windows20xxserver服务器安全配置毕业论文模板

windows20xxserver服务器安全配置毕业论文模板内容摘要：

问不同，用来控制审核目录服务事件是被启用或者禁用的单一审核策略在 Windows Server 2020 中被划分成四个子类别，它们分别是： 目录服务访问（ Directory Service Access） 目录服务更改（ Directory Service Changes） 目录服务复制（ Directory Service Replication） 详细的目录服务复制（ Detailed Directory Service Replication） 在图 3 中的位置启用活动目录审核后，就会同时打开以上的全部四个子类别。 图 3 打开活动目录访问审核策略 正因为新的审核子类 —— 目录服务更改的出现， AD DS 对象属性的更改才能被审核。 我们能够审核的更改类型被细化到创建，修改，移动以及反删除。 这些事件都将被记录在安全日志中。 在 AD DS 中新的目录服务更改审核策略子类增加了以下的功能： 当对对像的属性修改成功时， AD DS 会纪录先前的属性值以及现在的属性值。 如果属性含有一个以上的值时，只有作为修改操作结果变化的值才会被记录。 如果新的对像被创建，属性被赋予的时间将会被记录，属性值也会被记录，在多数情景中， AD DS 分配缺省属 性给诸如 SAMAccountName 等系统属性，这些系统属性值将不被记录。 如果一个对像被移动到同一个域中，那么先前的以及新的位置（以 distinguished name 形式）将被记录。 当对象被移动到不同域时，一个创建事件将会在目标域的域控制器上生成。 辽宁建筑职业学院信息工程系 2020 届（如 2020 届）毕业论文（设计） 7 如果一个对象被反删除，那么这个对象被移动到的位置将会被记录。 另外如果在反删除操作中属性被增加，修改或者删除，那么这些属性的值也会被记录。 利用活动目录审核的目录服务复制子策略，我们还可以监视活动目录的复制工作，哪些发生了，哪些未发生，以及复制了什么等，对于 操作主控的管理、复制链接的效率调优，这些审核记录无疑都具有相当的参考价值。 只读域控制器（ RODC） 2020 年起源于美国的金融危机之所以能如此大规模如此迅速的扩散至全球，跨 国 /跨地区的贸易集团功不可没。 因为业务需要，企业对遍布各地的分支机构早已习以为常，而随着地区业务的深入开展，分支机构承担的工作也在不断调整深化，越来越多的应用需要在分支机构部署。 然而，这些地方也许没有域控制器，或者他们有域控制器但是没有足够的物理安全保障、网络带宽以及专门的技术人员来提供支持。 这就使得分支机构很可能成为黑客的突破点 ，进而攻击整个企业网络。 只读域控制器（ RODC）就是针对上述的隐患而设计的。 顾名思义， RODC 本身是一台域控制器，但是存储于这台域控制器里的数据库是被写保护的，无法对数据库中的数据做任何更改操作，所有对 AD 数据库的修改操作，只能在可写的域控上进行，然后这些修改再通过复制拓扑复制到 RODC 上。 而且，在默认情况下， RODC 不保存任何账户信息和密码。 这样的话，即使 RODC 受到安全攻击，管理员们也无需担心入侵者更改安全配置或利用服务器上保存的信息访问整个网络。 辽宁建筑职业学院信息工程系 2020 届（如 2020 届）毕业论文（设计） 8 图 4 指定安装成 RODC RODC 使用的复制拓扑是单向的，即只能从可写域控制器复制到 RODC，没有任何属性的更改会被直接写入 RODC，所以，任何更改都不会从 RODC 发起，作 为复制伙伴的可写域控制器也就不会产生从 RODC“拉”数据的操作。 这不仅意味着上述的恶意用户通过攻击在分支结构的 RODC，在其上进行的操作的结果不会被复制到森林的其余部分，而且这一体制也减少了枢纽站点里的桥头服务器的 工作 量，以及为了监视复制所产生的数据量。 RODC 的单向复制同时应用于 AD DS 及分布式文件系统（ DFS）的复制。 前面提到， RODC 上不会保存账户信息和密码，实际上，在默认情况下， RODC 上还是会存放少量的账户信息，不过 RODC 只存储它自己的计算机账户和一个用于这台 RODC的特殊的 Kerberos 票据授权（ KRBTGT）账户，此账户是被可写域控制器用来验证 RODC身份的。 如果需要在 RODC 上存储用户凭据或者计算机凭据的话，你需要在 RODC 上允许这些凭据被缓存。 因为 RODC 一般是总是放置在比较小的分支机构，所以被允许凭据缓存的计算机账户和用户账户应该都不多。 这样即使 RODC 被偷了，我们只会丢失那些缓存在 RODC 上的凭据。 如果你连这些账户信息也非常在乎，在发现 RODC 被偷走之后，你可以立即在可写域控上将 RODC 的计算机账户删除，在删除时还可以对缓存在该 RODC 上的凭据进行密码重设，这样丢失掉的这些凭据 就没有任何作用了。 RODC 还支持一种称为“管理员角色分离”的功能，我们可以使用该功能来指派一个普通的域用户成为 RODC 的本地管理员。 这样这个特定的域用户就拥有了对分支机构的辽宁建筑职业学院信息工程系 2020 届（如 2020 届）毕业论文（设计） 9 RODC 服务器进行一些系统维护或管理操作的权限，例如安装安全更新或者驱动程序。 这个功能的好处在于：此用户在域中其他机器或者任何可读写的域控制器上并没有用户权利。 而在以前的 AD 中，所有 DC 都是可读写的， DC 上的本机管理事实上是使用域管理员账户的。 这使得分支机构用户可以有效的管理 RODC 而不会影响整个域的安全性。 为了进一步减少对分支机构和 总部之间网络的占用，你还能在 RODC 上安装 DNS 服务。 安装在 RODC 上的 DNS 也是只读的，它能够复制其他 DNS 使用的所有程序目录分区，包括 ForestDNSZones 以及 DomainDNSZones。 这样，就使得用户能够像查询其它 DNS 服务器一样进行名称解析和服务位置查询。 总之， RODC 的实现，为需要在分支机构部署域服务的管理员们，提供了即完整又安全 的解决方案。 网络访问保护（ NAP） 要问到 Windows Server 2020 最吸引眼球的功能，网络访问保护（ NAP）绝对当之无愧。 现如今，令管理 员非常头痛的事是：如何在一个充斥着家庭计算机、出差用户、来访客户等不在他们控制范围的各种移动客户端的网络中确保安全性。 这些计算机很可能存在没有及时安装关键补丁、没有启用防火墙、没有及时升级病毒库等非常严重的安全隐患，当他们接入公司内网的时候，势必给企业内网的安全带来非常大的考验。 好在NAP 及时出现在我们的视线中。 要想描述清楚 NAP 系统是不容易的，简单来说 NAP 是一组服务器的集合，其核心服务器称为网络策略服务器（ NPS），配合 NPS 工作的有健康注册管理机构（ HRA）、安全修正服务器以及运行在客户端的安全状况 收集程序 —— 系统健康代理（ SHA）。 NAP 客户端 若 要访问网络，首先由 NAP 代理从运行在 NAP 客户端计算机本地的系统健康代理（ SHA）收集有关该客户端健康状况的信息。 NAP 代理是一种在本地计算机上运行的服务，能够收集来自 SHA 的信息。 安装在客户端计算机上的每 SHA 都提供当前设置或设计用于监视的活动的相关信息。 NAP 代理服务将汇总该计算机的健康状态信息并将此信息传递给一个或多个 NAP 强制客户端。 强制客户端是与 NAP 强制点交互以便在网络上进行访问或通信的软件。 强制技术 可用于 作为判断依据决定如何匹配 NAP 策略的五种网络访问技术。 这五种网络访问技术是： 辽宁建筑职业学院信息工程系 2020 届（如 2020 届）毕业论文（设计） 10 Inter 协议安全性（ IPSec） VPN DHCP 远程桌面网关（ RD 网关） 每个 NAP 策略都可以指定到某一种网络访问技术，当客户端接入网络后，就会被判断出其使用了那种网络访问技术，从而对应到相应的 NAP 策略。 NAP 强制点 NAP 强制点是一个服务器或硬件设备，它向 NAP 客户端计算机提供某个级别的网络访问权限。 每个 NAP 强制技术的执行都对应使用不同类型的 NAP 强制点。 在使用 强 制的 NAP 中， NAP 强制点是兼容 IEEE 的交换机或无线访问点。 IPSec、 DHCP 和 RD 网关强制方法的 NAP 强制服务器也必须运行配置为 RADIUS 代理或 NAP 健康策略服务器的 NPS。 使用 VPN 强制的 NAP 不要求在 VPN 服务器上安装 NPS。 可以在某个网络上使用一种、几种或者所有执行方法。 NAP 健康策略服务器 NAP 健康策略服务器是一台运行 Windows Server 2020 或 Windows Server 2020 R2 的计算机 ，并且已安装和配置了 NPS 角色服务，用于评估 NAP 客户端计算机的健康状况。 所有的 NAP 强制技术至少需要一个健康策略服务器。 NAP 健康策略服务器使用策略和设置对 NAP 客户端计算机提交的网络访问请求进行评估。 NAP 修正服务器 NAP 修正服务器能够向被判断为不安全的客户端计算机提供安全更新服务。 当然，标识为安全的的客户端计算机也可以访问修正服务器。 NAP 修正服务器的示例包括： 防病毒签名服务器。 如果健康策略要求计算机必须有最新的防病毒签名，则标识为不安全的计算机必须具有对提供这些更新的服务器的访 问权限。 Windows Server Update Services。 如果健康策略要求计算机必须有最新的安全更新或其他软件更新，可以通过将 WSUS 放置在更新网络上来提供这些更新。 System Center 组件服务器。 System Center Configuration Manager 管理点、软件更新点和分发点用于承载使计算机兼容所需的软件更新。 使用配置管理器部署 NAP 时，支持 NAP 的计算机要求访问运行这些站点系统角色的计算机才能下载其客户端策略、扫描软件更新安全性以及下载所需的软件更新。 域控制器。 不安全的计算机可能会要求访问位于不安全网络上的域服务以进行身份辽宁建筑职业学院信息工程系 2020 届（如 2020 届）毕业论文（设计） 11 验证，以便从组策略下载策略或维护域配置文件设置。 DNS 服务器。 不安全的计算机必须具有对 DNS 的访问权限才能解析主机名。 DHCP 服务器。 当不安全网络上的客户端 IP 配置文件更改或 DHCP 租用过期时，不安全的计算机必须具有访问 DHCP 服务器的权限。 服务器问题疑难解答。 配置更新服务器组时，可以选择提供包含有关如何使计算机符合健康策略的说明的疑难解答 URL。 可以为每个网络策略提供不同的 URL。 这些 URL 必须能够在 更新网络上访问。 其他服务。 可以在更新网络上提供对 Inter 的访问权限，使不安全的计算机能够访问更新服务，如 Inter 上的 Windows Update 和其他 Inter 资源。 系统健康验证程序（ SHV） 系统健康验证程序（ SHV）用于在 NPS 服务器上定义健康要求，并和收到的客户端系统健康代理（ SHA）做对比，以检测客户端是否满足健康要求。 在 NAP 上有很多种 SHV和 SHA 类型。 Windows Server 2020 自带的 SHV（ WSHV）可以进行以下方面的健康要求筛选： 防火墙 ：如果启用此要求，客户端计算机必须有已向 Windows 安全中心注册并为所有网络连接启用的防火墙。 病毒防护：如果启用此要求，客户端计算机必须满足下列要求：已安装防病毒应用程序，已向 Windows 安全中心注册并已启用。 还必须对客户端计算机进行检查，以确保防病毒签名文件随时更新。 间谍软件防护：如果启用此要求，客户端计算机必须满足下列要求：已安装反间谍软件应用程序，已向 Windows 安全中心注册并已启用。 还必须对客户端计算机进行检查，以确保反间谍软件签名文件随时更新。 间谍软件防护仅适用于运行 Windows Vista 或 Windows 7 NAP 的客户端。 自动更新：如果启用此要求，必须配置客户端计算机才能检查来自 Windows Update 的更新。 可以选择是否下载并安装这些更新。 安全更新保护：如果启用此要求，客户端计算机必须基于与 Microsoft 安全响应中心（ MSRC）中的安全严重性分级匹配的四个可能的值中的一个值来安装安全更新。 客户端还必须按指定的时间间隔检查这些更新。 可以使用 Windows Server Update Services（ WSUS)、 Windows Update 或同时使用两者来获取安全更新。 NAP 健康要求服务器 健康要求服务器是能够向一个或多个系统健康验证程序（ SHV）提供健康策略要求和健康评估信息的计算机。 如果 NAP 客户端计算机报告的健康状态能够在不咨询其他设备的情况下通过 NPS 的验证，则不需要健康要求服务器。 例如， WSUS 在用于 Windows 辽宁建筑职业学院信息工程系 2020 届（如 2020 届）毕业论文（设计） 12 安全健康验证程序（ WSHV）时被认为不是健康要求服务器。 即使管理员能够使用 WSUS 指定客户端计算机必须有哪些更新，该客户端计算机仍会报告自己是否已安。