【正文】 0 常見安全設(shè)置 ................... 23 五 . 從六個(gè)方面保護(hù) Windows Server 2020 ............... 29 安全部署從安裝開始 ................................ 29 通過 SCW 配置安全策略 ............................... 29 數(shù)據(jù)存取權(quán)限的控制 ................................ 30 基于賬戶、端口、服務(wù)等限制 ......................... 31 創(chuàng)建健壯的審計(jì)和日志策略 ........................... 32 其他安全部署措施 .................................. 32 六 . 總 結(jié) ........................................... 33 七 . 致 謝 ........................................... 33 八 . 參考文獻(xiàn) ......................................... 34 遼寧建筑職業(yè)學(xué)院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設(shè)計(jì)） 1 前 言 Microsoft Windows Server 2020 代表了下一代 Windows Server。使用 Windows Server 2020， IT 專業(yè)人員對(duì)其服務(wù)器和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的控制能力更強(qiáng)，從而可重點(diǎn)關(guān)注關(guān)鍵業(yè)務(wù)需求。盡管 Windows Server 2020 系統(tǒng)的安全性能已經(jīng)無與倫比，可是，這并不能說明 Windows Server2020 系統(tǒng)在安全方面就可以高枕無憂了，因?yàn)樵诓煌氖褂铆h(huán)境下， Windows Server2020 系統(tǒng)表現(xiàn)出來的安全防范能力是不一樣的，甚至該系統(tǒng)在某些方面沒有一點(diǎn)安全抵抗能力，這時(shí)就需要我們自己動(dòng)手來保護(hù) WindowsServer 2020 系統(tǒng)的運(yùn)行安全了。為此，采取切實(shí)可行的措施來守衛(wèi) Windows Server 2020 系統(tǒng)更安全 ! 一 . Windows Server 2020 介紹 Windows Server 2020 是微軟的一個(gè)服務(wù)器操作系統(tǒng)，它繼承了 Windows Server 2020[1][2]。 Windows Server 2020 在進(jìn)行開發(fā)及測(cè)試時(shí)的代號(hào)為 Windows Server Longhorn。 Windows Server 2020 是一套和 Windows Vista（代號(hào)為 Longhorn）相對(duì)應(yīng)的服務(wù)器操作系統(tǒng)，兩者擁有很多相同功能。與 Windows 2020 的 Professional 版和Server 版一樣，兩者在開發(fā)時(shí)共用大多數(shù)的代碼，連 Service Pack 皆可共用； Vista和 Server 20 XP 和 Server 2020 間存在相似的關(guān)系。（ XP 和 Server 2020 的代號(hào)分別為 Whistler 及 Whistler Server） Windows Server 2020 的測(cè)試版本 Server Longhorn Beta 1 于 2020 年 7 月 27 日發(fā)布、 Beta 2 版本則于 2020 年 5 月 23 日公布， 2020 年 4 月發(fā)布了功能發(fā)展齊備的 Beta 3版本。 Release Candidate 0（下稱 RC）在 2020 年 9 月 24 日 公布。 RC 1 發(fā)布在 2020年 12 月 25 日。，這是推出市面前最后的一個(gè)測(cè)試版本。 正式版 2020 年 2 月 27 日發(fā)布，版本號(hào)為 (Build 6001)。在 Windows Server 2020 發(fā)布時(shí)，即已包含了 SP1。 2020年 5 月 14 日發(fā)布集成 SP2 的版本。 2020 年 9 月 28 日發(fā)布 Windows Server 2020 R2。該系統(tǒng)為全新開發(fā)，和 Windows Server 2020僅是名稱相像而不像 Windows Server 2020 R2那樣僅僅是在 Windows Server 2020 的基礎(chǔ)上附加一些功能，且僅有 64 位版本。 遼寧建筑職業(yè)學(xué)院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設(shè)計(jì)） 2 大多數(shù)的 Windows Server 2020 都同時(shí)擁有 64bit 和 32bit 兩個(gè)版本， Windows Server 2020 for Itaniumbased Systems 支持 IA64 處理器， IA64 版本被設(shè)計(jì)用來處理高工作量的工作，比如數(shù)據(jù)操作或者處理企業(yè)核心業(yè)務(wù)流程。但是 IA64 版本沒有對(duì)文檔服務(wù)器或者多媒體服務(wù)器進(jìn)行優(yōu)化。微軟宣稱 Windows Server 2020 是該公司 最后一個(gè)支持 32bit 的服務(wù)器操作系統(tǒng)，從 Windows Server 2020 R2 起只支持 64 位。下面是 Windows Server 2020 版本的列表，及微軟公布的參考售價(jià)。它延續(xù)了 Windows Server 2020 的版本命名方式。 Windows Server 2020 的核心編碼與 Windows Vista 一樣， 因此它包含有許多同樣的改進(jìn)。當(dāng)中最引人注意的地方是它嶄新的安裝模式：它在安裝時(shí)允許服務(wù)器的管理員選擇安裝整個(gè)服務(wù)器軟件，又或是只安裝“服務(wù)器核心”（ Server Core）。 “服務(wù)器核心”是一種回復(fù)到從前的安裝方式，沒有用戶圖形接口，所有的設(shè)置與維護(hù)全都是由腳本控制，或者是利用 Microsoft Management Console 作遠(yuǎn)程連接操作。服務(wù)器核心 同時(shí)也不會(huì)內(nèi)置 .NET Framework， Inter Explorer 及其他許多跟核心服務(wù)器不相干的功能。一個(gè)“服務(wù)器核心”主機(jī)可以以四個(gè)身分來控制網(wǎng)域控制者、 DNS服務(wù)器、 DHCP 服務(wù)器及文件服務(wù)器。 活動(dòng)目錄網(wǎng)域控制站新增只讀操作模式（ RO 設(shè)備上下文 , Readonly Domain Controller）。 政策式網(wǎng)絡(luò)作業(yè)（ Policybased working），改良了的管理界面及增強(qiáng)了的用戶協(xié)調(diào)功能 Inter Information Services 7，內(nèi)置支持 PHP 網(wǎng)頁程序。 改良的實(shí)時(shí)更新方式，更新時(shí)不需要?jiǎng)拥?核心程序 ，因此也不需要重啟。 完全組件化的操作系統(tǒng)。 WIM，圖像為主的安裝模式及工具使用 控制角色為主的管理工具“服務(wù)器管理員”（ Server Manager），結(jié)合了 Windows Server 2020 里的“管理你的服務(wù)器”（ Manage Your Server） 及“安全設(shè)置向?qū)А保?Security Cofiguration Wizard）。 一個(gè)升級(jí)的終端機(jī)服務(wù)組件，支持遠(yuǎn)程桌面協(xié)議（ Remote Desktop Protoco ），最讓人值得注意的改進(jìn)是可以利用遠(yuǎn)程桌面連接來共享一個(gè)程序，而不像以前共享整個(gè)桌面（此即 Terminal Service 中的 RemoteApp 新功能）。 在 x8664 系統(tǒng)上，可由可擴(kuò)展固件接口（ EFI, Extensible Firmware Interface）開機(jī) 遼寧建筑職業(yè)學(xué)院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設(shè)計(jì)） 3 Windows SharePoint Services DirectX 10（通過 Platform Update 更新， DirectX 11 被引入，但桌面窗口管理器并未更新采用 Direct3D 功能） HyperV，一個(gè)虛擬系統(tǒng)的程序（處理器需支持 INTEL VT/AMD 的虛擬技術(shù)才能使用），但此功能只能在 x64 平臺(tái)的 Windows Server 2020 上使用。 二 . Windows Server 2020 的五個(gè)安全特性 諸多的新功能中，高級(jí)安全 Windows 防火墻、活動(dòng)目錄審核、只讀域控制器（ RODC）、網(wǎng)絡(luò)訪問保護(hù)（ NAP）和 可以在服務(wù)器上部署的 BitLocker 這幾項(xiàng)功能，共同為基于Windows Server 2020 搭建的網(wǎng)絡(luò)保駕護(hù)航，它們成就了 Windows Server 2020 的最佳安全性體驗(yàn)。下面我就從這幾個(gè)方面闡述一下 Windows Server 2020 的安全特點(diǎn)。 高級(jí)安全 Windows 防火墻 為了保護(hù)服務(wù)器操作系統(tǒng)和運(yùn)行于其上的各種服務(wù)，我們構(gòu)建了各種軟、硬件防火墻系統(tǒng)，并且不惜犧牲系統(tǒng)性能，在每臺(tái)服務(wù)器上運(yùn)行防護(hù)軟件。因?yàn)榧词故菑?qiáng)大的 ISA，也無法精細(xì)到對(duì)每臺(tái)服務(wù)器提供單機(jī)保護(hù)。而基于 Windows 核心的 XP、 2020 操作系統(tǒng)自帶的 Windows 防火墻，曾經(jīng)給我們帶來了希望 —— 它們存在于每臺(tái)服務(wù)器和客戶端上，是否可以給我們提供完美的保護(hù)呢？結(jié)果是，因?yàn)樵O(shè)計(jì)架構(gòu)的限制， Windows 防火墻并沒有提供完整的網(wǎng)絡(luò)防護(hù)，而且這個(gè)遺憾一直持續(xù)到 Windows Server 2020 的發(fā)布。 Windows Server 2020 攜帶的高級(jí)安全 Windows 防火墻帶來了一些新的特性和改進(jìn)，包括允許創(chuàng)建入站和出戰(zhàn)通訊的防火墻規(guī)則，像 ISA 那樣為程序或數(shù)據(jù)包制定入站和出遼寧建筑職業(yè)學(xué)院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設(shè)計(jì)） 4 戰(zhàn)策略以及與 IPSec 的結(jié)合的能力。 高級(jí)安全 Windows防火墻提供了新的圖形化界面。還記得 XP和 2020中那個(gè) Windows防火墻選項(xiàng)卡嗎？現(xiàn)在你可以跟她說再見了，在 Windows Server 2020 中，你要通過一個(gè)管理控制臺(tái)單元來配置這個(gè)高級(jí)防火墻（圖 1） 圖 1 Windows 高級(jí)防火墻管理控制臺(tái)界面 在這個(gè)界面中，你可以創(chuàng)建、修改和刪除規(guī)則，對(duì)規(guī)則進(jìn)行配置時(shí)，可以從各種標(biāo)準(zhǔn)中進(jìn)行選擇：例如應(yīng)用程序名稱、系統(tǒng)服務(wù)名稱、 TCP 端口、 UDP 端口、本地 IP 地址、遠(yuǎn)程 IP 地址、配置文件、接口類型（如網(wǎng)絡(luò)適配器）、用戶、用戶組、計(jì)算機(jī)、計(jì)算機(jī)組、協(xié)議、 ICMP 類型等。規(guī)則中的標(biāo)準(zhǔn)疊加在一起；添加的標(biāo)準(zhǔn)越多，高級(jí)安全 Windows防火墻匹配傳入流量就越精細(xì)。比如你可以利 用高級(jí)安全 Windows 防火墻來過濾沖擊波病毒包或者是禁止 數(shù)據(jù)通過。 當(dāng)傳入數(shù)據(jù)包到達(dá)計(jì)算機(jī)時(shí)，高級(jí)安全 Windows 防火墻檢查該數(shù)據(jù)包，并確定它是否符合防火墻規(guī)則中指 定的標(biāo)準(zhǔn)。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)匹配，則高級(jí)安全Windows 防火墻執(zhí)行規(guī)則中指定的操作，即阻止連接或允許連接。如果數(shù)據(jù)包與規(guī)則中的標(biāo)準(zhǔn)不匹配，則高級(jí)安全 Windows 防火墻丟棄該數(shù)據(jù)包，并在防火墻日志文件中創(chuàng)建條目（如果啟用了日志記錄）。你還可以為域、特定對(duì)象或者全部對(duì)象分別創(chuàng)建不同的匹配策略。 高級(jí)安全 Windows 防火墻的匹 配規(guī)則可以提供雙向的保護(hù)，即對(duì)出站、入站通信均進(jìn)行過濾，然后攔截有威脅的數(shù)據(jù)包。這樣不但保護(hù)計(jì)算機(jī)自身不被攻擊，也能阻止已受感染的計(jì)算機(jī)不能輕易的發(fā)起攻擊，避免更大的損失。 遼寧建筑職業(yè)學(xué)院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設(shè)計(jì)） 5 高級(jí)安全 Windows 防火墻還將 Windows 防火墻功能和 Inter 協(xié)議安全（ IPSec）集成到一個(gè)控制臺(tái)中。使用這些高級(jí)選項(xiàng)可以按照環(huán)境所需的方式配置密鑰交換、數(shù)據(jù)保護(hù)（完整性和加密）以及身份驗(yàn)證設(shè)置。 順便提一下，因?yàn)?Windows Server 2020 對(duì) IPSec 做了不少的改進(jìn)，不僅提供了新的 IPv6 協(xié)議支持，還支持新的 加密方法。并且被集成到系統(tǒng)各個(gè)安全部分，諸如剛剛提到的高級(jí)安全 Windows 防火墻、 NAP 甚至群集服務(wù)中。更難得的是， IPSec 的配置界面相比之前有了很大的簡(jiǎn)化，降低了部署的難度，更利于企業(yè)部署 IPSec，降低了企業(yè)的成本，微軟還為 IPSec 擴(kuò)展了事件和性能監(jiān)視器的計(jì)數(shù)器，管理員可以能夠通過性能監(jiān)視器對(duì) IPSec 進(jìn)行相應(yīng)的監(jiān)控，有效的提高維護(hù)效率。 活動(dòng)目錄審核 在安全性要求較高的場(chǎng)合，我們可以使用組策略中的審核策略，來記錄用戶的各種可能會(huì)影響安全性的行為。通過審核策略，我們就可以識(shí)別惡意猜解密碼或者 攻擊某個(gè)服務(wù)的嘗試。先前的審核策略包含了對(duì)于文件資源、用戶賬戶和目錄訪問的審核記錄（圖2），但這些記錄只能告訴我們什么時(shí)候誰來過，卻不知道到訪者究竟做了什么。相對(duì)于文件夾和文件對(duì)象，用戶在活動(dòng)目錄對(duì)象上能做的事情更多，而且影響也更大，我們需要記錄他們的具體行為。以便在排除故障時(shí)，清楚地回溯歷史操作。 圖 2 Windows Server 2020 的審核策略 Windows Server 2020 中實(shí)現(xiàn)的活動(dòng)目錄審核能夠通過對(duì)系統(tǒng)訪問控制列表（ SACL）的修改。查看用戶對(duì)于活動(dòng)目錄對(duì)象的訪問和修改，在 Windows Server 2020 中是默認(rèn)就啟用的，審核功能既能夠?qū)徍顺晒Φ牟僮?，也能夠?qū)徍耸〉牟僮?，這樣就能夠最大限度的保障活動(dòng)目 錄的安全性。與在 Windows 2020 Server 和 Windows Server 2020 中遼寧建筑職業(yè)學(xué)院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設(shè)計(jì)） 6 只有一種審核策略來審核目錄服務(wù)訪