【正文】 因此，一個有經(jīng)驗的系統(tǒng)管理員在客戶端或者服務(wù)器上開啟遠程桌面后定會進行一定的安全部署。很明顯，倘若本地服務(wù)器系統(tǒng)中存儲有非常重要的隱私信息時，那無疑會存在很大的安全隱患。 例如在關(guān)閉服務(wù)器系統(tǒng)的 139端口時，我 們可以按照如下操作步驟來進行：首先以系統(tǒng)管理員身份登錄進 Windows Server 2020服務(wù)器系統(tǒng)，打開該系統(tǒng)的 “ 開始 ” 菜單，從中依次選擇 “ 設(shè)置 ”/“ 網(wǎng)絡(luò)連接 ” 命令，在其后的列表窗口中用鼠標右鍵單擊本地連接圖標，并執(zhí)行右鍵菜單中的 “ 屬性 ” 命令，進入本地服務(wù)器系統(tǒng)的網(wǎng)絡(luò)連接列表窗口； 圖 2 關(guān)閉安全威脅端口 其次選中 “Inter 協(xié)議版本 4（ TCP/IPv4） ” 選項，并單擊 “ 屬性 ” 按鈕，在彈出的TCP/IPv4屬性界面中單擊 “ 高級 ” 按鈕，進入高級屬性設(shè)置窗口；單擊該設(shè)置窗口中的“WINS” 標簽，打開如圖 2所示的標簽設(shè)置頁面；在該設(shè)置頁面的 “NetBios 設(shè)置 ” 處，選中 “ 禁用 TCP/IP的 NetBios” 選項，再單擊 “ 確定 ” 按鈕，如此一來就能將 Windows Server 第 27 頁 共 53 頁 2020服務(wù)器系統(tǒng)的 139安全威脅端口關(guān)閉掉了。輸入用戶名密碼后點擊 OK，就可以登錄到遠程服務(wù)器進行治理了。在“ Administrative Tools”文件夾中打開“ IIS Manager”控制臺，右鍵點擊“ Default Web Site”，選擇屬性。 進 入 “ Local Policies\User Rights Assignment\Allow Log On Through Terminal Services”，然后打開該策略并設(shè)置為“ Enabled”。假如有多個用戶需要連接，重復(fù)這個步驟即可。 具體的做法 是 :右鍵點擊“我的電腦”并選擇“屬性”，并打開“系統(tǒng)屬性”對話框。要手動安裝 RDWC，你需要在控制面板中點開“添加刪除程序”項。當(dāng)擔(dān)任遠程控制任務(wù)的電腦連接到這個目標服務(wù)器上時，遠程電腦中的 IE 瀏覽器會自動下載一個 CAB 文件包，用來安裝 RDWC所需的 ActiveX 控件。帶有 RDWC 的系統(tǒng)可以啟動終端服務(wù) Web 客戶端 (Terminal Services Web ClIEnt)的計算機，以便 Web 瀏覽器可以訪問。 小提示： 2.:配置一個正常的 Web 環(huán)境能夠有效的使網(wǎng)站安全穩(wěn)定運行 ,同時這也是穩(wěn)定運行的前提和基礎(chǔ) ,不正 常配置通常會給網(wǎng)站數(shù)據(jù)及服務(wù)器安全帶來巨大的安全隱患 第 21 頁 共 53 頁 遠程管理 Win2020 服務(wù)器的安全技巧 我目前遠程治理著多臺服務(wù)器，并且經(jīng)常需要遠程連接到客戶的系統(tǒng)上解決問題或是向客戶演示如何去完成非凡的任務(wù)，其中有些客戶的系統(tǒng)位于 200 英里以外的地方。 。 防御注冊表加固 。這就用到了前面所說的那一大堆東西，做了那些權(quán)限設(shè)置和防提升之后，黑客就算是進入了一個站點，也無法破壞這個網(wǎng)站以外的東西。 用 Ultraedit 打開 查找 Ascii： LocalAdministrator，和 l$ak.lk。下面以 為例來介紹方法。 謹慎決定是否卸載一個組件 組件是為了應(yīng)用而出現(xiàn)的，而不是為了不安全而出現(xiàn)的，所有的組件都有它的用處，所以在卸載一個組件之前，你必須確認這個組件是你的網(wǎng)站程序不需要的，或者即使去掉也不關(guān)大體的。然后再設(shè)置各個 IIS 用戶在各在的文件夾里的權(quán)限。 NTFS 權(quán)限設(shè)置，請記住分區(qū)的時候把所有的硬盤都分為 NTFS 分區(qū)，然后我們可以確定每個分區(qū)對每個用戶開放的權(quán)限。更多的人說卡巴司機好，不過我沒用過。通過以上配置，服務(wù)器安全性比原來默認又提升了一級。 13：打開 Windows 高級防火墻。 7：本地安全策略設(shè)置開始菜單 —管理工具 —本地安全策略 一、本地策略 ——審核策略 審核策 略更改 成功 失敗 審核登錄事件 成功 失敗 審核對象訪問 失敗 審核過程跟蹤 無審核 審核目錄服務(wù)訪問 失敗 審核特權(quán)使用 失敗 審核系統(tǒng)事件 成功 失敗 審核賬戶登錄事件 成功 失敗 審核賬戶管理 成功 失敗 二、本地策略 ——用戶權(quán)限分配關(guān)閉系統(tǒng)：只有 Administrators 組、其它的全部刪除。 4：刪除系統(tǒng)默認共享，不明白徽軟為什么還要在 win2020 中默認開啟它們？可以使用 share 命令查看。 GPOName 是您在本地組策略編輯器中或 GPMC 中查看時， GPO 將顯示的名稱。 使用 Scwcmd 命令行工具分析并查看安全策略的步驟 在命令提示符下，鍵入： scwcmd analyze /m: Machine /p: /o: Resultdir 使用要分析的計算機名稱替換 Machine，使用用于執(zhí)行分析的安全策略的文件名替換 ，使用分析結(jié)果文件的所在位置替換 Resultdir。 可以單擊 “查看安全策略 ”首先驗證所有策略設(shè)置。 步驟 2：將安全策略應(yīng)用到服務(wù)器 對于此步驟，將首先使用向?qū)⒉呗詰?yīng)用于本地計算機。 在 “保存安全策略 ”頁上，單擊 “下一步 ”。這些服務(wù)也可能在以后安裝在所選服務(wù)器上。 在 “基于角色的服務(wù)配置 ”頁上，單擊 “下一步 ”。 步驟 1：創(chuàng)建原型安全策略 該過程指導(dǎo)您完成一個簡單策略的創(chuàng)建過程，其中不會對默認選擇進行更改。 若要開始此方案，您需要： ? 一個安裝了 Windows Server 2020 用于創(chuàng)建安全策略的原型服務(wù)器以及應(yīng)用策略的一個或多個基于 Windows Server 2020 的附加服務(wù)器。 ? ? 使用 SCW 創(chuàng)建的安全策略與安全模板不同，后者是擴展名為 .inf 的文件。然后將這些策略僅應(yīng)用于其他 64 位計算機（非 32 位計算機）以確保正確標識和配置服務(wù)?？梢詫⒛繕耸? OU 中所有服務(wù)器的新的或修改的安全策略以 GPO 格式保存，這樣將便于使用組策略進行分發(fā)。為了幫助您實現(xiàn)這些目標，請在開始此方案之前查看以下最佳操作。 高級安全 Windows 防火墻 在 Windows Server 2020 中， SCW 與 “高級安全 Windows 防火墻 ”集成在一起。 ? ? 如果將多個安全模板附加到 .xml 文件，則在 SCW 的 “包括安全模板 ”對話框中在列表較高位置列出的模板優(yōu)先于出現(xiàn)在較低位置的模板。例如， SCW 包含任何安全模板中不包含的防火墻設(shè)置。使用 SCW 為服務(wù)器創(chuàng)建原型策略之后，通過使用 Scwcmd 命令行工具將其轉(zhuǎn)換為 GPO，然后您只需將此 GPO 鏈接到一個或多個 OU。如果單擊 “處理安全配置數(shù)據(jù)庫 ”頁上的 “查看安全配置數(shù)據(jù)庫 ”， SCW 將顯示 。 ? ? 使 用 SCW 注冊安全配置數(shù)據(jù)庫擴展。使用 SCW 創(chuàng)建的安全策略是 XML 文件，應(yīng)用該文件后，可以配置服務(wù)、網(wǎng)絡(luò)安全、特定注冊表值和審核策略。驗證了創(chuàng)建的 SCW 策略并在為您的原型服務(wù)器提供所需的安全性的此測試方案中應(yīng)用之后，可以將在測試環(huán)境中創(chuàng)建的策略應(yīng)用于生產(chǎn)環(huán)境中的服務(wù)器。 第 1 頁 共 53 頁 安全策略循序漸近指南：創(chuàng)建和部署基于角色的策略 更新時間 : 2020年 5月 應(yīng)用到 : Windows Server 2020 在 Windows Server174。 當(dāng)您繼續(xù)此方案時，將執(zhí)行以下任務(wù)： ? 使用 SCW 根據(jù)服務(wù)器的角色為服務(wù)器創(chuàng)建一個包含所有所需安全設(shè)置的安全策略。 在此方案中，您將使用 SCW 來創(chuàng)建策略并將其應(yīng)用于原型服務(wù)器。 ? 可以使用 Scwcmd 在運行 Windows Server 2020 的遠程服務(wù)器上配置、分析或回滾策略。 可以通過為非 Microsoft 應(yīng)用程序創(chuàng)建自定義角色定義擴展安全配置數(shù)據(jù)庫。 組策略管理控制臺 組策略管理控制臺 (GPMC) 已集成到 Windows Server 2020 操作系統(tǒng)中。相反，安全模板可以包含不能使用 SCW 進行配置的軟件限制策略之類的項目。 ? 服務(wù)器管理器 對于 Windows Server 2020，默認情況下使用建議的安全設(shè)置配置服務(wù) 器角色，并且只要安裝該角色就應(yīng)用這些設(shè)置。 SCW 將 “高級安全 Windows 防火墻 ”配置為允許到操作系統(tǒng)要求的重要端口以及偵聽?wèi)?yīng)用程序的入站網(wǎng)絡(luò)流量。 ? 在服務(wù)級別配置目標服務(wù)器之后，建立原型服務(wù)器的模型。 ? 第 6 頁 共 53 頁 ? 為一組服務(wù)器創(chuàng)建一個策略 。 ? ? 部署之前脫機測試新的安全策略。安全模板包含的安全設(shè)置要多于可以使用 SCW 設(shè)置的安全設(shè)置。 ? 配置將應(yīng)用安全策略的服務(wù)器的方法與配置原型服務(wù)器的方法相同。 根據(jù)原型服務(wù)器創(chuàng)建和應(yīng)用安全策略的步驟 單擊 「開始」 ，指向 “管理工具 ”，然后單擊 “安全配置向?qū)?”。 在 “選擇服務(wù)器角色 ”頁上，確保向?qū)z測到并選擇原型服務(wù)器上安裝的所有服務(wù)器角色，然后單擊 “下一步 ”。任何未知的服務(wù)將出現(xiàn)在 “未指定的服務(wù) ”頁的 SCW 中。 在 “安全策略文件名 ”頁上，鍵入原型策略的名稱，然后單擊 “下一步 ”。在此步驟的第二部分中，使用 Scwcmd 將策略應(yīng)用于一臺或多臺遠程計算機。 在 “應(yīng)用安全策略 ”頁上，等待處理完成，然后單擊 “下一步 ”。 完成分析后，鍵入： scwcmd view /x: /s: 使用在上一步中創(chuàng)建的分析結(jié)果文件替換 。 完成 scwcmd transform 命令后，便已經(jīng)在 AD DS 中創(chuàng)建了 GPO，但不會應(yīng)用它包含的策略，直到將 GPO 鏈接到某個站點、域或 OU。這些默認 共享全部刪除。通過終端服務(wù)允許登陸：只加入 Administrators,Remote Desktop Users 組， 其他全部刪除在組策略中，計算機配置 管理模板 系統(tǒng)顯示 “關(guān)閉事件跟蹤程序 ”更改為已禁用 三、本地策略 ——安全選項交互式登陸：不顯示最后的用戶名 啟用 網(wǎng)絡(luò)訪問：不允許 SAM 帳戶和共享的匿名枚舉 啟用 網(wǎng)絡(luò)訪問 : 不允許存儲網(wǎng)絡(luò)身份驗證的憑據(jù)或 .NET Passports 啟用 網(wǎng)絡(luò)訪問：可匿名訪問的共享 全部刪除 網(wǎng)絡(luò)訪問：可匿名訪問的命名管道 全部刪除 第 14 頁 共 53 頁 網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑 全部刪除 網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑和子路徑 全部刪除 9：禁止 dump file 的產(chǎn)生系統(tǒng)屬性 高級 啟動和故障恢復(fù)把寫入調(diào)試信息 改成 “無 ”。設(shè)置一些規(guī)則，具體的規(guī)則我們在以后專門的防火墻設(shè)置里講一下。好了，這節(jié)就寫到這里了。 不要指望殺毒軟 件殺掉所有的木馬，因為 ASP 木馬的特征是可以通過一定手段來避開殺毒軟件的查殺?！疚募▕A）上右鍵→屬性→安全】在這里管理 NTFS 文件（夾）權(quán)限。 因為比較多，所以我很不想寫，其實知道了上面的原理，大多數(shù)人都應(yīng)該懂了，除非不知道怎么添加系統(tǒng)用戶和組，不知道怎么設(shè)置文件夾權(quán)限，不知道 IIS 站點屬性在那里。否則，你只能留著這個組件并在你的 ASP 程序本身上下工夫，防止別人進來，而不是防止別人進來后 SHELL。 打開注冊表編輯器【開始→運行→ regedit 回車】，然后【編輯→查找→填寫 → 查 找 下 一 個 】 ， 用 這 個 方 法 能 找 到 兩 個 注 冊 表 項 ： 第 18 頁 共 53 頁 “ {13709620C27911CEA49E444553540000}”和“ ”。0P，修改成等長度的其它字符就可以了， 也一樣處理。 后記 也許有安全高手或者破壞高手看了我的文章會嘲笑或者竊喜，但我想我的經(jīng)驗里畢竟還是存在很多正確的地方，有千千萬萬的比我知道的更少的人像我剛開始完全不懂的時候那樣在渴求著這樣一篇文章，所以我 必須寫，我不管別人怎么說我，我也不怕后世會有千千萬萬的人對我唾罵，我一個人承擔(dān)下來，我也沒有娘子需要交代的?? 因為這其實只是拋磚引玉的做法，從別人的笑聲中，我和我的讀者們都可以學(xué)到更多有用的東西。 。 。 在過去，我一直使用 Virtual Network Computing 來連接這種服務(wù)器或客戶機，不過使用 VNC需要在防火墻上打開某些特定的端口，這需要涉及防火墻和內(nèi)部網(wǎng)絡(luò)的配置，以及在防火墻上建立端口映射。換句話說，客戶端系統(tǒng)不需要運行遠程桌面連接程序或終端服務(wù) (Terminal Services)客戶端程序來連接遠程系統(tǒng)，而只需要使用常用的 Web 瀏覽器就可以進行 連接了。假如遠程電腦中已經(jīng)帶有這個控件，只是版