單元3windows操作系統(tǒng)的網(wǎng)絡(luò)安全管理知識目標：1.掌握端口的概念2.掌握防火墻基本原理3.知道Windows遠程桌面連接素質(zhì)目標：1.樹立“筑牢網(wǎng)絡(luò)安全防線”的網(wǎng)絡(luò)強國觀2.樹擔當社會責任的歷史使命感3.培養(yǎng)法律意識目標隨著計算機網(wǎng)絡(luò)的誕生，現(xiàn)代操作系統(tǒng)也擴展出了網(wǎng)絡(luò)功能。操作系統(tǒng)的網(wǎng)絡(luò)功能為計算機提供了對外的窗口，通過這個窗口計算機可以在網(wǎng)絡(luò)中提供服務(wù)或獲得服務(wù)，比如作為網(wǎng)絡(luò)的服務(wù)端提供資源共享服務(wù)，或作為網(wǎng)絡(luò)的客戶端獲得共享資源。與此同時，這個窗口也會讓計算機在網(wǎng)絡(luò)中受到安全的威脅。因此，操作系統(tǒng)的網(wǎng)絡(luò)安全管理是操作系統(tǒng)安全的第四個維度。技能目標：1.能夠運用三方工具掃描觀測系統(tǒng)端口2.能夠配置Windows防火墻3.能夠配置遠程桌面連接并進行安全加固

1任務(wù)概述及分析目錄風險背景和行業(yè)標準2知識準備3任務(wù)實施4隨著企業(yè)的數(shù)字化轉(zhuǎn)型進程，企業(yè)的應(yīng)用程序已無處不在，定期發(fā)布全球《互聯(lián)網(wǎng)安全狀況報告》的阿卡邁公司在其發(fā)布的“2021年上半年全球互聯(lián)網(wǎng)安全趨勢研究觀察”中指出“我們現(xiàn)在面臨的網(wǎng)絡(luò)攻擊威脅是無處不在的。這些威脅來自不同的威脅方，共通點在于其布局是全球化的?！辈僮飨到y(tǒng)是企業(yè)各種應(yīng)用的基礎(chǔ)，操作系統(tǒng)除了做好賬戶、口令和授權(quán)的安全管理外，操作系統(tǒng)自身的網(wǎng)絡(luò)安全防護也是不容忽視的。3.1風險背景和行業(yè)標準在《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》中，對于所有等級所有專業(yè)的保護對象，都在“安全區(qū)域邊界”的“訪問控制”和“安全計算環(huán)境”的“入侵防范”中對操作系統(tǒng)的網(wǎng)絡(luò)管理作出了明確的最基本的要求，即：1.應(yīng)在網(wǎng)絡(luò)邊界根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認情況下除允許通信受控接口外拒絕所有通信；2.應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化；3.應(yīng)對源地址、目的地址﹑源端口,目的端口和協(xié)議等進行檢查，以允許/拒絕數(shù)據(jù)包進出；4.應(yīng)關(guān)閉不需要的高危端口。3.1風險背景和行業(yè)標準1任務(wù)概述及分析目錄風險背景和行業(yè)標準2知識準備3任務(wù)實施4某互聯(lián)網(wǎng)企業(yè)新部署了一臺Window操作系統(tǒng)的服務(wù)器，根據(jù)信息安全技術(shù)網(wǎng)絡(luò)安全等級保護的要求，已按照人員的不同角色分配了賬號，并按需求設(shè)置了賬戶權(quán)限，該服務(wù)器還需要在網(wǎng)絡(luò)上開放遠程桌面的服務(wù)以便遠程操作服務(wù)器，現(xiàn)在需要對該臺服務(wù)器操作系統(tǒng)的網(wǎng)絡(luò)實施安全配置。3.2任務(wù)概述及分析任務(wù)概述①啟用自帶防火墻或安裝第三方威脅防護軟件。根據(jù)業(yè)務(wù)需要限定允許訪問網(wǎng)絡(luò)的應(yīng)用程序，和允許遠程登錄該設(shè)備的IP地址范圍；②應(yīng)在網(wǎng)絡(luò)邊界根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認情況下除允許通信受控接口外拒絕所有通信；③應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化；④應(yīng)對源地址、目的地址﹑源端口,目的端口和協(xié)議等進行檢查，以允許/拒絕數(shù)據(jù)包進出；⑤應(yīng)關(guān)閉不需要的高危端口；⑥如對互聯(lián)網(wǎng)開放WindowsTerminial服務(wù)(RemoteDesktop，遠程桌面服務(wù))，需修改默認服務(wù)端口。3.2任務(wù)分析《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》和《電信網(wǎng)和互聯(lián)網(wǎng)安全防護基線配置要求及檢測要求》，Windows操作系統(tǒng)的網(wǎng)絡(luò)安全配置需符合如下要求：為了確保新部署的服務(wù)器能夠提供應(yīng)有的服務(wù)，并符合《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》和《電信網(wǎng)和互聯(lián)網(wǎng)安全防護基線配置要求及檢測要求》，保障操作系統(tǒng)網(wǎng)絡(luò)上的安全，需要根據(jù)服務(wù)器提供的服務(wù)明確服務(wù)器必須開放哪些網(wǎng)絡(luò)端口，借助第三方工具確認服務(wù)器已對外開放的端口，結(jié)合Windows操作系統(tǒng)的安全架構(gòu)及工具，需要啟用防火墻，通過對Windows操作系統(tǒng)的“Windows防火墻”或“IP安全策略”的設(shè)置，對非必要端口予以關(guān)閉，從而滿足要求①②③④⑤，通過“注冊表”修改遠程桌面的默認服務(wù)端口來滿足要求⑥。綜上所述，為了完成新部署的Windows服務(wù)器授權(quán)管理的安全配置，我們需要完成以下任務(wù)：任務(wù)一：確認端口開放情況任務(wù)二：Windows操作系統(tǒng)防火墻安全配置任務(wù)三：配置遠程桌面連接任務(wù)四：遠程桌面連接服務(wù)的安全加固3.2任務(wù)分析通過對虛擬機進行網(wǎng)絡(luò)安全的加固，來掌握實際生產(chǎn)中所需要的Windows操作系統(tǒng)網(wǎng)絡(luò)安全管理配置的相關(guān)技能。實驗環(huán)境3.2任務(wù)分析1任務(wù)概述及分析目錄風險背景和行業(yè)標準2知識準備3任務(wù)實施4

端口：此處的端口特指計算機網(wǎng)絡(luò)TCP/IP協(xié)議中的端口，是邏輯意義上的端口，準確的說是TCP/IP協(xié)議傳輸層的概念。在計算機網(wǎng)絡(luò)中，各主機間通過TCP/IP協(xié)議發(fā)送和接收數(shù)據(jù)包，各個數(shù)據(jù)包根據(jù)其目的主機的IP地址來選擇網(wǎng)絡(luò)路由,最終到達目的主機。當數(shù)據(jù)包到達目的主機后，操作系統(tǒng)將其交給哪個應(yīng)用程序處理，就要根據(jù)端口來確定。在TCP/IP協(xié)議中端口用兩個字節(jié)表示，那么端口的范圍就是從0到216-1，所以，通常端口由一個正整數(shù)標識，范圍就是0-65535。3.3知識準備操作系統(tǒng)的網(wǎng)絡(luò)安全管理主要是根據(jù)服務(wù)器需要提供的服務(wù)管理IP地址和端口的開放。3.3.1端口控制應(yīng)用層客戶端傳輸層IP層數(shù)據(jù)接口層httpftp…telnet傳輸層IP層數(shù)據(jù)接口層802123

端口分類：端口一般分為三大類：0-1023是公認端口（WellKnownPorts），它們都有確切的定義，緊密綁定于一些服務(wù)，對應(yīng)著互聯(lián)網(wǎng)上一些常見的服務(wù)，每一個打開的此類端口都代表一個系統(tǒng)服務(wù)，例如80端口就代表www服務(wù)。1024到49151是注冊端口（RegisteredPorts），松散地綁定于一些服務(wù)。也就是說有許多服務(wù)綁定于這些端口，當操作系統(tǒng)上端口未綁定服務(wù)或之前綁定的服務(wù)已解綁時，這些端口同樣可用于其它服務(wù)。49152-65535是動態(tài)端口（DynamicPorts），也稱私有端口（PrivatePort），理論上，不固定為服務(wù)分配這些端口。3.3知識準備3.3.1端口控制

常見端口：80端口用于http服務(wù)，21端口用于文件傳輸ftp服務(wù)，23端口用于遠程登錄服務(wù)telnet，25端口用于郵件服務(wù)smtp，1433、1434用于SQLServer服務(wù)，1521用于Oracle數(shù)據(jù)庫服務(wù)，3306用于MySQL數(shù)據(jù)庫服務(wù)等。

因此，端口是計算機與外界通訊的渠道，它們就像一道道門一樣控制著數(shù)據(jù)與指令的傳輸。那么入侵者也通常會根據(jù)主機對外開放的端口情況，知道目標主機大致提供了哪些服務(wù)，進而猜測可能存在的漏洞。3.3知識準備3.3.1端口控制

端口控制：黑客入侵系統(tǒng)，一般會在掌握系統(tǒng)網(wǎng)絡(luò)情況后，對系統(tǒng)進行掃描獲取系統(tǒng)開放的端口信息，進而尋找潛在的系統(tǒng)漏洞。相對的，作為系統(tǒng)管理員，就需要根據(jù)各機器上需要提供的服務(wù)的實際情況，精準確定每臺服務(wù)器必須對外開放的TCP、UDP端口，針對TCP/IP協(xié)議進行嚴格的端口控制。Windows操作系統(tǒng)自帶命令Netstat可用于查看端口信息，也可以使用工具軟件全量掃描計算機開放的端口情況，或使用telnet工具探測高危端口的開放情況，從而做好安全防范。3.3知識準備3.3.1端口控制

防火墻指的是設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件組合，防火墻可以通過檢測、限制、更改穿過防火墻的數(shù)據(jù)流、從而盡可能地對外部訪問內(nèi)部的流量進行控制,實現(xiàn)網(wǎng)絡(luò)的安全保護?？梢杂晒芾韱T設(shè)置防火墻的安全策略，只有符合安全策略的數(shù)據(jù)流才能通過防火墻，使符合規(guī)則的通信不受影響，而不符合規(guī)則的通信被阻擋。3.3知識準備3.3.2防火墻的基本原理

從防火墻的軟硬件形式來分,防火墻可以分為軟件防火墻和硬件防火墻。最初的防火墻與平時所看到的交換機設(shè)備一樣,都屬于硬件產(chǎn)品。目前,網(wǎng)絡(luò)設(shè)備廠商華為、華三等都有自己的防火墻設(shè)備。隨著防火墻應(yīng)用的逐步普及和計算機軟件技術(shù)的發(fā)展,為了滿足不同層次用戶對防火墻技術(shù)的需求,很多網(wǎng)絡(luò)安全軟件廠商開發(fā)出了基于純軟件的防火墻。該類型防火墻主要安裝在主機中,只對一臺主機進行防護，而不對整個網(wǎng)絡(luò)進行防護。Windows防火墻是一種有狀態(tài)的軟件防火墻，會檢查和篩選所有TCP/IP通信連接，設(shè)置規(guī)則后，只有允許的通信才能進入系統(tǒng)，其余通信將被丟棄，從而保護系統(tǒng)的安全。3.3知識準備3.3.2防火墻的基本原理

IP安全策略用于配置IPsec安全服務(wù)。這些策略能為大多數(shù)現(xiàn)有網(wǎng)絡(luò)中的大多數(shù)業(yè)務(wù)類型提供不同級別的保護。它將通信內(nèi)容與設(shè)定好的規(guī)則進行比較以判斷流量是否與預期相吻合，然后決定是允許還是拒絕通信的傳輸，它彌補了傳統(tǒng)TCP/IP設(shè)計上的“隨意信任”安全隱患，可以實現(xiàn)更仔細更精確的TCP/IP安全。Windows操作系統(tǒng)在“本地安全策略”控制臺可以創(chuàng)建IP安全策略，通過匹配源目的地址、源目的端口及篩選操作，完成IP安全策略的配置，那么配置好的IP安全策略集合就相當于一個免費但功能完善的個人防火墻。3.3知識準備3.3.3IP安全策略

遠程桌面服務(wù)可以加速桌面和應(yīng)用程序部署并將其擴展到任何設(shè)備，從而提高遠程工作人員的效率。遠程桌面服務(wù)使用戶能夠連接到虛擬桌面、RemoteApp程序和基于會話的桌面，允許用戶在任何地方都可以操作Windows操作系統(tǒng)。3.3知識準備3.3.4Windows遠程桌面服務(wù)1任務(wù)概述及分析目錄風險背景和行業(yè)標準2知識準備3任務(wù)實施4任務(wù)實施

為了對新部署的window操作系統(tǒng)的服務(wù)器實施網(wǎng)絡(luò)安全管理配置，應(yīng)嚴格設(shè)置訪問控制策略。那么，首先需要掌握服務(wù)器對外開放端口的情況，根據(jù)服務(wù)器提供的服務(wù)明確服務(wù)器必須開放的網(wǎng)絡(luò)端口以及允許訪問的IP地址范圍。然后，Windows操作系統(tǒng)需要開啟防火墻，通過“Windows防火墻”或“IP安全策略”對通信策略進行配置。為了滿足企業(yè)遠程連接服務(wù)器的需求，需要為服務(wù)器啟用遠程桌面服務(wù)并對遠程桌面服務(wù)進行安全加固。需要完成以下任務(wù)：任務(wù)一：確認端口開放情況任務(wù)二：Windows操作系統(tǒng)防火墻安全配置任務(wù)三：配置遠程桌面連接任務(wù)四：遠程桌面連接服務(wù)的安全加固①啟用自帶防火墻或安裝第三方威脅防護軟件。根據(jù)業(yè)務(wù)需要限定允許訪問網(wǎng)絡(luò)的應(yīng)用程序，和允許遠程登錄該設(shè)備的IP地址范圍；②應(yīng)在網(wǎng)絡(luò)邊界根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認情況下除允許通信受控接口外拒絕所有通信；③應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化；④應(yīng)對源地址、目的地址﹑源端口,目的端口和協(xié)議等進行檢查，以允許/拒絕數(shù)據(jù)包進出；⑤應(yīng)關(guān)閉不需要的高危端口；⑥如對互聯(lián)網(wǎng)開放WindowsTerminial服務(wù)(RemoteDesktop，遠程桌面服務(wù))，需修改默認服務(wù)端口。3.2任務(wù)分析《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》和《電信網(wǎng)和互聯(lián)網(wǎng)安全防護基線配置要求及檢測要求》，Windows操作系統(tǒng)的網(wǎng)絡(luò)安全配置需符合如下要求：任務(wù)實施任務(wù)3-1：確認端口開放情況

為了明確訪問服務(wù)器的源地址、目的地址﹑源端口,目的端口和協(xié)議，并應(yīng)關(guān)閉不需要的高危端口，需要先摸清服務(wù)器本身對外開放了哪些端口，這里我們使用Nmap端口掃描工具來掌握服務(wù)器對外開放的端口情況，并用Windows自帶的telnet客戶端來確認端口狀態(tài)，最后分析確定服務(wù)器必須開放的端口以及非必要端口。截圖要求：（啟用共享服務(wù)虛擬機端口結(jié)果、新虛擬機端口結(jié)果、telnet結(jié)果）任務(wù)實施任務(wù)3-1：確認端口開放情況1.在客戶端使用Nmap掌握服務(wù)器端口整體開放情況

打開Nmap掃描窗口后，在“目標”文本框內(nèi)輸入目標主機的地址，本例為某互聯(lián)網(wǎng)企業(yè)新部署的Window操作系統(tǒng)的服務(wù)器，IP地址為“192.班級.學號.100”，輸入完成后，單擊右側(cè)“掃描”按鈕，Nmap工具開始掃描，掃描結(jié)束后會在中間報告區(qū)形成掃描報告，在掃描報告中可以看到目標主機對外開放的端口情況，如圖3-3所示，可以看到服務(wù)器對外開放了135、139、445、49154、49155五個tcp端口。任務(wù)實施任務(wù)3-1：確認端口開放情況2.通過Window10客戶端自帶的telnet工具確認個別端口開放狀態(tài)在整體掌握服務(wù)器端口開放狀態(tài)的情況下，想探測個別端口的開放狀態(tài)，可以使用Windows自帶的telnet工具。(1)啟用telnet客戶端。在客戶端計算機的“開始”菜單搜索“控制面板”，雙擊圖標打開“控制面板”，在“控制面板-程序-程序和功能”路徑下，單擊“啟用或關(guān)閉Windows功能”，如圖3-4所示。在“Windows功能”窗口找到“TelnetClient”并勾選其前面復選框，然后單擊“確定”按鈕，完成“TelnetClient”功能啟用。任務(wù)實施任務(wù)3-1：確認端口開放情況2.通過Window10客戶端自帶的telnet工具確認個別端口開放狀態(tài)(2)在“命令提示符”窗口按照“telnet目標IP地址端口號”指令格式，輸入指令“telnet192.班級.學號.100135”，然后按“回車”鍵。

若目標主機開放135端口，則會進入客戶端與目標主機端口的連接界面，按“ctrl+]”鍵，即進入命令交互界面，如圖所示。在該界面可通過指令給目標主機發(fā)送數(shù)據(jù)包，那么若該端口存在漏洞，入侵者可通過這個方式攻擊主機，所以不是必須對外開放的端口，一定要予以關(guān)閉。任務(wù)實施任務(wù)3-1：確認端口開放情況2.通過Window10客戶端自帶的telnet工具確認個別端口開放狀態(tài)

若端口未開放，比如連接服務(wù)器的136端口，那么則會顯示“在端口XX：連接失敗”。如圖所示。任務(wù)實施任務(wù)3-1：確認端口開放情況3.

分析確定服務(wù)器必須開放的端口通過上述第1、2步的方法，可以掌握服務(wù)器的端口開放情況，服務(wù)器基于TCP/IP協(xié)議對外提供服務(wù)，就必須對外開放端口，如當前任務(wù)服務(wù)器目前對外提供的服務(wù)是文件共享服務(wù)，從Nmap報告中，我們得知Windows操作系統(tǒng)在網(wǎng)絡(luò)上對外開放了135、139、445、49154、49155五個端口。為了做對比，我們用Nmap工具掃描另一臺新安裝的虛擬機服務(wù)器，未提供任何服務(wù)，Nmap掃描報告如圖所示。任務(wù)實施任務(wù)3-1：確認端口開放情況3.

分析確定服務(wù)器必須開放的端口5個端口是當我們開放文件共享服務(wù)時，Windows操作系統(tǒng)開放的。其實，在我們按照向?qū)渲梦募蚕矸?wù)時，Windows操作系統(tǒng)給出過提示任務(wù)實施任務(wù)3-1：重要訪問控制限制3.

分析確定服務(wù)器必須開放的端口這5個端口是否都必須開放？文件共享服務(wù)是基于SMB（ServerMessageBlock）協(xié)議的。在WindowsNT中SMB運行于NBT（NetBIOSoverTCP/IP）之上，要使用137，139（UDP），139（TCP）端口；在win2000級以上版本中，SMB可以直接運行在TCP/IP協(xié)議上，而沒有額外的NBT層，則使用TCP445端口。我們的服務(wù)器安裝的是Window2012R2操作系統(tǒng)，所以僅需開放445端口。任務(wù)實施任務(wù)3-1：確認端口開放情況3.

分析確定服務(wù)器必須開放的端口這5個端口是否都必須開放？135端口主要用于RPC（RemoteProcedureCall，遠程過程調(diào)用）協(xié)議為DCOM（分布式組件對象模型）提供服務(wù)。DCOM技術(shù)與對方計算機進行通信時，會自動調(diào)用目標主機中的RPC服務(wù)，而RPC服務(wù)將自動詢問目標主機中的135端口，當前有哪些端口可以被用來通信。135端口會被入侵者利用在遠程電腦中寫入惡意代碼，還有些DOS攻擊直接針對這個端口，這個端口的危險極大，一定要在非常確定的情況下開放這個端口，即使開放也應(yīng)該對源端和目的端的地址和端口做出嚴格的限制。本任務(wù)中，135端口不是文件共享服務(wù)必須使用的端口，應(yīng)予以關(guān)閉。任務(wù)實施任務(wù)3-1：確認端口開放情況3.

分析確定服務(wù)器必須開放的端口這5個端口是否都必須開放？49154和49155是動態(tài)端口，也不是文件共享服務(wù)必須使用的端口，按照端口控制的原則，也應(yīng)該予以關(guān)閉。綜上，在這臺裝有Windows2012R2的服務(wù)器上，通過Nmap掃描共135、139、445、49154、49155五個tcp端口對外開放，根據(jù)服務(wù)器目前僅對外提供文件共享服務(wù)，僅445端口為必須開放端口，其余四個端口均應(yīng)關(guān)閉。任務(wù)實施任務(wù)3-2：Windows操作系統(tǒng)防火墻安全配置

根據(jù)任務(wù)3-1分析的端口開放結(jié)論，應(yīng)關(guān)閉135、139、49154、49155四個端口，根據(jù)共享文件提供共享服務(wù)的范圍，僅允許客戶端192.班級.學號.1訪問該服務(wù)器的共享文件服務(wù)，其他主機不能使用。需要先啟用Windows防火墻，然后通過Windows防火墻的配置關(guān)閉端口、限制IP。截圖要求：1.啟用防火墻2.防火墻默認規(guī)則3.Nmap掃描只有445端口開放（參考任務(wù)3-1）4.

192.班級.學號.1ip地址主機可正常訪問共享服務(wù)，其他主機不能訪問服務(wù)器的共享服務(wù)任務(wù)實施任務(wù)3-2：Windows操作系統(tǒng)防火墻安全配置

1.啟用Windows防火墻在“控制面板-系統(tǒng)和安全-Windows防火墻”路徑下，單擊左側(cè)列表中的“啟用或關(guān)閉Windows防火墻”在彈出的“自定義設(shè)置”界面，分別在“專用網(wǎng)絡(luò)設(shè)置”區(qū)域和“公用網(wǎng)絡(luò)設(shè)置”區(qū)域，選擇“啟用Windows防火墻”單選按鈕，如圖所示。

任務(wù)實施任務(wù)3-2：Windows操作系統(tǒng)防火墻安全配置2.設(shè)置默認規(guī)則（1）在如圖3-8的“Windows防火墻”界面，單擊左側(cè)列表的“高級設(shè)置”，在彈出的“高級安全Windows防火墻”管理工具界面，左側(cè)選中“本地計算機上的高級安全Windows防火墻”，在界面的中間部分，單擊“Windows防火墻屬性”（2）在彈出的“高級安全Windows防火墻-本地計算機屬性”對話框中，“防火墻狀態(tài)”選擇“啟用（推薦）”，“入站連接”選擇“阻止（默認值）”，“出站連接”選擇“允許（默認值）”，如圖所示。任務(wù)實施任務(wù)3-2：Windows操作系統(tǒng)防火墻安全配置3.關(guān)閉非必要端口(1)在“高級安全Windows防火墻”管理工具界面，先單擊左側(cè)窗格中的“入站規(guī)則”，然后在右側(cè)“操作”窗格內(nèi)單擊“新建規(guī)則”。任務(wù)實施任務(wù)3-2：Windows操作系統(tǒng)防火墻安全配置3.關(guān)閉非必要端口（2）在彈出的“新建入站規(guī)則向?qū)?規(guī)則類型”對話框中，選擇“端口”單選按鈕（3）在彈出的“新建入站規(guī)則向?qū)?協(xié)議和端口”對話框中，選擇“TCP”單選按鈕，在下面選擇“特定本地端口”單選按鈕，并依照本任務(wù)前述分析，在后面的文本框中填寫“135,139,49154,49155”，如圖所示。單擊“下一步”按鈕。任務(wù)實施任務(wù)3-2：Windows操作系統(tǒng)防火墻安全配置3.關(guān)閉非必要端口（4）在彈出的“新建入站規(guī)則向?qū)?操作”對話框中，選擇“阻止連接”單選按鈕（5）在彈出的“新建入站規(guī)則向?qū)?配置文件”對話框中，選擇“域”“專用”“公用”復選框，單擊“下一步”按鈕。任務(wù)實施任務(wù)3-2：Windows操作系統(tǒng)防火墻安全配置3.關(guān)閉非必要端口（6）在彈出的“新建入站規(guī)則向?qū)?名稱”對話框中，在“名稱”下面的文本框中輸入一個名稱，主要是為了標記，在“描述”下面的文本框中可以描述本次阻止端口的目的等內(nèi)容，也可以不填寫，如圖所示。單擊“完成”按鈕，完成135,139,49154,49155四個tcp端口的關(guān)閉。（7）測試文件共享服務(wù)可以正常使用?？梢詤⒄杖蝿?wù)2-2的方法用saleT賬戶可以成功連接共享文件服務(wù)器，并可以做上傳、下載、編輯、刪除等操作。用任務(wù)3-1學習的telnet工具在客戶端連接135,139,49154,49155四個端口會提示“連接失敗”。任務(wù)實施任務(wù)3-2：Windows操作系統(tǒng)防火墻安全配置4.限定訪問IP

根據(jù)業(yè)務(wù)需求，僅允許192.班級.學號.1地址訪問文件共享服務(wù)，即訪問445端口，以下提供兩種方法進行限制。方法一：在系統(tǒng)生成的規(guī)則中配置。

在系統(tǒng)開啟文件共享服務(wù)時，便在防火墻上增加了允許訪問135、139、445、49154、19155的規(guī)則，除445端口外，其他端口已關(guān)閉，需要在開放445端口的相應(yīng)規(guī)則中增加IP地址限制。任務(wù)實施任務(wù)3-2：Windows操作系統(tǒng)防火墻安全配置4.限定訪問IP方法一：在系統(tǒng)生成的規(guī)則中配置。（1）在“高級安全Windows防火墻”-“入站規(guī)則”列表中，生效的規(guī)則前有

圖標，如圖所示，單擊“本地端口”欄，可以讓規(guī)則按照端口排序，在入站規(guī)則中招到445端口對應(yīng)的生效的規(guī)則，名稱為“文件服務(wù)器遠程管理（SMB-In）”和“文件和打印機共享（SMB-In）”。任務(wù)實施任務(wù)3-2：Windows操作系統(tǒng)防火墻安全配置4.限定訪問IP方法一：在系統(tǒng)生成的規(guī)則中配置。（2）雙擊“文件服務(wù)器遠程管理（SMB-In）”規(guī)則名稱，在彈出的“文件服務(wù)器遠程管理（SMB-In）屬性”對話框中，選擇“作用域”選項卡，在“遠程IP地址”區(qū)域選擇“下列IP地址”單選按鈕，單擊“添加”按鈕任務(wù)實施任務(wù)3-2：Windows操作系統(tǒng)防火墻安全配置4.限定訪問IP方法一：在系統(tǒng)生成的規(guī)則中配置。（3）在彈出的“IP地址”對話框中，選擇“此IP地址或子網(wǎng)”單選按鈕，在下面的文本框中設(shè)置IP地址或子網(wǎng)，如“192.班級.學號.1”，如圖所示，如果是設(shè)置某個IP地址范圍，則選擇“此IP地址范圍”單選按鈕。設(shè)置完成后，單擊“確定”按鈕，然后在設(shè)置了“遠程IP地址”的“文件服務(wù)器遠程管理（SMB-In）屬性”對話框中，依次單擊“應(yīng)用”按鈕和“確定”按鈕。

按照同樣的步驟，設(shè)置“文件和打印機共享（SMB-In）”規(guī)則中的“遠程IP地址”為“192.班級.學號.1”。任務(wù)實施任務(wù)3-2：Windows操作系統(tǒng)防火墻安全配置4.限定訪問IP方法一：在系統(tǒng)生成的規(guī)則中配置。（4）驗證?？蛻舳耍↖P地址為）可以正常連接服務(wù)器并使用共享文件服務(wù)，而另一臺對照服務(wù)器（IP地址為36）連接服務(wù)器，顯示“網(wǎng)絡(luò)錯誤”，如圖3-21所示。任務(wù)實施任務(wù)3-2：Windows操作系統(tǒng)防火墻安全配置4.限定訪問IP方法二：新建445端口規(guī)則，禁用系統(tǒng)添加的445端口規(guī)則（1）按照“3.關(guān)閉非必要端口”的第（1）步，新建“入站規(guī)則”，在彈出的“新建入站規(guī)則向?qū)?規(guī)則類型”對話框中，選擇“自定義”單選按鈕，然后，單擊“下一步”按鈕。（2）在彈出的“新建入站規(guī)則向?qū)?程序”對話框中，選擇“所有程序”單選按鈕，單擊“下一步”按鈕。任務(wù)實施任務(wù)3-2：Windows操作系統(tǒng)防火墻安全配置4.限定訪問IP方法二：新建445端口規(guī)則，禁用系統(tǒng)添加的445端口規(guī)則（3）在彈出的“新建入站規(guī)則向?qū)?協(xié)議和端口”對話框中，“協(xié)議類型”選擇“TCP”,“本地端口”選擇“特定端口”，在下方文本框中輸入“445”，“遠程端口”選擇“所有端口”，單擊“下一步”按鈕，如圖所示。任務(wù)實施任務(wù)3-2：Windows操作系統(tǒng)防火墻安全配置4.限定訪問IP方法二：新建445端口規(guī)則，禁用系統(tǒng)添加的445端口規(guī)則（4）在彈出的“新建入站規(guī)則向?qū)?作用域”對話框中，在“此規(guī)則應(yīng)用于哪些本地IP地址？”下面選擇“任何IP地址”單選按鈕，在“此規(guī)則應(yīng)用于哪些遠程IP地址？”下面，選擇“下列IP地址”單選按鈕，然后單擊“添加”按鈕任務(wù)實施任務(wù)3-2：Windows操作系統(tǒng)防火墻安全配置4.限定訪問IP方法二：新建445端口規(guī)則，禁用系統(tǒng)添加的445端口規(guī)則（5）在彈出的“IP地址”對話框中，選擇“此IP地址或子網(wǎng)”單選按鈕，在下面的文本框中輸入“192.班級.學號.1”后單擊“確定”按鈕，然后在設(shè)置了“遠程IP地址”的“新建入站規(guī)則向?qū)?作用域”對話框中，單擊“下一步”按鈕。任務(wù)實施任務(wù)3-2：Windows操作系統(tǒng)防火墻安全配置4.限定訪問IP方法二：新建445端口規(guī)則，禁用系統(tǒng)添加的445端口規(guī)則（6）在彈出的“新建入站規(guī)則向?qū)?操作”對話框中，選擇“允許連接”單選按鈕任務(wù)實施任務(wù)3-2：Windows操作系統(tǒng)防火墻安全配置4.限定訪問IP方法二：新建445端口規(guī)則，禁用系統(tǒng)添加的445端口規(guī)則（7）后面的步驟同“3.關(guān)閉非必要端口”的（5）-（6）步。在“新建入站規(guī)則向?qū)?配置文件”對話框中，選擇“域”“專用”“公用”復選框。在“新建入站規(guī)則向?qū)?名稱”對話框中，設(shè)置“名稱”及“描述”。單擊“完成”按鈕，完成445端口新建規(guī)則的設(shè)置。（8）在“高級安全Windows防火墻”-“入站規(guī)則”列表中，如下圖。依次右鍵單擊規(guī)則“文件服務(wù)器遠程管理（SMB-In）”和規(guī)則“文件和打印機共享（SMB-In）”，在彈出的菜單中，選擇“禁用規(guī)則”，規(guī)則前的圖標顯示為灰色則表示禁用成功。（9）驗證?？蛻舳耍↖P地址為192.班級.學號.1）可以正常連接服務(wù)器并使用共享文件服務(wù)，而另一臺對照服務(wù)器（IP地址為192.班級.學號.101）連接服務(wù)器，顯示“網(wǎng)絡(luò)錯誤”任務(wù)實施任務(wù)3-3：配置遠程桌面連接為了滿足遠程連接服務(wù)器的需求，需要為服務(wù)器啟用遠程桌面服務(wù)。截圖要求：可遠程登錄任務(wù)實施任務(wù)3-3：配置遠程桌面連接1.啟用遠程桌面連接(1)在“控制面板-系統(tǒng)和安全-系統(tǒng)”路徑下，單擊“高級系統(tǒng)設(shè)置”。（2）在彈出的“系統(tǒng)屬性”對話框中，選擇“遠程”選項卡，在“遠程桌面”區(qū)域，選擇“允許遠程連接到此計算機”單選按鈕，勾選“僅允許運行使用網(wǎng)絡(luò)級別身份驗證的遠程桌面的計算機連接”復選框，會彈出“遠程桌面連接”的告知框（這意味著Windows防火墻啟用了新規(guī)則），如圖所示，單擊“確定”按鈕。然后依次單擊“系統(tǒng)屬性”對話框中的“應(yīng)用”按鈕和“確定”按鈕。完成遠程桌面連接服務(wù)啟用。任務(wù)實施任務(wù)3-3：配置遠程桌面連接2.驗證遠程桌面連接(1)按“WIN+R”鍵打開“運行”對話框，在文本框中輸入“mstsc”，如圖所示，然后單擊“確定”按鈕。(2)在彈出的“遠程桌面連接”對話框中，單擊“顯示選項”任務(wù)實施任務(wù)3-3：配置遠程桌面連接2.驗證遠程桌面連接(3)在彈出的“遠程桌面連接-選項”對話框中，選擇“常規(guī)”選項卡，在“計算機”文本框中輸入要連接服務(wù)器的IP地址，本例為“192.姓名.學號.100”，在“用戶名”文本框中輸入用戶名，可輸入管理員賬戶名，然后單擊“連接”按鈕。任務(wù)實施任務(wù)3-3：配置遠程桌面連接2.驗證遠程桌面連接（4）在彈出的“遠程桌面連接-提示”對話框中，單擊“連接”按鈕，如圖所示，然后在彈出的“Windows安全中心-輸入你的憑據(jù)”對話框中，輸入登錄賬戶的密碼，然后單擊“確定”按鈕。任務(wù)實施任務(wù)3-3：配置遠程桌面連接2.驗證遠程桌面連接（5）在接下來彈出的“遠程桌面連接-提示”對話框中，單擊“是”按鈕，如圖所示，然后就連接到了服務(wù)器的遠程桌面，如圖所示，通過遠程桌面就可以實現(xiàn)遠程對服務(wù)器的操作。任務(wù)實施任務(wù)3-4遠程桌面連接服務(wù)的安全加固

服務(wù)器啟用新的服務(wù)后，系統(tǒng)便發(fā)生了變化，需要針對遠程桌面連接服務(wù)對操作系統(tǒng)進行安全加固。

首先，從賬戶權(quán)限的維度授予需要遠程登錄的用戶權(quán)限，收回不需要登錄的用戶權(quán)限，對于本任務(wù)的服務(wù)器而言，根據(jù)公司的權(quán)責劃分，僅“運維部”員工，即operators組的用戶賬戶及管理員組的管理員賬戶可以有遠程桌面連接的權(quán)限；其次，啟用遠程桌面連接服務(wù)后，系統(tǒng)自動開放了遠程桌面連接服務(wù)的默認端口3389服務(wù)端口，為了避免被黑客爆破或者占用連接的情況，需要修改該默認端口；最后，根據(jù)公司管理規(guī)定，僅允許通過辦公區(qū)客戶端遠程連接服務(wù)器，即僅允許客戶端192.班級.學號.1遠程連接服務(wù)器。

因此，以下從限制遠程登錄用戶、修改默認服務(wù)端口、限制訪問網(wǎng)絡(luò)三個方面對遠程桌面連接進行加固。任務(wù)實施任務(wù)3-4遠程桌面連接服務(wù)的安全加固截圖要求：1.用nmap或telnet確認系統(tǒng)新增開放了3389端口（參考任務(wù)3-1）2.非授權(quán)用戶使用遠程桌面服務(wù)被拒絕3.授權(quán)用戶通過新端口可通過遠程桌面服務(wù)成功訪問服務(wù)器任務(wù)實施任務(wù)3-4遠程桌面連接服務(wù)的安全加固1.限制遠程登錄用戶（1）要讓用戶具備使用遠程桌面服務(wù)的權(quán)限，首先要確定該用戶的賬戶或所在組賬戶已添加在“本地安全策略-本地策略-從網(wǎng)絡(luò)訪問此計算機”的策略項中，如圖所示。任務(wù)實施任務(wù)3-4遠程桌面連接服務(wù)的安全加固1.限制遠程登錄用戶（2）“本地安全策略-本地策略-用戶權(quán)限分配”中的“允許通過遠程桌面服務(wù)登錄”策略控制遠程桌面服務(wù)權(quán)限。雙擊該策略項，在彈出的“允許通過遠程桌面服務(wù)登錄屬性”窗口中，可以看到具備通過遠程桌面服務(wù)登錄系統(tǒng)用戶權(quán)限的組賬戶有“Administrators”和“RemoteDesktopUsers”，如圖所示。直接在此處添加用戶無效。要設(shè)置賬戶具有通過遠程桌面服務(wù)登錄系統(tǒng)的權(quán)限可以有兩種方法：①在“計算機管理-本地用戶和組”中的“Administrators”和“RemoteDesktopUsers”兩個組賬戶中添加和刪除用戶賬戶；②在“控制面板-系統(tǒng)”管理工具中設(shè)置。任務(wù)實施任務(wù)3-4遠程桌面連接服務(wù)的安全加固1.限制遠程登錄用戶默認情況下，本地管理員賬戶具備通過遠程服務(wù)登錄系統(tǒng)的權(quán)限，按照任務(wù)要求，我們還需要將“運維部”員工，即operators組賬戶中的用戶賬戶設(shè)置具備遠程登錄系統(tǒng)的權(quán)限。方法一：在“RemoteDesktopUsers”組賬戶中設(shè)置遠程登錄用戶賬戶在“計算機管理-本地用戶和組”結(jié)點，選中“組”文件夾，在右側(cè)展示的列表中，可以找到“RemoteDesktopUsers”組賬戶，按照任務(wù)1-1中“向組賬戶添加成員賬戶”的步驟，本例將operators組的operT用戶賬戶添加到“RemoteDesktopUsers”組賬戶中,如圖所示,然后單擊“應(yīng)用”按鈕和“確定”按鈕。任務(wù)實施任務(wù)3-4遠程桌面連接服務(wù)的安全加固1.限制遠程登錄用戶方法二：在“控制面板-系統(tǒng)”管理工具中設(shè)置遠程登錄用戶賬戶單擊“控制面板-系統(tǒng)和安全-系統(tǒng)-高級系統(tǒng)設(shè)置”，在彈出的“系統(tǒng)屬性”對話框中的“遠程”選項卡內(nèi)，單擊“選擇用戶”按鈕，在彈出的“遠程桌面用戶”對話框中，單擊“添加”按鈕。任務(wù)實施任務(wù)3-4遠程桌面連接服務(wù)的安全加固1.限制遠程登錄用戶方法二：在“控制面板-系統(tǒng)”管理工具中設(shè)置遠程登錄用戶賬戶

在彈出的“選擇用戶”對話框中的“輸入對象名稱來選擇：”文本框中輸入用戶賬戶名，本例輸入operators組的operR用戶,單擊“檢查名稱”，系統(tǒng)會自動補全賬戶全名，單擊“確定”按鈕。然后依次單擊“遠程桌面用戶”對話框和“系統(tǒng)屬性”對話框的“確定”按鈕，完成設(shè)置。按照方法一或方法二的步驟為operators組的其他用戶賬戶完成遠程桌面連接服務(wù)的權(quán)限設(shè)置。任務(wù)實施任務(wù)3-4遠程桌面連接服務(wù)的安全加固1.限制遠程登錄用戶（2）驗證operT賬戶使用遠程桌面服務(wù)連接服務(wù)器，可以成功登錄，如圖所示。使用不具備遠程桌面連接服務(wù)權(quán)限的賬戶saleT連接服務(wù)器，提示“連接被拒絕，因為沒有授權(quán)此用戶賬戶進行遠程登錄”，如圖所示任務(wù)實施任務(wù)3-4遠程桌面連接服務(wù)的安全加固2.修改遠程桌面默認服務(wù)端口(1)在注冊表中修改遠程桌面默認服務(wù)端口

在“運行”對話框中輸入“regedit”,打開“注冊表編輯器”，在“注冊表編輯器”左側(cè)窗口中找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations”路徑下的“RDP-Tcp”文件夾并單擊,如圖所示，在右側(cè)窗口中找到“PortNumber”鍵值，并雙擊改鍵值。任務(wù)實施任務(wù)3-4遠程桌面連接服務(wù)的安全加固2.修改遠程桌面默認服務(wù)端口(1)