东北网
首页黑龙江民生国内社会娱乐评论购风尚
视频东北网视专题国际法治体育理论龙E邮
生活健康医药餐饮食品汽车房产旅游动漫手机IT龙文化
教育龙版网博览寒地知青金融企业经贸彩信影像北大荒
女性亲子
论坛博客
报料热线
哈尔滨齐齐哈尔牡丹江佳木斯大庆鸡西双鸭山伊春七台河鹤岗绥化黑河大兴安岭
即时新闻:
 雅虎新任CEO巴茨招开记者会 上任首日现"强势" 印政府为萨蒂扬任命新董事会 原董事长被逮捕 消费者持币待3G 2G手机节前要跳水 2008年日本视频游戏市场4年来首次萎缩 亚信将于2月12日发布第四季度财报 活动再开 宏碁HD3470独显AS4730ZG+礼 中星微与天津经济技术开发区组建合资企业 厦华电子08年扭亏无望 09年5月或被迫退市 网易有道推购物搜索服务 “购物前,有道先” 1月6日早盘中国概念股涨跌互现 中芯涨2.83%
 
作者:    来源: 中关村在线     编辑: 范洪轩
9大方法让你打造安全的Win Server 2008
http://it.dbw.cn   2008-10-15 10:11:08
 

  目前,许多企业都将微软的Windows平台作为自己的首选平台。而最近随着Windows Server 2008的发布,越来越多的企业正在打算升级到这个新版服务器操作系统上。事实上,根据行业咨询机构IDC的预测,到今年年底,整个世界范围内Windows Server 2008的安装数量将会达到350多万。

  随着企业对于利用Windows平台运行关键业务应用的依赖日益增加,Windows平台的安全性、可用性的重要性也就不言而喻了。毕竟,在目前竞争日益激烈的条件下,系统崩溃给企业带来的影响可能是灾难性的,所以如何有效地管理Windows服务器成为了企业IT部门一项非常紧迫的事情。幸运地是,有一些行之有效的工具和服务能够帮助企业管理自己的服务器欢迎,最大化并维护自己在Windows环境下所做的投资,即使他们选择迁移到Windows Server 2008 。

  Windows Server 2008可说是迄今为止最健壮的Windows Server操作系统,它的所有功能都是围绕着为企业业务和应用提供一个更加坚实的基础平台这样一个目标设计的。Windows Server 2008全新的可用性、虚拟化、安全性和管理能力可以帮助信息技术(IT)专业人员最大限度地控制和管理其基础设施。

  例如, Windows Server 2008引入了Windows PowerShell技术。Windows PowerShell是一个命令行外壳和脚本系统管理工具。PowerShell是一款基于对象的shell,建立在.Net框架之上,能够同时支持WMI, COM, ADO.NET, ADSI等已有的Windows管理模型。此外,它还包含130多个工具。这样的一个开发和管理环境使得IT部门更容易控制和自动化重复的系统管理任务。

  此外,Windows Server 2008新的服务器管理器(Server Manager)只有一个单一的控制面板,这给管理员带来了极大的方便,管理员可以轻松的安装、配置和管理服务器角色和Windows Server 2008的功能。

  由于Windows Server 2008的这些改进,许多企业都迫不及待地想要迁移到这个更加强大的业务平台上。正因为这样,对于升级的Windows环境提供争取的保护措施成为了企业IT部门最紧迫的任务。为了保持企业业务的连续性,IT部门必须能够找到一种有效的解决方案,不仅能够恢复数据、系统和应用,同时还能支持和整合Windows Server 2008的新功能。

  1.在系统安装过程中进行安全性设置

  要创建一个强大并且安全的服务器必须从一开始安装的时候就注重每一个细节的安全性。新的服务器应该安装在一个孤立的网络中,杜绝一切可能造成攻击的渠道,直到操作系统的防御工作完成。

  在开始安装的最初的一些步骤中,你将会被要求在FAT(文件分配表)和NTFS(新技术文件系统)之间做出选择。这时,你务必为所有的磁盘驱动器选择NTFS格式。FAT是为早期的操作系统设计的比较原始的文件系统。NTFS是随着Windows NT的出现而出现的,它能够提供了一FAT不具备的安全功能,包括存取控制清单(Access Control Lists 、ACL)和文件系统日志(File System Journaling),文件系统日志记录对于文件系统的任何改变。接下来,你需要安装最新的Service Pack ( SP2 )和任何可用的热门补丁程序。虽然Service Pack中的许多补丁程序相当老了,但是它们能够修复若干已知的能够造成威胁的漏洞,比如拒绝服务攻击、远程代码执行和跨站点脚本。

  2.配置安全策略

  安装完系统之后,你就可以坐下来做一些更细致的安全工作。提高Windows Server 2003免疫力最最简单的方式就是利用服务器配置向导(Server Configuration Wizard 、SCW),它可以指导你根据网络上服务器的角色创建一个安全的策略。

  SCW与配置服务向导(Configure Your Server Wizard)是不同的。SCW不安装服务器组件,但监测端口和服务,并配置注册和审计设置。SCW并不是默认安装的,所以你必须通过控制面板的添加/删除程序窗口来添加它。选择“添加/删除Windows组件”按钮并选择“安全配置向导”,安装过程就自动开始了。一旦安装完毕,SCW就可以从“管理工具”中访问。

  通过SCW创建的安全策略是XML文件格式的,可用于配置服务、网络安全、特定的注册表值、审计策略,甚至如果可能的话,还能配置IIS。通过配置界面,可以创建新的安全策略,或者编辑现有策略,并将它们应用于网络上的其它服务器上。如果某个操作创建的策略造成了冲突或不稳定,那么你可以回滚该操作。

  SCW涵盖了Windows Server 2003安全性的所有基本要素。运行该向导,首先出现的是安全配置数据库(Security Configuration Database),其中包含所有的角色、客户端功能、管理选项、服务和端口等等信息。SCW还包含广泛的应用知识知识库。这意味着当一个选定的服务器角色需要某个应用时---客户端功能比如自动更新或管理应用比如备份--- Windows防火墙就会自动打开所需要的端口。当应用程序关闭时,该端口就会自动被阻塞。

  网络安全设置、注册表协议以及服务器消息块(Server Message Block、SMB)签名安全增加了关键服务器功能的安全性。对外身份验证(Outbound Authentication)设置决定了连接外部资源时所需要的验证级别。

  SCW的最后一步与审计策略有关。默认情况下,Windows Server 2003只审计成功的活动,但是对于一个加强版的系统来说,成功和失败的活动都应该被审计并记入日志。一旦向导执行完成后,所创建的安全策略就保存在一个XML中,并且立刻就能被服务器所使用,或者供日后使用,甚至还能被其它服务器使用。在服务器安装过程中没有进行第一步强化过程的服务器也能安装SCW。

  3.为物理机器和逻辑元件设定适当的存取控制权限

  从你按下服务器的电源按钮那一刻开始,直到操作启动并且所有服务都活跃之前,威胁系统的恶意行为依然有机会破坏系统。除了操作系统操作系统以外,一台健康的服务器开始启动时应该具备密码保护的BIOS /固件。此外,就BIOS而言,服务器的开机顺序应当被正确设定,以防从未经授权的其它介质启动。

  在启动电脑后,立刻按下F2键,这样你就进入了进入BIOS设置页面。你可以使用Alt-P在BIOS的各个设置标签上来回移动。在启动顺序(Boot Order)标签页上,设置服务器启动首选项为内部硬盘(Internal HDD)。在系统安全(Boot Order)标签页上,硬盘密码有三种选项可供选择:Primary、Administrative和Hard。

  同样,自动运行外部介质的功能包括光碟、DVD和USB驱动器,应该被禁用。在注册表,进入路径HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom(或其他设备名称)下,将Autorun的值设置为0。自动运行功能有可能自动启动便携式介质携带的恶意应用程序。这是安装特洛伊木马(Trojan)、后门程序(Backdoor)、键盘记录程序(KeyLogger)、窃听器(Listener)等恶意软件的一种简单的方法(如图4所示) 。

  下一道防线是有关用户如何登录到系统。虽然身份验证的替代技术,比如生物特征识别、令牌、智能卡和一次性密码,都是可以用于Windows Server 2003用来保护系统,但是很多系统管理员,无论是本地的还是远程的,都使用用户名和密码的组合作为登陆服务器的验证码。不过很多时候,他们都是使用缺省密码,这显然是自找麻烦(请不要再使用确实的@55w0rd了!) 。

  上面这些注意点都是很显然的。但是,如果你非要使用密码的话,那么最好采用一个强壮的密码策略:密码至少8个字符那么长,包括英文大写字母、数字和非字母数字字符。此外,你最好定期改变密码并在特定的时期内不使用相同的密码。

  一个强壮的密码策略加上多重验证(Multifactor Authentication),这也仅仅只是一个开始。多亏了NTFS提供的ACL功能,使得一个服务器的各个方面,每个用户都可以被指派不同级别的访问权限。文件访问控制打印共享权限的设置应当基于组(Group)而不是“每个人(Everyone)”。这在服务器上是可以做到的,或者通过Active Directory。

  确保只有一个经过合法身份验证的用户能访问和编辑注册表,这也很重要。这样做的目的是限制访问这些关键服务和应用的用户人数。

  4.禁用或删除不需要的帐户、端口和服务

  在安装过程中,三个本地用户帐户被自动创建---管理员(Administrator)、来宾(Guest)、远程协助账户(Help-Assistant,随着远程协助会话一起安装的)。管理员帐户拥有访问系统的最高权限。它能指定用户权限和访问控制。虽然这个主帐户不能被删除,但是你应该禁用或给它重新命名,以防被轻易就被黑客盗用而侵入系统。正确的做法是,你应该为某个用户或一个组对象指派管理员权限。这就使得黑客更难判断究竟哪个用户拥有管理员权限。这对于审计过程也是至关重要的。想象一下,如果一个IT部门的每一个人都可以使用同一个管理员账户和密码登录并访问服务器,这是一个多么重大的安全隐患啊。最好不要使用管理员帐户了。

  同样地,来宾账户和远程协助账户为那些攻击Windows Server 2003的黑客提供了一个更为简单的目标。进入“控制面板”---“管理工具”---“计算机管理”,右键单击你想要改变的用户帐户,选择“属性”,这样你就可以禁用这些账户。务必确保这些账户在网络和本地都是禁用的。

  开放的端口是最大的潜在威胁,Windows Server 2003有65535个可用的端口,而你的服务器并不需要所有这些端口。SP1中包含的防火墙允许管理员禁用不必要的TCP和UDP端口。所有的端口被划分为三个不同的范围:众所周知的端口(0-1023)、注册端口(1024-49151)、动态/私有端口(49152-65535)。众所周知的端口都被操作系统功能所占用;而注册端口则被某些服务或应用占用。动态/私有端口则是没有任何约束的。

  如果能获得一个端口和所关联的服务和应用的映射清单,那么管理员就可以决定哪些端口是核心系统功能所需要的。举例来说,为了阻止任何Telnet或FTP传输路径,你就可以禁用与这两个应用相关的通讯端口。同样地,知名软件和恶意软件使用那些端口都是大家所熟知的,这些端口可以被禁用以创造一个更加安全的服务器环境。最好的做法是关闭所有未用的端口。要找到服务器上的那些端口是开发状态、监听状态还是禁用状态,使用免费的Nmap工具(www.nmap.org或www.insecure.org )是一个比较简单高效的方式。默认情况下,SCW关闭所有的端口,当设定安装策略的时候再打开它们。

  增强服务器免疫力最有效的方法是不安装任何与业务不相关的应用程序,并且关闭不需要的服务。虽然在服务器上安装一个电子邮件客户端或生产力工具可能会使管理员更方便,但是,如果不直接涉及到服务器的功能,那么你最好不要安装它们。在Windows Server 2003上,有100多个服务可以被禁用。举例来说,最基础的安装包含DHCP服务。不过,如果你不打算利用该系统作为一个DHCP服务器,禁用tcpsvcs.exe将阻止该服务的初始化和运行。请记住,并非所有的服务都是可以禁用的。举例来说,虽然远端过程调用(Remote Procedure Call、RPC)服务可以被Blaster蠕虫所利用,进行系统攻击,不过它却不能被禁用,因为RPC允许其它系统过程在内部或在整个网络进行通讯。为了关闭不必要的服务,你可以通过“控制面板”的“管理工具菜单”访问“服务”接口。双击该服务,打开“属性”对话框,在“启动类型框”中选择“禁用”。



 
相 关 新 闻
·改善谷歌浏览器Chorme使用性能的几个小技巧
·暑期二手市场PK谈 是洋垃圾还是靓宝贝
·葡萄叶子:谈谈笔记本的选购
·葡萄叶子:购买笔记本开箱注意事项
·炎炎夏日 显卡降频大作战
评测 更多
  Intel带着“扣肉爱妻”走入了我们的视线。新平台更替总是会带给我们很多惊喜。同时,很多旧有产品都要更......详细
 
  认证这个词相信对广大消费者来说并不陌生,在现实生活中,大大小小的认证多不胜数,比如,公民要有身份......详细
 
导购 更多
  08年,液晶显示器创造了一个又一个奇迹,令我们对09年的液晶市场充满一丝期待。而09年刚刚开始一周,市......详细
 
  时尚科技,动感音乐,尽在PNY。据悉, PNY(美商必恩威)将于2009年春节前夕,推出了以超人气偶像歌手周杰......详细
 
新品秀场 硬件赏析 SHOWGIRL 影像
世界最强手感人体工学...
AOC 511Vwb获中国设计2...
有趣MOD:优盘披上键盘...
特异:USB精油香薰加热...
国外mod作品赏析(9)...
国外mod作品赏析(8)...
国外mod作品赏析(7)...
国外mod作品赏析(6)...
模拟地带最新资源 PSP NDS EMU 汉化
 
论坛登陆
用户名:
密 码:
频道主编:范洪轩 联系邮箱:it囧dbw.cn(请将囧改为@) QQ:14666938 电话:0451-87116815
Copyright 2001-2007 NORTHEAST.CN All Rights Reserved.