【正文】 e\計(jì)算機(jī)配置 \Windows 設(shè)置 \安全設(shè)置。例如， SCW 包含任何安全模板中不包含的防火墻設(shè)置。某些配置更改（如審核策略）可以通過(guò)使用 SCW、創(chuàng)建或編輯 SCW 策略時(shí)附加安全模板進(jìn)行設(shè)置，也可以同時(shí)使用這兩種方法進(jìn)行設(shè)置。 有關(guān)使用 “ 安全模板 ” 的 詳 細(xì) 信 息 ， 請(qǐng) 參 閱 “ 如 何 使 用 安 全 模板 ”( 優(yōu)先規(guī)則 在使用組策略、 SCW 以及多個(gè)安全模板的 Active Directory 環(huán)境中，使用以下規(guī)則預(yù)期安全設(shè)置的優(yōu)先級(jí)： ? 與使用策略文件（ .xml 文件）通過(guò) SCW 或 Scwcmd 命令行工具遠(yuǎn)程應(yīng)用的安全策略相比，通過(guò) GPO 應(yīng)用的安全策略具有較高的優(yōu)先級(jí)。僅標(biāo)準(zhǔn)的 Active Directory 繼承規(guī)則（其中連續(xù)應(yīng)用本地、站點(diǎn)、域和 OU GPO）和鏈接順序確定 GPO 的優(yōu)先級(jí)。 ? ? 如果將多個(gè)安全模板附加到 .xml 文件，則在 SCW 的 “包括安全模板 ”對(duì)話(huà)框中在列表較高位置列出的模板優(yōu)先于出現(xiàn)在較低位置的模板。配置角色時(shí)，服務(wù)器管理器自動(dòng)安裝所有所需的服務(wù)和功能，并且自動(dòng)配置支持新角色所需的任何防火墻規(guī)則。但是，無(wú)法使用服務(wù)器管理器自定義安全設(shè)置。服務(wù)器管理器的重點(diǎn)是便于部署服務(wù)器，而 SCW 是用于長(zhǎng)期維護(hù)安全設(shè)置的工具。 高級(jí)安全 Windows 防火墻 在 Windows Server 2020 中， SCW 與 “高級(jí)安全 Windows 防火墻 ”集成在一起。如果需要其他防火墻規(guī)則（或防火墻例外），可以使用向?qū)?lái)創(chuàng)建它們。也可以使用 SCW 簡(jiǎn)化使用遠(yuǎn)程過(guò)程調(diào)用 (RPC) 和動(dòng)態(tài)端口的服務(wù)的網(wǎng)絡(luò)篩選器配置。 有關(guān) “ 高級(jí)安全 Windows 防火墻 ” 的 詳 細(xì) 信 息 ， 請(qǐng) 參 閱 “Windows 防火墻 ”( 創(chuàng)建和應(yīng)用安全策略的最佳操作 SCW 通過(guò)創(chuàng)建專(zhuān)為特定角色設(shè)計(jì)的安全策略，幫助減少服務(wù)器的受攻擊面。為了幫助您實(shí)現(xiàn)這些目標(biāo)，請(qǐng)?jiān)陂_(kāi)始此方案之前查看以下最佳操作。 通過(guò)其創(chuàng)建安全策略的原型服務(wù)器應(yīng)該與目標(biāo)服務(wù)器具有相同的服務(wù)級(jí)別。例如，如果 DCOM Server Process Launcher 服務(wù)在 “安全配置數(shù)據(jù)庫(kù) ”中列出，但不在原型服務(wù)器上，則通過(guò)原型服務(wù)器創(chuàng)建的安全策略會(huì)將 DCOM Server Process Launcher 狀態(tài)設(shè)置為禁用。 ? ? 將執(zhí)行相同功能的服務(wù)器分組在一個(gè) OU 中 ?？梢詫⒛繕?biāo)是 OU 中所有服務(wù)器的新的或修改的安全策略以 GPO 格式保存，這樣將便于使用組策略進(jìn)行分發(fā)。 SCW 根據(jù)服務(wù)器執(zhí)行的角色和功能配置安全策略。可以使用 SCW 一次創(chuàng)建一個(gè)安全策略，保存該策略并將其應(yīng)用于執(zhí)行相同角色或角色集的所有服務(wù)器。 ? ? 為不同的軟件版本創(chuàng)建不同的策略 。然后將這些策略?xún)H應(yīng)用于其他 64 位計(jì)算機(jī)（非 32 位計(jì)算機(jī)）以確保正確標(biāo)識(shí)和配置服務(wù)。 在新的安全策略中配置的設(shè)置可能會(huì)造成應(yīng)用程序或服務(wù)的兼容性問(wèn)題。 ? 此方案的要求 SCW 的所有組件都自動(dòng)隨 Windows Server 2020 一起安裝，您可以在 “服務(wù)器管理器 ”或 “管理工具 ”中訪(fǎng)問(wèn) SCW。 備注 SCW 不能用于客戶(hù)端操作系統(tǒng)或 Windows 小型企業(yè)服務(wù)器。 ? ? 使用 SCW 創(chuàng)建的安全策略與安全模板不同，后者是擴(kuò)展名為 .inf 的文件。但是，可以在 SCW 安全策略文件中包含安全模板。 第 7 頁(yè) 共 53 頁(yè) ? ? SCW 不會(huì)安裝或卸載服務(wù)器執(zhí)行角色時(shí)所需的組件。 ? SCW 根據(jù)您在 “選擇服務(wù)器角色 ”頁(yè)上選擇的角色來(lái)啟用服務(wù)器所需的服務(wù)。 若要開(kāi)始此方案，您需要： ? 一個(gè)安裝了 Windows Server 2020 用于創(chuàng)建安全策略的原型服務(wù)器以及應(yīng)用策略的一個(gè)或多個(gè)基于 Windows Server 2020 的附加服務(wù)器。 重要事項(xiàng) 目標(biāo)計(jì)算機(jī)的配置必須與原型服務(wù)器的配置相匹配。如果操作系統(tǒng)或角色不同，可能會(huì)錯(cuò)誤配置設(shè)置，也可能會(huì)禁用必需的角色或服務(wù)，或者出現(xiàn)其他問(wèn)題。 ? 創(chuàng)建和應(yīng)用基于角色的安全策略的步驟 可以使用以下步驟根據(jù)您在生產(chǎn)環(huán)境中擁有的不同服務(wù)器類(lèi)型創(chuàng)建一個(gè)或多個(gè)原型策略。 步驟 1：創(chuàng)建原型安全策略 該過(guò)程指導(dǎo)您完成一個(gè)簡(jiǎn)單策略的創(chuàng)建過(guò)程，其中不會(huì)對(duì)默認(rèn)選擇進(jìn)行更改。 閱讀 “歡迎使用 ”頁(yè)，然后單擊 “下一步 ”。 在 “選擇服務(wù)器 ”頁(yè)上，鍵入原型服務(wù)器的名稱(chēng)，然后單擊 “下一步 ”。 在 “正在處理安全配置數(shù)據(jù)庫(kù) ”頁(yè)上，完成處理后單擊 “下一步 ”。 在 “基于角色的服務(wù)配置 ”頁(yè)上，單擊 “下一步 ”。 在 “選擇客戶(hù)端功能 ”頁(yè)上，確保向?qū)z測(cè)到并選擇原型服務(wù)器上安裝的所有功能，然后單擊“下一步 ”。 在 “選擇其他服務(wù) ”頁(yè)上，確保向?qū)z測(cè)到并選擇原型服務(wù)器上所需的所有服務(wù)，然后單擊 “下一步 ”。 在 “處理未指定的服務(wù) ”頁(yè)上，單擊 “下一步 ”。這些服務(wù)也可能在以后安裝在所選服務(wù)器上。 在 “確認(rèn)服務(wù)更改 ”頁(yè)上，查看 SCW 將包含在所得到的安全策略中的服務(wù)模式更改，然后單擊 “下一 步 ”。 在 “網(wǎng)絡(luò)安全規(guī)則 ”頁(yè)上，確保 SCW 檢測(cè)到它將用來(lái)配置 “高級(jí)安全 Windows 防火墻 ”的適當(dāng)端口和應(yīng)用程序，然后單擊 “下一步 ”。 在 “審核策略 ”頁(yè)上，選中 “跳過(guò)這一部分 ”復(fù)選框，然后單擊 “下一步 ”。 在 “保存安全策略 ”頁(yè)上，單擊 “下一步 ”。 注意 不要使用原型計(jì)算機(jī)的名稱(chēng)，因?yàn)? Scwcmd 使用 來(lái)保存分析結(jié)果， 第 10 頁(yè) 共 53 頁(yè) 您創(chuàng)建的策略也不應(yīng)使用相同的名稱(chēng)。但是， SCW 允許您指定任何位置。 在 “正在完成安全配置向?qū)?”頁(yè)上，單擊 “完成 ”。 步驟 2：將安全策略應(yīng)用到服務(wù)器 對(duì)于此步驟，將首先使用向?qū)⒉呗詰?yīng)用于本地計(jì)算機(jī)。 使用向?qū)踩呗詰?yīng)用于服務(wù)器的步驟 單擊 「開(kāi)始」 ，指向 “管理工具 ”，然后單擊 “安全配置向?qū)?”。 在 “配置操作 ”頁(yè)上，單擊 “應(yīng)用現(xiàn)有安全策略 ”，然后單擊 “下一步 ”。 在 “選擇服務(wù)器 ”頁(yè)上，鍵入要應(yīng)用策略的服務(wù)器的名稱(chēng)，然后單擊 “下一步 ”。 可以單擊 “查看安全策略 ”首先驗(yàn)證所有策略設(shè)置。 在 “正在完成安全配置向?qū)?”頁(yè)上，單擊 “完成 ”。在 %windir%\Security\ 中有一個(gè)示 例文件。 步驟 3：分析和查看服務(wù)器的安全策略 可以使用 Scwcmd 命令行工具查看應(yīng)用于服務(wù)器的 SCW 安全策略的設(shè)置。 使用 Scwcmd 命令行工具分析并查看安全策略的步驟 在命令提示符下，鍵入： scwcmd analyze /m: Machine /p: /o: Resultdir 使用要分析的計(jì)算機(jī)名稱(chēng)替換 Machine，使用用于執(zhí)行分析的安全策略的文件名替換 ，使用分析結(jié)果文件的所在位置替換 Resultdir。 是一個(gè)隨 SCW 一起安裝的文件，該文件將格式化分析結(jié)果以便進(jìn)行顯示。 步驟 4：以 GPO 格式保存安全策略 當(dāng)希望使用組策略將 SCW 安全策略應(yīng)用于 Active Directory 環(huán)境中的多 臺(tái)服務(wù)器時(shí)，可使用此步驟。 備注 無(wú)法回滾通過(guò)組策略應(yīng)用的 SCW 安全策略。 GPOName 是您在本地組策略編輯器中或 GPMC 中查看時(shí)， GPO 將顯示的名稱(chēng)。有關(guān)鏈接 GPO 的說(shuō)明，請(qǐng)參閱 “組策略管理控制臺(tái) ”( 網(wǎng)頁(yè)）。將服務(wù)器上所有的磁盤(pán)格式化為 NTFS。其他盤(pán)類(lèi)推。 4：刪除系統(tǒng)默認(rèn)共享，不明白徽軟為什么還要在 win2020 中默認(rèn)開(kāi)啟它們？可以使用 share 命令查看。 share c$ /del share d$ /del share e$ /del share f$ /del share ipc$ /del share admin$ /del 也可以在 “服務(wù) ”中直接禁用 “server”服務(wù)。禁用 Guest 賬號(hào)，并加一個(gè)超級(jí)復(fù)雜的密碼，密碼可以是復(fù)制一段文本進(jìn)去。 重命名管理員用戶(hù)組 Administrators 6：創(chuàng)建一個(gè)陷阱用戶(hù)即創(chuàng)建一個(gè)名為 “Administrator”的本地用戶(hù)，把它的權(quán)限降最低，并且加上一個(gè)超過(guò) 16 位的超級(jí)復(fù)雜密碼。 7：本地安全策略設(shè)置開(kāi)始菜單 —管理工具 —本地安全策略 一、本地策略 ——審核策略 審核策 略更改 成功 失敗 審核登錄事件 成功 失敗 審核對(duì)象訪(fǎng)問(wèn) 失敗 審核過(guò)程跟蹤 無(wú)審核 審核目錄服務(wù)訪(fǎng)問(wèn) 失敗 審核特權(quán)使用 失敗 審核系統(tǒng)事件 成功 失敗 審核賬戶(hù)登錄事件 成功 失敗 審核賬戶(hù)管理 成功 失敗 二、本地策略 ——用戶(hù)權(quán)限分配關(guān)閉系統(tǒng)：只有 Administrators 組、其它的全部刪除。 10：禁用不必要的服務(wù)。 TCP/IP NetBIOS Helper Server Distributed Link Tracking Client Microsoft Search Print Spooler Remote Registry Workstation 11：只開(kāi)啟需要用的端口，關(guān)閉不必要的，以減少攻擊面。 12：下列系統(tǒng)程序 都只給管理員權(quán)限，別的全部刪除。 13：打開(kāi) Windows 高級(jí)防火墻。 14：站點(diǎn)屬性設(shè)置：刪除 C:\ ipub 目錄更改站點(diǎn)路徑，最好和系統(tǒng)盤(pán)分開(kāi)。 安裝角色時(shí)，以最小化角色運(yùn)行服務(wù)器 ，即只安裝你要用到的角色功能，如果你的服務(wù)器沒(méi)有 ASP 的站點(diǎn)，那 ASP 角色就不需要安裝，這樣可以減少受攻擊的面。應(yīng)該是 windows 2020 里面的黃金搭擋了。通過(guò)以上配置，服務(wù)器安全性比原來(lái)默認(rèn)又提升了一級(jí)。 第 16 頁(yè) 共 53 頁(yè) 阿江的 WINDOWS 服務(wù)器安全設(shè)置 阿江的 WINDOWS 服務(wù)器安全設(shè)置 [返回首頁(yè) ] [返回作品首頁(yè) ] [返回探針首頁(yè) ] (如需引用或者轉(zhuǎn)載此文，請(qǐng)注明：作者 : 阿江 出處 :) 前言 其實(shí)，在服務(wù)器的安全設(shè)置方面，我雖然有一些經(jīng)驗(yàn)，但是還談不上有研究，所以我寫(xiě)這篇文章的時(shí)候心里很不踏實(shí)，總害怕說(shuō)錯(cuò)了會(huì)誤了別人的事。 基本的服務(wù)器安全設(shè)置 安裝補(bǔ)丁 安裝好操作系統(tǒng)之后，最好能在托管之前就完成補(bǔ)丁的安裝，配置好網(wǎng)絡(luò)后，如果是 2020則確定安裝上了 SP4，如果是 2020，則最好安裝上 SP1，然后點(diǎn)擊開(kāi)始→ Windows Update，安裝所有的關(guān)鍵更新。我一直在用諾頓 2020，據(jù)說(shuō) 2020 可以殺木馬，不過(guò)我沒(méi)試過(guò)。更多的人說(shuō)卡巴司機(jī)好，不過(guò)我沒(méi)用過(guò)。 設(shè)置端口保護(hù)和防火墻、刪除默認(rèn)共享 都是服務(wù)器防黑的措施，即使你的服務(wù)器上沒(méi)有 IIS，這些安全措施都最好做上。 權(quán)限設(shè)置 阿江感覺(jué)這是防止 ASP 漏洞攻擊的關(guān)鍵所在，優(yōu)秀的權(quán)限設(shè)置可以將危害減少在一個(gè) IIS站點(diǎn)甚至一個(gè)虛擬目錄里。 權(quán)限設(shè)置的原理 WINDOWS 用戶(hù)，在 WINNT 系統(tǒng)中大多數(shù)時(shí)候把權(quán)限按用戶(hù)（組）來(lái)劃分。 NTFS 權(quán)限設(shè)置，請(qǐng)記住分區(qū)的時(shí)候把所有的硬盤(pán)都分為 NTFS 分區(qū)，然后我們可以確定每個(gè)分區(qū)對(duì)每個(gè)用戶(hù)開(kāi)放的權(quán)限。 IIS 匿名用戶(hù)，每個(gè) IIS 站點(diǎn)或者虛擬目錄，都可以設(shè)置一個(gè)匿名訪(fǎng)問(wèn)用戶(hù)（現(xiàn)在暫且把它叫“ IIS 匿名用戶(hù)”），當(dāng)用戶(hù)訪(fǎng)問(wèn)你的網(wǎng)站的 .ASP 文件的時(shí)候，這個(gè) .ASP 文件所具有的權(quán)限，就是這個(gè)“ IIS 匿名用戶(hù)”所具有的權(quán)限。 在 IIS 的【站點(diǎn)屬性或者虛擬目錄屬性→目錄安全性→匿名訪(fǎng)問(wèn)和驗(yàn)證控制→編輯→匿名訪(fǎng) 第 17 頁(yè) 共 53 頁(yè) 問(wèn)→編輯】填寫(xiě)剛剛創(chuàng)建的那個(gè)用戶(hù)名。 這樣設(shè)置了之后，這個(gè)站點(diǎn)里的 ASP 程序就只有當(dāng)前這個(gè)文件夾的權(quán)限了，從探針上看，所有的硬盤(pán)都是紅叉叉。然后再設(shè)置各個(gè) IIS 用戶(hù)在各在的文件夾里的權(quán)限。真的有那樣的人，你也不要著急，要沉住氣慢慢來(lái)，具體的方法其實(shí)自己也能摸索出來(lái)的，我就是這樣。 改名或卸載不安全組件 不安全組件不驚人 我的在阿江探針 里加入了不安全組件檢測(cè)功能（其實(shí)這是參考 7i24 的代碼寫(xiě)的，只是把界面改的友好了一點(diǎn)，檢測(cè)方法和他是基本一樣的），這個(gè)功能讓很多站長(zhǎng)吃驚不小，因?yàn)樗l(fā)現(xiàn)他的服務(wù)器支持很多不安全組件。那個(gè)歡樂(lè)時(shí)光更不用怕，有殺毒軟件在還怕什