首页  登陆  注册  博客集  下载频道  网络硬盘  学院论坛  家园
IT学院 网站地图 网站地图
收藏本站 收藏本站
高级搜索 高级搜索
 新闻IT新闻 互联网 微软 黑客新闻 网络网络协议 故障 网络管理 TCP/IP 无线技术 解决方案 黑客技术 漏洞 软件评测 安全资讯
 数据MSsql Oracle Mysql PL/SQL 备份 系统:Linux vista Windows FTP 防火墙 注册表 服务器行情 服务器应用 解决方案 WEB服务器
 墙纸风景壁纸 游戏壁纸 体育壁纸 汽车壁纸 人文壁纸 影视壁纸 广告壁纸 花卉壁纸 节日壁纸 动漫壁纸 明星壁纸 绘画壁纸 月历壁纸
当前位置: > 主页>Windows>安全资讯>安全策略>巧用“策略”好助手 全网集中布防(图)
热门文章排行
  
热门文章排行 应用安全是后端数据保护
Windows XP的八大安全策
IIS配置安全策略
破解”Outlook 2002安全
中小规模NT网的安全策略
巧用IP安全策略保护您的
NT系统的安全策略
数据库安全新策略
Microsoft SQL Server数
组策略助Windows XP更安
精采文章推荐
  
精采文章推荐 让电脑免疫Autorun病毒
双击盘符打不开盘的解决
保障系统安全 教你给自
无法打开EXE可执行文件
清空回收站也能把文件找
教你将文件“秘密”隐藏
windows 2003安全配置问
世界第一黑客总结电脑安
自主安全 如何禁用Vista
张扬个性 让Windows XP
最新更新文章
  
最新更新文章 Windows Server 2003不
让电脑免疫Autorun病毒
双击盘符打不开盘的解决
保障系统安全 教你给自
无法打开EXE可执行文件
清空回收站也能把文件找
教你将文件“秘密”隐藏
Windows Vista服务安全
另类系统安全:巧用身份
让电脑裸奔 制作百毒不

巧用“策略”好助手 全网集中布防(图)

编辑:   来源:  日期:2008-02-20   我要投稿      家园
  在管理规模较大的网络环境时,网络安全往往是花费精力最多的一环。就拿配置Windows XP SP2的防火墙来说,如果让网管为网内计算机逐一进行配置的话,工作量会非常大,而且在细节配置上也容易出错。那么,如何才能提高规模化环境内的防火墙配置效率呢?
  
  Windows防火墙是Windows XP SP2中一个极为重要的安全设计,它可以有效地协助我们完成计算机的安全管理。今天,笔者将为大家介绍如何使用组策略(Group Policy)在机房中集中部署Windows防火墙,提高为网内计算机配置防火墙的效率。
  
  为什么要集中部署
  
  首先,我们要了解组策略对Windows防火墙的作用是什么。组策略可以决定本地管理员级别的用户是否可以对Windows防火墙进行各种设置,可以决定Windows防火墙的哪些功能被“禁用”或“允许”……
  
  显然,上述几个功能正好能够配合域功能进行机房的安全管理,这就为组策略能够批量化部署机房的Windows防火墙打下了基础。此时,所有客户机的Windows防火墙的应用权限将统一归域管理员管理,本地管理员对Windows防火墙的任何设置要在域管理员的“批准”下方可进行。此外,域管理员还可使用组策略来完成所有客户机的Windows防火墙配置,而不必逐台进行了。
  
  用组策略部署防火墙
  
  在明白了集中部署的好处后,现在让我们一步步实现。请大家先了解一下本文的测试环境“Windows Server 2003域服务器+Windows XP SP2客户机”。本文将介绍如何在Windows Server 2003域服务器管理的机房中的客户机(Windows XP SP2)上,对所有安装了Windows XP SP2的客户机进行Windows防火墙的集中部署。
  
  提示:为什么不是在域服务器中进行组策略的新建与配置,而是在客户机上运行?其实这很容易理解,Windows Server 2003操作系统(中文版)中还没有Windows防火墙,所以无法进行配置。但是,这一点将会随着Windows Server 2003 SP1中文正式版的推出而得到彻底解决。
  
  OK!现在让我们开始实际操作。首先,在Windows XP SP2客户机的“运行”栏中输入“MMC”命令并回车,在打开的“控制台”窗口中,依次单击“文件→添加/删除管理单元”,添加“组策略对象编辑器”。
  
  在弹出的“欢迎使用组策略向导”界面中,点击“浏览”按钮并在“浏览组策略对象”窗口中的空白处单击鼠标右键,在弹出的菜单中选择“新建”,并命名为“firewall”即可返回控制台窗口。
  
  提示:客户机的当前登录账户必须具有管理员权限,方可新建GPO(组策略对象)。因此,临时解决这个问题的方法就是在DC中将客户机的账户添加到Administrators组,接着客户机临时使用管理员账户登录系统并进行GPO配置即可。
  
  返回控制台窗口后,在“firewall”策略集中可以看到“域配置文件”和“标准配置文件”两个策略子集(图1)。其中,域配置文件主要在包含域DC的网络中应用,也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用。
  
 

  显然,我们需要在域配置文件中进行策略的设置。下面简单地说说如何对其中的子策略进行安全配置:
  
  保护所有网络连接:已启用;这样才能强制要求客户机启用Windows防火墙,不受客户机本地策略的影响。
  
  不允许例外:未配置;这个可以让客户机自行安排。
  
  定义程序例外:已启用;即按照程序文件名定义例外通信,这样可以集中配置机房中允许运行的网络程序等。
  
  允许本地程序例外:已禁用;如果禁用则Windows防火墙的“例外”设置部分将呈灰色。
  
  允许远程管理例外:已禁用;如果不允许客户机进行远程管理,那么请禁用。
  
  允许文件和打印机共享例外:已禁用;如果某些客户机有共享资源需要应用,那么应该启用。
  
  允许ICMP例外:已禁用;如果希望使用Ping命令,则必须启用。
  
  允许远程桌面例外:已禁用;即关闭客户机可以接受基于远程桌面的连接请求功能。
  
  允许UPnP框架例外:已禁用;即禁止客户机接收垃圾的UPnP方面的消息。
  
  阻止通知:已禁用。
  
  允许记录日志:未配置;允许记录通信并配置日志文件设置。
  
  阻止对多播或广播请求的单播响应:已启用;即放弃因多播或广播请求消息而收到的单播数据包。
  
  定义端口例外:已启用;按照TCP和UDP端口指定例外通信。
  
  允许本地端口例外:已禁用;即禁止客户机管理员进行端口的“例外”配置。
  
  现在,让我们通过“定义端口例外”项来介绍一下如何进行具体配置。首先,在“域配置文件”设置区域中,双击“Windows防火墙:定义端口例外”项,在弹出的属性窗口中单击“已启用→显示”,并进行“添加”。接着,使用“port:transport:scope:status:name”的格式输入要阻止或启用的端口信息(如“80:TCP:*:enabled:Webtest”)。
  
  提示:port是指端口号码;transport是指TCP或UDP;scope中的“*”表示用于所有系统或允许访问端口的计算机列表;status是已启用或已禁用;name是用作此条目标签的文本字符串。
  
  完成上述设置后,保存策略为“firewall”文件。现在,就得进行非常重要的一步操作,在“命令提示符”窗口中运行“Gpupdate /force”命令强制组策略设置应用到域网络中已经登录的计算机。
  
  验证部署效果
  
  完成组策略的刷新后,先来看看本机中的Windows防火墙是否响应了策略。由于前面已经定义了“允许本地程序例外”项的状态为“已禁用”,根据这个定义,Windows防火墙的“例外”设置部分应变为灰色。现在,让我们打开本机中的Windows防火墙,可以看到被禁用的部分已经呈灰色,这说明本机已响应组策略设置了。
  
  接着,再来看看DC是否响应了组策略。在DC服务器的“运行”栏中输入“dsa.msc”命令并回车,弹出“Active Directory”窗口后,请进入“shyzhong.com”(请根据实际情况选择)的属性窗口。在“组策略”选项卡部分可以看到保存的firewall已经自动出现在列表中了。如果没有出现可以手工添加(图2)。
  

  到了这一步,可以看出整个设置是成功的。而此后,域中任何一台使用Windows XP SP2的计算机只要登录到域,那么该计算机就会自动下载Windows防火墙的设置并开始应用。至此,整个机房的Windows 防火墙配置操作就成功完成了。
  
  利用组策略集中部署SP2防火墙的操作并不复杂,但是它的效果却是一劳永逸的。大家会发现组策略对于集中管理网络安全来说实在是一个不可多得的好助手。


上一篇:命令提示符恢复本地安全策略小技巧  
下一篇:怎么处理一个Web服务安全策略?
 关键字:  
文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【论坛讨论

   相关文章:

   文章评论:(0条)
  
 请留名: 匿名评论   点击查看所有评论
 

  责任编辑:IT学院  声明:刊登此文章是为了传递更多信息,文章内容仅供参考,转载请注明出处。