【正文】 因此，一個(gè)有經(jīng)驗(yàn)的系統(tǒng)管理員在客戶端或者服務(wù)器上開(kāi)啟遠(yuǎn)程桌面后定會(huì)進(jìn)行一定的安全部署。很明顯，倘若本地服務(wù)器系統(tǒng)中存儲(chǔ)有非常重要的隱私信息時(shí)，那無(wú)疑會(huì)存在很大的安全隱患。 例如在關(guān)閉服務(wù)器系統(tǒng)的 139端口時(shí)，我 們可以按照如下操作步驟來(lái)進(jìn)行：首先以系統(tǒng)管理員身份登錄進(jìn) Windows Server 2020服務(wù)器系統(tǒng)，打開(kāi)該系統(tǒng)的 “ 開(kāi)始 ” 菜單，從中依次選擇 “ 設(shè)置 ”/“ 網(wǎng)絡(luò)連接 ” 命令，在其后的列表窗口中用鼠標(biāo)右鍵單擊本地連接圖標(biāo)，并執(zhí)行右鍵菜單中的 “ 屬性 ” 命令，進(jìn)入本地服務(wù)器系統(tǒng)的網(wǎng)絡(luò)連接列表窗口； 圖 2 關(guān)閉安全威脅端口 其次選中 “Inter 協(xié)議版本 4（ TCP/IPv4） ” 選項(xiàng)，并單擊 “ 屬性 ” 按鈕，在彈出的TCP/IPv4屬性界面中單擊 “ 高級(jí) ” 按鈕，進(jìn)入高級(jí)屬性設(shè)置窗口；單擊該設(shè)置窗口中的“WINS” 標(biāo)簽，打開(kāi)如圖 2所示的標(biāo)簽設(shè)置頁(yè)面；在該設(shè)置頁(yè)面的 “NetBios 設(shè)置 ” 處，選中 “ 禁用 TCP/IP的 NetBios” 選項(xiàng)，再單擊 “ 確定 ” 按鈕，如此一來(lái)就能將 Windows Server 第 27 頁(yè) 共 53 頁(yè) 2020服務(wù)器系統(tǒng)的 139安全威脅端口關(guān)閉掉了。輸入用戶名密碼后點(diǎn)擊 OK，就可以登錄到遠(yuǎn)程服務(wù)器進(jìn)行治理了。在“ Administrative Tools”文件夾中打開(kāi)“ IIS Manager”控制臺(tái)，右鍵點(diǎn)擊“ Default Web Site”，選擇屬性。 進(jìn) 入 “ Local Policies\User Rights Assignment\Allow Log On Through Terminal Services”，然后打開(kāi)該策略并設(shè)置為“ Enabled”。假如有多個(gè)用戶需要連接，重復(fù)這個(gè)步驟即可。 具體的做法 是 :右鍵點(diǎn)擊“我的電腦”并選擇“屬性”，并打開(kāi)“系統(tǒng)屬性”對(duì)話框。要手動(dòng)安裝 RDWC，你需要在控制面板中點(diǎn)開(kāi)“添加刪除程序”項(xiàng)。當(dāng)擔(dān)任遠(yuǎn)程控制任務(wù)的電腦連接到這個(gè)目標(biāo)服務(wù)器上時(shí)，遠(yuǎn)程電腦中的 IE 瀏覽器會(huì)自動(dòng)下載一個(gè) CAB 文件包，用來(lái)安裝 RDWC所需的 ActiveX 控件。帶有 RDWC 的系統(tǒng)可以啟動(dòng)終端服務(wù) Web 客戶端 (Terminal Services Web ClIEnt)的計(jì)算機(jī)，以便 Web 瀏覽器可以訪問(wèn)。 小提示： 2.:配置一個(gè)正常的 Web 環(huán)境能夠有效的使網(wǎng)站安全穩(wěn)定運(yùn)行 ,同時(shí)這也是穩(wěn)定運(yùn)行的前提和基礎(chǔ) ,不正 常配置通常會(huì)給網(wǎng)站數(shù)據(jù)及服務(wù)器安全帶來(lái)巨大的安全隱患 第 21 頁(yè) 共 53 頁(yè) 遠(yuǎn)程管理 Win2020 服務(wù)器的安全技巧 我目前遠(yuǎn)程治理著多臺(tái)服務(wù)器，并且經(jīng)常需要遠(yuǎn)程連接到客戶的系統(tǒng)上解決問(wèn)題或是向客戶演示如何去完成非凡的任務(wù)，其中有些客戶的系統(tǒng)位于 200 英里以外的地方。 。 防御注冊(cè)表加固 。這就用到了前面所說(shuō)的那一大堆東西，做了那些權(quán)限設(shè)置和防提升之后，黑客就算是進(jìn)入了一個(gè)站點(diǎn)，也無(wú)法破壞這個(gè)網(wǎng)站以外的東西。 用 Ultraedit 打開(kāi) 查找 Ascii： LocalAdministrator，和 l$ak.lk。下面以 為例來(lái)介紹方法。 謹(jǐn)慎決定是否卸載一個(gè)組件 組件是為了應(yīng)用而出現(xiàn)的，而不是為了不安全而出現(xiàn)的，所有的組件都有它的用處，所以在卸載一個(gè)組件之前，你必須確認(rèn)這個(gè)組件是你的網(wǎng)站程序不需要的，或者即使去掉也不關(guān)大體的。然后再設(shè)置各個(gè) IIS 用戶在各在的文件夾里的權(quán)限。 NTFS 權(quán)限設(shè)置，請(qǐng)記住分區(qū)的時(shí)候把所有的硬盤(pán)都分為 NTFS 分區(qū)，然后我們可以確定每個(gè)分區(qū)對(duì)每個(gè)用戶開(kāi)放的權(quán)限。更多的人說(shuō)卡巴司機(jī)好，不過(guò)我沒(méi)用過(guò)。通過(guò)以上配置，服務(wù)器安全性比原來(lái)默認(rèn)又提升了一級(jí)。 13：打開(kāi) Windows 高級(jí)防火墻。 7：本地安全策略設(shè)置開(kāi)始菜單 —管理工具 —本地安全策略 一、本地策略 ——審核策略 審核策 略更改 成功 失敗 審核登錄事件 成功 失敗 審核對(duì)象訪問(wèn) 失敗 審核過(guò)程跟蹤 無(wú)審核 審核目錄服務(wù)訪問(wèn) 失敗 審核特權(quán)使用 失敗 審核系統(tǒng)事件 成功 失敗 審核賬戶登錄事件 成功 失敗 審核賬戶管理 成功 失敗 二、本地策略 ——用戶權(quán)限分配關(guān)閉系統(tǒng)：只有 Administrators 組、其它的全部刪除。 4：刪除系統(tǒng)默認(rèn)共享，不明白徽軟為什么還要在 win2020 中默認(rèn)開(kāi)啟它們？可以使用 share 命令查看。 GPOName 是您在本地組策略編輯器中或 GPMC 中查看時(shí)， GPO 將顯示的名稱。 使用 Scwcmd 命令行工具分析并查看安全策略的步驟 在命令提示符下，鍵入： scwcmd analyze /m: Machine /p: /o: Resultdir 使用要分析的計(jì)算機(jī)名稱替換 Machine，使用用于執(zhí)行分析的安全策略的文件名替換 ，使用分析結(jié)果文件的所在位置替換 Resultdir。 可以單擊 “查看安全策略 ”首先驗(yàn)證所有策略設(shè)置。 步驟 2：將安全策略應(yīng)用到服務(wù)器 對(duì)于此步驟，將首先使用向?qū)⒉呗詰?yīng)用于本地計(jì)算機(jī)。 在 “保存安全策略 ”頁(yè)上，單擊 “下一步 ”。這些服務(wù)也可能在以后安裝在所選服務(wù)器上。 在 “基于角色的服務(wù)配置 ”頁(yè)上，單擊 “下一步 ”。 步驟 1：創(chuàng)建原型安全策略 該過(guò)程指導(dǎo)您完成一個(gè)簡(jiǎn)單策略的創(chuàng)建過(guò)程，其中不會(huì)對(duì)默認(rèn)選擇進(jìn)行更改。 若要開(kāi)始此方案，您需要： ? 一個(gè)安裝了 Windows Server 2020 用于創(chuàng)建安全策略的原型服務(wù)器以及應(yīng)用策略的一個(gè)或多個(gè)基于 Windows Server 2020 的附加服務(wù)器。 ? ? 使用 SCW 創(chuàng)建的安全策略與安全模板不同，后者是擴(kuò)展名為 .inf 的文件。然后將這些策略僅應(yīng)用于其他 64 位計(jì)算機(jī)（非 32 位計(jì)算機(jī)）以確保正確標(biāo)識(shí)和配置服務(wù)?？梢詫⒛繕?biāo)是 OU 中所有服務(wù)器的新的或修改的安全策略以 GPO 格式保存，這樣將便于使用組策略進(jìn)行分發(fā)。為了幫助您實(shí)現(xiàn)這些目標(biāo)，請(qǐng)?jiān)陂_(kāi)始此方案之前查看以下最佳操作。 高級(jí)安全 Windows 防火墻 在 Windows Server 2020 中， SCW 與 “高級(jí)安全 Windows 防火墻 ”集成在一起。 ? ? 如果將多個(gè)安全模板附加到 .xml 文件，則在 SCW 的 “包括安全模板 ”對(duì)話框中在列表較高位置列出的模板優(yōu)先于出現(xiàn)在較低位置的模板。例如， SCW 包含任何安全模板中不包含的防火墻設(shè)置。使用 SCW 為服務(wù)器創(chuàng)建原型策略之后，通過(guò)使用 Scwcmd 命令行工具將其轉(zhuǎn)換為 GPO，然后您只需將此 GPO 鏈接到一個(gè)或多個(gè) OU。如果單擊 “處理安全配置數(shù)據(jù)庫(kù) ”頁(yè)上的 “查看安全配置數(shù)據(jù)庫(kù) ”， SCW 將顯示 。 ? ? 使 用 SCW 注冊(cè)安全配置數(shù)據(jù)庫(kù)擴(kuò)展。使用 SCW 創(chuàng)建的安全策略是 XML 文件，應(yīng)用該文件后，可以配置服務(wù)、網(wǎng)絡(luò)安全、特定注冊(cè)表值和審核策略。驗(yàn)證了創(chuàng)建的 SCW 策略并在為您的原型服務(wù)器提供所需的安全性的此測(cè)試方案中應(yīng)用之后，可以將在測(cè)試環(huán)境中創(chuàng)建的策略應(yīng)用于生產(chǎn)環(huán)境中的服務(wù)器。 第 1 頁(yè) 共 53 頁(yè) 安全策略循序漸近指南：創(chuàng)建和部署基于角色的策略 更新時(shí)間 : 2020年 5月 應(yīng)用到 : Windows Server 2020 在 Windows Server174。 當(dāng)您繼續(xù)此方案時(shí)，將執(zhí)行以下任務(wù)： ? 使用 SCW 根據(jù)服務(wù)器的角色為服務(wù)器創(chuàng)建一個(gè)包含所有所需安全設(shè)置的安全策略。 在此方案中，您將使用 SCW 來(lái)創(chuàng)建策略并將其應(yīng)用于原型服務(wù)器。 ? 可以使用 Scwcmd 在運(yùn)行 Windows Server 2020 的遠(yuǎn)程服務(wù)器上配置、分析或回滾策略。 可以通過(guò)為非 Microsoft 應(yīng)用程序創(chuàng)建自定義角色定義擴(kuò)展安全配置數(shù)據(jù)庫(kù)。 組策略管理控制臺(tái) 組策略管理控制臺(tái) (GPMC) 已集成到 Windows Server 2020 操作系統(tǒng)中。相反，安全模板可以包含不能使用 SCW 進(jìn)行配置的軟件限制策略之類的項(xiàng)目。 ? 服務(wù)器管理器 對(duì)于 Windows Server 2020，默認(rèn)情況下使用建議的安全設(shè)置配置服務(wù) 器角色，并且只要安裝該角色就應(yīng)用這些設(shè)置。 SCW 將 “高級(jí)安全 Windows 防火墻 ”配置為允許到操作系統(tǒng)要求的重要端口以及偵聽(tīng)?wèi)?yīng)用程序的入站網(wǎng)絡(luò)流量。 ? 在服務(wù)級(jí)別配置目標(biāo)服務(wù)器之后，建立原型服務(wù)器的模型。 ? 第 6 頁(yè) 共 53 頁(yè) ? 為一組服務(wù)器創(chuàng)建一個(gè)策略 。 ? ? 部署之前脫機(jī)測(cè)試新的安全策略。安全模板包含的安全設(shè)置要多于可以使用 SCW 設(shè)置的安全設(shè)置。 ? 配置將應(yīng)用安全策略的服務(wù)器的方法與配置原型服務(wù)器的方法相同。 根據(jù)原型服務(wù)器創(chuàng)建和應(yīng)用安全策略的步驟 單擊 「開(kāi)始」 ，指向 “管理工具 ”，然后單擊 “安全配置向?qū)?”。 在 “選擇服務(wù)器角色 ”頁(yè)上，確保向?qū)z測(cè)到并選擇原型服務(wù)器上安裝的所有服務(wù)器角色，然后單擊 “下一步 ”。任何未知的服務(wù)將出現(xiàn)在 “未指定的服務(wù) ”頁(yè)的 SCW 中。 在 “安全策略文件名 ”頁(yè)上，鍵入原型策略的名稱，然后單擊 “下一步 ”。在此步驟的第二部分中，使用 Scwcmd 將策略應(yīng)用于一臺(tái)或多臺(tái)遠(yuǎn)程計(jì)算機(jī)。 在 “應(yīng)用安全策略 ”頁(yè)上，等待處理完成，然后單擊 “下一步 ”。 完成分析后，鍵入： scwcmd view /x: /s: 使用在上一步中創(chuàng)建的分析結(jié)果文件替換 。 完成 scwcmd transform 命令后，便已經(jīng)在 AD DS 中創(chuàng)建了 GPO，但不會(huì)應(yīng)用它包含的策略，直到將 GPO 鏈接到某個(gè)站點(diǎn)、域或 OU。這些默認(rèn) 共享全部刪除。通過(guò)終端服務(wù)允許登陸：只加入 Administrators,Remote Desktop Users 組， 其他全部刪除在組策略中，計(jì)算機(jī)配置 管理模板 系統(tǒng)顯示 “關(guān)閉事件跟蹤程序 ”更改為已禁用 三、本地策略 ——安全選項(xiàng)交互式登陸：不顯示最后的用戶名 啟用 網(wǎng)絡(luò)訪問(wèn)：不允許 SAM 帳戶和共享的匿名枚舉 啟用 網(wǎng)絡(luò)訪問(wèn) : 不允許存儲(chǔ)網(wǎng)絡(luò)身份驗(yàn)證的憑據(jù)或 .NET Passports 啟用 網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的共享 全部刪除 網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的命名管道 全部刪除 第 14 頁(yè) 共 53 頁(yè) 網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑 全部刪除 網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑 全部刪除 9：禁止 dump file 的產(chǎn)生系統(tǒng)屬性 高級(jí) 啟動(dòng)和故障恢復(fù)把寫(xiě)入調(diào)試信息 改成 “無(wú) ”。設(shè)置一些規(guī)則，具體的規(guī)則我們?cè)谝院髮ｉT的防火墻設(shè)置里講一下。好了，這節(jié)就寫(xiě)到這里了。 不要指望殺毒軟 件殺掉所有的木馬，因?yàn)?ASP 木馬的特征是可以通過(guò)一定手段來(lái)避開(kāi)殺毒軟件的查殺?！疚募▕A）上右鍵→屬性→安全】在這里管理 NTFS 文件（夾）權(quán)限。 因?yàn)楸容^多，所以我很不想寫(xiě)，其實(shí)知道了上面的原理，大多數(shù)人都應(yīng)該懂了，除非不知道怎么添加系統(tǒng)用戶和組，不知道怎么設(shè)置文件夾權(quán)限，不知道 IIS 站點(diǎn)屬性在那里。否則，你只能留著這個(gè)組件并在你的 ASP 程序本身上下工夫，防止別人進(jìn)來(lái)，而不是防止別人進(jìn)來(lái)后 SHELL。 打開(kāi)注冊(cè)表編輯器【開(kāi)始→運(yùn)行→ regedit 回車】，然后【編輯→查找→填寫(xiě) → 查 找 下 一 個(gè) 】 ， 用 這 個(gè) 方 法 能 找 到 兩 個(gè) 注 冊(cè) 表 項(xiàng) ： 第 18 頁(yè) 共 53 頁(yè) “ {13709620C27911CEA49E444553540000}”和“ ”。0P，修改成等長(zhǎng)度的其它字符就可以了， 也一樣處理。 后記 也許有安全高手或者破壞高手看了我的文章會(huì)嘲笑或者竊喜，但我想我的經(jīng)驗(yàn)里畢竟還是存在很多正確的地方，有千千萬(wàn)萬(wàn)的比我知道的更少的人像我剛開(kāi)始完全不懂的時(shí)候那樣在渴求著這樣一篇文章，所以我 必須寫(xiě)，我不管別人怎么說(shuō)我，我也不怕后世會(huì)有千千萬(wàn)萬(wàn)的人對(duì)我唾罵，我一個(gè)人承擔(dān)下來(lái)，我也沒(méi)有娘子需要交代的?? 因?yàn)檫@其實(shí)只是拋磚引玉的做法，從別人的笑聲中，我和我的讀者們都可以學(xué)到更多有用的東西。 。 。 在過(guò)去，我一直使用 Virtual Network Computing 來(lái)連接這種服務(wù)器或客戶機(jī)，不過(guò)使用 VNC需要在防火墻上打開(kāi)某些特定的端口，這需要涉及防火墻和內(nèi)部網(wǎng)絡(luò)的配置，以及在防火墻上建立端口映射。換句話說(shuō)，客戶端系統(tǒng)不需要運(yùn)行遠(yuǎn)程桌面連接程序或終端服務(wù) (Terminal Services)客戶端程序來(lái)連接遠(yuǎn)程系統(tǒng)，而只需要使用常用的 Web 瀏覽器就可以進(jìn)行 連接了。假如遠(yuǎn)程電腦中已經(jīng)帶有這個(gè)控件，只是版