九种方式打造安全的Win Server 2008

要创建一个强大并且安全的 服务器必须从一开始安装的时候就注重每一个细节的安全性。新的 服务器应该安装在一个孤立的 网络中,杜绝一切可能造成 攻击的渠道,直到操作系统的防御工作完成。

在开始安装的最初的一些步骤中,你将会被要求在FAT( 文件分配表)和NTFS(新 技术 文件系统)之间做出选择。这时,你务必为所有的磁盘驱动器选择NTFS格式。FAT是为早期的操作系统设计的比较原始的 文件系统。NTFS是随着 NT的出现而出现的,它能够提供了一FAT不具备的安全 功能,包括存取控制清单(Access Control Lists 、ACL)和 文件系统日志(File System Journaling), 文件系统日志记录对于 文件系统的任何改变。接下来,你需要安装最新的Service Pack ( SP2 )和任何可用的热门补丁 程序。虽然Service Pack中的许多补丁 程序相当老了,但是它们能够修复若干已知的能够造成威胁的 漏洞,比如拒绝服务攻击、远程代码执行和跨站点脚本。

安装完系统之后,你就可以坐下来做一些更细致的安全工作。提高Windows Server 2003免疫力最最简单的方式就是利用服务器配置向导(Server Configuration Wizard 、SCW),它可以指导你根据网络上服务器的角色创建一个安全的策略。

SCW与配置服务向导(Configure Your Server Wizard)是不同的。SCW不安装服务器组件,但监测 端口和服务,并配置注册和审计设置。SCW并不是默认安装的,所以你必须通过控制面板的添加/删除程序窗口来添加它。选择“添加/删除Windows组件”按钮并选择“安全配置向导”,安装过程就 自动开始了。一旦安装完毕,SCW就可以从“ 管理 工具 ”中访问。

通过SCW创建的安全策略是XML文件格式的,可用于配置服务、网络安全、特定的 注册表值、审计策略,甚至如果可能的话,还能配置 IIS。通过配置界面,可以创建新的安全策略,或者编辑现有策略,并将它们 应用于网络上的其它服务器上。如果某个操作创建的策略造成了冲突或不稳定,那么你可以回滚该操作。

SCW涵盖了Windows Server 2003安全性的所有基本要素。运行该向导,首先出现的是安全配置 数据库(Security Configuration Database),其中包含所有的角色、客户端功能、管理选项、服务和端口等等信息。SCW还包含广泛的应用知识知识库。这意味着当一个选定的服务器角色需要某个应用时---客户端功能比如自动更新或管理应用比如备份--- Windows 防火墙就会自动打开所需要的端口。当应用程序关闭时,该端口就会自动被阻塞。

网络安全设置、注册表协议以及服务器消息块(Server Message Block、SMB)签名安全增加了关键服务器功能的安全性。对外身份验证(Outbound Authentication)设置决定了连接外部 资源时所需要的验证级别。

SCW的最后一步与审计策略有关。默认情况下,Windows Server 2003只审计成功的活动,但是对于一个加强版的系统来说,成功和失败的活动都应该被审计并记入日志。一旦向导执行完成后,所创建的安全策略就保存在一个 XML中,并且立刻就能被服务器所使用,或者供日后使用,甚至还能被其它服务器使用。在服务器安装过程中没有进行第一步强化过程的服务器也能安装SCW。

从你按下服务器的电源按钮那一刻开始,直到操作启动并且所有服务都活跃之前,威胁系统的恶意行为依然有机会破坏系统。除了操作系统操作系统以外,一台健康的服务器开始启动时应该具备 密码保护的BIOS /固件。此外,就BIOS而言,服务器的开机顺序应当被正确设定,以防从未经授权的其它介质启动。

在启动 电脑后,立刻按下F2键,这样你就进入了进入BIOS设置页面。你可以使用Alt-P在BIOS的各个设置标签上来回移动。在启动顺序(Boot Order)标签页上,设置服务器启动首选项为内部 硬盘(Internal HDD)。在系统安全(Boot Order)标签页上, 硬盘密码有三种选项可供选择:Primary、Administrative 和Hard。

同样,自动运行外部介质的功能包括光碟、DVD和USB驱动器,应该被禁用。在注册表,进入路径 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Cdrom(或其他设备名称)下,将 Autorun的值设置为0。自动运行功能有可能自动启动便携式介质携带的恶意应用程序。这是安装特洛伊 木马(Trojan)、 后门程序(Backdoor)、键盘记录程序(KeyLogger)、窃听器(Listener)等恶意 软件的一种简单的方法(如图4所示) 。

下一道防线是有关 用户如何登录到系统。虽然身份验证的替代技术,比如生物特征识别、令牌、智能卡和一次性密码,都是可以用于Windows Server 2003用来保护系统,但是很多系统管理员,无论是本地的还是远程的,都使用 用户名和密码的组合作为登陆服务器的验证码。不过很多时候,他们都是使用缺省密码,这显然是自找麻烦 。

上一页12 3 4 下一页

(0)

相关推荐

  • win server 2008 R2升级到windows 2012如何迁移Alwayson AG

    Windows cluster要求同一个cluster中的所有windows版本都是相同的,这样就出现一个问题,当我们要将对windows进行升级时,(例如从windows 2008 R2升级到win ...

  • Windows Server 2008 R2的八大优势

    Windows Server 2008 R2是微软服务器操作系统的下一代版本,功能和特性上都基于现有的Windows Server 2008,并进一步得到了增强和完善。该系统开发代号Windows S ...

  • Windows server 2008 r2的本地默认端口禁用方法

    win server 2008 r2的默认端口禁用方法. 通过命令"netstat -an"可以知道系统当前监听的端口.在Windows server 2008系统上,有两种途经可 ...

  • Windows Server 2008 R2中IIS 7.5的改进

    根据微软的路线图,下一代服务器操作系统Windows Server 2008 R2的正式版将在2010年发布。虽说微软将Win Server 2008 R2独立出来,作为继Win 2008后的下一代服 ...

  • windows8系统账号自动登录默认设置2种方式

    Windows 8账号自动登录 默认设置,“当你重启电脑,任何之前对任务栏作出的自定义设置都会被重设到默认设置,这个问题是由于一个Windows explorer和taskhost.exe之间的运行问 ...

  • 电脑文件夹删除不掉的九种处理办法

    电脑文件夹删除不掉不但占用空间,而且烦人,现在介绍九种电脑文件夹删除不掉的处理办法。总有一条适合您的要求,解除烦恼。 一、常规解决办法 1.注消或重启电脑,然后再试着删除。 2.进入“安全模式删除”。 ...

  • win7系统安装打印机(光盘安装/网络下载)两种方式图文教程

    打印机作为目前企业办公必用设备,很多上班族都会接触点,对于不少小白朋友来说,可能觉得打印机安装很复杂,其实不然。打印机安装其实和安装其他一些电脑外设一样,只要熟悉都可以轻松入手,菜鸟朋友只要了解步骤, ...

  • win8关机的常见四种方式介绍

    本文针对于初次使用WIN8系统的新手用户,刚安装好win8后,由于没有传统的"开始"菜单 很多用户对win8的系统还不习惯,不知道win8怎么关机的操作步骤;下面简单介绍win8怎么关机的常见四种方式 ...

  • 换种方式看微博 热辣好图尽在美图多多

    电影《泰坦尼克号》3D版来了、CBA总冠军赛现场的落泪姐红了、自杀式毕业照太雷了….各种够热够High的信息、图片每天都在充斥着我们的视觉和听觉。信息阅读可以靠浏览器搜索,热辣好图你又是在用什么方式更 ...