windows2003安全策略.txt

windows电脑管理的安全手册

　　具体方法如下：首先在“开始”菜单中单击“运行”选项，然后键入mmc，并同时单击“确定”按钮。在“控制台”菜单中选择“添加删除管理单元(M)”命令，然后，单击其中的“添加”按钮。 在可用的独立管理单元中，选择“IP安全策略管理”选项，双击或单击“添加”按钮，在这里选择被该管理单元所管理的计算机，然后单击“完成”按钮。关闭添加管理单元的相关窗口，就得到了一个新的管理工具，在这里可以为其命名并保存。

　　此时可以看到已有的安全策略，用户可以根据情况来添加、修改和删除相应的IP安全策略。其中Windows Server 2003系统自带的有以下几个策略：

　　安全服务器(要求安全设置)；
　　客户端(只响应)；
　　服务器(请求安全设置)；

　　其中的“客户端(只响应)”策略是根据对方的要求来决定是否采用IPSec；“服务器(请求安全设置)”策略要求支持IP安全机制的客户端使用IPSec，但允许不支持IP安全机制的客户端来建立不安全的连接；而“安全服务器(要求安全设置)”策略则最为严格，它要求双方必须使用IPSec协议。

　　不过，“安全服务器(要求安全设置)”策略默认允许不加密的受信任的通信，因此仍然能够被窃听。直接修改此策略或定制专门的策略，就可以实现有效的防范。选择其中的“所有IP通讯”选项，在这里可以编辑其规则属性。

　　选择“筛选器操作”选项卡，选择其中的“要求安全设置”选项。在此筛选器操作的属性设置里可以编辑安全措施，在这里将安全措施设置为“高”选项。 

　　以上采用IPSec加密数据通信的方法适用于企业网应用，通过部署组策略可以强制网络中的所有计算机使用IPSec加密通信。当然这种严格的限制会带来一些不便，不过对于系统安全来说是值得的。IPSec还可以应用于VPN技术中，在这里可以对IP隧道中的数据流进行加密。

　　对于不方便大范围实施IPSec的环境，可以考虑采用VPN。这里的VPN是指虚拟私有网络。VPN技术是目前实现端对端安全通信的最佳解决方案，它主要适用于客户端通过开放的网络与服务器的连接。例如，客户端通过Internet/Intranet连接到企业或部门的专用网络。

　　二、企业系统监控安全策略

　　尽管不断地在对系统进行修补，但由于软件系统的复杂性，新的安全漏洞总会层出不穷。因此，除了对安全漏洞进行修补之外，还要对系统的运行状态进行实时监视，以便及时发现利用各种漏洞的入侵行为。如果已有安全漏洞但还没有全部得到修补时，这种监视就显得尤其重要。 

　　1、启用系统审核机制

　　系统审核机制可以对系统中的各类事件进行跟踪记录并写入日志文件，以供管理员进行分析、查找系统和应用程序故障以及各类安全事件。

　　所有的操作系统、应用系统等都带有日志功能，因此可以根据需要实时地将发生在系统中的事件记录下来。同时还可以通过查看与安全相关的日志文件的内容，来发现黑客的入侵和入侵后的行为。当然，如果要达到这个目的，就必须具备一些相关的知识。首先必须要学会如何配置系统，以启用相应的审核机制，并同时使之能够记录各种安全事件。

　　对Windows Server 2003的服务器和工作站系统来说，为了不影响系统性能，默认的安全策略并不对安全事件进行审核。从“安全配置和分析”工具用SecEdit安全模板进行的分析结果可知，这些有红色标记的审核策略应该已经启用，这可用来发现来自外部和内部的黑客的入侵行为。对于关键的应用服务器和文件服务器来说，应同时启用剩下的安全策略。

　　如果已经启用了“审核对象访问”策略，那么就要求必须使用NTFS文件系统。NTFS文件系统不仅提供对用户的访问控制，而且还可以对用户的访问操作进行审核。但这种审核功能，需要针对具体的对象来进行相应的配置。

　　首先在被审核对象“安全”属性的“高级”属性中添加要审核的用户和组。在该对话框中选择好要审核的用户后，就可以设置对其进行审核的事件和结果。 在所有的审核策略生效后，就可以通过检查系统的日志来发现黑客的蛛丝马迹。 

　　2、日志监视 


　　在系统中启用安全审核策略后，管理员应经常查看安全日志的记录，否则就失去了及时补救和防御的时机了。除了安全日志外，管理员还要注意检查各种服务或应用的日志文件。在Windows 2003 IIS 6.0中，其日志功能默认已经启动，并且日志文件存放的路径默认在System32/LogFiles目录下，打开IIS日志文件，可以看到对Web服务器的HTTP请求，IIS6.0系统自带的日志功能从某种程度上可以成为入侵检测的得力帮手。

　　3、监视开放的端口和连接

　　对日志的监视只能发现已经发生的入侵事件，但是它对正在进行的入侵和破坏行为无能为力了。这时，就需要管理员来掌握一些基本的实时监视技术。

　　通常在系统被黑客或病毒入侵后，就会在系统中留下木马类后门。同时它和外界的通信会建立一个Socket会话连接，这样就可能发现它，netstat命令可以进行会话状态的检查，在这里就可以查看已经打开的端口和已经建立的连接。 当然也可以采用一些专用的检测程序对端口和连接进行检测，这一类软件很多。

　　4、监视共享

　　通过共享来入侵一个系统是最为舒服的一种方法了。如果防范不严，最简单的方法就是利用系统隐含的管理共享。因此，只要黑客能够扫描到的IP和用户密码，就可以使用net use命令连接到的共享上。另外，当浏览到含有恶意脚本的网页时，此时计算机的硬盘也可能被共享，因此，监测本机的共享连接是非常重要的。

　　监测本机的共享连接具体方法如下：在Windows Server 2003的计算机中，打开“计算机管理”工具，并展开“共享文件夹”选项。单击其中的“共享”选项，就可以查看其右面窗口，以检查是否有新的可疑共享，如果有可疑共享，就应该立即删除。另外还可以通过选择“会话”选项，来查看连接到机器所有共享的会话。Windows NT/2000的IPC$共享漏洞是目前危害最广的漏洞之一。黑客即使没有马上破解密码，也仍然可以通过“空连接”来连接到系统上，再进行其他的尝试。

　　5、监视进程和系统信息

　　对于木马和远程监控程序，除了监视开放的端口外，还应通过任务管理器的进程查看功能进行进程的查找。在安装Windows Server2003的支持工具（从产品光盘安装）后，就可以获得一个进程查看工具Process Viewer；通常，隐藏的进程寄宿在其他进程下，因此查看进程的内存映象也许能发现异常。现在的木马越来越难发现，常常它会把自己注册成一个服务，从而避免了在进程列表中现形。因此，我们还应结合对系统中的其他信息的监视，这样就可对系统信息中的软件环境下的各项进行相应的检查。