2024年4月26日发(作者:)
2017
适用范围:内部
应用发布安装配置手册
天玥运维安全网关V6.0
适用范围:天玥OSM系列
精细控制合规审计
北京启明星辰信息安全技术有限公司
目录
1.
2.
3.
适用范围 ........................................................................................................................... 1
准备工作 ........................................................................................................................... 1
安装步骤 ........................................................................................................................... 1
3.1. 应用发布服务器角色、管理工具配置 ................................................................... 1
3.1.1. Windows Server 2008 ..................................................................................... 1
3.1.2. Windows Server 2012 ................................................................................... 14
3.2. 安装应用发布APP程序 ........................................................................................ 21
3.3. 注册配置 ................................................................................................................. 25
3.3.1. 添加应用发布服务器 ..................................................................................... 25
3.3.2. 配置应用工具 ................................................................................................. 27
3.3.3. 发布管理 ......................................................................................................... 28
3.3.4. 验证应用发布功能 ......................................................................................... 29
3.4. http/https代填登录 ............................................................................................... 29
3.4.1. 添加http/https服务 ................................................................................... 29
3.4.2. 授权用户 ......................................................................................................... 31
3.4.3. 发布应用工具IE浏览器 ............................................................................... 32
3.4.4. 运维登录 ......................................................................................................... 32
3.5. 发布其他客户端工具 ............................................................................................. 32
3.5.1. VMware vSphere Client ............................................................................... 32
3.5.2. Google浏览器 ................................................................................................ 39
3.6. 删除已注册的应用发布服务器 ............................................................................. 42
应用发布客户端列表 ..................................................................................................... 46
应用发布开放端口说明 ................................................................................................. 47
5.1. 应用发布服务器开放端口 ..................................................................................... 47
5.2. 运维堡垒机开放端口 ............................................................................................. 47
应用发布服务器基础组策略 ......................................................................................... 48
安全性配置 ..................................................................................................................... 51
7.1 禁用IE浏览器开发人员工具 ................................................................................... 52
7.2 去掉“IE选项卡浏览” ............................................................................................ 52
7.3 数据执行保护DEP ...................................................................................................... 54
7.4 磁盘安全性配置 ......................................................................................................... 55
7.5 关闭磁盘映射和剪切板 ............................................................................................. 58
7.6 指定授权服务器 ......................................................................................................... 60
7.7 管理员密码复杂度修改 ............................................................................................. 61
7.8 禁用命令提示符 ......................................................................................................... 62
7.9 administrator密码安全设定 .................................................................................. 62
7.10 关闭 Windows+X 热键 ........................................................................................... 62
7.11 防止从"我的电脑"访问驱动器 ............................................................................. 63
7.12 隐藏IE“收藏夹”菜单 ........................................................................................ 63
7.13 使用NTFS系统 ....................................................................................................... 63
7.14 关闭默认共享 ......................................................................................................... 64
4.
5.
6.
7.
7.15
7.16
7.17
7.18
7.19
7.20
7.21
安装防病毒软件 ..................................................................................................... 64
管理缺省账号-更改缺省帐户名称 ....................................................................... 64
关键权限指派安全要求-从网络访问此计算机 ................................................... 65
关键权限指派安全要求-允许本地登录 ............................................................... 66
防火墙 ..................................................................................................................... 67
关闭UAC .................................................................................................................. 68
解决portal-DEC/RPC服务枚举问题 ................................................................... 69
天玥运维安全网关V6.0
1. 适用范围
应用发布主要为将非标准协议或第三方客户端工具进行远程发布(例如http/https),
并与天玥OSM关联,可以通过天玥OSM调用应用发布的应用程序进行运维管理操作。
2. 准备工作
➢ 应用发布服务器操作系统 :Windows server 2008 Enterprise R2 SP1(64位)、
Windows server 2008 Standard R2(64位)SP1版本;或者Windows Server 2012
R2 Standard(64位)版本,且配置windows管理员账号和密码;
➢
应用发布服务器发布工具安装程序。
3. 安装步骤
应用发布服务的安装需要经过以下四个步骤:
➢ 安装应用发布服务器的角色和管理工具
➢ 安装应用发布APP程序
➢ 注册配置
➢
验证应用发布功能
3.1. 应用发布服务器角色、管理工具配置
3.1.1. Windows Server 2008
如果应用发布服务器的操作系统版本为Windows Server 2008 R2 Standard 或
Enterprise(64位)SP1,需要通过以下方式配置服务器角色和角色管理工具。
3.1.1.1. 安装服务器角色
登陆预先准备好的服务器,打开服务器管理器,选择角色,再在右侧点击添加角色,如
下图所示:
1/72
天玥运维安全网关V6.0
点击添加角色后直接选择下一步,
在安装服务器角色中选择“远程桌面服务”,如下图所示:
2/72
天玥运维安全网关V6.0
选择完成后依次点击下一步,在选择角色服务框中选择远程桌面主机会话和远程桌面授
权(windows2008的远程桌面免费使用时间是120天,必须在此期间激活远程桌面才能永久
使用),如下图所示:
再依次点击下一步在身份验证方法中选择“不需要选择网络身份验证”,如下图所示:
3/72
天玥运维安全网关V6.0
点击下一步后进入授权模式,选择 “每用户”,如下图所示:
然后默认配置依次点击下一步直至安装完成后点击关闭重启系统,如下图所示:
4/72
天玥运维安全网关V6.0
系统重启完毕后程序会继续安装,等待安装完成后点击关闭即可,如下图所示:
5/72
天玥运维安全网关V6.0
重启后如下所示继续安装,直至安装完成:
6/72
天玥运维安全网关V6.0
3.1.1.2. 安装角色管理工具
在服务器管理器中右击“功能”并选择“添加功能”弹出“添加功能向导”对话框,并
勾选“Telnet客户端”。如下图:
7/72
天玥运维安全网关V6.0
在“功能”选项中勾选“Windows内部数据库”和“Windows系统资源管理器”,如下图:
如下图勾选“AD DS和AD LDS工具”的所有子项:
8/72
天玥运维安全网关V6.0
接下来再勾选“组策略管理”,如下图:
再勾选“桌面体验”,如下图:
9/72
天玥运维安全网关V6.0
完成安装后,系统会提示重启,如下图:
重启后会自动继续安装,直至安装完成:
10/72
天玥运维安全网关V6.0
3.1.1.3. 创建全局对象
打开本地安全策略,选择本地策略的用户权限分配,再选择创建全局对象,加入users
11/72
天玥运维安全网关V6.0
组,如下图所示:
12/72
天玥运维安全网关V6.0
3.1.1.4. 修改远程桌面会话主机用户
打开管理工具,选择远程桌面服务的远程桌面会话主机配置,在RDP属性的常规选项中,
将安全层设置为“RDP安全层”,如图所示。
13/72
天玥运维安全网关V6.0
3.1.2. Windows Server 2012
3.1.2.1. 安装服务器角色和管理工具
当应用发布服务器的操作系统版本为Windows Server 2012 R2 Standard(64位),需
要通过以下方式配置服务器角色和角色管理工具。
在服务器管理器中选择管理,添加角色和功能,进入配置向导界面:
14/72
天玥运维安全网关V6.0
在安装类型选项卡中,选择“基于角色或基于功能的安装”:
在服务器选择选项卡中,从服务器池中选中本地服务器:
15/72
天玥运维安全网关V6.0
在服务器角色选项卡中,添加远程桌面服务:
在功能选项卡中,添加Telnet客户端、Windows内部数据库、组策略管理功能:
16/72
天玥运维安全网关V6.0
17/72
天玥运维安全网关V6.0
在远程桌面服务--角色服务选项卡中,选择远程桌面会话主机、远程桌面授权服务:
开始安装,安装完成后系统会自动提示重启,重启后系统会继续安装直至安装完成:
18/72
天玥运维安全网关V6.0
注意:安装完成之后,确保远程桌面设置中,不要勾选“仅运行使用网络级别身份验证
的远程桌面的计算机连接(建议)”:
19/72
天玥运维安全网关V6.0
为Windows服务器创建全局对象,打开本地安全策略,选择本地策略的用户权限分配,
再选择创建全局对象,加入users组,如下图所示:
20/72
天玥运维安全网关V6.0
3.1.2.2. 安装windows补丁
如果应用发布服务器为windows 2012 R2版本,安装应用发布程序前请提前安装windo
ws 2012 R2的补丁包、和
。补丁包和安装方法的下载地址:链接:
/s/1eQyjqXs 密码:su6e
3.2. 安装应用发布APP程序
21/72
天玥运维安全网关V6.0
以管理员账号登录应用发布服务器,通过本地介质(如U盘、光盘、共享磁盘等)上传
安装文件到应用发布服务器任意目录等待安装(注意:应用发布程序版本号要与堡垒机的版
本号配套)。
注意:运行安装程序需要满足以下条件:
➢ 以管理员账号登录;
➢ 必须配置为终端服务器,配置过程可参照3.1节。
准备就绪,双击安装程序,点击“下一步”进入待安装界面,如图所示:
点击“安装”开始安装程序:
22/72
天玥运维安全网关V6.0
正在安装,如图所示:
23/72
天玥运维安全网关V6.0
24/72
天玥运维安全网关V6.0
安装完成,根据提示重启电脑。如图所示:
3.3. 注册配置
3.3.1. 添加应用发布服务器
管理员登陆运维安全管控系统控制台,导航条选择【系统管理】->【设备管理】,点击
“注册设备”,设备类型选择应用发布服务器,如图所示:
25/72
天玥运维安全网关V6.0
注意:
(1) 如在运维堡垒机管理界面的网络配置中对多个网口配置了IP地址,请使用能
与应用发布服务器正常通信的IP地址登录WEB管理界面进行应用发布服务
器的添加;
(2) 运维堡垒机系统时间与应用发布服务器系统时间相差不能超过5分钟;
(3) 注册前应用发布服务器必须属于工作组中,不能属于某个域(通过“我的电脑”
属性中进行查看)。
运维堡垒机版应用发布服务器添加过程如下:
点击“开始注册”后,系统会生成一段设备密钥,完成后如图所示:
登录应用发布服务器,启动“应用服务器配置”客户端,手动点击注册,输入堡垒机
IP地址和注册密钥,配置完成后应用发布服务器自动重启,如图所示:
26/72
天玥运维安全网关V6.0
配置完成后,可以查看应用发布服务器运行状态(在线)。
3.3.2. 配置应用工具
堡垒机管理页面应用发布项中列出了默认支持的工具,需要通过应用发布使用的工具,
都需要提前在应用发布服务器上安装好,并核对工具实际路径与应用发布管理页面中对应工
具的实际路径是否一致,不一致可在属性中进行修改,打开【系统管理】->【应用发布】->
【应用工具】如图所示:
27/72
天玥运维安全网关V6.0
3.3.3. 发布管理
导航条选择【系统管理】->【应用发布】,选择发布管理的“发布”,如图所示:
点击“选择应用程序”,勾选需要发布的工具,如图所示:
将待发布的应用程序路径(工具在应用发布服务器上的路径)加上,选择应用发布服务
器后,“保存”即可,如图所示:
发布完成后,如下图所示:
28/72
天玥运维安全网关V6.0
至此,应用发布相关配置已完成,接下来可用用户账号登录系统操作。
3.3.4. 验证应用发布功能
使用运维账号登录系统,选择“SSH服务”或“Telnet服务”,可选择“应用发布代理”
连接服务验证运维操作是否正常,如图所示:
3.4. http/https代填登录
3.4.1. 添加http/https服务
在资源管理中,添加http或https的服务,如下图所示:
29/72
天玥运维安全网关V6.0
添加通过http或https方式登录应用系统的账号和密码。
在HTTPS参数中:
访问地址:填入访问应用的URL地址(以下以通过应用发布访问天玥运维安全网关V6.0
为例)。
用户节点类型:根据实际应用系统登录页面的元素类型选择id、name或xpath
用户节点名:根据实际应用系统登录页面的元素的节点名填写
(在应用系统登录界面按F12打开“开发人员工具”,如下图点击“箭头”后,鼠标左键选
中用户名输入框,在代码栏中可以看到:name=“u”,在HTTPS参数配置界面用户节点类型
选择:name,用户名节点:u)
密码节点类型:根据实际应用系统登录页面的元素类型选择id、name或xpath
30/72
天玥运维安全网关V6.0
密码节点名:根据实际应用系统登录页面的元素的节点名填写。
(在应用系统登录界面按F12打开“开发人员工具”,如下图点击“箭头”后,鼠标左键选
中密码输入框,在代码栏中可以看到:name=“p”,在HTTPS参数配置界面密码节点类型选
择:name,密码节点:p)
提交节点类型:根据实际应用系统登录页面的元素类型选择id、name或xpath
提交节点名:根据实际应用系统登录页面的元素的节点名填写。
(在应用系统登录界面按F12打开“开发人员工具”,如下图点击“箭头”后,鼠标左键选
中“登录”,在代码栏中可以看到:name=“login”,在HTTPS参数配置界面提交节点类型选
择:name,提交节点:login)
3.4.2. 授权用户
对指定用户授权访问http/https的应用,检查连接参数是否配置正确(如下图)。
31/72
天玥运维安全网关V6.0
3.4.3. 发布应用工具IE浏览器
在“应用发布”界面,发布IE浏览器,与应用发布服务器关联。
3.4.4. 运维登录
在运维登录界面,选择需要访问的http/https应用,连接服务。
如果登陆界面有验证码,验证码是随机生成的,所以验证码不支持代填,如果无验证码项,
此时会直接代填账号密码并登录进入系统管理界面。
3.5. 发布其他客户端工具
3.5.1. VMware vSphere Client
32/72
天玥运维安全网关V6.0
以发布VMware客户端工具VMware vSphere Client为例
1、自定义服务类型,在【资源管理】的【资源服务类型】添加VMware服务,如图,端口可
设置为0;
2、在应用发布服务器上安装好需要发布的工具,如VMware vSphere Client;
3、在堡垒机管理界面的应用发布中添加应用工具VMware vSphere Client
(1)设置应用程序名称,设置其在应用发布服务器上的真实路径;
33/72
天玥运维安全网关V6.0
(2)设置应用程序的显示图标,可以选择系统自带的图标,也可自定义图标(图片像素为
32*32,图片格式为PNG);
(3)服务类型设置为刚才新增加的服务类型VMware
(4)设置代填方式,编写代填脚本(如果不需要代填,可不用配置)
34/72
天玥运维安全网关V6.0
详细代填脚本如下(注意每条操作命令间要换行):
;%TOOLPATH%
WinWait, VMware vSphere Client
WinActivate
Togglelock(1)
Sleep,500
Send !n
Send, {Del 30}{Backspace 30}
Send,%HOSTIP%
Sleep,500
Send !u
Send, {Del 30}{Backspace 30}
Send,%USERNAME%
Sleep,500
Send !p
SendRaw, %PASSWORD%
Sleep,500
Togglelock(0)
Send,{Enter}
脚本内容说明:
;%TOOLPATH% ---启动运维工具
WinWait, VMware vSphere Client ---等待运维工具窗口出现
WinActivate ---激活指定的窗口(让它置于最前面)
Togglelock(1) ---锁定,防止键盘和鼠标操作
Sleep,500 ---等待500毫秒
Send !n ---发送快捷键alt+a,定位光标到IP输入框
Send, {Del 30}{Backspace 30} ---删除输入框中已有内容
Send,%HOSTIP% ---传入主机IP
Sleep,500 ---等待500毫秒
Send !u ---发送快捷键alt+u,定位光标到用户名输入框
Send, {Del 30}{Backspace 30} ---删除输入框中已有内容
Send,%USERNAME% ---传入用户名
Sleep,500 ---等待500毫秒
35/72
天玥运维安全网关V6.0
Send !p
SendRaw, %PASSWORD%
Sleep,500
Togglelock(0)
Send,{Enter}
---发送快捷键alt+p,定位光标到密码输入框
---传入用户名
---等待500毫秒
---解除锁定,允许键盘和鼠标操作
---执行回车操作
(5)将VMware代填方式设置为“默认”
4、发布管理中,发布刚才添加的应用工具
36/72
天玥运维安全网关V6.0
5、添加资源
(1)在资源管理界面添加资源,服务类型设置自定义的VMware类型,应用发布代填方式选
择为应用工具默认(前提上述设置代填方式步骤中vpxclient代填方式已设置为默认代填方
式)或VMware均可;
37/72
天玥运维安全网关V6.0
(2)添加VMware登录账号密码;
6、访问策略中,授权运维账号访问刚才新建的VMware资源的VMware服务和登录账号;
7、使用授权了VMware资源的运维账号登录;
38/72
天玥运维安全网关V6.0
调起VM client工具后,自动完成登录IP、用户名、密码代填并进行登录。
3.5.2. Google浏览器
1、 应用发布服务器上安装Google浏览器,建议直接安装在C盘默认路径;
2、 堡垒机应用发布的应用工具界面添加google浏览器,填入应用发布服务器上谷歌浏览
器上的真实路径
39/72
天玥运维安全网关V6.0
3、 选择需要使用的图标;
4、 绑定服务类型选择HTTP(S)类型
40/72
天玥运维安全网关V6.0
5、 添加代填方式
代填脚本内容:
;%TOOLPATH% %URL% -no-sandbox --disable-accelerated-compositing
WinWait, Chrome - Google Chrome
WinActivate
6、 设置刚才新添加的代填脚本为“默认”。
41/72
天玥运维安全网关V6.0
7、 发布Google浏览器
8、 通过Google浏览器访问对应资源
3.6. 删除已注册的应用发布服务器
1、WEB管理界面删除应用发布服务器
如果需要删除已注册的应用发布服务器,使用管理员账号登陆WEB管理界面,在设备管
42/72
天玥运维安全网关V6.0
理中,“选择”应用发布服务器进行“删除”,最后在使用应用发布服务器的管理员账号登录,
打开桌面的应用发布程序,查看“服务器状态”,如删除成功,服务器状态为未注册状态。
2、查看应用发布是否删除成功
如果管理页面上删除了应用发布服务器,但是在应用发布程序上显示“服务器状态”还
是已注册状态。请按照以下步骤进行操作:
(1)删除组成员
管理员账号登录“应用发布服务器”,选择“服务器管理器”->“配置”->“本地用户
和组”->“组”,点击“Remote Desktop Users”,将成员删除,如图所示:
43/72
天玥运维安全网关V6.0
(2)清除注册信息
在应用发布服务器上,打开“C:”文件(由于
C:WindowsAppcfg是隐藏目录,可在资源管理器的地址栏中直接输入
C:WindowsAppcfg目录),然后编辑文件,将[Global]里以下两行内容删除,
如没有即可不用操作,如图所示:
(3)加入工作组
右键选择计算机“属性”->“更改设置”->“更改”,将“隶属于”项选择为“工作组”
(组名随意取),然后点击确定,如图所示:
44/72
天玥运维安全网关V6.0
确定后,系统会弹出验证框,需要输入administrator管理员账号和密码,然后确定即
可将“应用发布服务器”加入到工作组(如图所示),根据提示重启系统,这样之前的注册
信息就清理掉了。
45/72
天玥运维安全网关V6.0
4. 应用发布客户端列表
应用发布支持客户端工具版本:
(使用应用发布调用工具,需要提前在应用发布服务器上安装好对应运维工具)
默认支持客户端 推荐版本号 备注
用于SQL server
用于SQL server、Oracle、Mysql
用于SFTP、FTP
用于SFTP、FTP
用于FTP
用于SSH、telnet、rlogin
用于SSH、telnet
用于SSH、telnet
用于SSH
用于RDP、VNC
oracle client服务(使用plsql、toad
工具必须先安装oracle client)
用于oracle,必须先安装Oracle客户
端
用于oracle,必须先安装Oracle客户
端
用于oracle,必须先安装Oracle客户
端
用于DB2
46/72
SQL server management
2005/2008
studio
Navicat Premium
Winscp
FlashFXP
FFFTP
Putty
SecureCRT
Xshell
SSH Secure Shell
Client
Mstsc
Oracle客户端
SQLPlus
Plsql Developer
Toad for Oracle
11.1.9
4.29及以上版本
5.1.0
1.97
6.5及以上版本
V3.0及以上版本
3.2.9
6.1及以上
oracle11g
7.0及以上版本
11.0.0
Quest central for db2 5.0
天玥运维安全网关V6.0
SqlDbx
SqlDbxPro
DbVisualizer
PgAdmin3
SQL Advantage
Sqleditor
9.1.7
1.16或更高
12.5
4.00
用于DB2
用于DB2
用于Oracle、DB2、Mysql、Informix
和Postgresql
用于Postgresql
用于Sybase
用于Informix
用于Teradata
用于支持http(s)应用,但不支持含有
动态验证码的应用
用于支持http(s)应用,但不支持含有
动态验证码的应用
Teradata SQL Assistant 14.10
Internet Explorer 8
Firefox V35及以下版本
说明:以上工具支持通过堡垒机单点登录,且支持密码代填,可录像
5. 应用发布开放端口说明
5.1. 应用发布服务器开放端口
应用发布服务器运维业务开放端口如下:
端口号
3389
5108
服务
RDP
设备管理
协议
TCP
TCP
描述
向用户开放,目前不能修改端口号
向堡垒机开放,不能修改端口号
注意:因为运维用户是通过应用发布访问资源主机,所以资源主机需要向应用发布服务
器开放需要纳入天玥OSM系统管理的服务所对应的端口。
5.2. 运维堡垒机开放端口
运维堡垒机针对应用发布服务器开放如下端口:
端口号
53
服务
应用发布AD域
DNS
应用发布AD域
kerberos
应用发布AD域
协议
TCP/UDP
描述
向应用发布服务器开放,不
能修改端口号
向应用发布服务器开放,不
能修改端口号
向应用发布服务器开放,不
47/72
88
135
TCP/UDP
TCP
天玥运维安全网关V6.0
End Point Mapper (DCE/RPC
Locator Service)
137
应用发布AD域
NetBIOS Name Service
应用发布AD域
NetBIOS Datagram
应用发布AD域
NetBIOS Session
应用发布AD域
应用发布AD域
SMB over TCP
应用发布AD域
Kerberos kpasswd
应用发布AD域
636 LDAPS (only if "tls enabled
= yes")
1024
应用发布AD域
Dynamic RPC Ports*
应用发布AD域
Global Cataloge
应用发布AD域
3269 Global Cataloge SSL (only
if "tls enabled = yes")
5109 设备事件通知 TCP
TCP
TCP
TCP
UDP
能修改端口号
向应用发布服务器开放,不
能修改端口号
向应用发布服务器开放,不
能修改端口号
向应用发布服务器开放,不
能修改端口号
向应用发布服务器开放,不
能修改端口号
向应用发布服务器开放,不
能修改端口号
向应用发布服务器开放,不
能修改端口号
向应用发布服务器开放,不
能修改端口号
向应用发布服务器开放,不
能修改端口号
向应用发布服务器开放,不
能修改端口号
向应用发布服务器开放,不
能修改端口号
向应用发布服务器开放,不
能修改端口号
向应用发布服务器开放,不
能修改端口号
向应用发布服务器开放,不
能修改端口号
138 UDP
139 TCP
389 TCP/UDP
445 TCP
464 TCP/UDP
3268 TCP
5110 审计日志 TCP
5353 组播DNS TCP/UDP
6. 应用发布服务器基础组策略
从堡垒机版本v6.0.4开始,为提高应用发布服务器系统的安全性和简化应用发布的部
署步骤,将部署中要设置的安全策略集成至堡垒机,在应用发布成功注册到堡垒机后即在应
用发布服务器上自动生效。详细的安全组策略规则如下表(如实际使用中需要关闭某项设置
48/72
天玥运维安全网关V6.0
也可参考下表的路径进行设置):
设置 状态 选项 路径
计算机配置/策略
/Widnows设置/安全设置/
本地策略/用户权限分配
计算机配置/策略
/Widnows设置/安全设置/
本地策略/用户权限分配
计算机配置/策略
/Widnows设置/安全设置/
本地策略/安全选项
计算机配置/策略/管理模
板/Windows组件/远程桌
面服务/远程桌面会话主
机/打印机重定向
计算机配置/策略
/Widnows设置/安全设置/
本地策略/安全选项
计算机配置/策略
/Widnows设置/安全设置/
本地策略/安全选项
计算机配置/策略
/Widnows设置/安全设置/
本地策略/安全选项
计算机配置/策略
/Widnows设置/安全设置/
本地策略/安全选项
计算机配置/策略
/Widnows设置/安全设置/
本地策略/安全选项
计算机配置/策略
/Widnows设置/安全设置/
本地策略/安全选项
计算机配置/策略
/Widnows设置/安全设置/
本地策略/安全选项
计算机配置/策略
/Widnows设置/安全设置/
本地策略/安全选项
49/72
创建全局对象 Domain users
Domain users
Administrators
Remote Desktop
Users
允许通过远程桌
面服务登录
设备:防止用户
安装打印机
首先使用远程桌
面轻松打印打印
机驱动程序
网络安全:在下
一次更改密码时
不存储LAN管理
器哈希值
网络访问:不允
许SAM帐户的匿
名枚举
网络访问:不允
许SAM帐户和共
享的匿名枚举
交互式登录:不
显示最后的用户
名
网络访问:不允
许存储网络身份
验证的密码和凭
据
帐户:来宾帐户
状态
帐户:使用空密
码的本地帐户只
允许进行控制台
登录
域成员:计算机
帐户密码最长使
用期限
已启用
已启用
已启用
已启用
已启用
已启用
已启用
已禁用
已启用
0 天
天玥运维安全网关V6.0
帐户:重命名来
宾帐户 nobody
已启用
计算机配置/策略
/Widnows设置/安全设置/
本地策略/安全选项
全局配置设置
NtpServer=dc-maste
,0x01
类型=NT5DS
CrossSiteSyncFlags
=2
ResolvePeerBackoff
Minutes=1
ResolvePeerBackoff
MaxTimes=7
SpecialPollInterva
l=120
EventLogFlags=3
计算机配置/策略/管理模
板/系统/Windows时间服
务
配置 Windows
NTP 客户端
启用 Windows
NTP 客户端
启用 Windows
NTP 服务器
已启用
计算机配置/策略/管理模
板/系统/Windows时间服
务/时间提供程序
计算机配置/策略/管理模
板/系统/Windows时间服
务/时间提供程序
计算机配置/策略/管理模
板/系统/Windows时间服
务/时间提供程序
已启用
已启用
限制配置文件大
小 已启用
已超出配置文件存储
空间的限制。在注销
前,您需要将配置文
件中的一些项目移到
网络或本地存储中。
最大配置文件大小:用户配置/策略/管理模板
5120000 500M /系统/用户配置文件
50/72
天玥运维安全网关V6.0
每30分钟提醒用户
帐户锁定时间 30分钟
计算机配置/策略
/Windows设置/安全设置/
帐户策略/帐户锁定策略
计算机配置/策略
/Windows设置/安全设置/
帐户策略/帐户锁定策略
计算机配置/策略
/Windows设置/安全设置/
帐户策略/帐户锁定策略
帐户锁定阀值
重置帐户锁定计
数器
5次无效登录
30分钟之后
审核策略
启用屏幕保护程
序
阻止执行首次运
行自定义设置
用户组策略刷新
间隔
阻止访问注册表
编辑工具
删除 Windows
资源管理器的默
认上下文菜单
已禁用
计算机配置/策略
/Windows设置/安全设置/
本地策略/审核策略
用户配置/策略/管理模板
/控制面板/个性化
用户配置/策略/管理模板
/Windows组件/Internet
Explorer
用户配置/策略/管理模板
/系统/组策略
用户配置/策略/管理模板
/系统
用户配置/策略/管理模板
/Windows组件/Windows
资源管理器
用户配置/策略/管理模板
/Windows组件/Windows
资源管理器
已启用
已启用
已启用
直接转到主页
5分钟 5分钟
是
已启用
关闭 Windows+X
热键 已启用
7. 安全性配置
应用服务器安装完成后,为保证使用安全,可按照以下步骤进行设置,具体配置操作如
下:
51/72
天玥运维安全网关V6.0
7.1 禁用IE浏览器开发人员工具
(1)使用管理员administrator登录应用发布服务器,在“开始”->“运行”中输入
“”打开“本地组策略管理器”;
(2)在“本地组策略管理器”中,选择“计算机配置”->“管理模板”“Internet Explorer”
->“工具栏”,启用“关闭开发人员工具”选项,如下图所示。
7.2 去掉“IE选项卡浏览”
➢ 关闭目的
避免用户在使用IE浏览器操作时,新建选项卡访问其他的网页,如图所示
52/72
天玥运维安全网关V6.0
➢ 关闭方法
管理员账号登录应用发布服务器,运行“”打开本地组策略编辑器,依次展
开:用户配置-管理模版-windows组建,点击Internet Explorer选项,在右侧窗口找到“关
闭选项卡浏览”项,如图所示
双击“关闭选项卡浏览”选项对该项进行编辑,将“未配置”改为“已启用”,点击应
用并确定,关闭完成。如图所示
53/72
天玥运维安全网关V6.0
7.3 数据执行保护DEP
管理员账号登录应用发布服务器,右键单击【计算机】,选择【属性】-【高级系统设置】,
在弹出的“系统属性”对话框中单击【高级】选项卡,然后单击该对话框中的【设置】按钮,
弹出“性能选项”对话框,再切换到【数据执行保护】选项卡,选择“仅为基本Windows
程序和服务启用DEP(T)”,如图所示:
54/72
天玥运维安全网关V6.0
图 数据执行保护
7.4 磁盘安全性配置
管理员登录应用发布服务器,选择【开始】-【运行】,然后输入“”命令,
打开【本地组策略编辑器】,如下图所示:
图磁盘安全性配置
图磁盘安全性配置
选择【用户配置】-【管理模板】-【Windows组件】-【Windows资源管理器】,双击右
侧“隐藏‘我的电脑’中的这些指定的驱动器”,设置为【已启用】,并选择驱动器为A、B、
C、D四个,如下图所示:
55/72
天玥运维安全网关V6.0
图磁盘安全性配置
图磁盘安全性配置
同样,再双击选择右侧“防止从‘我的电脑’访问驱动器”,设置为【已启用】,并选择
驱动器为A、B、C、D四个,如下图所示:
56/72
天玥运维安全网关V6.0
图磁盘安全性配置
图磁盘安全性配置
双击选择右侧“隐藏Windows资源管理器上下文菜单上的“管理”项目”,设置为【已
启用】,如下图所示:
57/72
天玥运维安全网关V6.0
图磁盘安全性配置
图磁盘安全性配置
7.5 关闭磁盘映射和剪切板
管理员登录应用发布服务器,选择【开始】-【管理工具】-【服务器管理器】,然后点
开【角色】和【远程桌面服务】前面的加号,选择【RD会话主机配置】,然后双击右侧“RDP-Tcp”,
58/72
天玥运维安全网关V6.0
如下图所示:
图关闭磁盘映射和剪切板
在弹出的对话框中,选择【客户端设置】选项卡,将“禁用以下项目”中的【驱动器】
和【剪切板】打勾(其他项目根据实际情况勾选,建议全选),确定即可,如图所示:
59/72
天玥运维安全网关V6.0
图关闭磁盘映射和剪切板
7.6 指定授权服务器
在RD会话主机配置页面指定授权服务器,双击 “远程桌面授权服务器”。注意:该操
作应该放在应用发布服务器已配置了IP且计算机名称已完成修改的情况下再做,否则该授
权服务器的指定无效。具体配置过程如下图所示:
60/72
天玥运维安全网关V6.0
图 指定授权服务器
在弹出的对话框中,选择【授权】选项卡,然后点击【添加】,可以看到已知许可证服
务器,选中点击【添加】,确定即可,如图所示:
图 指定授权服务器
7.7 管理员密码复杂度修改
为了满足密码复杂度的要求,需要对超级管理员默认密码进行修改,用超级管理员登录
管理界面(堡垒机IP),选中右上角【修改密码】,如下图所示:
61/72
天玥运维安全网关V6.0
在弹出的对话框中,按实际密码策略要求进行密码修改,如图所示:
图修改密码
7.8 禁用命令提示符
管理员账号登录应用发布服务器,运行“”打开本地组策略,依次展开:【用
户配置】-【管理模板】-【系统】,找到【阻止访问命令提示符】,打开之后选择启用并确
定即可。
7.9 administrator密码安全设定
管理员账号登录应用发布服务器,单击【开始】-【管理工具】-【计算机管理】,选择
【系统工具】,依次展开:【本地用户和组】-【用户】-【Administrator】,右键选择“设
置密码”,点击“继续”后设置新密码,将密码位数提高到15位以上。
7.10 关闭 Windows+X 热键
用户正常登录操作过程中,当输入u时,会弹出一个轻松访问中心的界面,从现象上看
像是用户按了“开始+U”热键。
需要在组策略中关闭该项。管理员账号登录应用发布服务器,单击【开始】-【运行】,
输入打开本地组策略编辑器,然后依次选择-【用户配置】-【管理模板】-【Windows
资源管理器】,在右侧窗口找到“关闭Windows热键”项后双击,弹出【关闭Windows热键】
对话框,选择“已启用”项,最后单击【确定】按钮。如下图:
62/72
天玥运维安全网关V6.0
7.11 防止从"我的电脑"访问驱动器
用户配置→ 策略→管理模版→ Windows组件→ Windows资源管理器→防止从“我的电
脑”访问驱动器:已启用 (注意只限制 A,B,C,D 盘符)
7.12 隐藏IE“收藏夹”菜单
用户配置→策略→管理模版→ Windows组件→ Internet Explorer→ 浏览器菜单→隐藏
“收藏夹”菜单:已启用
7.13 使用NTFS系统
应用发布的C盘应该是NTFS格式,其它盘不是请转移数据后,重新格式化为NTFS格式。
63/72
天玥运维安全网关V6.0
7.14 关闭默认共享
运行“”,如下图所示右键停止共享。
7.15 安装防病毒软件
安装微软官方杀毒软件(可从微软官方网站下载)
7.16 管理缺省账号-更改缺省帐户名称
缺省账号应该只有administrator,可以把这个账号名称改了:
控制面板 - 管理工具 - 计算机管理 - 本地用户和组 - 用户
选择Adminstrator,然后右键选择“重命名”,然后输入对应的名称即可。如下:
64/72
天玥运维安全网关V6.0
7.17 关键权限指派安全要求-从网络访问此计算机
65/72
天玥运维安全网关V6.0
backup Operators 和 Everyone可以去掉。
7.18 关键权限指派安全要求-允许本地登录
66/72
天玥运维安全网关V6.0
Backup Operators和Users可以去掉
禁用可远程访问的注册表路径和子路径
把Remote Registry服务设置为禁用并停止。
7.19 防火墙
开启防火墙。
67/72
天玥运维安全网关V6.0
7.20 关闭UAC
打开控制面板,在搜索框中输入uac,然后搜索:
在结果中点击“更改用户账户控制设置”:
选择“从不通知”,然后确定:
68/72
天玥运维安全网关V6.0
7.21 解决portal-DEC/RPC服务枚举问题
(1)单击“开始”——“运行”,输入“dcomcnfg”,单击“确定”,打开组件服务。
(2)在弹出的“组件服务”对话框中,选择“计算机”选项。
69/72
天玥运维安全网关V6.0
(3)在“计算机”选项右边,右键单击“我的电脑”,选择“属性”。
(4)在出现的“我的电脑属性”对话框“默认属性”选项卡中,去掉“在此计算机上启
用分布式COM”前的勾。
70/72
天玥运维安全网关V6.0
(5)选择“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“删除”按钮。
71/72
天玥运维安全网关V6.0
(6)单击“确定”按钮,设置完成,重新启动后即可关闭135端口
72/72
发布评论