重复了。

B.在现有操作系统上安装，这个或许不太为人熟知。

实验报告院系：信息与工程学院班级：学号姓名：实验课程：《网络安全技术实验》实验名称：实验四 Windows Server2008系统安全配置指导教师：实验四Windows Server 2008系统安全配置实验学时 2一、实验目的与要求1、了解Windows Sever 2008 操作系统的安全功能、缺陷和安全协议；2、熟悉Windows Sever 2008 操作系统的安全配置过程及方法；二、实验仪器和器材计算机一台VMware workstation 10 Windows Sever 2008操作系统三、实验原理网络防火墙及端口安全管理在“深层防御”体系中，网络防火墙处于周边层，而Windows防火墙处于主机层面。

和Windows XP和Windows 2003的防火墙一样，Windows Server 2008的防火墙也是一款基于主机的状态防火墙，它结合了主机防火墙和IPSec，可以对穿过网络边界防火墙和发自企业内部的网络攻击进行防护，可以说基于主机的防火墙是网络边界防火墙的一个有益的补充。

与以前Windows版本中的防火墙相比，Windows Server 2008中的高级安全防火墙（WFAS）有了较大的改进，首先它支持双向保护，可以对出站、入站通信进行过滤。

其次它将Windows防火墙功能和Internet 协议安全(IPSec)集成到一个控制台中。

使用这些高级选项可以按照环境所需的方式配置密钥交换、数据保护(完整性和加密)以及身份验证设置。

而且WFAS还可以实现更高级的规则配置，你可以针对Windows Server上的各种对象创建防火墙规则，配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。

传入数据包到达计算机时，具有高级安全性的Windows防火墙检查该数据包，并确定它是否符合防火墙规则中指定的标准。

如果数据包与规则中的标准匹配，则具有高级安全性的Windows防火墙执行规则中指定的操作，即阻止连接或允许连接。

Windows 2008服务器安全设置技术实例目录Windows 2008服务器安全设置技术实例 (1)一、服务器安全设置之--硬盘权限篇 (2)二、服务器安全设置之--系统服务篇(设置完毕需要重新启动) (13)三、服务器安全设置之--组件安全设置篇 (18)四、服务器安全设置之--本地安全策略设置（重要） (20)A、策略——>密码策略 (20)B、策略——>锁定策略 (20)D、本地策略——>用户权限分配 (21)E、本地策略——>安全选项 (21)五、服务器安全设置之--本地安全策略-IP安全策略 (22)六、服务器安全设置之--高级安全windows防火墙(掌握好很重要) (23)七、服务器安全设置之--本地安全策略-高级审核策略配置 (24)a. 系统审核策略——>登录 (24)b. 系统审核策略——>管理 (24)c. 系统审核策略——>详细跟踪 (25)d. 系统审核策略——>DS访问 (25)e. 系统审核策略——>登陆/注销 (25)f. 系统审核策略——>对象访问 (25)g. 系统审核策略——>策略更改 (25)h. 系统审核策略——>特权使用 (25)八、服务器安全设置之--远程桌面服务策略 (26)九、服务器安全设置之--组策略配置（掌握好很重要） (26)十、服务器安全设置之--用户安全设置 (28)十一、选配—防御PHP木马攻击的技巧 (30)一、服务器安全设置之--硬盘权限篇这里着重谈需要的权限，也就是最终文件夹或硬盘需要的权限，可以防御各种木马入侵，提权攻击，跨站攻击等。

本实例经过多次试验，安全性能很好，服务器基本没有被木马威胁的担忧了（注：红色背景为主要审查配置对象）。

注：其他应用程序相关权限，除主要的权限访问继承上一级文件夹以外，需对指定的文件夹或文件进行单独的权限设置，规则按最小权限给予。

Windows Server 2008安全配置基础一、及时打补丁,不要安装系统的自带的更新,盗版软件是不支持此更新的,可以使用第三方软件进行系统更新,打漏洞补丁二、阻止恶意Ping攻击,严禁外网ping 次服务器我们知道，巧妙地利用Windows系统自带的ping命令，可以快速判断局域网中某台重要计算机的网络连通性;可是，ping命令在给我们带来实用的同时，也容易被一些恶意用户所利用，例如恶意用户要是借助专业工具不停地向重要计算机发送ping命令测试包时，重要计算机系统由于无法对所有测试包进行应答，从而容易出现瘫痪现象。

为了保证Windows Server 2008服务器系统的运行稳定性，我们可以修改该系统的组策略参数，来禁止来自外网的非法ping攻击：首先以特权身份登录进入Windows Server 2008服务器系统，依次点选该系统桌面上的“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“gpedit.msc”，单击回车键后，进入对应系统的控制台窗口;其次选中该控制台左侧列表中的“计算机配置”节点选项，并从目标节点下面逐一点选“Windows设置”、“安全设置”、“高级安全Windows防火墙”、“高级安全Windows 防火墙——本地组策略对象”选项，再用鼠标选中目标选项下面的“入站规则”项目;接着在对应“入站规则”项目右侧的“操作”列表中，点选“新规则”选项，此时系统屏幕会自动弹出新建入站规则向导对话框，依照向导屏幕的提示，先将“自定义”选项选中，再将“所有程序”项目选中，之后从协议类型列表中选中“ICMPv4”，如图3所示;协议类型列表中选中“ICMPv4”，之后向导屏幕会提示我们选择什么类型的连接条件时，我们可以选中“阻止连接”选项，同时依照实际情况设置好对应入站规则的应用环境，最后为当前创建的入站规则设置一个适当的名称。

完成上面的设置任务后，将Windows Server 2008服务器系统重新启动一下，这么一来Windows Server 2008服务器系统日后就不会轻易受到来自外网的非法ping 测试攻击了。

WindowsServer2008配置系统安全策略下⾯学习Windows Server 2008配置系统安全策略在⼯作组中的计算机本地安全策略有⽤户策略，密码策略，密码过期默认42天服务账户设置成永不过期，帐户锁定策略，本地策略，审核策略，计算机记录哪些安全事件最后在域环境中使⽤组策略配置计算机安全。

1.在⼯作组中的安全策略，打开本地安全策略。

2.打开本地安全策略之后选择密码策略，可以看到有很多的策略，先看第⼀个密码复杂性要求。

3.打开密码必须符合复杂性要求，默认是打开的，我们在设置密码的时候，不能设置纯数字或者纯字母，必须要有数字加⼤⼩写。

4.密码长度最⼩值，这个是设置密码最低⼩于⼏位数，默认是0，这⾥修改为6位，在设置密码的时候必须满⾜6位，包括数字字母⼤⼩写或者特殊符号。

5.密码最短使⽤期限，默认是0天这⾥设置为30天，在30天不会提⽰你修改密码，必须要使⽤30天才能改密码。

6.密码最长使⽤期限，默认是42天，这⾥修改为60天超过60天之后会提⽰让你修改密码。

7.强制密码历史，这个选项是你修改密码时不能⼀样，默认是0，这⾥设置为3次，修改3次密码之后才能修改回第⼀次使⽤的密码。

8.打开账户锁定策略，账户锁定值默认是0次，可以设置5次超过5次就会把这个账户锁定，为了防⽌别⼈⼊侵你的电脑，等待半个⼩时之后就会⾃动解锁，或者联系管理员⾃动解锁。

9.账号锁定时间，默认是30分钟⾃动解锁，也可以⾃⼰修改，这⾥修改为3分钟⾃动解锁。

10.现在lisi这个⽤户输错五次密码，就算输⼊正确的密码，提⽰账户已锁定，⽆法登录。

11.打开服务器管理器，选择本地⽤户和组，可以查看lisi这个⽤户，输错5次密码之后账户已锁定，管理员可以⼿动把这个勾去掉，然后确定就能登⼊了，或者lisi这个⽤户等待3分钟之后账户会⾃动解锁。

12.打开本地策略，选择审核登录事件，默认是⽆审核，这⾥我勾选成功跟失败，然后确定。

13.打开事件查看器，选择安全把⾥⾯的事件先全部删除，然后使⽤lisi远程登录到这台计算机。

1.在系统安装过程中进行安全性设置要创建一个强大并且安全的服务器必须从一开始安装的时候就注重每一个细节的安全性。

新的服务器应该安装在一个孤立的网络中，杜绝一切可能造成攻击的渠道，直到操作系统的防御工作完成。

在开始安装的最初的一些步骤中，你将会被要求在FAT（文件分配表）和NTFS（新技术文件系统）之间做出选择。

这时，你务必为所有的磁盘驱动器选择NTFS格式。

FAT是为早期的操作系统设计的比较原始的文件系统。

NTFS是随着Windows NT的出现而出现的，它能够提供了一FAT不具备的安全功能，包括存取控制清单（Access Control Lists 、ACL）和文件系统日志（File System Journaling），文件系统日志记录对于文件系统的任何改变。

接下来，你需要安装最新的Service Pack （ SP2 ）和任何可用的热门补丁程序。

虽然Service Pack中的许多补丁程序相当老了，但是它们能够修复若干已知的能够造成威胁的漏洞，比如拒绝服务攻击、远程代码执行和跨站点脚本。

2.配置安全策略安装完系统之后，你就可以坐下来做一些更细致的安全工作。

提高Windows Server 2003免疫力最最简单的方式就是利用服务器配置向导（Server Configuration Wizard 、SCW），它可以指导你根据网络上服务器的角色创建一个安全的策略。

SCW与配置服务向导（Configure Your Server Wizard）是不同的。

SCW不安装服务器组件，但监测端口和服务，并配置注册和审计设置。

SCW并不是默认安装的，所以你必须通过控制面板的添加/删除程序窗口来添加它。

选择“添加/删除Windows组件”按钮并选择“安全配置向导”，安装过程就自动开始了。

一旦安装完毕，SCW就可以从“管理工具”中访问。

通过SCW创建的安全策略是XML文件格式的，可用于配置服务、网络安全、特定的注册表值、审计策略，甚至如果可能的话，还能配置IIS。