【正文】 本文將和大家一道挖掘 Windows Server 2020遠程桌面管理中的相關技術細節(jié)。以后，當 Windows Server 2020服務器系統(tǒng)遇到安全故障時，我們只要打開相應的日志文件，說不定就能從中找到故障應對的辦法了。 日后，當網(wǎng)絡管理員由于急事臨時離開 Windows Server 2020服務器主機現(xiàn)場時，如果某個非法攻擊趁機偷偷登錄進服務器系統(tǒng)時，那么該非法用戶的賬號登錄狀態(tài)就會被服務器系統(tǒng)自 動記憶下來；當網(wǎng)絡管理員下次重新啟動 Windows Server 2020系統(tǒng)并輸入登錄密碼，再單擊 “ 確定 ” 按鈕后，網(wǎng)絡管理員就能從屏幕上看到究竟是哪位非法用戶偷偷登錄本地服務器的了，此時網(wǎng)絡管理員就能采取有針對性的措施來進行安全防范了。 當然，要是我們只想限制用戶通過網(wǎng)絡遠程關閉服務器系統(tǒng)時，那只需要打開 “ 從遠程系統(tǒng)強制關機 ” 組策略屬性設置窗口，在該設置窗口中刪除所有的用戶賬號就可以了。 網(wǎng)管入門 :巧妙設置讓 Win2020系統(tǒng)更安全 [0526 10:08:20]出處： pconline 作者：帷幄責任編輯： wenzhicheng 用防火墻限制 Ping 為了檢驗 Windows Server 2020服務器系統(tǒng)是否在線，不少朋友總會使用 Ping命令來對服務器系統(tǒng)進行連通性測試操作；雖然這樣的操作不會給服務器系統(tǒng)造成太大的影響，不過要是若干個用戶同時對服務器系統(tǒng)進行 Ping測試操作的話，那么服務器系統(tǒng)的運行性能就會受到明顯影響了，并且一些非法用戶還能通過 Ping命令獲得服務器 系統(tǒng)的一些狀態(tài)信息，之后可能會根據(jù)該狀態(tài)信息對服務器系統(tǒng)進行有針對性攻擊。 網(wǎng)管入門 :巧妙設置讓 Win2020系統(tǒng)更安全 [0526 10:08:20]出處： pconline 作者：帷幄責任編輯： wenzhicheng 關閉安全威脅端口 許多時候，不少網(wǎng)絡管理員為了方便管理 Windows Server 2020服務器系統(tǒng)，常常會將一些能危及服務器系統(tǒng)安全的端口打開；可是他們在管理好服務器系統(tǒng)后，又不及時將它們關閉掉，這樣一來非法用戶可能就會通過這些危險端口來對服務器系統(tǒng)進行非法攻擊。 第 24 頁 共 53 頁 網(wǎng)管入門 :巧妙設置讓 Win2020系統(tǒng)更安全 [0526 10:08:20]出處： pconline 作者：帷幄責任編輯： wenzhicheng 伴隨著 Inter 網(wǎng)絡中的病毒、黑客、木馬不斷泛濫，以及 Windows系統(tǒng)漏洞的不斷增多，無論是普通電腦還是服務器所受到的安全威脅也是越來越多。假如選擇了全屏模式，這時候你的電腦就會和遠程服務器端的電腦畫面一樣，顯示出全屏的“ Remote Desktop Connection”進程。假如這個列表只有“ Default”，那么你可以用 IP 地址來代替主機名進行連接，或者也可以考慮添加一個主機標題以便實現(xiàn) RDWC 連接。 第 23 頁 共 53 頁 根據(jù)網(wǎng)絡配置和服務器所處的位置，你也許需要在 URL 區(qū)域輸入完整的域名 (FQDN)。當然，你需要清楚哪些用戶或用戶組在進行遠程訪問時對系統(tǒng)的安全性不會造成不 利影響。 假如這臺電腦屬于域控制器，你還需要更進一步答應非治理員組的成員通過 RDWC 登錄系統(tǒng)。實際上“ Remote Desktop Users”對話框就是簡單的顯示出了該組的成員，并為用戶提供了一個修改該組成員的界面。首先，在系統(tǒng)屬性對話框中點擊 “ Remote”選項卡。默認情況下，只有治理員組的用戶可以連接到這臺電腦中。你會發(fā)現(xiàn)這里出現(xiàn)了一個 Tsweb 虛擬目錄，假如你點擊它，右邊會列出一系列文件，其中包括一個名為 的文件。點擊“應用服務器 (Application Server)”，然后點擊“具體資料”，添加“互聯(lián)網(wǎng)信息服務 (IIS)”。當然，假如你使用上面提到的任何一種平臺也是一樣的。自動安裝好 ActiveX 控件后，連接頁面就會出現(xiàn)。另外，對于需要遠程訪問數(shù)據(jù)的業(yè)務伙伴、移動辦公用戶以及其他不愿意安裝客戶端程序的用戶來說， RDWC 也是很好的選擇。 RDWC 是由一個 ActiveX 控件、幾個簡單的 Web 頁面以及可以運行 或以上版本進行遠程連接服務的文件構成的。下面我就來介紹一下 RDWC 是如何工作的，如何用它治理你的服務器和工作站以及如何配置防火墻才能正常使用 RDWC。因此，雖然 VNC 是免費軟件并且也有很好的跨平臺 性能，但它仍需要我在網(wǎng)絡的可訪問性上花費不少時間。 。 。 防火墻設置 。 。 。 第 20 頁 共 53 頁 2020R2 服務器安全加固 Windows server 2020R2 基于 WIN7 操作系統(tǒng)核心 ,是新一代的操作系統(tǒng)擁有更穩(wěn)定的性能和更好的處理能力。 作為管理員，我們首先要檢查我 們的 ASP 程序，做好必要的設置，防止網(wǎng)站被黑客進入。 第 19 頁 共 53 頁 另外注意設置 ServU 所在的文件夾的權限，不要讓 IIS 匿名用戶有讀取的權限，否則人家下走你修改過的文件，照樣可以分析出你的管理員名和密碼。 防止列出用戶組和系統(tǒng)進程 我在阿江 ASP 探針 中結合 7i24 的方法利用 getobject(WINNT)獲得了系統(tǒng)用戶和系統(tǒng)進程的列表，這個列表可能會被黑客利用，我們應當隱藏起來，方法是： 【開始→程序→管理工具→服務】，找到 Workstation，停止它，禁用它。為了確保萬無一失，把這兩個注冊表項導出來，保存為 .reg 文件?？赡軙崾緹o法刪除文件，不用管它，重啟一下服務器，你會發(fā)現(xiàn)這三個都提示“安全”了。 比如， FSO 和 XML 是非常常用的組件之一，很多程序會用到他們。那個歡樂時光更不用怕，有殺毒軟件在還怕什么時光啊。真的有那樣的人，你也不要著急，要沉住氣慢慢來，具體的方法其實自己也能摸索出來的，我就是這樣。 這樣設置了之后，這個站點里的 ASP 程序就只有當前這個文件夾的權限了，從探針上看，所有的硬盤都是紅叉叉。 IIS 匿名用戶，每個 IIS 站點或者虛擬目錄，都可以設置一個匿名訪問用戶（現(xiàn)在暫且把它叫“ IIS 匿名用戶”），當用戶訪問你的網(wǎng)站的 .ASP 文件的時候，這個 .ASP 文件所具有的權限，就是這個“ IIS 匿名用戶”所具有的權限。 權限設置的原理 WINDOWS 用戶，在 WINNT 系統(tǒng)中大多數(shù)時候把權限按用戶（組）來劃分。 設置端口保護和防火墻、刪除默認共享 都是服務器防黑的措施，即使你的服務器上沒有 IIS，這些安全措施都最好做上。我一直在用諾頓 2020，據(jù)說 2020 可以殺木馬，不過我沒試過。 第 16 頁 共 53 頁 阿江的 WINDOWS 服務器安全設置 阿江的 WINDOWS 服務器安全設置 [返回首頁 ] [返回作品首頁 ] [返回探針首頁 ] (如需引用或者轉載此文，請注明：作者 : 阿江 出處 :) 前言 其實，在服務器的安全設置方面，我雖然有一些經(jīng)驗，但是還談不上有研究，所以我寫這篇文章的時候心里很不踏實，總害怕說錯了會誤了別人的事。應該是 windows 2020 里面的黃金搭擋了。 14：站點屬性設置：刪除 C:\ ipub 目錄更改站點路徑，最好和系統(tǒng)盤分開。 12：下列系統(tǒng)程序 都只給管理員權限，別的全部刪除。 10：禁用不必要的服務。 重命名管理員用戶組 Administrators 6：創(chuàng)建一個陷阱用戶即創(chuàng)建一個名為 “Administrator”的本地用戶，把它的權限降最低，并且加上一個超過 16 位的超級復雜密碼。 share c$ /del share d$ /del share e$ /del share f$ /del share ipc$ /del share admin$ /del 也可以在 “服務 ”中直接禁用 “server”服務。其他盤類推。有關鏈接 GPO 的說明，請參閱 “組策略管理控制臺 ”( 網(wǎng)頁）。 備注 無法回滾通過組策略應用的 SCW 安全策略。 是一個隨 SCW 一起安裝的文件，該文件將格式化分析結果以便進行顯示。 步驟 3：分析和查看服務器的安全策略 可以使用 Scwcmd 命令行工具查看應用于服務器的 SCW 安全策略的設置。 在 “正在完成安全配置向導 ”頁上，單擊 “完成 ”。 在 “選擇服務器 ”頁上，鍵入要應用策略的服務器的名稱，然后單擊 “下一步 ”。 使用向導將安全策略應用于服務器的步驟 單擊 「開始」 ，指向 “管理工具 ”，然后單擊 “安全配置向導 ”。 在 “正在完成安全配置向導 ”頁上，單擊 “完成 ”。 注意 不要使用原型計算機的名稱，因為 Scwcmd 使用 來保存分析結果， 第 10 頁 共 53 頁 您創(chuàng)建的策略也不應使用相同的名稱。 在 “審核策略 ”頁上，選中 “跳過這一部分 ”復選框，然后單擊 “下一步 ”。 在 “確認服務更改 ”頁上，查看 SCW 將包含在所得到的安全策略中的服務模式更改，然后單擊 “下一 步 ”。 在 “處理未指定的服務 ”頁上，單擊 “下一步 ”。 在 “選擇客戶端功能 ”頁上，確保向導檢測到并選擇原型服務器上安裝的所有功能，然后單擊“下一步 ”。 在 “正在處理安全配置數(shù)據(jù)庫 ”頁上，完成處理后單擊 “下一步 ”。 閱讀 “歡迎使用 ”頁，然后單擊 “下一步 ”。 ? 創(chuàng)建和應用基于角色的安全策略的步驟 可以使用以下步驟根據(jù)您在生產(chǎn)環(huán)境中擁有的不同服務器類型創(chuàng)建一個或多個原型策略。 重要事項 目標計算機的配置必須與原型服務器的配置相匹配。 ? SCW 根據(jù)您在 “選擇服務器角色 ”頁上選擇的角色來啟用服務器所需的服務。但是，可以在 SCW 安全策略文件中包含安全模板。 備注 SCW 不能用于客戶端操作系統(tǒng)或 Windows 小型企業(yè)服務器。 在新的安全策略中配置的設置可能會造成應用程序或服務的兼容性問題。 ? ? 為不同的軟件版本創(chuàng)建不同的策略 。 SCW 根據(jù)服務器執(zhí)行的角色和功能配置安全策略。 ? ? 將執(zhí)行相同功能的服務器分組在一個 OU 中 。 通過其創(chuàng)建安全策略的原型服務器應該與目標服務器具有相同的服務級別。 有關 “ 高級安全 Windows 防火墻 ” 的 詳 細 信 息 ， 請 參 閱 “Windows 防火墻 ”( 創(chuàng)建和應用安全策略的最佳操作 SCW 通過創(chuàng)建專為特定角色設計的安全策略，幫助減少服務器的受攻擊面。如果需要其他防火墻規(guī)則（或防火墻例外），可以使用向導來創(chuàng)建它們。服務器管理器的重點是便于部署服務器，而 SCW 是用于長期維護安全設置的工具。配置角色時，服務器管理器自動安裝所有所需的服務和功能，并且自動配置支持新角色所需的任何防火墻規(guī)則。僅標準的 Active Directory 繼承規(guī)則（其中連續(xù)應用本地、站點、域和 OU GPO）和鏈接順序確定 GPO 的優(yōu)先級。某些配置更改（如審核策略）可以通過使用 SCW、創(chuàng)建或編輯 SCW 策略時附加安全模板進行設置，也可以同時使用這兩種方法進行設置。您可以在 GPMC 中的以下位置查看安全模板設置： GPO_Name\計算機配置 \Windows 設置 \安全設置。您可以使用 GPMC 將 GPO 鏈接到 OU。 在 Active Directory 環(huán)境中應用策略 對于遠程管理，您可以使用 Active Directory174。 SCW 在 %Systemroot%\Security\Msscw\Kbs 目錄 中包含許多擴展，可用來構建新的擴展（角色定義）。這些文件安裝在 %Systemroot%\Security\Msscw\Kbs 中。 在此方案中，將使用 Scwcmd 執(zhí)行以下操作： ? 將安全策略應用于一臺或多臺遠程服務器。 ? ? 回滾 SCW 策略。 Scwcmd 命令行工具 SCW 包含 命令行工具。原型計算機為模型服務器，其配置代表組中的每臺計算機。 ? ? 使用 SCW 和 Scwcmd 命令行工具將此安全策略應用于目標計算機。 SCW 的安全使用包括在生產(chǎn)環(huán)境中應用策略之前測試工具和策略。 2020 操作系統(tǒng)中，可以使用安全配置向導 (SCW) 通過修改角色、角色服務和功能的安全設置來減少服務器的受攻擊面。使用 SCW 可幫助在使用服務器管理器初始安裝角色之后維護安全的服務器配置。 使用代表您的生產(chǎn)環(huán)境中服務器配置的原型服務器執(zhí)行本指南中的步驟（在測試方案中）。 ? ? 使用 Scwcmd 命令行工具查看和分析此安全策略。 組件 可以使用三個主要的組件來創(chuàng)建和應用安全策略： ? SCW 第 2 頁 共 53 頁 ? ? Scwcmd 命