【導(dǎo)讀】系統(tǒng)的運行安全了。性、安全配置實戰(zhàn)、漏洞及常見安全設(shè)置。本論文以美國微軟公司的。通過加快IT系統(tǒng)的部署與維護(hù)、使服務(wù)器和應(yīng)用程序的合并。IT專業(yè)人員提供了靈活性。WindowsServer2020為任何組織的服。務(wù)器和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)奠定了最好的基礎(chǔ)。強(qiáng)，從而可重點關(guān)注關(guān)鍵業(yè)務(wù)需求。WindowServer2020通過加強(qiáng)操作系統(tǒng)和。保護(hù)網(wǎng)絡(luò)環(huán)境提高了安全性。會采用手工方法來降低WindowsServer2020系統(tǒng)的安全訪問級別。強(qiáng)大的組策略功能，來對相關(guān)選項參數(shù)進(jìn)行有效設(shè)置。

　　

【正文】 rver 2020 系統(tǒng)自身的漏洞，而無法封堵應(yīng)用程序漏洞。為了既能正常運行目標(biāo)應(yīng)用程序，又能防止應(yīng)用程序漏洞被非法利用，我們可以按照如下操作來封堵應(yīng)用程序漏洞： 首先依次單擊 Windows Server 2020 系統(tǒng)桌面上的 “ 開始 ”/“ 程序 ”/“ 管理工具 ”/“ 服務(wù)器管理器 ” 命令，在彈出的服務(wù)器管理器控制臺窗口左側(cè)列表區(qū)域中，依次展開 “ 配置 ” 、 “ 高級安全 Windows 防火墻 ” 分支選項，從目標(biāo)分支下面點選 “ 入站規(guī)則 ” 選項 。 遼寧建筑職業(yè)學(xué)院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設(shè)計） 20 其次從對應(yīng) “ 入站規(guī)則 ” 的 “ 操作 ” 列表中，點擊 “ 新規(guī)則 ” 項目，此時系統(tǒng)屏幕會自動彈出新建入站規(guī)則向?qū)Т翱?，選中其中的 “ 程序 ” 選項，同時單擊 “ 下一步 ” 按鈕，彈出如圖 3 所示的設(shè)置窗口，將該設(shè)置窗口中的 “ 此程序路徑 ” 選項選中，之后在應(yīng)用程序路徑文本框中正確輸入存在安全漏洞的應(yīng)用程序具體路徑，當(dāng)然我們也能通過“ 瀏覽 ” 按鈕打開文件選擇對話框來選中并導(dǎo)入目標(biāo)應(yīng)用程序 。 接著入站規(guī)則向?qū)棾鎏崾驹儐栁覀円M(jìn)行什么操作時，我們必須將 “ 阻止連接 ” 項目選中 ，繼續(xù)點擊 “ 下一步 ” 按鈕，設(shè)置好當(dāng)前入站規(guī)則的適用條件，我們盡量將 “ 公用 ” 、 “ 專用 ” 、 “ 域 ” 等條件同時選中，保證 Windows Server 2020 系統(tǒng)與任何不同的網(wǎng)絡(luò)連接時，任何非法程序都無法通過網(wǎng)絡(luò)利用目標(biāo)應(yīng)用程序的漏洞來攻擊Windows Server 2020 系統(tǒng) 。 完成上面的設(shè)置操作后，我們只要設(shè)置好當(dāng)前新建規(guī)則的名稱，同時單擊 “ 完成 ”按鈕保存好上面的創(chuàng)建操作，這么一來我們?nèi)蘸罂梢岳媚繕?biāo)應(yīng)用程序正常上網(wǎng)訪問，但是木馬程序或間諜程序卻無法利用目標(biāo)應(yīng)用程序漏洞并通過網(wǎng)絡(luò)來攻擊本地計算機(jī)系統(tǒng)。 有的時候， Windows Server 2020 系統(tǒng)由于操作不當(dāng)或其他意外運行崩潰時，往往會將故障發(fā)生那一刻的內(nèi)存鏡像內(nèi)容保存為系統(tǒng)轉(zhuǎn)存文件，這些文件中可能保存比較隱私的信息，例如登錄系統(tǒng)的特權(quán)賬號信息、正在訪問的單位人事或財務(wù)信息等，要是這些信息被沒有授權(quán)的用戶偷偷訪問到，那將是非常危險的事情。為了封堵系統(tǒng)轉(zhuǎn)存漏洞，我們可以按照下面的操作來設(shè)置 Windows Server 2020 系統(tǒng)： 首先打開 Windows Server 2020 系統(tǒng)的 “ 開始 ” 菜單，從中依次點擊 “ 設(shè)置 ” 、 “ 控制 面板 ” 選項，打開對應(yīng)系統(tǒng)的控制面板窗口，用鼠標(biāo)雙擊該窗口中的 “ 系統(tǒng) ” 圖標(biāo)，進(jìn)入 Windows Server 2020 系統(tǒng)的屬性設(shè)置界面 。 其次點選該屬性界面左側(cè)列表區(qū)域處的 “ 高級系統(tǒng)設(shè)置 ” 功能選項，彈出高級系統(tǒng)屬性設(shè)置界面，在該設(shè)置界面的 “ 啟動和故障恢復(fù) ” 位置處單擊 “ 設(shè)置 ” 按鈕，打開遼寧建筑職業(yè)學(xué)院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設(shè)計） 21 Windows Server 2020 系統(tǒng)的啟動和故障恢復(fù)設(shè)置對話框，如圖 4 所示 圖 4 接著在圖 4對話框的 “ 系統(tǒng)失敗 ” 位置處，單擊 “ 寫入調(diào)試信息 ” 選項的下拉按鈕，并從下拉列表中點選 “ 無 ” ，再單擊 “ 確定 ” 按鈕保存好上述設(shè)置操作，這么一來Windows Server 2020 系統(tǒng)日后即使發(fā)生了系統(tǒng)崩潰現(xiàn)象，也不會將故障發(fā)生那一刻的內(nèi)存鏡像內(nèi)容保存為系統(tǒng)轉(zhuǎn)存文件了，那么本地系統(tǒng)的一些隱私信息也就不會被他人非法偷看了。 為了提高網(wǎng)絡(luò)管理效率， Windows Server 2020 系統(tǒng)在默認(rèn)狀態(tài)下啟用運 行了一項新功能，那就是網(wǎng)絡(luò)發(fā)現(xiàn)功能，該功能可以通過 LinkLayer Topology Discovery Responder 網(wǎng)絡(luò)協(xié)議，來自動判斷出當(dāng)前內(nèi)網(wǎng)環(huán)境中究竟有哪些網(wǎng)絡(luò)設(shè)備或計算機(jī)處于在線連接狀態(tài)，我們可以巧妙利用該功能來快速定位網(wǎng)絡(luò)故障位置，找到網(wǎng)絡(luò)故障原因，提升網(wǎng)絡(luò)故障解決效率?？墒?，在網(wǎng)絡(luò)連接安全要求較高的場合下，網(wǎng)絡(luò)發(fā)現(xiàn)功能的默認(rèn)啟用運行，往往會讓內(nèi)網(wǎng)環(huán)境中的重要網(wǎng)絡(luò)設(shè)備或計算機(jī)直接 “ 暴露 ” 在網(wǎng)絡(luò)中，那樣的話重要網(wǎng)絡(luò)設(shè)備或計算機(jī)就容易受到非法攻擊。為了封堵網(wǎng)絡(luò)發(fā)現(xiàn)漏洞，我們可以按照下面的操 作來設(shè)置 Windows Server 2020 系統(tǒng)： 首先依次點選 Windows Server 2020系統(tǒng) “ 開始 ” 菜單中的 “ 設(shè)置 ” 、 “ 控制面板 ”命令，打開 Windows Server 2020 系統(tǒng)的控制面板窗口，雙擊該窗口中的 “ 網(wǎng)絡(luò)和共享遼寧建筑職業(yè)學(xué)院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設(shè)計） 22 中心 ” 選項，再在其后界面中展開網(wǎng)絡(luò)發(fā)現(xiàn)功能設(shè)置區(qū)域，選中其中的 “ 關(guān)閉網(wǎng)絡(luò)發(fā)現(xiàn) ” 選項，同時單擊 “ 應(yīng)用 ” 按鈕保存好上述設(shè)置操作，如圖 5 所示 。 圖 5 其次依次單擊 “ 開始 ”/“ 設(shè)置 ”/“ 網(wǎng)絡(luò)連接 ” 命令，在彈出的網(wǎng)絡(luò)連接列表窗口中，用鼠標(biāo)右鍵單擊目標(biāo)本地連接圖標(biāo)，并執(zhí)行快捷菜單中的 “ 屬性 ” 命令，打開目標(biāo)本地連接屬性設(shè)置界面，取消默認(rèn)選中的 LinkLayer Topology Discovery Responder協(xié)議選項，再單擊 “ 確定 ” 按鈕，之后再將 “ 鏈路層拓?fù)浒l(fā)現(xiàn)映射器 I/O 驅(qū)動程序 ” 的選中狀態(tài)一并取消，最后單擊 “ 確定 ” 按鈕執(zhí)行參數(shù)設(shè)置保存操作，如此一來 Windows Server 2020 系統(tǒng)的網(wǎng)絡(luò)發(fā)現(xiàn)漏洞就被成功封堵了 。 封堵特權(quán)賬號漏洞 與普通服務(wù)器系統(tǒng)一樣，在缺省狀態(tài)下 Windows Server 2020 系統(tǒng)仍然會優(yōu)先使用Administrator 賬號嘗試進(jìn)行登錄系統(tǒng)操作，正因為這樣一些非法攻擊者往往也會利用Administrator 賬號漏洞，來嘗試破解 Administrator 賬號的密碼，并利用該特權(quán)賬號攻擊重要的服務(wù)器系統(tǒng)。為了封堵特權(quán)賬號漏洞，我們可以對 Windows Server 2020 系統(tǒng)進(jìn)行如下設(shè)置操作： 首先在 Windows Server 2020 系統(tǒng)桌面中依次單擊 “ 開始 ”/“ 運行 ” 命令，在彈出的系統(tǒng)運行對話框中，輸入字符串命令 “” ，單擊回車鍵后，打開對應(yīng)系統(tǒng)的組策略控制臺窗口 。 其次選中組策略控制臺窗口左側(cè)位置處的 “ 計算機(jī)配置 ” 節(jié)點選項，同時從目標(biāo)節(jié)點下面逐一展開 “Windows 設(shè)置 ” 、 “ 安全設(shè)置 ” 、 “ 本地策略 ” 、 “ 安全選項 ” ，再用鼠標(biāo)雙擊 “ 安全選項 ” 分支下面的 “ 帳戶：重命名系統(tǒng)管理員帳戶 ” 目標(biāo)組策略選項，彈出如圖 6 所示的 “ 帳戶：重命名系統(tǒng)管理員帳戶 ” 選項設(shè)置窗口 。 遼寧建筑職業(yè)學(xué)院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設(shè)計） 23 在該窗口的 “ 本地安全設(shè)置 ” 標(biāo)簽 頁面中，為 Administrator 賬號重新設(shè)置一個外人不容易想到的新名稱，比方說我們在這里可以將其設(shè)置為 “tequanzh” ，再單擊 “ 確定 ” 按鈕執(zhí)行設(shè)置保 存操作，那樣一來我們就能成功封堵 Windows Server 2020 系統(tǒng)的特權(quán)賬號漏洞了。 Windows Server 2020 常見安全設(shè)置 在多人共同使用相同的一臺計算機(jī)進(jìn)行工作時，我們肯定不希望普通用戶隨意使用迅雷工具進(jìn)行惡意下載，這樣不但容易浪費本地系統(tǒng)的磁盤空間資源，而且也會大大消耗本地系統(tǒng)的上網(wǎng)帶寬資源。而在 Windows Server 2020 系統(tǒng)環(huán)境下，限制普通用戶隨意使用迅雷工具進(jìn)行惡意下載的方法有很多，例如可以利用 Windows Server 2020 系統(tǒng)新增加的高級安全防火墻功能，或者通過限制下載端口等方法來實現(xiàn) 0 上述控制目的，其實除了這些方法外，我們還可以巧妙地利用該系統(tǒng)的軟件限制策略來達(dá)到這一 目的，下面就是該方法的具體實現(xiàn)步驟： 首先以系統(tǒng)管理員權(quán)限登錄進(jìn)入 Windows Server 2020 系統(tǒng)，打開該系統(tǒng)的“開始”菜單，從中點選“運行”命令，在彈出的系統(tǒng)運行文本框中，輸入“ ”字符遼寧建筑職業(yè)學(xué)院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設(shè)計） 24 串命令，進(jìn)入對應(yīng)系統(tǒng)的組策略控制臺窗口 。 其次在該控制臺窗口的左側(cè)位置處，依次選中“計算機(jī)配置” /“ Windows 設(shè)置” /“安全設(shè)置” /“軟件限制策略”選項，同時用鼠標(biāo)右鍵單擊該選項，并執(zhí)行快捷菜單中的“創(chuàng)建軟件限制策略”命令 。 接著在對應(yīng)“軟件限制策略”選項的右側(cè)顯示區(qū)域，用鼠標(biāo)雙擊“強(qiáng)制”組策略項目，打開如圖 1 所示的設(shè)置對話框，選中其中的“除本地管理員以外的所有用戶”選項，其余參數(shù)都保持默認(rèn)設(shè)置，再單擊“確定”按鈕結(jié)束上述設(shè)置操作 。 現(xiàn)在 Inter 網(wǎng)絡(luò)上的病毒瘋狂肆虐，一些“狡猾”的網(wǎng)絡(luò)病毒為了躲避殺毒軟件的追殺，往往會想方設(shè)法地將自己隱藏于系 統(tǒng)臨時文件夾，那 樣一來殺毒軟件即使找到了網(wǎng)絡(luò)病毒，也對它無可奈何，因為殺毒軟件對系統(tǒng)臨時文件夾根本無權(quán)“指手劃腳”。為了防止網(wǎng)絡(luò)病毒隱藏在系統(tǒng)臨時文件夾中，我們 可以按照下面的操作設(shè)置Windows Server 2020 系統(tǒng)的軟件限制策略： 首先打開 Windows Server 2020 系統(tǒng)的“開始”菜單，從中點選“運行”命令，在彈出的系統(tǒng)運行對話框中，輸入組策略編輯命令“ ”，單擊“確定”按鈕后，進(jìn)入對應(yīng)系統(tǒng)的組策略控制臺窗口 。 圖 2 將“安全級別”參數(shù)設(shè)置為“不允許” 其次在該控制臺窗口的左側(cè)位置處，依次選中“計算機(jī)配置” /“ Windows 設(shè) 置” /“安全設(shè)置” /“軟件限制策略” /“其他規(guī)則”選項，同時用鼠標(biāo)右 鍵單擊該選項，并執(zhí)行快捷菜單中的“新建路徑規(guī)則”命令，打開如圖 2 所示的設(shè)置對話框 。單擊其中的“瀏覽”按鈕，從彈出的文件選擇對話框中，選中并導(dǎo)入 Windows Server 2020 系統(tǒng)的臨時文件夾，同時再將“安全級別”參數(shù)設(shè)置為“不允許”，最后單擊“確定”按鈕遼寧建筑職業(yè)學(xué)院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設(shè)計） 25 保存好上述設(shè)置操作，這樣一來網(wǎng)絡(luò)病毒日后就不能躲藏到系統(tǒng) 的臨時文件夾中了。 網(wǎng)的非法 ping 攻擊 我們知道，巧妙地利用 Windows 系統(tǒng)自帶的 ping 命令，可以快速判斷局域網(wǎng)中某臺重要計算機(jī)的網(wǎng)絡(luò)連通性 ?？墒?， ping 命令在給我們帶來實用的同時，也容易被一些惡意用戶所利用，例如惡意用戶要是借助專業(yè)工具不停地向重要計算機(jī)發(fā)送 ping 命令測試包時，重要計算機(jī)系統(tǒng)由于無法對所有測試包進(jìn)行應(yīng)答，從而容易出現(xiàn)癱瘓現(xiàn)象。為了保證 Windows Server 2020 服務(wù)器系統(tǒng)的運行穩(wěn)定性，我們可以修改該系統(tǒng)的組策略參數(shù)，來禁止來自外網(wǎng)的非法 ping 攻擊： 首先以特權(quán)身份登錄進(jìn)入 Windows Server 2020 服務(wù)器系統(tǒng)，依次點選該系統(tǒng)桌面上的“開始” /“運行”命令，在彈出的系統(tǒng)運行對話框中，輸入字符串命令“ ”，單擊回車鍵后，進(jìn)入對應(yīng)系統(tǒng)的控制臺窗口 。 其次選中該控制臺左側(cè)列表中的“計算機(jī)配置”節(jié)點選項，并從目標(biāo)節(jié)點下面逐一點選“ Windows 設(shè)置”、“安全設(shè)置”、“高級安全 Windows 防火墻”、“高級安全 Windows防火墻 —— 本地組策略對象”選項，再用鼠標(biāo)選中目標(biāo)選項下面的“入站規(guī)則”項目 。 接著在對應(yīng)“入站規(guī)則”項目右側(cè)的“操作”列表中，點選“ 新規(guī)則”選項，此時系統(tǒng)屏幕會自動彈出新建入站規(guī)則向?qū)υ捒?，依照向?qū)聊坏奶崾?，先將“自定義”選項選中，再將“所有程序”項目選中，之后從協(xié)議類型列表中選中 圖 3 之后向?qū)聊粫崾疚覀冞x擇什么類型的連接條件時，我們可以選中“阻止連接”選項，同時依照實際情況設(shè)置好對應(yīng)入站規(guī)則的應(yīng)用環(huán)境，最后為當(dāng)前創(chuàng)建的入 站規(guī)則設(shè)置一個適當(dāng)?shù)拿Q。完成上面的設(shè)置任務(wù)后，將 Windows Server 2020 服務(wù)器系統(tǒng)重新啟動一下，這么一來 Windows Server 2020 服務(wù)器系統(tǒng)日后 就不會輕易受到來自外網(wǎng)的非法 ping 測試攻擊了。 為了阻止非法攻擊者隨意修改 Windows Server 2020服務(wù)器系統(tǒng)的防火墻安全規(guī)則，我們可以進(jìn)行下面的設(shè)置操作： 遼寧建筑職業(yè)學(xué)院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設(shè)計） 26 首先打開 Windows Server 2020 服務(wù)器系統(tǒng)的“開始”菜單，點選“運行”命令，在彈出的系統(tǒng)運行文本框中執(zhí)行“ regedit”字符串命令，打開系統(tǒng)注冊表控制臺窗口 。選中該窗 口 左 側(cè) 顯 示 區(qū) 域 處 的 HKEY_LOCAL_MACHINE 節(jié) 點 選 項 ， SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules 注冊表子項，該子項下面保存有很多安全規(guī)則 。 其次打開注冊表控制臺窗口中的“編輯”下拉菜單，從中點選“權(quán)限”選項，打開權(quán)限設(shè)置對話框，單擊該對話框中的“添加”按鈕，從其后出現(xiàn)的帳號選擇框中 選中“ Everyone”帳號，同時將其導(dǎo)入進(jìn)來 。再將對應(yīng)該帳號的“完全控制”權(quán)限調(diào)整為“拒絕”