单元8 Windows Server操作系统安全设置

单元8WindowsServer操作系统安全设置《网络安全技术》课程授课人：______授课班级：______课程目录CONTENTS网络安全防护体系系列课程01账户安全管理详解账户生命周期管理、弱口令治理及权限分离原则，构建第一道身份认证防线。02账户安全策略深入解析组策略、域控策略配置，实现账户锁定、密码策略与审计日志的统一管控。03防火墙基础理论剖析防火墙核心工作原理，理解包过滤、状态检测与应用层代理的技术逻辑与演进。04防火墙分类与体系对比硬件防火墙与软件防火墙的差异，掌握边界防护与纵深防御体系的架构设计。05WindowsDefender防火墙详解Windows内置防火墙的高级设置，包括入站/出站规则、连接安全规则的配置要点。06配置实验实战演练规则配置与排错，掌握安全策略落地。07单元小结回顾核心知识点，梳理安全防御整体脉络。8.1WindowsServer账户概述01账户核心定义用户账户：系统中最基础的安全对象，用于验证用户身份，是用户登录系统、访问资源的唯一凭证，标识了用户的身份信息与访问权限。组账户：用于逻辑组织用户集合的容器，通过对组分配权限，可批量管理用户的访问能力，简化权限管理的复杂度，提升运维效率。02默认账户的风险系统初始的默认管理员账户“Administrator”是网络攻击者的首要探测与攻击目标。该账户拥有系统最高权限，一旦密码被暴力破解或泄露，攻击者可完全接管服务器，进行数据窃取、系统破坏或植入恶意程序，对系统安全构成毁灭性威胁。03关键安全防护建议核心策略：务必及时重命名默认的Administrator账户，避免账户名暴露。实施严格的“最小权限原则”，分级分配用户权限，避免过度授权。验证手段：坚持“用户名+高强度密码”作为核心身份验证手段，结合定期密码轮换机制，筑牢第一道安全防线。总结：WindowsServer账户管理是系统安全的基石，规范账户创建、管控默认账户、落实权限分级是保障系统安全的关键环节。8.2设置陷阱账户01.重命名管理员账户核心操作流程01-03基础配置打开本地安全策略，在“安全选项”中找到重命名策略，输入隐蔽的新账户名，避免使用Admin等敏感词汇。04-06权限迁移进入计算机管理删除原账户权限，将新账户加入Administrators组，确认策略生效，彻底隐藏真实管理入口。⚠️操作警示：操作过程中务必确保新账户已获得管理员权限，切勿删除唯一的管理员账户，以免造成系统锁定无法登录。建议操作前创建应急管理员账户备用。02.构建“诱饵”陷阱账户主动防御同名伪装欺骗创建名为“Administrator”的低权限账户，利用WindowsSID唯一性避免冲突，让攻击者误判目标。高强度密码壁垒设置20位以上包含大小写、数字及特殊符号的随机复杂密码，让暴力破解在时间和算力上不可行。Guests组权限隔离严格将陷阱账户加入Guests访客组，仅赋予最基础的访问权限，即使密码泄露也无法获取系统控制权。诱捕与溯源监控监控陷阱账户的登录日志，一旦发现异常访问，即可确认系统正在被探测，为应急响应争取时间。核心价值：通过“隐藏真实入口”与“设置虚假诱饵”的双重策略，打破攻击者的常规扫描逻辑，构建主动防御的第一道防线。8.3.1密码安全设置01.密码复杂性要求启用后密码禁止包含用户名，长度至少6字符，且必须包含大写、小写、数字、特殊符号四类字符中的至少三类组合。02.密码长度最小值建议将最小长度设置为6位及以上，增加密码的排列组合数量，有效抵御暴力破解攻击，提升基础安全门槛。03.最短使用期限限制推荐设置为3天，防止用户为了规避策略而频繁、机械地更换弱密码，确保密码具有一定的有效生命周期。04.最长使用期限强制更换通过设定密码的最长有效期（如90天），定期强制用户更新密码，可有效降低因密码长期使用泄露而导致的安全风险，是账号安全管理的核心手段。05.强制密码历史策略系统记录用户历史密码，禁止重复使用前N次（如前5次）使用过的密码，避免用户循环使用旧密码，从源头上阻断历史泄露密码的复用风险。8.3.1账户锁定策略账户锁定阈值设定允许用户输入错误密码的最大次数（例如5次）。当用户在短时间内连续登录失败次数达到该阈值时，系统将自动触发账户锁定机制，防止攻击者通过枚举方式猜测密码。账户锁定时间配置账户被锁定后的自动解锁时长（例如30分钟）。该时间需大于等于“重置账户锁定计数器时间”，确保攻击者无法通过短时间间隔的试探来规避锁定，从而有效延长攻击周期。核心防御价值有效遏制暴力破解与撞库攻击。攻击者必须等待锁定时长结束或联系管理员手动解锁，这极大地提升了攻击的时间成本和操作复杂度，显著降低了账户被攻破的风险。策略核心：通过“次数限制+时间惩罚”的双重机制，将攻击者的试探行为转化为高成本的无效操作，构建第一道有效的身份安全防线。8.3.2本地审核策略设置01.审核策略核心配置操作路径：本地安全策略→审核策略→审核登录事件。在此处可分别勾选“成功”或“失败”的审核选项，对用户的登录行为进行记录追踪。核心建议：优先审核“失败事件”，可大幅节约日志存储空间。02.安全日志容量管理操作路径：事件查看器→安全日志属性。日志文件的最大大小必须设置为64KB的整数倍，系统会按此规格自动分配存储空间。核心建议：避免设置过大日志，防止占用过多系统资源影响性能。策略总结：合理的审核策略是系统安全审计的基础，平衡日志记录的全面性与系统资源的消耗是关键原则。8.4防火墙概述核心定义与价值防火墙是位于内网与外网之间的一道安全屏障，依照预设的安全规则，允许或限制数据通过。它负责监测并过滤所有网络信息交换，屏蔽非法请求，同时实时记录通信状态，是网络安全防御体系的第一道防线。5大核心安全功能构建全方位防护体系：作为网络安全屏障，强化整体安全策略执行；监控并审计所有网络访问行为；有效隔离内网不同安全域，防止威胁扩散；同时支持VPN连接，保障远程访问的安全性。3类典型防御盲区防火墙并非万能的“银弹”：无法有效防御来自内部网络的攻击；对绕过防火墙的非网络层攻击（如USB传播）束手无策；面对全新的未知威胁（零日漏洞），因缺乏特征库支持也难以拦截。总结：防火墙是网络安全的基础架构，但需配合入侵检测系统(IDS)、防病毒软件等构建纵深防御体系。8.4防火墙规则与策略01核心匹配维度网络层(IP层)：基于源IP地址、目的IP地址以及IP协议类型（如TCP、UDP、ICMP）进行数据包的初步筛选。传输层(端口层)：细化至源端口号与目的端口号，精准识别特定服务（如HTTP:80,SSH:22）。应用层(内容层)：识别具体应用协议特征，实现对应用数据的深度包检测。02规则处理机制允许(Accept)：符合规则的数据包被允许通过防火墙，正常转发至目标地址，是最基础的放行策略。拒绝(Reject)：拦截数据包，并向发送端返回ICMP错误信息，通知连接不可达，具有交互性。丢弃(Drop)：静默丢弃数据包，不发送任何回应，隐蔽性高，能有效隐藏网络拓扑。03安全策略模式默认拒绝(DenyAll)：默认封锁所有流量，仅开放明确允许的服务端口或IP。安全性极高，适用于政务、金融等对安全要求严苛的核心网络环境。默认允许(AllowAll)：默认转发所有流量，仅屏蔽特定的危险服务或IP。灵活性强，适用于需要高开放性的办公网或互联网接入场景。策略核心：防火墙规则遵循“自上而下、匹配即停”的执行逻辑，合理规划规则顺序与默认策略是保障网络安全的关键。8.5.1防火墙按实现方式分类硬件防火墙采用ASIC专用芯片定制开发，核心架构多为固化Linux系统结合专用硬件，具备多网口并发处理能力，性能稳定且处理速度快。主流品牌：思科、华为、新华三、奇安信等。软件防火墙本质是运行在通用网关服务器上的安全程序，依赖操作系统环境，通过图形化界面进行策略配置与管理，部署灵活且成本较低。主流品牌：瑞星、360、天网防火墙等。核心能力差异硬件防火墙吞吐量极高，采用先进的状态检测机制；而软件防火墙多采用基础包过滤机制，受限于服务器性能，在高并发与防护深度上远不及硬件防火墙。总结：企业级核心网络多选用硬件防火墙保障性能与安全，软件防火墙则多用于小型网络或辅助防护场景。8.5.2防火墙按使用技术分类包过滤防火墙核心机制：工作于网络层/传输层，依据IP地址、端口号及协议类型对数据包进行静态检查与过滤。优势：规则简单透明，网络性能损耗极小，处理速度极快，部署成本低。局限：仅关注包头信息，无法防范IP地址欺骗，安全性较弱，缺乏用户认证机制。代理防火墙核心机制：工作于应用层，作为代理服务器彻底隔断内外网直接通信，由防火墙代理转发所有数据请求。优势：深入应用层检测，内容审计能力强，隐藏内部网络结构，有效防止外部探测。局限：需为每种应用定制代理服务，配置复杂繁琐；转发延迟高，网络传输速度较慢。状态检测防火墙核心机制：工作于会话层，建立并维护“连接状态表”，动态跟踪会话过程，后续数据包直接匹配状态处理。优势：结合了包过滤的高效与代理的安全，动态监测能力强，支持多种协议，处理速度与安全性兼顾。局限：维护状态表需要消耗较多系统资源，对防火墙硬件性能有一定要求，配置相对复杂。总结：技术演进从静态包过滤到动态状态检测，再到应用层深度代理，防火墙正向着更智能、更安全、更高效的方向发展。8.5.3防火墙体系结构01.包过滤路由器在路由器基础上增加数据包过滤功能，基于IP地址、端口等进行访问控制。优点是透明性好、性能高；缺点是仅工作在网络层，无法检查应用层数据，且存在单点失效风险，一旦路由器被攻破，内网直接暴露。02.双宿主主机（堡垒主机）拥有两块网卡，分别连接内网和外网，通过软件代理服务转发通信，不允许内外网直接通信。安全性较包过滤高，但主机本身是唯一屏障，若堡垒主机被攻破，攻击者可直接控制整个边界，存在单点故障。03.屏蔽主机体系结构结合包过滤路由器与堡垒主机，路由器作为第一道防线过滤规则，堡垒主机作为第二道防线提供应用层服务。这种结构实现了网络层与应用层的双重安全保护，配置得当可有效减少暴露面，提升安全性。04.屏蔽子网（DMZ非军事区）通过内外两个包过滤路由器隔离出一个独立的DMZ子网，公共服务器部署于此。内网和外网均可访问DMZ，但DMZ无法直接访问内网。彻底解决了单点失效问题，即使DMZ被攻破，内网仍受内层路由器保护，是最安全的结构。8.6WindowsDefender防火墙01.三种核心网络位置模式专用网络（Private）：可信环境适用于家庭、工作等信任网络，默认开启网络发现功能，允许设备间相互访问。公用/域网络：安全隔离与管控公用网络（Public）阻断外部主动访问，防御未知风险；域网络（Domain）由企业域控制器自动配置，用户无法手动修改，遵循统一安全策略。02.高级安全性核心策略机制双向流量管控：默认规则策略默认状态下“阻止入站、允许出站”。管理员可通过创建精细的入站/出站规则，对特定程序、端口或协议的网络通信进行精准放行或拦截。连接安全规则：IPSec加密通信利用IPSec协议实现身份验证、数据加密和完整性保护。强制网络设备间建立安全关联(SA)，防止数据在传输过程中被窃听或篡改，提升网络层安全性。核心价值：WindowsDefender防火墙不仅是边界防御，更是基于主机的、可定制的深层安全管控体系。8.7防火墙配置实验（核心步骤）01.选择网络位置定位通过系统设置进入网络属性，更改连接属性，根据环境需求精准选择“专用网络”或“公用网络”，这是防火墙策略生效的基础前提。02.启用系统防火墙核心服务打开控制面板的WindowsDefender防火墙，分别开启“专用网络”和“公用网络”的防火墙保护，构建系统第一道安全屏障。03.配置允许ICMP(Ping)入站规则新建自定义入站规则，协议类型选择ICMPv4，勾选“回显请求”，设置操作为“允许连接”，实现网络连通性测试的基础授权。04.阻断FTP协议出站访问创建基于端口的出站规则，指定协议类型为TCP，端口号21，将连接操作设置为“阻止连接”，有效禁止系统对外发起FTP传输请求。05.禁止指定程序(QQ)联网新建程序出站规则，通过路径精确选择QQ.exe应用程序，执行“阻止连接”策略，实现对特定软件网络访问的精准管控。06.配置服务器间加密通信规则创建连接安全规则，选择“服务器到服务器”模式，采用预共享密钥验证方式，确保关键服务器之间的网络数据传输过程加密可靠。单元小结账户安全屏障通过重命名默认管理员账户与创建陷阱账户，主动规避账户扫描风险。结合严格的密码策略、账户锁定策略及审核策略，构建多