用 IPSec 過(guò)濾器阻斷端口
Internet 協(xié)議安全 (IPSec) 過(guò)濾器能為提高服務(wù)器的安全級(jí)別提供一條有效途徑 。本指南推薦在其定義的高安全性環(huán)境中使用該選項(xiàng) ， 以便進(jìn)一步減少服務(wù)器的攻擊表面積 。
有關(guān) IPSec 過(guò)濾器使用的詳細(xì)信息 ， 請(qǐng)參閱模塊其他成員服務(wù)器強(qiáng)化過(guò)程 。
下表列出了可在本指南定義的高安全性環(huán)境中的文件服務(wù)器上創(chuàng)建的所有 IPSec 過(guò)濾器 。
表 3：文件服務(wù)器 IPSec 網(wǎng)絡(luò)流量圖
在執(zhí)行上表列出的所有規(guī)則時(shí)都應(yīng)該進(jìn)行鏡像處理 。這可以確保進(jìn)入服務(wù)器的所有網(wǎng)絡(luò)流量也可以返回到源服務(wù)器 。
上表描述了為服務(wù)器執(zhí)行特別任務(wù)功能所需打開(kāi)的基本端口 。如果服務(wù)器使用靜態(tài) IP 地址 ， 這些端口已經(jīng)足夠使用了 。如果需要提供其他功能 ， 可能需要打開(kāi)其他端口 。打開(kāi)其他端口可使您環(huán)境中的文件服務(wù)器更容易管理 ， 不過(guò) ， 它們可能大大降低這些服務(wù)器的安全性 。
由于域成員和域控制器之間具有大量的交互操作 ， 因此在特殊的 RPC 和身份驗(yàn)證通信中 ， 您需要允許文件服務(wù)器和所有域控制器之間的所有通信 。還可以將通信進(jìn)一步限制 ， 但是大多數(shù)環(huán)境都需要為有效保護(hù)服務(wù)器而創(chuàng)建更多的過(guò)濾器 。這使得 IPSec 策略的執(zhí)行和管理更為困難 。與一個(gè)文件服務(wù)器相關(guān)的所有域控制器都要?jiǎng)?chuàng)建相似的規(guī)則 。為了提高文件服務(wù)器的可靠性和可用性 ， 您需要為環(huán)境中的所有域控制器添加更多規(guī)則 。
如上所述 ， 如果在環(huán)境中運(yùn)行 Microsoft Operation Manager (MOM) ， 則必須允許通過(guò)運(yùn)行 IPSec 過(guò)濾器的服務(wù)器和 MOM 服務(wù)器之間的所有網(wǎng)絡(luò)通信 。這一點(diǎn)十分重要 ， 因?yàn)?MOM 服務(wù)器和 OnePoint 客戶(hù) — 向 MOM 控制臺(tái)提供報(bào)告的客戶(hù)端應(yīng)用程序 — 之間具有大量的交互行為 。其他的管理軟件可能也有相似的要求 。如果需要更高級(jí)別的安全性 ， 可以將 OnePoint 客戶(hù)過(guò)濾操作配置為就 IPSec 同 MOM 服務(wù)器進(jìn)行協(xié)商 。
IPSec 策略可以有效地阻止任意一個(gè)高端口的通信 ， 因此 ， 將無(wú)法進(jìn)行遠(yuǎn)程過(guò)程調(diào)用 (RPC) 通信 。這使得服務(wù)器的管理更加困難 。由于已經(jīng)有效關(guān)閉了如此之多的端口 ， 因此可以啟用終端服務(wù) 。這將使管理員能夠進(jìn)行遠(yuǎn)程管理 。
上面的網(wǎng)絡(luò)流量圖假定環(huán)境中包括啟用了 DNS 服務(wù)器的 Active Directory 。如果使用獨(dú)立的 DNS 服務(wù)器 ， 可能還需要設(shè)定其他規(guī)則 。
執(zhí)行 IPSec 策略不會(huì)對(duì)服務(wù)器的性能產(chǎn)生明顯的影響 。但是 ， 在執(zhí)行這些過(guò)濾器前應(yīng)首先進(jìn)行測(cè)試 ， 以驗(yàn)證服務(wù)器的必要功能和性能是否得以維持 。如果要支持其他應(yīng)用軟件 ， 還可能需要添加其他規(guī)則 。
本指南包括一個(gè) .cmd 文件 ， 該文件簡(jiǎn)化了為文件服務(wù)器創(chuàng)建 IPSec 過(guò)濾器的過(guò)程 ?！癙acketFilters-File.cmd”文件使用 NETSH 命令創(chuàng)建適當(dāng)?shù)倪^(guò)濾器 。必須修改 .cmd 文件以使它包括環(huán)境中域控制器的 IP 地址 。腳本為即將添加的域控制器提供了兩個(gè)占位符 。如果需要 ， 還可以添加其他的域控制器 。域控制器的 IP 地址列表必須是最新的 。
如果環(huán)境中有 MOM ， 那么相應(yīng)的 MOM 服務(wù)器的 IP 地址也必須列入腳本 。這個(gè)腳本不會(huì)創(chuàng)建永久性的過(guò)濾器 。因此 ， 除非 IPSec 策略代理開(kāi)始運(yùn)行 ， 否則服務(wù)器是不受保護(hù)的 。有關(guān)生成永久性的過(guò)濾器或創(chuàng)建更高級(jí) IPSec 過(guò)濾腳本的詳細(xì)信息 ， 請(qǐng)參閱模塊其他成員服務(wù)器強(qiáng)化過(guò)程 。最后 ， 將該腳本配置為不對(duì)其創(chuàng)建的 IPSec 策略進(jìn)行分配 。IP 安全策略管理單元可用于檢查它創(chuàng)建的 IPSec 過(guò)濾器和分配 IPSec 策略以便使其生效 。
小結(jié)
本模塊講述了在本指南所定義的三種環(huán)境中保護(hù)文件服務(wù)器安全所需采取的服務(wù)器強(qiáng)化設(shè)置 。所論述的大多數(shù)設(shè)置都是使用組策略進(jìn)行配置和應(yīng)用的 。您可以將能夠?qū)?MSBP 進(jìn)行有益補(bǔ)充的組策略對(duì)象 (GPO) 鏈接到包含文件服務(wù)器的相應(yīng)組織單位 (OU) 中 ， 以便為這些服務(wù)器提供的服務(wù)賦予更多的安全性 。

推薦閱讀

• 

  水果和蔬菜的好處
• 

  南瓜爛了一點(diǎn)削掉還能吃不,南瓜中間軟了還能吃嗎
• 

  光遇晨島的所有動(dòng)作在哪里
• 

  楚玄救女帝天雷霸體什么小說(shuō) 《楚風(fēng)墜崖錯(cuò)救2位女帝》內(nèi)容簡(jiǎn)介
• 

  伽羅臺(tái)詞 伽羅臺(tái)詞介紹
• 

  小米怎么截圖手機(jī)屏幕 小米5怎么截圖
• 

  葡萄干一天吃多少合適,葡萄干吃多了會(huì)怎樣
• 

  饑荒手游大理石護(hù)甲怎么做 饑荒合輯版大理石護(hù)甲用處介紹
• 

  雨水管漏水怎么維修
• 

  廣汽傳祺GA8：如何使用雨刮器？
• 

  qq空間好友動(dòng)態(tài)秒贊介紹及常見(jiàn)問(wèn)題介紹
• 

  選擇音響的技巧是什么
• 

  麻將機(jī)操作盤(pán)玻璃的拆除及擦洗 怎么更換麻將機(jī)玻璃
• 

  書(shū)法的發(fā)展簡(jiǎn)史
• 

  56歲重大疾病保險(xiǎn)如何購(gòu)買(mǎi)
• 

  豐田fs小車(chē)和大眾捷達(dá)小車(chē)哪個(gè)好，怎么選

• 最新WinXP應(yīng)用技巧五則
• 輕松改變Win2003登錄方式
• Win 2003上傳文件不能超過(guò)200k解決方法
• AI查看文件頁(yè)面大小的操作方法
• Win 2003無(wú)法上傳較大文件的解決方法
• OPPO Find X2如何連接打印機(jī)？OPPO Find X2連接打印機(jī)打印文件教程
• 使用Win Server 2003搭建安全文件服務(wù)器
• qq接收的文件在哪文件夾
• 將XP的小游戲移植到Win2003中
• 管好Win XP/2003的預(yù)讀取文件