【正文】 這不， Windows Server 2020服務(wù)器系統(tǒng)內(nèi)置的防火墻具有對各種已經(jīng)的檢測和未知的檢測進行自動記錄功能，巧妙地使用該功能，我們可以讓服務(wù)器系統(tǒng)自動跟蹤記憶那些企圖對服 第 33 頁 共 53 頁 務(wù)器系統(tǒng)進行惡意攻擊的痕跡；以后，一旦服務(wù)器系統(tǒng)遇到安全故障或其他威脅時，網(wǎng)絡(luò)管理員只要及時地打開防火墻程序?qū)娜罩居涗洠f不定就能從中找到攻擊服務(wù)器的 “ 罪槐禍首 ” 了。為了不讓 Windows Server 2020服務(wù)器系統(tǒng)遭受非法攻擊，我們只要想辦法讓普通電腦在默認狀態(tài)下無法使用 “ 網(wǎng)上鄰居 ” 窗口找到目標服務(wù)器主機，要做到這一點，其實很簡單，因為 Windows Server 2020系統(tǒng)特意為我們提供了一個網(wǎng)絡(luò)發(fā)現(xiàn)功能，只要將該功能給關(guān)閉掉，那么局域網(wǎng)中的任何一臺普通電腦都無法從 “ 網(wǎng)上鄰居 ” 窗口中找到Windows Server 2020服務(wù)器主機的 “ 身影 ” ，那樣的話服務(wù)器系統(tǒng)自然也就不會受到來自普通電腦的非法威脅了；下面是關(guān)閉 Windows Server 2020系統(tǒng)網(wǎng)絡(luò)發(fā)現(xiàn)功能的具體操作步驟： 首先以系統(tǒng)管理員身份登錄進 Windows Server 2020服務(wù)器系統(tǒng)，在該系統(tǒng)桌面中用鼠標右鍵單擊 “ 網(wǎng)絡(luò) ” 圖標，從其后的快捷菜單中選擇 “ 屬性 ” 命令，打開服務(wù)器系統(tǒng)的 “ 網(wǎng)絡(luò)和 第 25 頁 共 53 頁 共享中心 ” 窗口，在這里的 “ 共享和發(fā)現(xiàn) ” 列表下面，我們會看到不少與網(wǎng)絡(luò)共享訪問操作有關(guān)的設(shè)置內(nèi)容； 圖 1 關(guān)閉網(wǎng)絡(luò)發(fā)現(xiàn)功能 接著單擊 “ 網(wǎng)絡(luò)發(fā)現(xiàn) ” 選項旁邊的下拉按鈕，打開如圖 1所示的設(shè)置區(qū)域，選中 “ 關(guān)閉網(wǎng)絡(luò)發(fā)現(xiàn) ” 選項，再單擊 “ 應用 ” 按鈕，最后再將服務(wù)器系統(tǒng)重啟一下，如此一來本地服務(wù)器主機的 “ 身影 ” 就不會被普通電腦看到了，那么普通用戶也就不能通過網(wǎng)上鄰居窗口來對服務(wù)器實施非法攻擊了。在遠端的電腦上打開 IE 瀏覽器并輸入 ，這里的“ server”是指你希望遠程連接的服務(wù)器的主機名。首先我們來看看獨立或成員服務(wù)器的配置?，F(xiàn)在我們先安裝 RDWC。這在通常情況下都是可以實現(xiàn)的，但假如你不得不使用公用電腦或出于其它某些原因無法安裝相應的遠程治理軟件，此時遠程桌面 Web 連接(Remote Desktop Web Connection ， RDWC)就成為了一個很好的選擇。 KEY 在線激活 。另外，有了木馬就然后用木馬上傳提升工具來獲得更高的權(quán)限，我們關(guān)閉 shell 組件的目的很大程度上就是為了防止攻擊者運行提升工具。 卸載最不安全的組件 最簡單的辦法是直接卸載后刪除相應的程序文件。 在 IIS 的【站點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪 第 17 頁 共 53 頁 問→編輯】填寫剛剛創(chuàng)建的那個用戶名。 基本的服務(wù)器安全設(shè)置 安裝補丁 安裝好操作系統(tǒng)之后，最好能在托管之前就完成補丁的安裝，配置好網(wǎng)絡(luò)后，如果是 2020則確定安裝上了 SP4，如果是 2020，則最好安裝上 SP1，然后點擊開始→ Windows Update，安裝所有的關(guān)鍵更新。 TCP/IP NetBIOS Helper Server Distributed Link Tracking Client Microsoft Search Print Spooler Remote Registry Workstation 11：只開啟需要用的端口，關(guān)閉不必要的，以減少攻擊面。將服務(wù)器上所有的磁盤格式化為 NTFS。在 %windir%\Security\ 中有一個示 例文件。但是， SCW 允許您指定任何位置。 在 “選擇其他服務(wù) ”頁上，確保向?qū)z測到并選擇原型服務(wù)器上所需的所有服務(wù)，然后單擊 “下一步 ”。如果操作系統(tǒng)或角色不同，可能會錯誤配置設(shè)置，也可能會禁用必需的角色或服務(wù)，或者出現(xiàn)其他問題。 ? 此方案的要求 SCW 的所有組件都自動隨 Windows Server 2020 一起安裝，您可以在 “服務(wù)器管理器 ”或 “管理工具 ”中訪問 SCW。例如，如果 DCOM Server Process Launcher 服務(wù)在 “安全配置數(shù)據(jù)庫 ”中列出，但不在原型服務(wù)器上，則通過原型服務(wù)器創(chuàng)建的安全策略會將 DCOM Server Process Launcher 狀態(tài)設(shè)置為禁用。但是，無法使用服務(wù)器管理器自定義安全設(shè)置。 有 關(guān) 使 用 GPMC 跨 企 業(yè) 管 理 組 策 略 的 信 息 ， 請 參 閱 “ 組 策 略 管 理 控 制 第 4 頁 共 53 頁 臺 ”( 安全模板 除了使用 SCW 創(chuàng)建安全策略之外，還可以使用 SCW 通過安全模板應用安全設(shè)置。 第 3 頁 共 53 頁 ? ? 采用 GPO 格式保存策略。 ? ? 使用 Scwcmd 命令行工具將安全策略保存為組策略對象 (GPO) 格式。 方案概述 影響多臺計算機的設(shè)置、配置或行為的任何技術(shù)的 安全使用要求在部署之前進行規(guī)劃。 ? ? 查看采用 HTML 格式的分析結(jié)果。此部分回顧了這些選項以及它們?nèi)绾斡绊憫糜诎踩O(shè)置的優(yōu)先規(guī)則。 ? ? 創(chuàng)建每個 GPO 的方式（是否使用 Scwcmd）不會影響 GPO 之間的優(yōu)先級。 重要事項 如果在 SCW 的 “網(wǎng)絡(luò)安全 ”部分配置了設(shè)置，將刪除不需要的防火墻規(guī)則。一個包含特定類型服務(wù)器所需的所有安全設(shè)置的安全策略也可以簡化配置、回滾和分析?？梢酝ㄟ^服務(wù)器管理器安裝角色特定的組件。 備注 默認情況下，選擇本地計算機。 在 “注冊表設(shè)置 ”頁上，選中 “跳過這一部分 ”復選框，然后單擊 “下一步 ”。 如果已經(jīng)創(chuàng)建了多個策略，則單擊 “瀏覽 ”，然后雙擊策略的名稱。此步驟采用 GPO 格式保存策略。禁用 SQLDebugger 帳號。 第 15 頁 共 53 頁 一般給站點目錄權(quán)限為： System 完全控制 Administrator 完全控制 Users 讀 IIS_Iusrs 讀、寫 在 IIS7 中刪除不常用的映射 15：安裝一款殺毒軟件，推薦 Mcafee，再配合 Windows 防火墻，它們倆應該是一個不錯的組合。我這里講一下原理和設(shè)置思路，聰明的朋友應該看完這個就能解決問題了 。 其實，只要做好了上面的權(quán)限設(shè)置，那么 FSO、 XML、 strem 都不再是不安全組件了，因為他們都沒有跨出自己的文件夾或者站點的權(quán)限。 下面是我修改后的代碼（兩個文件我合到一起了）： Windows Registry Editor Version [HKEY_CLASSES_ROOT\CLSID\{13709620C27911CEA49E444553540001}] =Shell Automation Service [HKEY_CLASSES_ROOT\CLSID\{13709620C27911CEA49E444553540001}\InProcServer32] =C:\\WINNT\\system32\\ ThreadingModel=Apartment [HKEY_CLASSES_ROOT\CLSID\{13709620C27911CEA49E444553540001}\ProgID] = [HKEY_CLASSES_ROOT\CLSID\{13709620C27911CEA49E444553540001}\TypeLib] ={50a7e9b070ef11d1b75a00a0c90564fe} [HKEY_CLASSES_ROOT\CLSID\{13709620C27911CEA49E444553540001}\Version] = [HKEY_CLASSES_ROOT\CLSID\{13709620C27911CEA49E444553540001}\VersionIndependentProgID] = [HKEY_CLASSES_ROOT\] =Shell Automation Service [HKEY_CLASSES_ROOT\\CLSID] ={13709620C27911CEA49E444553540001} [HKEY_CLASSES_ROOT\\CurVer] = 你可以把這個保存為一個 .reg 文件運行試一下，但是可別就此了事，因為萬一黑客也看了我的這篇文章，他會試驗我改出來的這個名字的。 。 安全網(wǎng)站目錄權(quán)限隔離設(shè)置 。 對于遠程控制來說， RDWC 是一個很好的解決方案，同時，對于遠程治理以及遠程技術(shù)支持來說， RDWC 也非常合適 。 安裝完成后，打開 IIS 治理控制臺，并展開 Web 站點 \默認 Web 站點。假如這臺電腦是一個域的成員服務(wù)器，你同樣可以在“ local Remote Desktop Users”組中添加域賬戶來讓這些用戶可以通過 RDWC 連接到服務(wù)器。 點擊“ Connect”后，你會看到一個登錄對話框。為了有效保護 Windows Server 2020服務(wù)器系統(tǒng)的安全，我們需 要禁止任何用戶來對服務(wù)器系統(tǒng)進行遠程管理，這么一來服務(wù)器系統(tǒng)的管理員賬號即使發(fā)生了丟失，但非法用戶由于無法到服務(wù)器現(xiàn)場，他們同樣也無法對服務(wù)器進行各種非法破壞操作；下面，就是拒絕任何用戶通過遠程方式訪問 Windows Server 2020服務(wù)器系統(tǒng)的具體操作步驟： 首先以系統(tǒng)管理員身份登錄進 Windows Server 2020服務(wù)器系統(tǒng)，打開該系統(tǒng)的 “ 開始 ” 菜單，從中選擇 “ 運行 ” 命令，在彈出的系統(tǒng)運行文本框中，輸入字符串命令 “” ，單擊 “ 確定 ” 按鈕后，打開服務(wù)器系統(tǒng)的組策略編輯窗口； 其次在該編輯窗口的左側(cè)顯示區(qū)域，選中 “ 計算機配置 ” 選項，再用鼠標依次展開該分支下面的 “Windows 設(shè)置 ”/“ 安全設(shè)置 ”/“ 本地策略 ”/“ 用戶權(quán)限分配 ” 選項，在對應該選項的右側(cè)顯示區(qū)域中，用鼠標雙擊 “ 從網(wǎng)絡(luò)訪問此計算機 ” 組策略選項，打開如圖 4所示的組策略選項設(shè)置對話框； 第 30 頁 共 53 頁 圖 4 拒絕遠程訪問服務(wù)器 在這里，我們看到 Windows Server 2020服務(wù)器系統(tǒng)在默認狀態(tài)下會允許四類用戶通過網(wǎng)絡(luò)來遠程訪問服務(wù)器系統(tǒng)，為了禁止這些用戶對服務(wù)器系統(tǒng)進行遠程訪問，我們可以將這里的所有用戶賬號依次選中，再單擊 “ 刪除 ” 按鈕，如此一來任何用戶也不能通過網(wǎng)絡(luò)遠程訪問服務(wù)器系統(tǒng)了。 啟用遠程桌面時應注意的細節(jié) 在 Windows Server 2020中開啟遠程 桌面的操作是非常簡單的，但不同于此前的系統(tǒng)它提供了更多的安全選。為了避免 Windows Server 2020服務(wù)器系統(tǒng)遭遇非法 Ping測試操作，我們可以利用該系統(tǒng)自帶的高級防火墻功能，來巧妙定制禁止 ping測試操作的安全策略，下面就是使用防火墻定義禁止 ping測試操作規(guī)則的具體步驟： 首先以系統(tǒng)管理員身份登錄進 Windows Server 2020服務(wù)器系統(tǒng)，打開該系統(tǒng)的 “ 開始 ” 菜 第 28 頁 共 53 頁 單，從中依次選擇 “ 程序 ”/“ 管理工具 ”/“ 服務(wù)器管理器 ” 選項，在彈出的服務(wù)器管理器窗口中，依次展開左側(cè)顯示區(qū)域中的 “ 配置 ”/“ 高級安全 Windows 防火墻 ” 分支選項，進入 Windows Server 2020服務(wù)器系統(tǒng)的防火墻高級安全設(shè)置窗口； 圖 3 用防火墻限制 Ping 其次從該設(shè)置窗口中找到 “ 查看和創(chuàng)建防火墻規(guī)則 ” 設(shè)置項，單擊該設(shè)置項下面的 “ 入站規(guī)則 ” 選項，之后在對應該選項的右側(cè)操作列表中，單擊其中的 “ 新規(guī)則 ” 選項，進入防火墻高級安全規(guī)則創(chuàng)建向?qū)Т翱冢斚驅(qū)Т?口提示我們選擇創(chuàng)建類型時，我們可以先選中 “ 自定義 ” 選項，并單擊 “ 下一步 ” 按鈕； 之后向?qū)Т翱跁崾疚覀冊撘?guī)則應用于所有程序還是特定程序，此時我們可以選中 “ 所有程序 ” 選項，繼續(xù)單擊 “ 下一步 ” 按鈕，打開如圖 3所示的向?qū)гO(shè)置界面，選中其中的“ICMPv4” 選項，再單擊 “ 下一步 ” 按鈕，緊接著將此規(guī)則設(shè)置為匹配本地的 “ 任何 IP地址 ” 以及遠程的 “ 任何 IP地址 ” ，再將連接條件參數(shù)設(shè)置為 “ 阻止連接 ” ，最后依照向?qū)崾驹O(shè)置好適用該規(guī)則的具體網(wǎng)絡(luò)環(huán)境，同時為這個剛剛創(chuàng)建好的高級安全規(guī)則取一個恰當?shù)拿Q；等到上面的各項設(shè)置操作完 畢后，將 Windows Server 2020系統(tǒng)重新啟動一下，那樣的話普通電腦就無法對服務(wù)器系統(tǒng)進行 Ping測試操作了，那么服務(wù)器系統(tǒng)受到非法攻擊 第 29 頁 共 53 頁 的可能性就會明顯減少了。 當你連接到正確的 URL， IIS 會顯示一個頁面，讓你指 定所要連接網(wǎng)站服務(wù)器安全的服務(wù)器和所要使用的屏幕分辨率。在默認情況下，這個組的成