重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
如何启用本地IPSec安全策略
成都创新互联公司长期为上千家客户提供的网站建设服务,团队从业经验10年,关注不同地域、不同群体,并针对不同对象提供差异化的产品和服务;打造开放共赢平台,与合作伙伴共同营造健康的互联网生态环境。为安塞企业提供专业的成都网站制作、网站设计,安塞网站改版等技术服务。拥有十多年丰富建站经验和众多成功案例,为您定制开发。
方法一:利用MMC控制台
第一步:点击“开始→运行”,在运行对话框中输入“MMC”,点击“确定”按钮后,启动“控制台”窗口。
第二步:点击“控制台”菜单中的“文件→添加/删除管理单元”选项,弹出“添加/删除管理单元”对话框,点击“独立”标签页的“添加”按钮,弹出“添加独立管理单元”对话框。
第三步:在列表框中选择“IP安全策略管理”点击“添加”按钮,在“选择计算机”对话框中,选择“本地计算机”,最后点击“完成”。这样就在“MMC控制台”启用了IPSec安全策略。
方法二:利用本地安全策略
进入“控制面板→管理工具”选项,运行“本地安全设置”选项,在“本地安全设置”窗口中展开“安全设置”选项,就可以找到“IP安全策略,在本地计算机”。
IPSec安全策略的组成
为了增强网络通信安全或对客户机器的管理,网络管理员可以通过在Windows系统中定义IPSec安全策略来实现。一个IPSec安全策略由IP筛选器和筛选器操作两部分构成,其中IP筛选器决定哪些报文应当引起IPSec安全策略的关注,筛选器操作是指“允许”还是“拒绝”报文的通过。要新建一个IPSec安全策略,一般需要新建IP筛选器和筛选器操作。
PSec安全策略应用实例
目的:阻止局域网中IP为“192.168.0.2”的机器访问Windows2003终端服务器。
很多服务器都开通了终端服务,除了使用用户权限控制访问外,还可以创建IPSec安全策略进行限制。
第一步:在Windows
2003服务器的IP安全策略主窗口中,右键点击“IP安全策略,在本地计算机”,选择“创建IP安全策略”选项,进入“IP安全策略向导”,点击“下一步”,在“IP安全策略”名称对话框中输入该策略的名字如“终端服务过滤”,点击“下一步”,下面弹出的对话框都选择默认值,最后点击“完成”按钮。
第二步:为该策略创建一个筛选器。右键点击“IP安全策略,在本地计算机”,在菜单中选择“管理IP筛选器表和筛选器操作”,切换到“管理IP筛选器列表”标签页,点击下方的“添加”,弹出的“IP筛选器列表”对话框,在“名称”输入框中输入“终端服务”,点击“添加”,进入“IP筛选器向导”窗口,点击“下一步”,在“源地址”下拉列表框中选择“一个特定IP地址”,然后输入该客户机的IP地址和子网掩码,如“192.168.0.2”。点击“下一步”后,在“目标地址”下拉列表框中选择“我的IP地址”,点击“下一步”,接着在“选择协议类型”中选择“TCP”协议,点击“下一步”,接着在协议端口中选择“从任意端口,到此端口”,在输入框中填入“3389”,点击“下一步”后完成筛选器的创建。
第三步:新建一个阻止操作。切换到“筛选器操作”标签页,点击“添加”按钮,进入到“IP安全筛选器操作向导”,点击“下一步”,给这个操作起一个名字,如“阻止”,点击“下一步”,接着设置“筛选器操作的行为”,选择“阻止”单选项,点击“下一步”,就完成了“IP安全筛选器操作”的添加工作。最后在IP安全策略主窗口中,双击第一步建立的“终端服务过滤”安全策略,点击“添加”按钮,进入“创建IP安全规则向导”,点击“下一步”,选择“此规则不指定隧道”,点击“下一步”,在网络类型对话框中选择“局域网”,点击“下一步”,在接下来对话框中选择默认值,点击“下一步”,在IP筛选器列表中选择“终端服务”选项,点击“下一步”,接着在筛选器操作列表中选择“阻止”,最后点击“完成”。
完成了创建IPSec安全策略后,还要进行指派,右键单击“终端服务过滤”,在弹出的菜单中选择“指派”,这样就启用了该IPSec安全策略。局域网中IP为“192.168.0.2”的机器就不能访问Windows
2003终端服务器了。
Windows系统的IPSec安全策略也存在不足,一台机器同时只能有一个策略被指派。
03系统例举
01.首先打开控制面板,进入“管理工具”,然后双击打开“本地安全策略”
02.使用鼠标右键单击左方的“ip
安全策略,在
本地计算机”选项,并选择“创建
ip
安全策略”选项
03.点击“下一步”按钮
04.设置一个ip策略名称,例如设置为“端口限制策略”,使用其它名称也可以
05.点击“下一步”按钮
06.去掉“激活默认响应规则”选项的勾
07.点击“下一步”按钮
08.点击“完成”按钮
09.去掉右导”选项的勾
10.现在先开始添止所有机器访问服务器,点击“添加”按钮
11.点击“添加”按钮
12.设置ip筛选器的名称,例如设置为“禁止所有机器访问服务器”,使用其它名称也可以
13.点击“添加”按钮
14.如果该服务器不打算上网,则可以将“源地址”设置为“任何
ip
地址”。如果需要上网,建议设置为“一个特定的
ip
子网”,并设置ip地址为与该服务器ip地址相同的网段,例如服务器ip地址是192.168.1.10,则可以设置为192.168.1.0,也就是前面3个数字是相同的,后面最后一位填1即可,并设置子网掩码,这个设置和服务器子网掩码一致即可(具体请自行查看服务器的子网掩码),如果局域网都是在192.168.1.*的范围,则直接设置为255.255.255.0即可
15.将“目标地址”设置为“我的
ip
地址”
16.点击“确定”按钮
17.点击“确定”按钮
18.选择刚创建的ip筛选器(即12步中设置的名称)
19.切换到“筛选器操作”选项页
20.去掉“使用添加向导”选项的勾
21.点击“添加”按钮
22.选择“阻止”选项
23.切换到“常规”选项页
24.设置筛选器操作名称,建议设置为“禁止”或“阻止”,使用其它名称也可以
25.点击“确定”按钮
26.选择刚创建的筛选器操作(即24步设置的名称)
27.点击“应用”按钮
28.点击“确定”按钮
29.现在开始添加允许访问该服务器的机器,点击“添加”按钮
30.点击“添加”按钮
31.设置ip筛选器名称,建议设置为“允许访问的机器”,使用其它名称也可以
32.点击“添加”按钮
33.将“源地址”设置为“一个特定的
ip
地址”,并设置下方的ip地址为允许访问该服务器的ip中的一个(每次只能添加一个,所以需要慢慢添加)
34.设置“目标地址”为“我的
ip
地址”
35.点击“确定”按钮
36.重复32至35步将要允许访问该服务器的ip全部添加
37.点击“确定”按钮
38.选择刚创建的“ip
筛选器”(即31步设置的名称)
39.切换到“筛选器操作”选项页
40.选择“许可”选项
41.点击“应用”按钮
42.点击“确定”按钮
43.点击“确定”按钮
44.使用鼠标右键单击刚创建的ip策略(即第4步设置的名称),并选择“指派”即可
45.以后需要添加、修改、删除允许访问的ip时,可以编辑该ip策略的ip筛选器进行设置
注意:需要注意的是并非设置了ip策略后就能100%保证其它机器无法访问服务器,因为如果他人知道您允许哪个ip访问该服务器,对方可以修改自己的ip地址,以获得访问权限ip,这样您的策略就失效了。因此您可能还需要在服务器上绑定允许访问该服务器的ip地址的mac地址(可以使用arp
-s命令来绑定),并在路由器中对这些ip绑定mac地址。不过对方也可以修改mac地址来获取访问权限,因此使用ip安全策略并非绝对安全。
如何设置Windows服务器安全设置
一、取消文件夹隐藏共享在默认状态下,Windows 2000/XP会开启所有分区的隐藏共享,从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”,就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”,系统就会询问用户名和密码,遗憾的是,大多数个人用户系统Administrator的密码都为空,入侵者可以轻易看到C盘的内容,这就给网络安全带来了极大的隐患。
怎么来消除默认共享呢?方法很简单,打开注册表编辑器,进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”,新建一个名为“AutoShareWKs”的双字节值,并将其值设为“0”,然后重新启动电脑,这样共享就取消了。关闭“文件和打印共享”文件和打印共享应该是一个非常有用的功能,但在不需要它的时候,也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下,我们可以将它关闭。用鼠标右击“网络邻居”,选择“属性”,然后单击“文件和打印共享”按钮,将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。二、禁止建立空连接打开注册表编辑器,进入“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa”,将DWORD值“RestrictAnonymous”的键值改为“1”即可。三、删掉不必要的.协议对于服务器来说,只安装TCP/IP协议就够了。鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”,卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源,对于不需要提供文件和打印共享的主机,还可以将绑定在TCP/IP协议的NETBIOS关闭,避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”,进入“高级TCP/IP设置”对话框,选择“WINS”标签,勾选“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS。四、禁用不必要的服务:Automatic Updates(自动更新下载)Computer BrowserDHCP ClientDNS ClientMessengerPrint SpoolerRemote Registry(远程修改注册表)Server(文件共享)Task Scheduler(计划任务)TCP/IP NetBIOS HelperThemes(桌面主题)Windows AudioWindows TimeWorkstation五、更换管理员帐户
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码,所以我们要重新配置Administrator帐号。
首先是为Administrator帐户设置一个强大复杂的密码(个人建议至少12位),然后我们重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性六、把Guest及其它不用的账号禁用有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具,那还是禁止的好。打开控制面板,双击“用户和密码”,单击“高级”选项卡,再单击“高级”按钮,弹出本地用户和组窗口。在Guest账号上面点击右键,选择属性,在“常规”页中选中“账户已停用”。另外,将Administrator账号改名可以防止黑客知道自己的管理员账号,这会在很大程度上保证计算机安全。七、防范木马程序
木马程序会窃取所植入电脑中的有用信息,因此我们也要防止被黑客植入木马程序,常用的办法有:
● 在下载文件时先放到自己新建的文件夹里,再用杀毒软件来检测,起到提前预防的作用。
● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目,如果有,删除即可。
● 将注册表里 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的所有以“Run”为前缀的可疑程序全部删除即可。八、如果开放了Web服务,还需要对IIS服务进行安全配置:
(1) 更改Web服务主目录。右键单击“默认Web站点→属性→主目录→本地路径”,将“本地路径”指向其他目录。
(2) 删除原默认安装的Inetpub目录。(或者更改文件名)
(3) 删除以下虚拟目录: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。九、打开审核策略Windows默认安装没有打开任何安全审核,所以需要进入[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[审核策略]中打开相应的审核。系统提供了九类可以审核的事件,对于每一类都可以指明是审核成功事件、失败事件,还是两者都审核策略更改:成功或失败登录事件:成功和失败对象访问:失败事件过程追踪:根据需要选用目录服务访问:失败事件特权使用:失败事件系统事件:成功和失败账户登录事件:成功和失败账户管理:成功和失败十、安装必要的安全软件
我们还应在电脑中安装并使用必要的防黑软件,杀毒软件和防火墙都是必备的。在上网时打开它们,这样即便有黑客进攻我们的安全也是有保证的。当然我们也不应安装一些没必要的软件,比如:QQ一些聊天工具,这样尽可能给黑客提供少的后门.最后建议大家给自己的系统打上补丁,微软那些没完没了的补丁还是很有用的。