用IPSec来安全地安装Windows Server 2003

　　预备知识:IPSec(secpol.msc)

　　前言:

　　这里主要讲一下如何应用IPSec策略来安全地安装2003系统

　　这种方法的意义在于

　　1 不依赖安装盘是否集成hotfix

　　2 即使有新蠕虫出现，也不需要扔掉原来不能与时俱进的集成足够hotfix的安装盘

　　3 xp也可参考这个方法

　　这种方法在2003 SP1出来之后估计暂时就没什么用，估计那时候大家都用集成SP1的安装盘了

　　除非又有新蠕虫是SP1也挡不住了

　　正文:

　　由于冲击波等蠕虫泛滥，没有安装足够的Hotfix的系统在上网之后就会中毒，而我个人又不喜欢集成hotfix，想要从原盘安装好系统，然后去Windows Update，那么如何在没有打任何hotfix的情况下上网又能避开中毒的风险呢?靠运气是不行的。

　　根据以往的经验，没有打补丁的机器一旦上网，在网络条件较好的情况下，几乎即刻就中毒。更极端的情况，即使打开自带的防火墙也不行，因为防火墙是在网卡启用之后才启用的，然而这个时候屏幕上已经显示倒计时的窗口了。

　　所以今天介绍一下用IPSec安全策略来保障没有hotfix之前赤裸裸的Windows Server 2003

　　原理很简单

　　1 用IPSec阻止所有连接，只允许windows update需要的IP段

　　清华大学学生网管会安全中心的SUS服务(166.111.158.89)，或者放过微软官方Windows Update所在的几个IP段

　　2 如果在清华校内，还需要放行166.111.8.*，这是TUNet服务器所在

　　3 Assign某IPSec策略之后，插上网线，重起，等SUS自动下载更新，打完补丁之后，Un-assign此策略

　　4 现在你的Windows Server 2003系统已经是最新的了，应该算安全了

　　具体怎么用其实挺麻烦的，先以阻止所有IP连接为例，里面不解释为什么这么做了，有空自己看IPSec怎么用吧。

　　我的系统是英文的，中文的麻烦自己想想是哪个。

　　按部就班如下：

　　1 打开Administrative Tools下的Local Security Policy，在IP Security Policies on Local Computer上点击右键，选择Manage IP filter lists and filter actions，在Manage IP Filter Lists那一页点击Add以添加一个IP Filter。Name写All Connections，然后点Add，出来IP Filter Wizard，一路Next，其中Source Address是My IP Address，Destination Address是Any IP Address，Protocol则是Any。

　　这样就建立了一条针对所有连接的IP Filter

　　2 打开Administrative Tools下的Local Security Policy，在IP Security Policies on Local Computer上点击右键，选择Manage IP filter lists and filter actions，在Manage Filter Actions那一页点击Add以添加一个Filter Action，出来Filter Action Wizard，Next，Name写Block，Next，action behavior选Block，Next到OK为止。

　　这样建立了一条Block连接的Filter Action

　　3 最关键的一步，在策略里绑定IP Filter与对应的Filter Action，打开Administrative Tools下的Local Security Policy，在IP Security Policies on Local Computer上点击右键，选择Create IP Security Policy，然后Next，Name那里写Block All，一路Next，遇到warning选Yes，最后OK。

　　这样我们就创建了一条策略，叫做Block All。

　　双击Block All这条策略，在Block All Properties窗口中点击Add以添加一个Security Rule，出来Security Rule Wizard，Next到IP Filter List那里选中先前在第一步建立的IP Filter---All Connections。Next，Filter Action里选择先前在第二步建立的Filter Action---Block，然后Next到Finish为止。

　　4 这个时候一个扮黑脸的Security Policy---Block All已经做好了，只要在Block All上点击右键，选择Assign即可阻止“所有”连接(其实不是所有)，选择Un-assign即取消应用策略。

　　5 法外容情，这个时候你该知道怎么做才能放过所需要的连接了，先建立几个IP Filter，遴选你所要放过的连接，比如建一个叫做THUSNS SUS的IP Filter，其中Destination Address选A specific IP Address，IP填166.111.158.89，而至于放行的Filter Action，有现成Permit这么一个Filter Action，只要在Block All这条策略里添加几个自己订制的Security Rule，Permit需要放行的IP Filter即可。

　　再次提醒，清华校内用户需要放过166.111.8.*

　　至于如何编辑组策略以使用清华大学学生网管会的SUS服务，请参考其主页的相关说明。

　　http://security.thusns.org