文章来源:
http://www.microsoft.com/china/technet/security/guidance/secmod127.mspx
系统服务
堡垒主机服务器的工作性质决定了它将暴露在外界的攻击之中。出于此原因,必须最大程度地降低每台堡垒主机的攻击面。为了正确强化堡垒主机服务器,所有不需要的操作系统服务,以及对堡垒主机正常运行没有必要的角色都应该禁用。本指南所引用的 High Security-Bastion Host.inf 安全模板件可以对 BHLP 进行特定配置,以启用 SMTP 堡垒主机服务器正常工作时所需要的服务。BHLP 可以启用 Internet Information Services Manager 服务、HTTP SSL 服务和 SMTP 服务。但是,要启用其他任何功能,必须对 BHLP 进行修改。
众多被禁用的服务将会产生大量的事件日志警告,您可以忽略这些警告。在某些情况下,启用这些服务将会减少事件日志警告和错误消息以及增加堡垒主机的可管理性。但是,这也会增加每台堡垒主机的攻击面。
以下各部分讨论在堡垒主机服务器上应该被禁用的服务,以在降低堡垒主机攻击面的同时保持其功能。这些部分只涉及 High Security-Member Server Baseline.inf 文件中未被禁用的服务。
自动更新
表 3:设置
Automatic Updates 服务使得堡垒主机可以下载并安装重要的 Microsoft Windows® 操作系统更新。此服务将自动为堡垒主机提供最新的更新程序、驱动程序和增强功能。您不必再手动搜索关键的更新和信息;操作系统会将它们直接传送到堡垒主机。操作系统将识别您何时在线,并使用您的 Internet 连接从 Windows Update 服务中搜索可用的更新。根据您的配置设置,该服务会在您下载、安装更新程序之前通知您,或者自动为您安装更新程序。
停止或禁用 Automatic Updates 服务可防止将关键的更新自动下载到计算机。在这种情况下,您必须直接转至位于 http://v4.windowsupdate.microsoft.com/en/default.asp 的 Windows Update 网站,搜索、下载和安装所有可用的关键修补程序。
此服务不是正确操作堡垒主机所必需的。您可以使用本地策略将服务的启动模式设置为只允许管理员访问服务器,以阻止未经授权或怀有恶意的用户对服务进行配置和操作。此外,禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因,应在 BHLP 中将 Automatic Updates 设置配置为“已禁用”。
Background Intelligent Transfer Service
表 4:设置
Background Intelligent Transfer Service (BITS) 是后台文件传输机制和队列管理器。BITS 可在客户端和 HTTP 服务器之间异步传输文件。BITS 接收请求后,会使用空闲的网络带宽传输文件,这样,其他的网络相关活动(例如浏览)将不受影响。
如果停止此服务,将导致服务再次运行之前,某些功能(如 Automatic Update)无法自动下载程序和其他信息。这表明,如果通过“组策略”配置此服务,计算机将不会从软件更新服务 (SUS) 中接收到自动更新。禁用此服务将导致显式依赖于它的所有服务无法传输文件,除非使用可靠机制直接通过 Internet Explorer 等其他方法传输文件。
此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置此服务的启动模式后,将仅对服务器管理员授予访问权限,这样可防止未经授权或恶意用户配置或操作该服务。此外,禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因,在 BHLP 中此服务被禁用。
Computer Browser
表 5:设置
Computer Browser 服务维护网络上的最新计算机列表,并将该列表提供给需要它的程序。Computer Browser 服务由需要查看网络域和资源的 Windows 计算机所使用。被指定为浏览器的计算机对浏览列表进行维护,该列表包括了网络上使用的所有共享资源。早期版本的 Windows 应用程序(例如“网上邻居”)、NET VIEW 命令和 Microsoft Windows NT® 操作系统的资源管理器都需要浏览功能。例如,在运行 Windows 95 的计算机上打开“网上邻居”将显示域和计算机的列表,计算机将通过从指定为浏览器的计算机中获得一份浏览列表来完成此操作。
禁用 Computer Browser 服务将使得浏览器列表无法更新或维护。禁用此服务还将导致任何显式依赖于此服务的服务都失败。
此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后,将仅对服务器管理员授予访问权限,这样可防止未经授权或恶意用户配置或操作该服务。此外,禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因,应在 BHLP 中将 Computer Browser 设置配置为“已禁用”。
DHCP Client
表 6:设置
DHCP Client 服务可用于通过为计算机注册和更新 Internet 协议 (IP) 地址和 DNS 名称,从而管理网络配置。此服务避免了当客户(例如漫游用户)在网络中无目的地游荡时必须手动更改 IP 设置。客户会被自动分配一个新的IP地址,而不考虑它所连接的子网 - 只要动态主机配置协议 (DHCP) 服务器对于每个子网来说都是可访问的。不需要对 DNS 或 Windows Internet 名称服务 (WINS) 手动配置设置。DHCP 服务器会将这些服务设置强加给客户,只要 DHCP 服务器已经做好配置并且可以发出此类信息即可。 要在该客户端上启用此选项,只需选中“自动获得 DNS 服务器地址”选项按钮即可。启用此选项将不会导致因 IP 地址重复而产生的冲突。
停止 DHCP Client 服务将导致您的计算机无法接收到动态的 IP 地址,动态 DNS 更新功能也不会在 DNS 服务器上自动更新 IP 地址。禁用此服务还将导致任何显式依赖于此服务的服务都失败。
此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置此服务的启动模式后,将仅对服务器管理员授予访问权限,这样可防止未经授权或恶意用户配置或操作该服务。此外,禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因,应在 BHLP 中将 DHCP Client 设置配置为“已禁用”。
Network Location Awareness (NLA)
表:设置
Network Location Awareness (NLA) 服务收集并存储网络配置信息(例如 IP 地址和域名更改以及位置更改信息),然后在这些信息发生更改时通知应用程序。
此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后,将仅对服务器管理员授予访问权限,这样可防止未经授权或恶意用户配置或操作该服务。此外,禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因,应在 BHLP 中将 Network Location Awareness (NLA) 设置配置为“已禁用”。
NTLM Security Support Provider
表 8:设置
NTLM Security Support Provider 服务为使用传输器,而不是已命名管道的远程过程调用 (RPC) 程序提供安全保护,并使用户可以使用 NTLM 验证协议登录至网络。NTLM 协议将对不使用 Kerberos v5 验证的客户端进行身份验证。
停止或禁用 NTLM Security Support Provider 服务将禁止使用 NTLM 验证协议登录客户端,或访问网络资源。Microsoft Operations Manager (MOM) 和 Telnet 都依赖于此服务。
此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后,将仅对服务器管理员授予访问权限,这样可防止未经授权或恶意用户配置或操作该服务。此外,禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因,应在 BHLP 中将 NTLM Security Support Provider 设置配置为“已禁用”。
Performance Logs and Alerts
表 9:设置
Performance Logs and Alerts 服务基于预先配置的时间表从本地或远程计算机上采集性能数据,然后将数据写入日志或触发警报。Performance Logs and Alerts 服务将基于指定的日志收集设置中包含的信息来启动和停止每个指定的性能数据集合。至少有一个采集计划,此服务才能运行。
停止或禁用 Performance Logs and Alerts 服务将会导致性能信息未被搜集,当前运行的数据采集也会终止,并且预定的未来采集计划也将不会发生。
此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后,将仅对服务器管理员授予访问权限,这样可防止未经授权或恶意用户配置或操作该服务。此外,禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因,应在 BHLP 中将 Performance Logs and Alerts 设置配置为“已禁用”。
Remote Administration Service
表 10:设置
当服务器重启时,Remote Administration Service 将运行以下远程管理任务:
| • |
增加服务器重启计数。
|
| • |
生成自签名证书。
|
| • |
如果未在服务器上设置日期和事件,则引发警报。
|
| • |
如果未配置电子邮件报警功能,则引发警报。
|
停止 Remote Administration Service 可能会导致远程服务器管理工具的某些功能无法正常工作,例如,用于执行远程管理的 Web 界面。禁用此服务将导致任何显式依赖于此服务的服务都失败。
此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后,将仅对服务器管理员授予访问权限,这样可防止未经授权或恶意用户配置或操作该服务。此外,禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因,应在 BHLP 中将 Remote Administration Service 设置配置为“已禁用”。
Remote Registry Service
表 11:设置
Remote Registry Service 使远程用户可以修改域控制器上的注册表设置(如果远程用户具有所需的权限)。默认情况下,只有 Administrators 和 Backup Operators 组中的用户才可以远程访问注册表。Microsoft Baseline Security Analyzer (MBSA) 实用程序需要使用此服务。MBSA 是一种用来验证要在组织机构内的每个服务器上安装哪些修补程序的工具。
如果停止 Remote Registry Service,则您只能修改本地计算机上的注册表。禁用此服务会导致显式依赖于它的所有服务都失败,但是不会影响本地计算机上的注册表操作。其他的计算机或设备也不会连接至您的本地计算机注册表。
此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后,将仅对服务器管理员授予访问权限,这样可防止未经授权或恶意用户配置或操作该服务。此外,禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因,应在 BHLP 中将 Remote Registry Service 设置配置为“已禁用”。
Server
表 12:设置
Server 服务通过网络提供 RPC 支持、文件、打印和命名管道共享。此服务允许本地资源共享(例如磁盘和打印机),因此网络上的其他用户便可以访问这些共享资源。此外,它还允许运行在其它计算机上的应用程序和您的计算机展开命名管道通信(使用 RPC)。命名管道通信为一个进程的输出保留了一块内存,并以此作为另一个进程的输入。接收输入的进程不需要在本地计算机上运行。
停止 Server 服务将禁止您与网路上的其他用户共享文件和打印机,并且还将无法满足 RPC 请求。禁用此服务还将导致任何显式依赖于此服务的服务都失败。
此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后,将仅对服务器管理员授予访问权限,这样可防止未经授权或恶意用户配置或操作该服务。此外,禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因,应在 BHLP 中将 Server 设置配置为“已禁用”。
TCP/IP NetBIOS Helper Service
表 13:设置
TCP/IP NetBIOS Helper Service 通过 TCP/IP (NetBT) 服务支持网络基本输入/输出系统 (NetBIOS) ,并支持网络上的客户端的 NetBIOS 名称解析;从而使用户可以共享文件、打印和网络登录。TCP/IP(传输控制协议/Internet 协议)NetBIOS Helper Service 通过执行 DNS 名称解析,支持 NetBT 服务。
停止 TCP/IP NetBIOS Helper Service 会禁止 NetBT、Redirector (RDR)、Server (SRV)、Netlogon 和 Messenger 服务客户端共享文件、打印机,并可防止用户登录计算机。例如,基于域的组策略将不再起作用。禁用此服务将导致任何显式依赖于此服务的服务都失败。
此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后,将仅对服务器管理员授予访问权限,这样可防止未经授权或恶意用户配置或操作该服务。此外,禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因,应在 BHLP 中将 TCP/IP NetBIOS Helper Service 设置配置为“已禁用”。
Terminal Services
表 14:设置
Terminal Services 提供一个多会话环境,客户端设备可以在此环境中访问虚拟 Windows 桌面会话和服务器上运行的基于 Windows 的程序。Terminal Services 使用户可以远程管理服务器。
停止或禁用 Terminal Services 会防止远程管理计算机,使得计算机管理和更新非常困难。
此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后,将仅对服务器管理员授予访问权限,这样可防止未经授权或恶意用户配置或操作该服务。此外,禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因,应在 BHLP 中将 Terminal Services 设置配置为“已禁用”。
Windows Installer
表 15:设置
Windows Installer 服务通过应用一系列在安装过程期间集中定义的安装规则,来管理应用程序的安装和删除。这些安装规则定义应用程序的安装和已安装应用程序的配置。此外,此服务还用于修改、修复或删除现有的应用程序。组成此服务的技术包括适用于 Windows 操作系统的 Windows Installer 服务以及 (.msi) 数据包格式文件(用于保存应用程序设置和安装的信息)。
Windows Installer 不仅是一个安装程序,而且还是一个可扩展的软件管理系统。该服务可以管理软件组件的安装、添加和删除、监视文件回弹以及使用回滚功能从灾难事件中恢复基本文件。此外,Windows Installer 服务支持从多个源安装和运行软件,并且可以由要安装自定义应用程序的开发人员自定义。
将 Windows Installer 服务设置为手动会导致使用此安装程序的应用程序启动此服务。
停止此服务将使依赖于此服务的应用程序的安装、删除、修复和修改操作失败。此外,在运行时将用到此服务的大量应用程序可能会无法执行。禁用此服务将导致任何显式依赖于此服务的服务都失败。
此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后,将仅对服务器管理员授予访问权限,这样可防止未经授权或恶意用户配置或操作该服务。此外,禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因,应在 BHLP 中将 Windows Installer 设置配置为“已禁用”。
Windows Management Instrumentation Driver Extensions
表 16:设置
Windows Management Instrumentation Driver Extensions 服务可用来监视为发布 Wmi 而配置的所有驱动程序和事件跟踪提供程序,或者监视事件跟踪信息。
此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后,将仅对服务器管理员授予访问权限,这样可防止未经授权或恶意用户配置或操作该服务。此外,禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因,应在 BHLP 中将 Windows Management Instrumentation Driver Extensions 设置配置为“已禁用”。
WMI Performance Adapter
表 17:设置
WMI Performance Adapter 服务提供来自 WMI HiPerf 提供程序的性能库信息。现在,需要提供性能计数器的应用程序和服务可以采用两种方法实现此目的:通过编写 WMI 高性能提供程序,或者通过编写性能库。
WMI Performance Adapter 服务通过“反向适配器性能库”(Reverse Adapter Performance Library),将“WMI高性能提供程序”提供的性能计数器转换成“性能数据助手”(Performance Data Helper,PDH) 可以引用的计数器。这样一来,PDH 客户端(例如 Sysmon)就可以引用计算机上任何 WMI 高性能提供程序所提供的性能计数器。
如果停止 WMI Performance Adapter 服务,则 WMI 性能计数器将不可用。禁用此服务将导致任何显式依赖于此服务的服务都失败。
此服务不是正确操作堡垒主机所必需的。使用本地策略保护并设置服务的启动模式后,将仅对服务器管理员授予访问权限,这样可防止未经授权或恶意用户配置或操作该服务。此外,禁用此服务将有效减少堡垒主机服务器的攻击面。出于这些原因,应在 BHLP 中将 WMI Performance Adapter 设置配置为“已禁用”。
返回页首
其他安全设置
通过 BHLP 应用的安全设置为堡垒主机服务器提供了大量的增强性安全保护。不过,还是应该考虑其他一些注意事项和过程。这些步骤不能通过本地策略完成,而应该在所有的堡垒主机服务器上手动执行。
在用户权限分配中手动添加唯一的安全组
大多数通过 MSBP 应用的用户权限分配都已经在本指南附带的安全模板中进行了适当的指定。但是,有几个帐户和安全组不能包含于模板中,因为它们的安全标识符 (SID) 特定于各个 Windows 2003 域。以下指定了必须手动配置的用户权限分配。
警告:下表包含内置 Administrator 帐户的值。不要将此帐户与内置 Administrators 安全组相混淆。如果将 Administrators 安全组添加到以下任何拒绝访问用户权限中,则需要在本地登录来更正错误。
此外,内置的 Administrators 帐户可能已根据模块创建 Windows Server 2003 服务器的成员服务器基准中阐述的某些建议进行了重命名。添加 Administrators 帐户时,请确保指定的是重命名后的帐户。
表 18:手动添加的用户权限分配
|
拒绝从网络访问此计算机
|
内置 Administrator;Support_388945a0;Guest;所有非操作系统服务帐户
|
内置 Administrator;Support_388945a0;Guest;所有非操作系统服务帐户
|
内置 Administrator;Support_388945a0;Guest;所有非操作系统服务帐户
|
要点:所有的非操作系统服务帐户包括整个企业范围内用于特定应用程序的服务帐户。这并不包括操作系统所使用的内置式帐户:LOCAL SYSTEM、LOCAL SERVICE 或 NETWORK SERVICE。
删除不必要的网络协议和绑定
为了避免用户枚举的威胁,应该在通过 Internet 可直接访问的服务器(特别是堡垒主机服务器)上禁用所有不必要的协议。用户枚举是一种信息搜集暴露类型,攻击者试图使用它获得系统特有的信息,然后计划下一步的攻击。
服务器消息块 (SMB) 协议将返回有关一台计算机的大量信息,甚至对使用“null”会话的未经授权的用户也是如此。可以检索的信息包括共享、用户信息(包括组和用户权限)、注册表项等等。
禁用 SMB 和 TCP/IP 上的 NetBIOS,可以大大降低服务器的攻击面,从而保护堡垒主机。虽然该配置下的服务器更加难于管理,并且无法访问网络上的共享文件夹,但这些措施可以有效保护服务器免予轻易受到损害。因此,本指南建议在可以通过 Internet 进行访问的堡垒主机服务器上,禁用网络连接的 SMB 或者 TCP/IP 上的 NetBIOS。
| • |
要禁用 SMB,请执行下列操作:
|
1.
|
在“控制面板”中,双击“网络连接”。
|
|
2.
|
右键单击 Internet 类型连接,然后单击“属性”。
|
|
3.
|
在“属性”对话框中,选择“Microsoft 网络客户端”,然后单击“卸载”。
|
|
4.
|
按照卸载步骤指示进行。
|
|
5.
|
选择“Microsoft 网络的文件和打印机共享”,然后单击“卸载”。
|
|
6.
|
按照卸载步骤指示进行。
|
|
| • |
要禁用 TCP/IP 上的 NetBIOS,请执行下列操作:
|
1.
|
在“控制面板”中,双击“系统”,再单击“硬件”选项卡,然后单击“设备管理器”按钮。
|
|
2.
|
在“查看”菜单中,单击“显示隐藏的设备”。
|
|
3.
|
展开“非即插即用驱动程序”。
|
|
4.
|
右键单击“NetBios over Tcpip”,然后单击“停用”。
|
|
此过程会禁用 TCP/445 和 UDP 445 端口上的 SMB 直接主机侦听程序。
注意:此过程将禁用 nbt.sys 驱动程序。“高级 TCP/IP 设置”对话框的“WINS”选项卡包含“禁用 TCP/IP over NetBIOS”选项。选择此选项将仅禁用“NetBIOS 会话服务”(在 TCP 端口 139 上侦听)。这样做并不会完全禁用 SMB。若要执行此操作,请使用以上步骤。
保护众所周知的帐户
Windows Server 2003 具备大量的内置用户帐户,这些帐户不能删除,但可以重命名。Windows 2003 中的两个最为人熟知的内置帐户为“Guest”和“Administrator”。
默认情况下,服务器上的 Guest 帐户是禁用的,而且不应被修改。内置的 Administrator 帐户应该被重命名,并且改变描述,以阻止攻击者从远程服务器使用该帐户进行攻击。
在首次尝试攻击服务器时,许多恶意代码的变种使用内置的 administrator 帐户。在近几年来,进行上述重命名配置的意义已经大大降低了,因为出现了很多新的攻击工具,这些工具企图通过指定内置 Administrator 帐户的安全标识 (SID) 来确定该帐户的真实姓名,从而侵入服务器。SID 是用来唯一标识网络上的每个用户、用户组、计算机帐户和登录会话的值。此内置帐户的 SID 不可能更改。将本地管理员帐户重命名为唯一的名称,可便于操作组监视对此帐户的攻击。
| • |
要保护堡垒主机服务器上众所周知的帐户,请执行下列操作:
|
1.
|
重命名 Administrator 和 Guest 帐户,然后将其在每台服务器上的密码设成一个长且复杂的值。
|
|
2.
|
在每个服务器上使用不同的名称和密码。如果在所有的服务器上都使用相同的帐户名和密码,那么获得一台服务器访问权限的攻击者就能使用相同的帐户名和密码来访问其他所有服务器。
|
|
3.
|
将帐户说明更改为不同于默认说明的内容,从而避免使用简单的帐户标识。
|
|
4.
|
将这些更改记录到一个安全的位置。
|
|
Error Reporting
表 19:设置
Error Reporting 服务将帮助 Microsoft 跟踪和查找错误。您可以将此服务配置为给操作系统错误、Windows 组件错误或程序错误生成报告。启用后,Error Reporting 服务将把这些错误通过 Internet 报告给 Microsoft,或者报告给内部企业文件共享。
此设置仅在 Windows XP Professional 和 Windows Server 2003 上可用。在组策略对象编辑器中配置此设置的路径是:
计算机配置\管理模板\系统\错误报告。
错误报告很可能包含敏感或机密的公司数据。Microsoft 关于错误报告的隐私政策保证 Microsoft 不会不适当地使用这些数据,但是这些数据使用明文形式的超文本传输协议 (HTTP) 传送,这就有可能被 Internet 上的第三方截获或者查看。出于这些原因,本指南建议在所定义的三种安全环境下,在 DCBP 中将“Error Reporting”设置配置为“已禁用”。
使用 IPSec 过滤器阻塞端口
Internet 协议安全 (IPSec) 过滤器可以提供提高服务器所需安全级别的有效方法。本指南建议在所定义的高安全性环境中使用此选项,以便进一步减少服务器的攻击面。
有关使用 IPSec 过滤器的详细信息,请参阅模块其他成员服务器强化过程。
下表列出了应在本指南定义的高安全性环境中的 SMTP 堡垒主机上创建的所有 IPSec 过滤器。
表 20:SMTP 堡垒主机 IPSec 网络流量图
|
SMTP Server
|
TCP
|
所有
|
25
|
所有
|
ME
|
允许
|
是
|
|
DNS 客户端
|
TCP
|
所有
|
53
|
ME
|
DNS 服务器
|
允许
|
是
|
|
DNS 客户端
|
UDP
|
所有
|
53
|
ME
|
DNS 服务器
|
允许
|
是
|
|
All Inbound Traffic
|
所有
|
所有
|
所有
|
所有
|
ME
|
阻止
|
是
|
实施上表中列出的所有规则时,都应进行镜像。这样可以保证任何进入服务器的网络流量也可以返回到源服务器。
上表表示服务器要想完成特定角色的功能而应当打开的基本端口。如果服务器具有静态 IP 地址,则这些端口是足够了。
警告:这些 IPSec 过滤器施加的限制非常严格,会显著降低这些服务器的可管理性。您需要打开其他的端口才能启用监视、修补管理和软件更新功能。
IPSec 策略的实施不应该对服务器的性能产生显著影响。但是,在实施这些过滤器前还是应该进行测试,以验证服务器是否仍然可以维持必要的功能和性能。要支持其他应用程序,可能还需要添加其他规则。
本指南包含一个 .cmd 文件,该文件简化了依照指南要求为域控制器创建 IPSec 过滤器的过程。PacketFilters-SMTPBastionHost.cmd 文件使用 NETSH 命令创建适当的过滤器。
此脚本不会创建持久过滤器。因此,IPSec 策略代理启动之前,服务器处于无保护状态。有关构建持久过滤器或创建高级 IPSec 过滤器脚本的详细信息,请参阅模块其他成员服务器强化过程。最后,此脚本被配置为不分配它所创建的 IPSec 策略。IP 安全策略管理单元可用来检查所创建的 IPSec 过滤器,并且分配 IPSec 策略以便让其生效。