安裝服務器的時候只有注重每個細節才能打造出一個強大有安全的服務器,而且新的服務器一般都是安裝在孤立的網絡里以此來完成操作系統的防御工作。那么Win Server 2008的安全該如何打造?
在開始安裝的最初的一些步驟中,你將會被要求在FAT( 文件分配表)和NTFS(新 技術 文件系統)之間做出選擇��。這時��,你務必為所有的磁盤驅動器選擇NTFS格式。FAT是為早期的操作系統設計的比較原始的 文件系統。NTFS是隨著 NT的出現而出現的����,它能夠提供了一FAT不具備的安全 功能����,包括存取控制清單(Access Control Lists 、ACL)和 文件系統日志(File System Journaling), 文件系統日志記錄對于 文件系統的任何改變。接下來�����,你需要安裝最新的Service Pack ( SP2 )和任何可用的熱門補丁 程序��。雖然Service Pack中的許多補丁 程序相當老了,但是它們能夠修復若干已知的能夠造成威脅的 漏洞�����,比如拒絕服務攻擊�����、遠程代碼執行和跨站點腳本����。
安裝完系統之后�����,你就可以坐下來做一些更細致的安全工作���。提高Windows Server 2003免疫力最最簡單的方式就是利用服務器配置向導(Server Configuration Wizard ���、SCW)���,它可以指導你根據網絡上服務器的角色創建一個安全的策略�。
SCW與配置服務向導(Configure Your Server Wizard)是不同的。SCW不安裝服務器組件,但監測 端口和服務���,并配置注冊和審計設置。SCW并不是默認安裝的,所以你必須通過控制面板的添加/刪除程序窗口來添加它。選擇“添加/刪除Windows組件”按鈕并選擇“安全配置向導”,安裝過程就 自動開始了�����。一旦安裝完畢��,SCW就可以從“ 管理 工具 ”中訪問。
通過SCW創建的安全策略是XML文件格式的��,可用于配置服務����、網絡安全、特定的 注冊表值�、審計策略�����,甚至如果可能的話,還能配置 IIS����。通過配置界面���,可以創建新的安全策略����,或者編輯現有策略��,并將它們 應用于網絡上的其它服務器上�����。如果某個操作創建的策略造成了沖突或不穩定,那么你可以回滾該操作���。
SCW涵蓋了Windows Server 2003安全性的所有基本要素。運行該向導�,首先出現的是安全配置 數據庫(Security Configuration Database)����,其中包含所有的角色����、客戶端功能�、管理選項、服務和端口等等信息。SCW還包含廣泛的應用知識知識庫。這意味著當一個選定的服務器角色需要某個應用時---客戶端功能比如自動更新或管理應用比如備份--- Windows 防火墻就會自動打開所需要的端口���。當應用程序關閉時,該端口就會自動被阻塞��。
網絡安全設置����、注冊表協議以及服務器消息塊(Server Message Block、SMB)簽名安全增加了關鍵服務器功能的安全性��。對外身份驗證(Outbound Authentication)設置決定了連接外部 資源時所需要的驗證級別�。
SCW的最后一步與審計策略有關。默認情況下�����,Windows Server 2003只審計成功的活動����,但是對于一個加強版的系統來說,成功和失敗的活動都應該被審計并記入日志�。一旦向導執行完成后����,所創建的安全策略就保存在一個 XML中,并且立刻就能被服務器所使用�,或者供日后使用��,甚至還能被其它服務器使用。在服務器安裝過程中沒有進行第一步強化過程的服務器也能安裝SCW��。
從你按下服務器的電源按鈕那一刻開始����,直到操作啟動并且所有服務都活躍之前,威脅系統的惡意行為依然有機會破壞系統��。除了操作系統操作系統以外�,一臺健康的服務器開始啟動時應該具備 密碼保護的BIOS /固件�。此外,就BIOS而言�,服務器的開機順序應當被正確設定���,以防從未經授權的其它介質啟動��。
在啟動 電腦后,立刻按下F2鍵��,這樣你就進入了進入BIOS設置頁面���。你可以使用Alt-P在BIOS的各個設置標簽上來回移動�����。在啟動順序(Boot Order)標簽頁上����,設置服務器啟動首選項為內部 硬盤(Internal HDD)�����。在系統安全(Boot Order)標簽頁上�����, 硬盤密碼有三種選項可供選擇:Primary、Administrative 和Hard。
同樣�,自動運行外部介質的功能包括光碟���、DVD和USB驅動器���,應該被禁用。在注冊表,進入路徑 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Cdrom(或其他設備名稱)下��,將 Autorun的值設置為0�。自動運行功能有可能自動啟動便攜式介質攜帶的惡意應用程序。這是安裝特洛伊 木馬(Trojan)�、 后門程序(Backdoor)����、鍵盤記錄程序(KeyLogger)、竊聽器(Listener)等惡意 軟件的一種簡單的方法(如圖4所示) �。
下一道防線是有關 用戶如何登錄到系統��。雖然身份驗證的替代技術����,比如生物特征識別�����、令牌���、智能卡和一次性密碼���,都是可以用于Windows Server 2003用來保護系統�,但是很多系統管理員���,無論是本地的還是遠程的����,都使用 用戶名和密碼的組合作為登陸服務器的驗證碼。不過很多時候���,他們都是使用缺省密碼,這顯然是自找麻煩 ��。
以上就是這篇文章的全部內容了�,希望本文的內容對大家帶來一定的幫助,如果有疑問大家可以留言交流�,謝謝大家對錯新技術頻道的支持!
