計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù) 課件 第二章 Windows 操作系統(tǒng)安全配置

第二章Windows操作系統(tǒng)安全配置2.1認(rèn)識(shí)Windows操作系統(tǒng)2.1.1什么是Windows操作系統(tǒng)Windows是美國(guó)微軟公司以圖形用戶界面（GUI）為基礎(chǔ)研發(fā)的操作系統(tǒng)，主要運(yùn)用于計(jì)算機(jī)、智能手機(jī)等設(shè)備，共有普通版本、服務(wù)器版本（WindowsServer）、手機(jī)版本（WindowsPhone等）、嵌入式版本（WindowsCE等）等子系列，是全球應(yīng)用最廣泛的操作系統(tǒng)之一。2.1.2WindowsServer2016概述

WindowsServer2016是微軟公司專門(mén)為服務(wù)器提供的一款圖形化操作系統(tǒng)，可以幫助信息部門(mén)的IT人員來(lái)搭建網(wǎng)站、應(yīng)用程序服務(wù)及虛擬化云服務(wù)等。WindowsServer2016具有強(qiáng)大的管理功能和安全措施來(lái)簡(jiǎn)化網(wǎng)站的部署與服務(wù)器的管理，能夠改善資源可用性、降低成本、保護(hù)企業(yè)應(yīng)用程序和數(shù)據(jù)的安全，使運(yùn)維人員更加輕松地管理服務(wù)器和維護(hù)應(yīng)用程序。2.1.3WindowsServer2016版本W(wǎng)indowsServer2016分為3個(gè)版本：1.DatacenterEdition（數(shù)據(jù)中心版）2.StandardEdition（標(biāo)準(zhǔn)版）3.EssentialsEdition（基本版）2.2用戶和組的安全管理用戶是具有登錄系統(tǒng)和訪問(wèn)資源權(quán)限的個(gè)人賬戶。在WindowsServer2016中，每個(gè)用戶都有一個(gè)唯一的用戶名和密碼，這些信息用于登錄系統(tǒng)。用戶可以被授權(quán)訪問(wèn)特定的文件、文件夾、共享資源、應(yīng)用程序、設(shè)備等。管理員可以通過(guò)設(shè)置訪問(wèn)權(quán)限來(lái)對(duì)用戶進(jìn)行管理。2.2.1用戶安全管理1．修改Administrator賬戶名稱WindowsServer2016內(nèi)置了兩個(gè)可供使用的用戶賬戶。Administrator（系統(tǒng)管理員）：Administrator賬戶擁有最高的權(quán)限，用戶可以使用此賬戶來(lái)管理計(jì)算機(jī)。Guest（來(lái)賓）：它是供沒(méi)有賬戶的用戶臨時(shí)使用的，只有很少的權(quán)限，可以更改名稱，但是無(wú)法被刪除。此賬戶默認(rèn)是被禁用的，如果沒(méi)有禁用，則可以手動(dòng)禁用此賬戶。左鍵“開(kāi)始”圖標(biāo)，在彈出的快捷菜單中選擇“運(yùn)行”命令，打開(kāi)“運(yùn)行”窗口，輸“gpedit.msc”，單擊“確定”按鈕。打開(kāi)“本地組策略編輯器”窗口，依次選擇“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“安全選項(xiàng)”選項(xiàng)。在右側(cè)找到“賬戶：重命名系統(tǒng)管理員賬戶”選項(xiàng)并右擊，在彈出的快捷菜單中選擇“屬性”命令，彈出“賬戶：重命名系統(tǒng)管理員賬戶屬性”對(duì)話框。輸入新的賬戶名稱，單擊“確定”按鈕。2．禁用Guest賬戶左鍵“開(kāi)始”圖標(biāo)，在彈出的快捷菜單中選擇“計(jì)算機(jī)管理”命令，打開(kāi)“計(jì)算機(jī)管理”窗口。選擇“計(jì)算機(jī)管理（本地）”→“本地用戶和組”→“用戶”→“Guest”選項(xiàng)，右擊，在彈出的快捷菜單中選擇“屬性”命令。彈出“Guest屬性”對(duì)話框，勾選“賬戶已禁用”復(fù)選框。3．設(shè)置用戶賬戶密碼右擊“開(kāi)始”圖標(biāo)，在彈出的快捷菜單中選擇“計(jì)算機(jī)管理”命令，打開(kāi)“計(jì)算機(jī)管理”窗口。選擇“計(jì)算機(jī)管理（本地）”→“本地用戶和組”→“用戶”→“User”選項(xiàng)（以User賬戶為例），右擊，在彈出的快捷菜單中選擇“設(shè)置密碼”命令。彈出“為User設(shè)置密碼”對(duì)話框，輸入新密碼，單擊“確定”按鈕。4．創(chuàng)建密碼盤(pán)密碼盤(pán)的工作原理如下。（1）硬件層面：密碼盤(pán)需要支持硬件虛擬化和安全啟動(dòng)功能。（2）安全啟動(dòng)：當(dāng)服務(wù)器啟動(dòng)時(shí)，密碼盤(pán)會(huì)啟動(dòng)安全啟動(dòng)功能，驗(yàn)證操作系統(tǒng)和啟動(dòng)文件的完整性，并確保它們沒(méi)有被篡改。（3）安全運(yùn)行環(huán)境：密碼盤(pán)創(chuàng)建一個(gè)安全的虛擬化環(huán)境，用于存儲(chǔ)用戶憑據(jù)和加密密鑰。這個(gè)環(huán)境是隔離的，不受主操作系統(tǒng)的影響。（4）認(rèn)證和加密：當(dāng)用戶登錄時(shí)，密碼盤(pán)將用戶憑據(jù)傳遞給安全運(yùn)行環(huán)境中的身份驗(yàn)證服務(wù)。如果憑據(jù)正確，則密碼盤(pán)返回一個(gè)加密密鑰，用于保護(hù)用戶憑據(jù)。（5）訪問(wèn)控制：密碼盤(pán)會(huì)根據(jù)用戶的訪問(wèn)權(quán)限，限制用戶對(duì)虛擬化環(huán)境中憑據(jù)的訪問(wèn)我們可以使用可移動(dòng)磁盤(pán)（以U盤(pán)為例）來(lái)制作密碼重置盤(pán)。在計(jì)算機(jī)上插入已經(jīng)格式化的U盤(pán)，登錄賬戶之后，左鍵“開(kāi)始”圖標(biāo)，在彈出的快捷菜單中選擇“控制面板”命令。打開(kāi)“控制面板”窗口，選擇“用戶賬戶”→“創(chuàng)建密碼重置盤(pán)”選項(xiàng)，打開(kāi)“忘記密碼向?qū)А贝翱?。單擊“下一步”按鈕，選擇密碼密鑰盤(pán)。單擊“下一步”按鈕，輸入新密碼。2.2.2組安全管理組是一組用戶的集合，每個(gè)用戶可以屬于一個(gè)或多個(gè)組。在WindowsServer2016中，有一些內(nèi)置的組，如Administrators、Users、Guests。在WindowsServer2016中對(duì)組進(jìn)行安全管理的操作如下。單擊“開(kāi)始”圖標(biāo)→“服務(wù)器管理器”→“服務(wù)器管理器”→“儀表板”→“工具”→“計(jì)算機(jī)管理”→“本地組策略編輯器”→“本地用戶和組”→“組”→“新建組”。在儀表板選項(xiàng)卡中選擇“工具”→“本地安全策略”→“本地安全策略”→“本地策略”→“用戶權(quán)限分配”→“關(guān)閉系統(tǒng)”雙擊→“關(guān)閉系統(tǒng)屬性”對(duì)話框。選擇“本地安全設(shè)置”→“本地安全設(shè)置”→選擇相應(yīng)的用戶或組→“添加用戶或組”，這樣被添加的組就自動(dòng)擁有了該項(xiàng)策略的權(quán)限了。2.3文件系統(tǒng)安全配置2.3.1設(shè)置文件權(quán)限右擊需要設(shè)置權(quán)限的文件→“屬性”→“安全”→打開(kāi)“安全”選項(xiàng)卡。單擊“高級(jí)”按鈕→“高級(jí)安全設(shè)置”→“添加”→“選擇主體”文字鏈接→“選擇用戶或組”→輸入要選擇的對(duì)象名稱→“檢查名稱”→“確定”→彈出權(quán)限項(xiàng)目對(duì)話框→選擇分配給用戶的權(quán)限。2.3.2設(shè)置文件夾權(quán)限用戶可以對(duì)文件夾進(jìn)行的操作，包括列出文件夾內(nèi)的文件名、在文件夾內(nèi)創(chuàng)建文件等。NTFS為每個(gè)文件夾提供了一個(gè)訪問(wèn)控制列表。選中需要設(shè)置權(quán)限的文件夾并右擊→選擇“屬性”命令→打開(kāi)文件夾屬性對(duì)話框→單擊“安全”→“編輯”。如果需要編輯系統(tǒng)權(quán)限，則可以單擊屬性對(duì)話框中“安全”選項(xiàng)卡的“高級(jí)”按鈕。2.3.3文件加密文件加密可以保護(hù)敏感數(shù)據(jù)，防止未經(jīng)授權(quán)的用戶訪問(wèn)和查看文件內(nèi)容。右擊需要加密的文件或文件夾→選擇“屬性”命令→單擊“常規(guī)”選項(xiàng)卡→“高級(jí)”按鈕→彈出“高級(jí)屬性”對(duì)話框→勾選“加密內(nèi)容以便保護(hù)數(shù)據(jù)”復(fù)選框→單擊“確定”按鈕。2.4服務(wù)安全配置和加固2.4.1服務(wù)安全配置1．開(kāi)啟系統(tǒng)自動(dòng)更新功能使用Win+R組合鍵打開(kāi)“運(yùn)行”窗口→輸入“gpedit.msc”→“確定”→“本地組策略編輯器”→“計(jì)算機(jī)配置”→“管理模板”→“Windows組件”→“Windows更新”→“設(shè)置”→雙擊“配置自動(dòng)更新”。打開(kāi)“配置自動(dòng)更新”窗口→“已啟用”→“選項(xiàng)”列表框中可以配置其他屬性→右擊“開(kāi)始”→“以管理員身份運(yùn)行”→打開(kāi)“管理員：WindowsPowerShell”→執(zhí)行“gpupdate/force”命令，使設(shè)置生效。2．開(kāi)啟系統(tǒng)防火墻WindowsServer2016內(nèi)置了一個(gè)名為Windows防火墻的功能，它可以幫助管理員保護(hù)服務(wù)器不受來(lái)自網(wǎng)絡(luò)的未經(jīng)授權(quán)的訪問(wèn)和攻擊。左鍵“開(kāi)始”→“控制面板”→“系統(tǒng)和安全”→“檢查防火墻狀態(tài)”→“啟用或關(guān)閉Windows防火墻”→“自定義設(shè)置”→“專用網(wǎng)絡(luò)設(shè)置和公用網(wǎng)絡(luò)設(shè)置”→“啟用Windows防火墻”。專用網(wǎng)絡(luò)設(shè)置和公用網(wǎng)絡(luò)設(shè)置的區(qū)別主要在于它們適用的網(wǎng)絡(luò)環(huán)境及它們的默認(rèn)安全級(jí)別。專用網(wǎng)絡(luò)設(shè)置：專用網(wǎng)絡(luò)指的是在組織內(nèi)部使用的受信任網(wǎng)絡(luò)，例如公司內(nèi)部網(wǎng)絡(luò)或內(nèi)部數(shù)據(jù)中心的網(wǎng)絡(luò)。公用網(wǎng)絡(luò)設(shè)置：公用網(wǎng)絡(luò)指的是在公共場(chǎng)所使用的不受信任的網(wǎng)絡(luò)，例如咖啡店、機(jī)場(chǎng)或公共圖書(shū)館的網(wǎng)絡(luò)。3．配置防火墻規(guī)則1）入站規(guī)則2）出站規(guī)則3）程序規(guī)則4）安全組規(guī)則5）認(rèn)證規(guī)則6）邊界規(guī)則4．開(kāi)啟IE增強(qiáng)安全配置啟用IE增強(qiáng)的安全配置后，服務(wù)器的IE瀏覽器將只能訪問(wèn)白名單中的網(wǎng)站。單擊“開(kāi)始”→“服務(wù)器管理器”→“儀表板”→“配置此本地服務(wù)器”→“IE增強(qiáng)的安全配置”→“啟用”→在彈出的“InternetExplorer增強(qiáng)的安全配置”對(duì)話框中根據(jù)需求設(shè)置管理員和用戶是否啟用InternetExplorer增強(qiáng)的安全配置。2.4.2服務(wù)安全加固RemoteRegistryService是WindowsServer2016中的一項(xiàng)服務(wù)，它允許用戶通過(guò)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)計(jì)算機(jī)上的注冊(cè)表。主要作用有以下幾個(gè)方面。1．遠(yuǎn)程管理2．集中管理3．故障排除2.5本地安全策略2.5.1賬戶策略配置賬戶策略用于控制用戶登錄失敗的次數(shù)和時(shí)間，從而防止攻擊者暴力破解密碼。“開(kāi)始”圖標(biāo)→“服務(wù)器管理器”→“儀表板”→“工具”→“計(jì)算機(jī)管理”→“本地組策略編輯器”→“本地計(jì)算機(jī)策略”→“計(jì)算機(jī)配置”→“Windows設(shè)置”→

“安全設(shè)置”→“賬戶策略”→“密碼策略”→右側(cè)可以設(shè)置關(guān)于賬戶密碼的一些策略，左側(cè)“賬戶鎖定策略”選項(xiàng)可以設(shè)置賬戶鎖定時(shí)間等策略。2.5.2本地策略配置“開(kāi)始”圖標(biāo)→“服務(wù)器管理器”→“儀表板”→“工具”→“計(jì)算機(jī)管理”→“本地組策略編輯器”→“本地計(jì)算機(jī)策略”→“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”?！皩徍瞬呗浴卑皩徍说卿浭录薄皩徍藢?duì)象訪問(wèn)”等策略?！坝脩魴?quán)限分配”包含“備份文件和目錄”“創(chuàng)建符號(hào)鏈接”“創(chuàng)建全局對(duì)象”等策略?！鞍踩x項(xiàng)”包含與交互式登錄、關(guān)機(jī)等相關(guān)的策略。設(shè)置本地策略的注意事項(xiàng)：（1）在設(shè)置密碼策略時(shí)，需要確保密碼長(zhǎng)度、復(fù)雜度等符合實(shí)際需求和安全要求。（2）在設(shè)置賬戶鎖定策略時(shí)，需要根據(jù)實(shí)際情況來(lái)選擇合適的鎖定閾值和鎖定時(shí)長(zhǎng)，以確保系統(tǒng)安全和用戶體驗(yàn)的平衡。（3）在檢查設(shè)置是否生效時(shí)，可以根據(jù)實(shí)際需要選擇不同的方法和工具，以確保策略生效并能及時(shí)發(fā)現(xiàn)和處理相關(guān)安全事件。2.6域和活動(dòng)目錄安全管理1．安裝ActiveDirectory服務(wù)（域控制器）WindowsServer2016中的ActiveDirectory是一種目錄服務(wù)，它是基于LDAP（LightweightDirectoryAccessProtocol）的一種分布式數(shù)據(jù)庫(kù)系統(tǒng)。ActiveDirectory用于管理網(wǎng)絡(luò)中的用戶、組、計(jì)算機(jī)和其他資源，并提供集中化的認(rèn)證和授權(quán)機(jī)制，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源的安全訪問(wèn)和管理。2.6.1域和域控制器安全策略配置“開(kāi)始”圖標(biāo)→“服務(wù)器管理器”→“儀表板”→“添加角色和功能”→“添加角色和功能向?qū)А薄跋乱徊健薄斑x擇安裝類型”→“基于角色或基于功能的安裝”→“下一步”→“選擇目標(biāo)服務(wù)器”→“從服務(wù)器池中選擇服務(wù)器”→“下一步”→“選擇服務(wù)器角色”→勾選“ActiveDirectory域服務(wù)”→“添加角色和功能向?qū)А薄疤砑庸δ堋被氐健斑x擇服務(wù)器角色”→“下一步”→“選擇服務(wù)器角色”→勾選“ActiveDirectory域服務(wù)”→“添加角色和功能向?qū)А薄疤砑庸δ堋被氐健斑x擇服務(wù)器角色”→“下一步”→“選擇功能”、“ActiveDirectory域服務(wù)”使用默認(rèn)選項(xiàng)→“確認(rèn)安裝所選內(nèi)容”→“安裝”→“關(guān)閉”按鈕回到“儀表板”→“通知”→“將此服務(wù)器提升為域控制器”→“ActiveDirectory域服務(wù)配置向?qū)А薄疤砑有铝帧薄案蛎敝休斎搿啊?，→“下一步”→“域控制器選項(xiàng)”→鍵入目錄服務(wù)還原模式（DSRM）密碼→“下一步”→其他窗口中使用默認(rèn)選項(xiàng)即可→“安裝”→自動(dòng)重啟。在WindowsServer2016中，ActiveDirectory主要有以下幾個(gè)特點(diǎn)：1）集中化的用戶管理2）集中化的認(rèn)證和授權(quán)機(jī)制3）統(tǒng)一的命名空間4）可擴(kuò)展性和可定制性5）支持分布式管理6）安全性和穩(wěn)定性2．域安全策略配置域安全策略是一種安全性設(shè)置，用于保障域中計(jì)算機(jī)的安全。它是一組規(guī)則和設(shè)置，定義了域中所有計(jì)算機(jī)的安全策略和配置，并指定了哪些用戶和組可以訪問(wèn)計(jì)算機(jī)和域資源。“開(kāi)始”圖標(biāo)→“Windows管理工具”→“組策略管理”→“林：”→“域”→“”→“DefaultDomainPolicy”→“編輯”注意事項(xiàng)：（1）隸屬于域的任何一臺(tái)計(jì)算機(jī)都會(huì)受到域安全策略的影響。（2）隸屬于域的計(jì)算機(jī)，如果本地安全策略的配置與域安全策略的配置有沖突，則以域安全策略的配置優(yōu)先，也就是說(shuō)本地安全策略自動(dòng)無(wú)效。（3）當(dāng)域安全策略的配置發(fā)生變化時(shí)，這些策略需要應(yīng)用到本地計(jì)算機(jī)后才對(duì)本地計(jì)算機(jī)有效。2.6.2活動(dòng)目錄安全管理活動(dòng)目錄（ActiveD