【導讀】系統(tǒng)的運行安全了。性、安全配置實戰(zhàn)、漏洞及常見安全設置。本論文以美國微軟公司的。通過加快IT系統(tǒng)的部署與維護、使服務器和應用程序的合并。IT專業(yè)人員提供了靈活性。WindowsServer2020為任何組織的服。務器和網(wǎng)絡基礎結構奠定了最好的基礎。強，從而可重點關注關鍵業(yè)務需求。WindowServer2020通過加強操作系統(tǒng)和。保護網(wǎng)絡環(huán)境提高了安全性。會采用手工方法來降低WindowsServer2020系統(tǒng)的安全訪問級別。強大的組策略功能，來對相關選項參數(shù)進行有效設置。

　　

【正文】 rver 2020 系統(tǒng)自身的漏洞，而無法封堵應用程序漏洞。為了既能正常運行目標應用程序，又能防止應用程序漏洞被非法利用，我們可以按照如下操作來封堵應用程序漏洞： 首先依次單擊 Windows Server 2020 系統(tǒng)桌面上的 “ 開始 ”/“ 程序 ”/“ 管理工具 ”/“ 服務器管理器 ” 命令，在彈出的服務器管理器控制臺窗口左側列表區(qū)域中，依次展開 “ 配置 ” 、 “ 高級安全 Windows 防火墻 ” 分支選項，從目標分支下面點選 “ 入站規(guī)則 ” 選項 。 遼寧建筑職業(yè)學院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設計） 20 其次從對應 “ 入站規(guī)則 ” 的 “ 操作 ” 列表中，點擊 “ 新規(guī)則 ” 項目，此時系統(tǒng)屏幕會自動彈出新建入站規(guī)則向導窗口，選中其中的 “ 程序 ” 選項，同時單擊 “ 下一步 ” 按鈕，彈出如圖 3 所示的設置窗口，將該設置窗口中的 “ 此程序路徑 ” 選項選中，之后在應用程序路徑文本框中正確輸入存在安全漏洞的應用程序具體路徑，當然我們也能通過“ 瀏覽 ” 按鈕打開文件選擇對話框來選中并導入目標應用程序 。 接著入站規(guī)則向導會彈出提示詢問我們要進行什么操作時，我們必須將 “ 阻止連接 ” 項目選中 ，繼續(xù)點擊 “ 下一步 ” 按鈕，設置好當前入站規(guī)則的適用條件，我們盡量將 “ 公用 ” 、 “ 專用 ” 、 “ 域 ” 等條件同時選中，保證 Windows Server 2020 系統(tǒng)與任何不同的網(wǎng)絡連接時，任何非法程序都無法通過網(wǎng)絡利用目標應用程序的漏洞來攻擊Windows Server 2020 系統(tǒng) 。 完成上面的設置操作后，我們只要設置好當前新建規(guī)則的名稱，同時單擊 “ 完成 ”按鈕保存好上面的創(chuàng)建操作，這么一來我們日后可以利用目標應用程序正常上網(wǎng)訪問，但是木馬程序或間諜程序卻無法利用目標應用程序漏洞并通過網(wǎng)絡來攻擊本地計算機系統(tǒng)。 有的時候， Windows Server 2020 系統(tǒng)由于操作不當或其他意外運行崩潰時，往往會將故障發(fā)生那一刻的內存鏡像內容保存為系統(tǒng)轉存文件，這些文件中可能保存比較隱私的信息，例如登錄系統(tǒng)的特權賬號信息、正在訪問的單位人事或財務信息等，要是這些信息被沒有授權的用戶偷偷訪問到，那將是非常危險的事情。為了封堵系統(tǒng)轉存漏洞，我們可以按照下面的操作來設置 Windows Server 2020 系統(tǒng)： 首先打開 Windows Server 2020 系統(tǒng)的 “ 開始 ” 菜單，從中依次點擊 “ 設置 ” 、 “ 控制 面板 ” 選項，打開對應系統(tǒng)的控制面板窗口，用鼠標雙擊該窗口中的 “ 系統(tǒng) ” 圖標，進入 Windows Server 2020 系統(tǒng)的屬性設置界面 。 其次點選該屬性界面左側列表區(qū)域處的 “ 高級系統(tǒng)設置 ” 功能選項，彈出高級系統(tǒng)屬性設置界面，在該設置界面的 “ 啟動和故障恢復 ” 位置處單擊 “ 設置 ” 按鈕，打開遼寧建筑職業(yè)學院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設計） 21 Windows Server 2020 系統(tǒng)的啟動和故障恢復設置對話框，如圖 4 所示 圖 4 接著在圖 4對話框的 “ 系統(tǒng)失敗 ” 位置處，單擊 “ 寫入調試信息 ” 選項的下拉按鈕，并從下拉列表中點選 “ 無 ” ，再單擊 “ 確定 ” 按鈕保存好上述設置操作，這么一來Windows Server 2020 系統(tǒng)日后即使發(fā)生了系統(tǒng)崩潰現(xiàn)象，也不會將故障發(fā)生那一刻的內存鏡像內容保存為系統(tǒng)轉存文件了，那么本地系統(tǒng)的一些隱私信息也就不會被他人非法偷看了。 為了提高網(wǎng)絡管理效率， Windows Server 2020 系統(tǒng)在默認狀態(tài)下啟用運 行了一項新功能，那就是網(wǎng)絡發(fā)現(xiàn)功能，該功能可以通過 LinkLayer Topology Discovery Responder 網(wǎng)絡協(xié)議，來自動判斷出當前內網(wǎng)環(huán)境中究竟有哪些網(wǎng)絡設備或計算機處于在線連接狀態(tài)，我們可以巧妙利用該功能來快速定位網(wǎng)絡故障位置，找到網(wǎng)絡故障原因，提升網(wǎng)絡故障解決效率?？墒牵诰W(wǎng)絡連接安全要求較高的場合下，網(wǎng)絡發(fā)現(xiàn)功能的默認啟用運行，往往會讓內網(wǎng)環(huán)境中的重要網(wǎng)絡設備或計算機直接 “ 暴露 ” 在網(wǎng)絡中，那樣的話重要網(wǎng)絡設備或計算機就容易受到非法攻擊。為了封堵網(wǎng)絡發(fā)現(xiàn)漏洞，我們可以按照下面的操 作來設置 Windows Server 2020 系統(tǒng)： 首先依次點選 Windows Server 2020系統(tǒng) “ 開始 ” 菜單中的 “ 設置 ” 、 “ 控制面板 ”命令，打開 Windows Server 2020 系統(tǒng)的控制面板窗口，雙擊該窗口中的 “ 網(wǎng)絡和共享遼寧建筑職業(yè)學院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設計） 22 中心 ” 選項，再在其后界面中展開網(wǎng)絡發(fā)現(xiàn)功能設置區(qū)域，選中其中的 “ 關閉網(wǎng)絡發(fā)現(xiàn) ” 選項，同時單擊 “ 應用 ” 按鈕保存好上述設置操作，如圖 5 所示 。 圖 5 其次依次單擊 “ 開始 ”/“ 設置 ”/“ 網(wǎng)絡連接 ” 命令，在彈出的網(wǎng)絡連接列表窗口中，用鼠標右鍵單擊目標本地連接圖標，并執(zhí)行快捷菜單中的 “ 屬性 ” 命令，打開目標本地連接屬性設置界面，取消默認選中的 LinkLayer Topology Discovery Responder協(xié)議選項，再單擊 “ 確定 ” 按鈕，之后再將 “ 鏈路層拓撲發(fā)現(xiàn)映射器 I/O 驅動程序 ” 的選中狀態(tài)一并取消，最后單擊 “ 確定 ” 按鈕執(zhí)行參數(shù)設置保存操作，如此一來 Windows Server 2020 系統(tǒng)的網(wǎng)絡發(fā)現(xiàn)漏洞就被成功封堵了 。 封堵特權賬號漏洞 與普通服務器系統(tǒng)一樣，在缺省狀態(tài)下 Windows Server 2020 系統(tǒng)仍然會優(yōu)先使用Administrator 賬號嘗試進行登錄系統(tǒng)操作，正因為這樣一些非法攻擊者往往也會利用Administrator 賬號漏洞，來嘗試破解 Administrator 賬號的密碼，并利用該特權賬號攻擊重要的服務器系統(tǒng)。為了封堵特權賬號漏洞，我們可以對 Windows Server 2020 系統(tǒng)進行如下設置操作： 首先在 Windows Server 2020 系統(tǒng)桌面中依次單擊 “ 開始 ”/“ 運行 ” 命令，在彈出的系統(tǒng)運行對話框中，輸入字符串命令 “” ，單擊回車鍵后，打開對應系統(tǒng)的組策略控制臺窗口 。 其次選中組策略控制臺窗口左側位置處的 “ 計算機配置 ” 節(jié)點選項，同時從目標節(jié)點下面逐一展開 “Windows 設置 ” 、 “ 安全設置 ” 、 “ 本地策略 ” 、 “ 安全選項 ” ，再用鼠標雙擊 “ 安全選項 ” 分支下面的 “ 帳戶：重命名系統(tǒng)管理員帳戶 ” 目標組策略選項，彈出如圖 6 所示的 “ 帳戶：重命名系統(tǒng)管理員帳戶 ” 選項設置窗口 。 遼寧建筑職業(yè)學院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設計） 23 在該窗口的 “ 本地安全設置 ” 標簽 頁面中，為 Administrator 賬號重新設置一個外人不容易想到的新名稱，比方說我們在這里可以將其設置為 “tequanzh” ，再單擊 “ 確定 ” 按鈕執(zhí)行設置保 存操作，那樣一來我們就能成功封堵 Windows Server 2020 系統(tǒng)的特權賬號漏洞了。 Windows Server 2020 常見安全設置 在多人共同使用相同的一臺計算機進行工作時，我們肯定不希望普通用戶隨意使用迅雷工具進行惡意下載，這樣不但容易浪費本地系統(tǒng)的磁盤空間資源，而且也會大大消耗本地系統(tǒng)的上網(wǎng)帶寬資源。而在 Windows Server 2020 系統(tǒng)環(huán)境下，限制普通用戶隨意使用迅雷工具進行惡意下載的方法有很多，例如可以利用 Windows Server 2020 系統(tǒng)新增加的高級安全防火墻功能，或者通過限制下載端口等方法來實現(xiàn) 0 上述控制目的，其實除了這些方法外，我們還可以巧妙地利用該系統(tǒng)的軟件限制策略來達到這一 目的，下面就是該方法的具體實現(xiàn)步驟： 首先以系統(tǒng)管理員權限登錄進入 Windows Server 2020 系統(tǒng)，打開該系統(tǒng)的“開始”菜單，從中點選“運行”命令，在彈出的系統(tǒng)運行文本框中，輸入“ ”字符遼寧建筑職業(yè)學院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設計） 24 串命令，進入對應系統(tǒng)的組策略控制臺窗口 。 其次在該控制臺窗口的左側位置處，依次選中“計算機配置” /“ Windows 設置” /“安全設置” /“軟件限制策略”選項，同時用鼠標右鍵單擊該選項，并執(zhí)行快捷菜單中的“創(chuàng)建軟件限制策略”命令 。 接著在對應“軟件限制策略”選項的右側顯示區(qū)域，用鼠標雙擊“強制”組策略項目，打開如圖 1 所示的設置對話框，選中其中的“除本地管理員以外的所有用戶”選項，其余參數(shù)都保持默認設置，再單擊“確定”按鈕結束上述設置操作 。 現(xiàn)在 Inter 網(wǎng)絡上的病毒瘋狂肆虐，一些“狡猾”的網(wǎng)絡病毒為了躲避殺毒軟件的追殺，往往會想方設法地將自己隱藏于系 統(tǒng)臨時文件夾，那 樣一來殺毒軟件即使找到了網(wǎng)絡病毒，也對它無可奈何，因為殺毒軟件對系統(tǒng)臨時文件夾根本無權“指手劃腳”。為了防止網(wǎng)絡病毒隱藏在系統(tǒng)臨時文件夾中，我們 可以按照下面的操作設置Windows Server 2020 系統(tǒng)的軟件限制策略： 首先打開 Windows Server 2020 系統(tǒng)的“開始”菜單，從中點選“運行”命令，在彈出的系統(tǒng)運行對話框中，輸入組策略編輯命令“ ”，單擊“確定”按鈕后，進入對應系統(tǒng)的組策略控制臺窗口 。 圖 2 將“安全級別”參數(shù)設置為“不允許” 其次在該控制臺窗口的左側位置處，依次選中“計算機配置” /“ Windows 設 置” /“安全設置” /“軟件限制策略” /“其他規(guī)則”選項，同時用鼠標右 鍵單擊該選項，并執(zhí)行快捷菜單中的“新建路徑規(guī)則”命令，打開如圖 2 所示的設置對話框 。單擊其中的“瀏覽”按鈕，從彈出的文件選擇對話框中，選中并導入 Windows Server 2020 系統(tǒng)的臨時文件夾，同時再將“安全級別”參數(shù)設置為“不允許”，最后單擊“確定”按鈕遼寧建筑職業(yè)學院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設計） 25 保存好上述設置操作，這樣一來網(wǎng)絡病毒日后就不能躲藏到系統(tǒng) 的臨時文件夾中了。 網(wǎng)的非法 ping 攻擊 我們知道，巧妙地利用 Windows 系統(tǒng)自帶的 ping 命令，可以快速判斷局域網(wǎng)中某臺重要計算機的網(wǎng)絡連通性 ?？墒?， ping 命令在給我們帶來實用的同時，也容易被一些惡意用戶所利用，例如惡意用戶要是借助專業(yè)工具不停地向重要計算機發(fā)送 ping 命令測試包時，重要計算機系統(tǒng)由于無法對所有測試包進行應答，從而容易出現(xiàn)癱瘓現(xiàn)象。為了保證 Windows Server 2020 服務器系統(tǒng)的運行穩(wěn)定性，我們可以修改該系統(tǒng)的組策略參數(shù)，來禁止來自外網(wǎng)的非法 ping 攻擊： 首先以特權身份登錄進入 Windows Server 2020 服務器系統(tǒng)，依次點選該系統(tǒng)桌面上的“開始” /“運行”命令，在彈出的系統(tǒng)運行對話框中，輸入字符串命令“ ”，單擊回車鍵后，進入對應系統(tǒng)的控制臺窗口 。 其次選中該控制臺左側列表中的“計算機配置”節(jié)點選項，并從目標節(jié)點下面逐一點選“ Windows 設置”、“安全設置”、“高級安全 Windows 防火墻”、“高級安全 Windows防火墻 —— 本地組策略對象”選項，再用鼠標選中目標選項下面的“入站規(guī)則”項目 。 接著在對應“入站規(guī)則”項目右側的“操作”列表中，點選“ 新規(guī)則”選項，此時系統(tǒng)屏幕會自動彈出新建入站規(guī)則向導對話框，依照向導屏幕的提示，先將“自定義”選項選中，再將“所有程序”項目選中，之后從協(xié)議類型列表中選中 圖 3 之后向導屏幕會提示我們選擇什么類型的連接條件時，我們可以選中“阻止連接”選項，同時依照實際情況設置好對應入站規(guī)則的應用環(huán)境，最后為當前創(chuàng)建的入 站規(guī)則設置一個適當?shù)拿Q。完成上面的設置任務后，將 Windows Server 2020 服務器系統(tǒng)重新啟動一下，這么一來 Windows Server 2020 服務器系統(tǒng)日后 就不會輕易受到來自外網(wǎng)的非法 ping 測試攻擊了。 為了阻止非法攻擊者隨意修改 Windows Server 2020服務器系統(tǒng)的防火墻安全規(guī)則，我們可以進行下面的設置操作： 遼寧建筑職業(yè)學院信息工程系 2020 屆（如 2020 屆）畢業(yè)論文（設計） 26 首先打開 Windows Server 2020 服務器系統(tǒng)的“開始”菜單，點選“運行”命令，在彈出的系統(tǒng)運行文本框中執(zhí)行“ regedit”字符串命令，打開系統(tǒng)注冊表控制臺窗口 。選中該窗 口 左 側 顯 示 區(qū) 域 處 的 HKEY_LOCAL_MACHINE 節(jié) 點 選 項 ， SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules 注冊表子項，該子項下面保存有很多安全規(guī)則 。 其次打開注冊表控制臺窗口中的“編輯”下拉菜單，從中點選“權限”選項，打開權限設置對話框，單擊該對話框中的“添加”按鈕，從其后出現(xiàn)的帳號選擇框中 選中“ Everyone”帳號，同時將其導入進來 。再將對應該帳號的“完全控制”權限調整為“拒絕”