表4

公钥策略设置包括：计算机自动将证书请求提交到企业证书颁发机构并安装颁发的证书，这对确保计算机拥有在本组织中执行公钥加密操作所需的证书非常有用，例如用于IP安全或客户身份验证；创建和发布证书信任列表，证书信任列表是根证书颁发机构的证书的签名列表，如果要使证书颁发机构的证书对于IP安全可信，但是对于客户身份验证不可信，则证书信任列表是实现该信任关系的途径；建立常见的受信任的根证书颁发机构，该策略设置对于使计算机和用户服从常见的根证书颁发机构（除了已经单独信任的机构）非常有用；添加加密数据恢复代理，并更改加密数据恢复策略设置。当在证书颁发机构中建立信任、给计算机颁发证书和部署加密文件系统 (EFS) 时，这些设置可以增加灵活性和可控制性。

IP安全策略为与别的计算机进行安全通讯定义和管理 IPSec（网际协议安全）策略。系统管理员可以配置多种 IPSec 策略，从单台计算机到 Active Directory 域、站点或组织单位，在大多数已有网络域中，可以配置这些策略为众多交通类型提供各种级别的保护。由于IP安全策略较为抽象，笔者将详细介绍一个配置实例，以加深大家的理解。

我们知道黑客大多通过端口进行入侵，所以服务器应该只开放所需要的端口，那么需要哪些端口呢？以下这些常用端口，可根据需要取舍：80为Web网站服务；21为FTP服务；25为E-mail SMTP服务；110为Email POP3服务；其他还有SQL Server的端口1433等，那些不用的端口需要关闭。关闭这些端口，我们就可以通过IP安全策略进行。

在域安全策略控制台上，右击[IP安全策略]，选择[创建IP安全策略]，点[下一步]，输入安全策略的名称“安全”，点[下一步]，一直到完成，这样就创建了一个安全策略，如图2。

 

图2

接着右击[IP安全策略]，进入[管理IP筛选器和筛选器操作]，在管理IP筛选器列表中，你可以添加要封锁的端口，这里以关闭ICMP服务和木马程序常用的113端口为例说明。

关闭了ICMP，黑客软件如果没有强制扫描功能就不能扫描到你的机器，也Ping不到你的机器。关闭ICMP的具体操作如下：点[添加]，然后在名称中输入“关闭ICMP”，点右边的[添加]，再点[下一步]。在源地址中选“任何IP地址”，点[下一步]。在目标地址中选择“我的IP地址”，点[下一步]。在协议中选择“ICMP”，点[下一步]。关闭ICMP属性窗口，即关闭了ICMP。

我们再设置关闭113端口，同样在管理IP筛选器列表中点[添加]，名称设置为“关闭113”，点右边的[添加]，点[下一步]。在源地址中选择“任何IP地址”，点[下一步]。在目标地址中选择“我的IP地址”，点[下一步]。在协议中选择“TCP”，点[下一步]。在设置IP协议端口中选择“从任意端口到此端口”，在此端口中输入113，点[下一步]，完成关闭113端口，其他的端口也可以同样设置，结果如图3。

图3

然后进入管理筛选器操作设置，点[添加]，点[下一步]，在名称中输入“拒绝”，点[下一步]，选择“阻止”，点[下一步]，结果如图4。

图4

然后关闭该属性页，右击新建的IP安全策略“安全”，打开属性页。在规则中选择“添加”，点[下一步]。选择“此规则不指定隧道”，点[下一步]。在选择网络类型中选择“所有网络连接”，点[下一步]。在IP筛选器列表中选择“关闭ICMP”，点[下一步]。在筛选器操作中选择“拒绝”，点[下一步]。这样就将“关闭ICMP”的筛选器加入到名为“安全”的IP安全策略中。同样的方法，还可以将“关闭113”等其他筛选器加入进来。添加后的结果如图5。

 

图5

最后要做的是指派该策略，只有指派后，它才起作用。方法是右击“安全”，在菜单中选择“所有任务”，选择“指派”。IP安全设置到此结束，我们可根据自己的实际情况，设置相应的策略，关闭相应的机器、端口和协议。(责任编辑：南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网）