实

验

报

告

院    系：    信息与工程学院    

班    级：     

学号姓名：     

    实验课程：  《网络安全技术实验》

              实验名称：实验四 Windows Server 

2008系统安全配置     

指导教师：       

实验四 Windows Server 2008系统安全配置

实验学时  2  

一、实验目的与要求

1、了解Windows Sever 2008 操作系统的安全功能、缺陷和安全协议；

2、熟悉Windows Sever 2008 操作系统的安全配置过程及方法；

二、实验仪器和器材 

计算机一台  VMware workstation 10  Windows Sever 2008操作系统

三、实验原理

网络防火墙及端口安全管理

    在“深层防御”体系中，网络防火墙处于周边层，而Windows防火墙处于主机层面。和Windows XP和Windows 2003的防火墙一样，Windows Server 2008的防火墙也是一款基于主机的状态防火墙，它结合了主机防火墙和IPSec，可以对穿过网络边界防火墙和发自企业内部的网络攻击进行防护，可以说基于主机的防火墙是网络边界防火墙的一个有益的补充。

    与以前Windows版本中的防火墙相比，Windows Server 2008中的高级安全防火墙（WFAS）有了较大的改进，首先它支持双向保护，可以对出站、入站通信进行过滤。其次它将Windows防火墙功能和Internet 协议安全(IPSec)集成到一个控制台中。使用这些高级选项可以按照环境所需的方式配置密钥交换、数据保护(完整性和加密)以及身份验证设置。而且WFAS还可以实现更高级的规则配置，你可以针对Windows Server上的各种对象创建防火墙规则，配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。传入数据包到达计算机时，具有高级安全性的Windows防火墙检查该数据包，并确定它是否符合防火墙规则中指定的标准。如果数据包与规则中的标准匹配，则具有高级安全性的Windows防火墙执行规则中指定的操作，即阻止连接或允许连接。如果数据包与规则中的标准不匹配，则具有高级安全性的Windows防火墙丢弃该数据包，并在防火墙日志文件中创建条目(如果启用了日志记录)。

对规则进行配置时，可以从各种标准中进行选择：例如应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型(如网络适配器)、用户、用户组、计算机、计算机组、协议、ICMP类型等。规则中的标准添加在一起;添加的标准越多，具有高级安全性的Windows防火墙匹配传入流量就越精细。

四、实验步骤

(一)用户账户安全

1.Administrator账户的安全性

a)重命名adminstrator，并将其禁用

b)创建一个用户账户并将其加入管理员组，日常管理工作使用这个账户完成

2.启用账户锁定策略

开始——程序——管理工具——本地安全策略——账户策略——账户锁定策略——设置“账户锁定阈值为3”

3.创建一个日常登录账户

通过Runas或者鼠标右键“运行方式”切换管理员权限

4.修改本地策略用户权限

开始——程序——管理工具——本地安全策略——本地策略——用户权限分配——设置“拒绝从网络访问这台计算机”，从网络访问该服务器的账户

(二)服务器性能优化，稳定性优化

1.“我的电脑”右键属性——高级——性能——设置——设置为“性能最佳”

2.“我的电脑”右键属性——高级——性能——设置——高级页面为如图设置

3.停止暂时未用到的服务

a)在开始运行中输入:services.msc

b)停止并禁用以下服务

1.Computer Browser

2.Distributed Link Tracking Client

3.Print Spooler（如果没有打印需求可以停止该服务）

4.Remote Registry

5.Remote Registry（如果没有无线设备可以停止该服务）

6.TCP/IP NetBIOS Helper

(三)系统安全及网络安全设置

1.开启自动更新

我的电脑右键属性——自动更新

Windows Server 2003会自动下载更新，无须人为打补丁。

2.关闭端口，减少受攻击面（此处以仅提供HTTP协议为例），尽量少安装不必要的组件。

a)开始运行中输入cmd，运行命令提示符

b)在命令提示符中输入netstat   -an命令察看当前打开端口

图片中开放了TCP 135,139,445,1026四个端口，可以通过禁用 TCP/IP 上的 NetBIOS和禁用 SMB来关闭它们。

c)禁用 TCP/IP 上的 NetBIOS

1.从“开始”菜单，右键单击“我的电脑”，然后单击“属性”。

2.点选“硬件”选项卡后，单击“设备管理器”按钮。

3.右键单击“设备管理器”，指向“查看”，再选择“显示隐藏设备”。

4.展开“非即插即用驱动程序”。

5.右键单击“TCP/IP 上的 NetBios”，然后单击“禁用”。

a)禁用 SMB

1.“网上邻居”右键单击“属性”。

2.“本地连接”右键单击“属性”。

3.选中“Microsoft Networks 客户端”复选框，然后单击“卸载”。

4.选择“Microsoft Networks 文件和打印机共享”，然后单击“卸载”。

b)再次在命令提示符中输入netstat   -an命令察看当前打开端口

发现只有TCP 135、1026处于开放状态。对于这个两个端口，这时我们可以通过WINDOWS自带防火墙，或者是IPSEC来阻塞这两个端口。下面会把两种方法都作介绍。

c)方法一：启用Windows自带防火墙（配置简单，推荐使用）

1.“网上邻居”右键单击“属性”。

2.“本地连接”右键单击“属性”。

3.点选“高级选项卡”，单击“设置”按钮

4.在“常规”选项卡下，点选“启用”

5.在“高级”选项卡下，单击“设置”按钮

6.勾选“WEB服务”（以HTTP协议为例，仅开放TCP80端口）后点确定

这里也可以通过“添加”按钮，开放指定的端口。

d)方法二：使用IPSEC阻塞端口（比较复杂，不推荐使用）

1.在开始运行中输入“MMC”，调出微软管理控制台

2.在“MMC”的“文件”菜单中选择“添加/删除管理单元”

3.添加管理单元“IP安全策略管理”

4.添加“本地计算机”的IP安全策略

5.创建新的IP安全策略，名称随意

取消勾选

6.添加第一个新IP安全规则，允许TCP 80端口的数据通过。取消勾选，点击添加

7.添加新的筛选规则

取消下图中的勾，在填写新规则的名称后，单击“添加”

在“地址”选项卡中，选择如下图所示：

在“协议”选项卡中，选择如下图所示后，点击确定

在筛选列表中，选择刚才创建“筛选规则”和满足规则后所做的操作点应用

8.添加第二条“安全规则”，拒绝其他流量。（步骤和7大同小异）

先点添加：

再选择筛选列表：

最后选择筛选动作（此处添加一个新动作）：取消“使用添加向导”勾后点添加：

选择阻止后点确定：

选择筛选器操作为刚刚添加的操作（内容为阻止）后应用确定：

9.选择刚才添加的2条新规则后，应用确定：

10.指派刚才创建的新安全策略

五、实验总结

Windows Server 2008是微软一个服务器操作系统的名称，它继承Windows Server 2003 R2。Windows Server 2008在进行开发及测试时的代号为"Windows Server Longhorn"。。这是它的概念，在以后的学习中我会继续努力，拼搏！相信自己！下载本文