实验四-Windows-Server-2008系统安全配置.docVIP

实 验 报 告 院 系： 信息与工程学院 班 级： 学号姓名： 实验课程： 《网络安全技术实验》 实验名称：实验四 Windows Server 2008系统安全配置 指导教师： 实验四 Windows Server 2008系统安全配置 实验学时 2 一、实验目的与要求 1、了解Windows Sever 2008 操作系统的安全功能、缺陷和安全协议； 2、熟悉Windows Sever 2008 操作系统的安全配置过程及方法； 二、实验仪器和器材 计算机一台 VMware workstation 10 Windows Sever 2008操作系统 三、实验原理 网络防火墙及端口安全管理 在“深层防御”体系中，网络防火墙处于周边层，而Windows防火墙处于主机层面。和Windows XP和Windows 2003的防火墙一样，Windows Server 2008的防火墙也是一款基于主机的状态防火墙，它结合了主机防火墙和IPSec，可以对穿过网络边界防火墙和发自企业内部的网络攻击进行防护，可以说基于主机的防火墙是网络边界防火墙的一个有益的补充。 与以前Windows版本中的防火墙相比，Windows Server 2008中的高级安全防火墙（WFAS）有了较大的改进，首先它支持双向保护，可以对出站、入站通信进行过滤。其次它将Windows防火墙功能和Internet 协议安全(IPSec)集成到一个控制台中。使用这些高级选项可以按照环境所需的方式配置密钥交换、数据保护(完整性和加密)以及身份验证设置。而且WFAS还可以实现更高级的规则配置，你可以针对Windows Server上的各种对象创建防火墙规则，配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。传入数据包到达计算机时，具有高级安全性的Windows防火墙检查该数据包，并确定它是否符合防火墙规则中指定的标准。如果数据包与规则中的标准匹配，则具有高级安全性的Windows防火墙执行规则中指定的操作，即阻止连接或允许连接。如果数据包与规则中的标准不匹配，则具有高级安全性的Windows防火墙丢弃该数据包，并在防火墙日志文件中创建条目(如果启用了日志记录)。 对规则进行配置时，可以从各种标准中进行选择：例如应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型(如网络适配器)、用户、用户组、计算机、计算机组、协议、ICMP类型等。规则中的标准添加在一起;添加的标准越多，具有高级安全性的Windows防火墙匹配传入流量就越精细。 四、实验步骤 用户账户安全 Administrator账户的安全性 重命名adminstrator，并将其禁用 创建一个用户账户并将其加入管理员组，日常管理工作使用这个账户完成 启用账户锁定策略 开始——程序——管理工具——本地安全策略——账户策略——账户锁定策略——设置“账户锁定阈值为3” 创建一个日常登录账户 通过Runas或者鼠标右键“运行方式”切换管理员权限 修改本地策略限制用户权限 开始——程序——管理工具——本地安全策略——本地策略——用户权限分配——设置“拒绝从网络访问这台计算机”，限制从网络访问该服务器的账户 服务器性能优化，稳定性优化 “我的电脑”右键属性——高级——性能——设置——设置为“性能最佳” “我的电脑”右键属性——高级——性能——设置——高级页面为如图设置 停止暂时未用到的服务 在开始运行中输入:services.msc 停止并禁用以下服务 Computer Browser Distributed Link Tracking Client Print Spooler（如果没有打印需求可以停止该服务） Remote Registry Remote Registry（如果没有无线设备可以停止该服务） TCP/IP NetBIOS Helper 系统安全及网络安全设置 开启自动更新 我的电脑右键属性——自动更新 Windows Server 2003会自动下载更新，无须人为打补丁。 关闭端口，减少受攻击面（此处以仅提供HTTP协议为例），尽量少安装不必要的组件。 开始运行中输入cmd，运行命令提示符 在命令提示符中输入netstat -an命令察看当前打开端口 图片中开放了TCP 135,139,445,1026四个端口，可以通过禁用 TCP/IP 上的 NetBIOS和禁用 SMB来关闭它们。 禁用 TCP/IP 上的 NetBIOS 从“开始”菜单，右键单击“我的电脑”，然后单击“属性