【正文】 步驟（ 2）使用證書對 Word文檔簽名及使用證書發(fā)送簽名的 EMail。 操作 4： IP安全設置 創(chuàng)建 IP安全策略 : 名稱為“禁止 Ping”，在 【 選擇協(xié)議類型 】 下拉列表中選擇 【 ICMP】 項。 步驟（ 4）注冊表設置。 步驟（ 3）配置系統(tǒng)安全機制。當收件人收到并打開有數(shù)字簽名的郵件時，將看到 【 數(shù)字簽名郵件 】 的提示信息，按 【 繼續(xù) 】 按鈕后，才可閱讀到該郵件的內(nèi)容。單擊 【 屬性 】 按鈕，打開 【 帳戶屬性 】 對話框，單擊 【 安全 】 標簽，打開【 安全 】 對話框，如下右圖，分別在 【 簽署證書 】 和 【 加密首選項 】 兩欄中，單擊 【 選擇 】 按鈕，選擇讀者的數(shù)字證書，單擊 【 確定 】 按鈕，完成郵箱與證書的綁定，單擊 【 確定 】 按鈕。單擊 【 導入 】 按鈕，可以導入證書。此時，用戶選擇 【 安裝此證書 】 鏈接就可以安裝證書了。 單擊 【 高級證書申請 】 鏈接，彈出 【 高級證書申請 】 頁面。 步驟（ 5）彈出 【 證書存儲 】 對話框，因為是受信任的根 CA證書，所以將其導入到 【 受信任的根證書頒發(fā)機構 】 區(qū)域中，如下右圖，單擊 【 下一步 】 ，出現(xiàn)向導完成對話框時，單擊 【 完成 】 按鈕，完成 CA證書導入。 （ 2）單擊 【 下載一個 CA證書、證書鏈或 CRL】 鏈接，進入下右圖頁面。 證書服務 Windows Server 2022證書服務 目錄 首頁 實訓案例 1 實訓案例 2 2．證書服務管理 單擊 【 開始 】 |【 程序 】 |【 管理工具 】 |【 證書頒發(fā)機構 】 命令，打開 【 證書頒發(fā)機構 】 控制臺窗口，顯示此計算機上已經(jīng)安裝好的證書服務，而且已經(jīng)自動啟動運行。 證書服務 Windows Server 2022證書服務 目錄 首頁 實訓案例 1 實訓案例 2 證書服務安裝完成后，在證書服務器（ CA服務器）上將增加一個共享文件夾 %SystemRoot%/ system32/certsrv/CertEnroll，下面存放 CA的根證書和撤銷列表 CRL文件。 （ 3）打開 【 CA類型 】 頁，選擇 【 獨立根 】 和 【 用自定義設置生成密匙對和 CA證書 】 選項，這里我們構建企業(yè)自己獨立的 CA服務器，單擊【 下一步 】 按鈕。 Windows Server 2022操作系統(tǒng)支持兩種證書服務器，分別是用于企業(yè)內(nèi)部的企業(yè)證書服務器（需要 AD的支持）和獨立證書服務。 證書一般由可信的第三方 CA中心（權威授權機構）頒發(fā)， CA對其頒發(fā)的證書進行數(shù)字答名，以保證所頒發(fā)證書的完整性和可鑒別性。證書將公鑰與保存對應私鑰的實體綁定一起。 重復操作添加 TCP 13 13 44 59 102 274 312 612 3389端口和 UDP 13 13 445 端口相應的篩選器。為了讓你的系統(tǒng)變?yōu)殂~墻鐵壁，應該封閉這些端口，主要有： TCP 13 13 44 59 1025 端口和 UDP 13 1313 445 端口，一些流行病毒的后門端口（如 TCP 274 312 6129 端口），以及遠程服務訪問端口 3389。 IP安全設置 IP安全 IP安全策略 安全策略創(chuàng)建完畢后并不能馬上生效，還需通過 【 指派 】 功能令其發(fā)揮作用。單擊 【 下一步 】 按鈕，彈出 【 IP通信目標 】 頁，目標地址選【 任何 IP地址 】 項。 IP安全設置 IP安全 目錄 首頁 實訓案例 1 實訓案例 2 IP安全策略屬性 （ 1）右擊新建 IP安全策略，選擇 【 屬性 】 命令，彈出 【 禁止Ping屬性 】 對話框中，單擊 【 添加 】按鈕，彈出 “ 安全規(guī)則向導 ” 對話框，單擊 【 下一步 】 按鈕，進入【 隧道終結點 】 頁，選擇 【 此規(guī)則不指定隧道 】 單選按鈕，單擊 【 下一步 】 按鈕，進入 【 網(wǎng)絡類型 】 頁，選擇 【 所有網(wǎng)絡連接 】 單選按鈕，確保所有計算機都不能 Ping該主機。通過這三個步驟，可以保證網(wǎng)絡的通信安全，即使數(shù)據(jù)中途被截獲，因為截獲者不知道加密的密鑰也就無從了解數(shù)據(jù)的內(nèi)容。選擇 【 記錄被丟棄的數(shù)據(jù)包 】 和【 記錄成功的連接 】 兩項，并設置日志文件名即可。 Windows Server 2022防火墻 防火墻服務設置 目錄 首頁 實訓案例 1 實訓案例 2 非標準服務的設置： 為了使用非默認端口提供服務，如使用 8080提供 WWW服務。 IIS安全 單擊 【 下一步 】 ，彈出 【 Inter信息服務 】 配置對話框，這樣 IIS服務器的安全性就大大增強。 利用 【 安全配置向導 】 配置 “ 安全策略 ” 安全配置向導 目錄 首頁 實訓案例 1 實訓案例 2 單擊 【 下一步 】 ，進入 【 網(wǎng)絡安全 】 框，單擊 【 下一步 】 按鈕，進入 【 打開端口并允許應用程序 】 對話框，開放所需的端口（要切記 “ 最小化 ” 原則），最后確認端口配置。單擊 【 下一步 】 按鈕，進入 【 基于角色的服務配置 】 對話框。 目錄 首頁 實訓案例 1 實訓案例 2 “安全策略” 新建一個 “ 安全策略 ” ，安全策略信息被保存在 .XML的文件中的，它的默認存儲位置是“ c:\windows\security\msscw\policies”。 安全配置向導 【 安全配置向導 】 默認情況下， Windows Server 2022操作并不安裝安全配置向導，用戶需要通過 【 添加 /刪除 Windows組件 】 來手工安裝安全配置向導。 右擊 【 安全配置和分析 】 項，選擇 【 立即配置計算機 】 命令，并在 【 配置系統(tǒng) 】 對話框中指定保存錯誤日志文件的路徑，單擊【 確定 】 按鈕，開始系統(tǒng)安全機制的配置進程，完成配置。 安全配置和分析 . 2使用安全配置和分析工具 目錄 首頁 實訓案例 1 實訓案例 2 彈出 【 導入模板 】 框，選擇安全模板文件（如 ），同時選擇 【 導入之前清除這個數(shù)據(jù)庫 】 選擇框，單擊 【 確定 】 按鈕，完成模板導入。 定義安全模板 的操作步驟： 在打開的 【 安全模板 】 控制臺，右鍵單擊要存儲新模板的文件夾，單擊 【 新加模板 】 命令，在 【 模板名 】 中鍵入新建安全模板的名稱，在 【 描述 】 中鍵入新安全模板的說明，然后單擊 【 確定 】 按鈕。 安全配置提供了可以應用的預配置的安全設置組，它是將除“ Inter協(xié)議 ” 安全和公用密鑰策略之外的所有安全屬性組織在一起以便于安全管理。 綜合實訓案例 7 目錄 首頁 實訓案例 1 實訓案例 2 Windows Server 2022系統(tǒng)提供的 【 安全配置和分析 】 管理工具，它的主要作用是對本地系統(tǒng)的安全性進行分析和配置。 步驟（ 3）選擇 software，單擊 【 編輯 】 按鈕，打開 【 組策略編輯器 】 對話框，展開 【 軟件安裝 】 項，右擊 【 軟件安裝 】 ，選擇 【 屬性 】命令，打開 【 軟件安裝屬性 】 對話框，在 【 默認程序包位置 】 文本框中輸入 “ \\計算機名 \共享文件夾名 ” ，單擊 【 確定 】 按鈕。 使用組策略部署軟件 目錄 首頁 實訓案例 1 實訓案例 2 實訓時間： 4小時 實訓目標： 通過對服務器進行本地安全策略的配置，使學生掌握組策略的概念，配置組策略的方法，及使用組策略配置用戶、配置計算機及配置軟件的具體實例操作。 步驟（ 2）選中 Software選項，單擊 【 編輯 】 按鈕，打開 【 組策略編輯器 】 窗口，以 【 用戶配置 】 為例，右擊 【 軟件安裝 】 項，選擇【 屬性 】 命令，打開 【 軟件安裝屬性 】 對話框，在 【 默認程序包位置 】文本框中輸入 “ \\服務器名 \\共享文件夾名（如 \\zah\\tools$） ” ，然后選中 【 顯示部署軟件對話框 】 和 【 基本 】 項，單擊 【 確定 】 按鈕。即在文件服務器上創(chuàng)建一個共享文件夾（如 Tools$），在其下創(chuàng)建要部署軟件的子目錄，然后將 MSI包文件（如 “ Windows Server 2022管理工具包 ” 程序）及所有需要的安裝源文件放于其中。使用組策略部署軟件的步驟： 1．準備安裝軟件包 使用 Installer技術的安裝程序首先要獲取 ZAP或 MSI格式的軟件包。 ?管理員可以使用組策略來設置磁盤配額。文件夾重定向功能： ?提高了漫游用戶配置文件的性能。 使用組策略配置用戶環(huán)境 目錄 首頁 實訓案例 1 實訓案例 2 啟動 /關機腳本是 Windows Server 2022系統(tǒng)的一個新特點，啟動腳本是用戶登錄之前運行的批文件，它的功能類似于早期 Windows的，關機腳本是計算機關機之前運行的批文件。 下面列舉幾個比較常用的安全選項： ?【 交互式登錄：不需要按 CTRL+ALT+DEL】 ：在計算機機啟動時直接出現(xiàn) “ 登錄 Windows”對話框，不需要顯示 “ 請按 CTRL+ALT+DEL”對話框。 ? 還原文件及目錄： 允許用戶在恢復備份的文件或文件夾時，避開文件和目錄的許可權限，并且作為對象的所有者設置任何有效的安全主體。建議此權限只授予 Administrators組，但禁止 Administrator帳戶有此權限，可以增加系統(tǒng)的安全性。 ? 允許從本地登錄： 允許用戶在計算機上開啟一個交互式的會話。 ? 向域中添加工作站： 允許用戶向指定的域中添加一臺計算機。 用戶權限指派 使用組策略配置用戶環(huán)境 目錄 首頁 實訓案例 1 實訓案例 2 下面列舉幾項用戶權限的功能： ? 從網(wǎng)絡訪問此計算機： 確定哪些用戶和組能夠通過網(wǎng)絡連接到該計算機。 Kerberos V5身份驗證協(xié)議是用于確認用戶或主機身份的身份驗證機制，是 Windows Server 2022系統(tǒng)默認的身份驗證服務。 ★ 對域控制器用戶，打開 【 Active Directory用戶和計算機 】 管理窗口，右擊域或組織單位，選擇 【 屬性 】 命令，在打開的對話框中選擇【 組策略 】 選項卡。 ? 隱藏桌面上所有圖標：展開 【 桌面 】 項，啟用 【 隱藏和禁用桌面上所有的項目 】 策略。 常用的配置： ? 限制使用應用程序：展開 【 系統(tǒng) 】 項，啟用 【 只運行許可的Windows應用程序 】 策略，添加允許運行的應用程序。 ★ 禁止訪問 【 控制面板 】 在 【 組策略編輯器 】 中，展開 【 用戶配置 】 |【 管理模板 】 |【 擴展面板 】項，啟用 【 禁止訪問控制面板 】 策略。 ★ 防止從 【 我的電腦 】 訪問驅動器 在 【 組策略編輯器 】 中，展開 【 用戶配置 】 |【 管理模板 】 |【 Windows 組件 】 |【 Windows資源管理器 】 項，啟用 【 防止從 “ 我的電腦 ” 訪問驅動器 】 策略，并在列表框中選擇一個驅動器或幾個驅動器。 ★ 自定義 IE工具欄 在 【 組策略 】 控制臺中，展開 【 用戶配置 】 |【 Windows設置 】 |【 Inter Explorer維護 】 |【 瀏覽器用戶界面 】 項，雙擊 【 瀏覽器工具欄按鈕自定義 】 策略，打開其設置窗口中，在 【 按鈕 】 欄中單擊 【 添加 】 按鈕，在 【 工具欄標題 】中輸人 【 我的 】 ，在 【 工具欄操作 】 中選擇 程序的路徑，最后再選擇好 【 顏色圖標 】 和 【 灰度圖標 】 的路徑。具體實例如下： 2：用戶配置 組策略的基本配置與實例 目錄 首頁 實訓案例 1 實訓案例 2 ★ 禁用 IE瀏覽器的某些菜單項 例如在 【 瀏覽器菜單 】 目錄項，啟用 【 禁用 “ 在新窗口中打開 ”