9種方式打造安全的WinServer2008

1.在系統(tǒng)安裝過程中進行安全性設置
    要創(chuàng)建一個強大并且安全的服務器必須從一開始安裝的時候就注重每一個細節(jié)的安全性。新的服務器應該安裝在一個孤立的網(wǎng)絡中，杜絕一切可能造成攻擊的渠道，直到操作系統(tǒng)的防御工作完成。
    在開始安裝的最初的一些步驟中，你將會被要求在FAT（文件分配表）和NTFS（新技術文件系統(tǒng)）之間做出選擇。這時，你務必為所有的磁盤驅(qū)動器選擇NTFS格式。FAT是為早期的操作系統(tǒng)設計的比較原始的文件系統(tǒng)。NTFS是隨著Windows">Windows NT的出現(xiàn)而出現(xiàn)的，它能夠提供了一FAT不具備的安全功能，包括存取控制清單（Access Control Lists 、ACL）和文件系統(tǒng)日志（File System Journaling），文件系統(tǒng)日志記錄對于文件系統(tǒng)的任何改變。接下來，你需要安裝最新的Service Pack （ SP2 ）和任何可用的熱門補丁程序。雖然Service Pack中的許多補丁程序相當老了，但是它們能夠修復若干已知的能夠造成威脅的漏洞，比如拒絕服務攻擊、遠程代碼執(zhí)行和跨站點腳本。
    2.配置安全策略
    安裝完系統(tǒng)之后，你就可以坐下來做一些更細致的安全工作。提高Windows Server 2003免疫力最最簡單的方式就是利用服務器配置向?qū)В⊿erver Configuration Wizard 、SCW），它可以指導你根據(jù)網(wǎng)絡上服務器的角色創(chuàng)建一個安全的策略。
    SCW與配置服務向?qū)В–onfigure Your Server Wizard）是不同的。SCW不安裝服務器組件，但監(jiān)測端口和服務，并配置注冊和審計設置。SCW并不是默認安裝的，所以你必須通過控制面板的添加/刪除程序窗口來添加它。選擇“添加/刪除Windows組件”按鈕并選擇“安全配置向?qū)А?，安裝過程就自動開始了。一旦安裝完畢，SCW就可以從“管理工具 ”中訪問。
    通過SCW創(chuàng)建的安全策略是XML文件格式的，可用于配置服務、網(wǎng)絡安全、特定的注冊表值、審計策略，甚至如果可能的話，還能配置IIS。通過配置界面，可以創(chuàng)建新的安全策略，或者編輯現(xiàn)有策略，并將它們應用于網(wǎng)絡上的其它服務器上。如果某個操作創(chuàng)建的策略造成了沖突或不穩(wěn)定，那么你可以回滾該操作。
    SCW涵蓋了Windows Server 2003安全性的所有基本要素。運行該向?qū)?，首先出現(xiàn)的是安全配置數(shù)據(jù)庫（Security Configuration Database），其中包含所有的角色、客戶端功能、管理選項、服務和端口等等信息。SCW還包含廣泛的應用知識知識庫。這意味著當一個選定的服務器角色需要某個應用時---客戶端功能比如自動更新或管理應用比如備份--- Windows防火墻就會自動打開所需要的端口。當應用程序關閉時，該端口就會自動被阻塞。
    網(wǎng)絡安全設置、注冊表協(xié)議以及服務器消息塊（Server Message Block、SMB）簽名安全增加了關鍵服務器功能的安全性。對外身份驗證（Outbound Authentication）設置決定了連接外部資源時所需要的驗證級別。
    SCW的最后一步與審計策略有關。默認情況下，Windows Server 2003只審計成功的活動，但是對于一個加強版的系統(tǒng)來說，成功和失敗的活動都應該被審計并記入日志。一旦向?qū)?zhí)行完成后，所創(chuàng)建的安全策略就保存在一個 XML中，并且立刻就能被服務器所使用，或者供日后使用，甚至還能被其它服務器使用。在服務器安裝過程中沒有進行第一步強化過程的服務器也能安裝SCW。
    3.為物理機器和邏輯元件設定適當?shù)拇嫒】刂茩嘞?BR>    從你按下服務器的電源按鈕那一刻開始，直到操作啟動并且所有服務都活躍之前，威脅系統(tǒng)的惡意行為依然有機會破壞系統(tǒng)。除了操作系統(tǒng)操作系統(tǒng)以外，一臺健康的服務器開始啟動時應該具備密碼保護的BIOS /固件。此外，就BIOS而言，服務器的開機順序應當被正確設定，以防從未經(jīng)授權的其它介質(zhì)啟動。
    在啟動電腦后，立刻按下F2鍵，這樣你就進入了進入BIOS設置頁面。你可以使用Alt-P在BIOS的各個設置標簽上來回移動。在啟動順序（Boot Order）標簽頁上，設置服務器啟動首選項為內(nèi)部硬盤（Internal HDD）。在系統(tǒng)安全（Boot Order）標簽頁上，硬盤密碼有三種選項可供選擇：Primary、Administrative 和Hard。
    同樣，自動運行外部介質(zhì)的功能包括光碟、DVD和USB驅(qū)動器，應該被禁用。在注冊表，進入路徑 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom（或其他設備名稱）下，將 Autorun的值設置為0。自動運行功能有可能自動啟動便攜式介質(zhì)攜帶的惡意應用程序。這是安裝特洛伊木馬（Trojan）、后門程序（Backdoor）、鍵盤記錄程序（KeyLogger）、竊聽器（Listener）等惡意軟件的一種簡單的方法（如圖4所示） 。
    下一道防線是有關用戶如何登錄到系統(tǒng)。雖然身份驗證的替代技術，比如生物特征識別、令牌、智能卡和一次性密碼，都是可以用于Windows Server 2003用來保護系統(tǒng)，但是很多系統(tǒng)管理員，無論是本地的還是遠程的，都使用用戶名和密碼的組合作為登陸服務器的驗證碼。不過很多時候，他們都是使用缺省密碼，這顯然是自找麻煩（請不要再使用確實的@55w0rd了?。?。
    上面這些注意點都是很顯然的。但是，如果你非要使用密碼的話，那么采用一個強壯的密碼策略：密碼至少8個字符那么長，包括英文大寫字母、數(shù)字和非字母數(shù)字字符。此外，你定期改變密碼并在特定的時期內(nèi)不使用相同的密碼。
    一個強壯的密碼策略加上多重驗證（Multifactor Authentication），這也僅僅只是一個開始。多虧了NTFS提供的ACL功能，使得一個服務器的各個方面，每個用戶都可以被指派不同級別的訪問權限。文件訪問控制打印共享權限的設置應當基于組（Group）而不是“每個人（Everyone）”。這在服務器上是可以做到的，或者通過 Active Directory。
    確保只有一個經(jīng)過合法身份驗證的用戶能訪問和編輯注冊表，這也很重要。這樣做的目的是限制訪問這些關鍵服務和應用的用戶人數(shù)。
    4.禁用或刪除不需要的帳戶、端口和服務
    在安裝過程中，三個本地用戶帳戶被自動創(chuàng)建---管理員（Administrator）、來賓（Guest）、遠程協(xié)助賬戶（Help- Assistant，隨著遠程協(xié)助會話一起安裝的）。管理員帳戶擁有訪問系統(tǒng)的權限。它能指定用戶權限和訪問控制。雖然這個主帳戶不能被刪除，但是你應該禁用或給它重新命名，以防被輕易就被黑客盜用而侵入系統(tǒng)。正確的做法是，你應該為某個用戶或一個組對象指派管理員權限。這就使得黑客更難判斷究竟哪個用戶擁有管理員權限。這對于審計過程也是至關重要的。想象一下，如果一個IT部門的每一個人都可以使用同一個管理員賬戶和密碼登錄并訪問服務器，這是一個多么重大的安全隱患啊。不要使用管理員帳戶了。
    同樣地，來賓賬戶和遠程協(xié)助賬戶為那些攻擊Windows Server 2003的黑客提供了一個更為簡單的目標。進入“控制面板”---“管理工具”---“計算機管理”，右鍵單擊你想要改變的用戶帳戶，選擇“屬性”，這樣你就可以禁用這些賬戶。務必確保這些賬戶在網(wǎng)絡和本地都是禁用的。
    開放的端口是的潛在威脅，Windows Server 2003有65535個可用的端口，而你的服務器并不需要所有這些端口。SP1中包含的防火墻允許管理員禁用不必要的TCP和UDP端口。所有的端口被劃分為三個不同的范圍：眾所周知的端口（0-1023）、注冊端口（1024-49151）、動態(tài)/私有端口（49152-65535）。眾所周知的端口都被操作系統(tǒng)功能所占用；而注冊端口則被某些服務或應用占用。動態(tài)/私有端口則是沒有任何約束的。
    如果能獲得一個端口和所關聯(lián)的服務和應用的映射清單，那么管理員就可以決定哪些端口是核心系統(tǒng)功能所需要的。舉例來說，為了阻止任何Telnet或FTP傳輸路徑，你就可以禁用與這兩個應用相關的通訊端口。同樣地，知名軟件和惡意軟件使用那些端口都是大家所熟知的，這些端口可以被禁用以創(chuàng)造一個更加安全的服務器環(huán)境。的做法是關閉所有未用的端口。要找到服務器上的那些端口是開發(fā)狀態(tài)、監(jiān)聽狀態(tài)還是禁用狀態(tài)，使用免費的Nmap工具（www.nmap.org或www.insecure.org ）是一個比較簡單高效的方式。默認情況下，SCW關閉所有的端口，當設定安裝策略的時候再打開它們。
    增強服務器免疫力的方法是不安裝任何與業(yè)務不相關的應用程序，并且關閉不需要的服務。雖然在服務器上安裝一個電子郵件客戶端或生產(chǎn)力工具可能會使管理員更方便，但是，如果不直接涉及到服務器的功能，那么你不要安裝它們。在Windows Server 2003上，有100多個服務可以被禁用。舉例來說，最基礎的安裝包含DHCP服務。不過，如果你不打算利用該系統(tǒng)作為一個DHCP服務器，禁用 tcpsvcs.exe將阻止該服務的初始化和運行。請記住，并非所有的服務都是可以禁用的。舉例來說，雖然遠端過程調(diào)用（Remote Procedure Call、RPC）服務可以被Blaster蠕蟲所利用，進行系統(tǒng)攻擊，不過它卻不能被禁用，因為RPC允許其它系統(tǒng)過程在內(nèi)部或在整個網(wǎng)絡進行通訊。為了關閉不必要的服務，你可以通過“控制面板”的“管理工具菜單”訪問“服務”接口。雙擊該服務，打開“屬性”對話框，在“啟動類型框”中選擇“禁用”。5.創(chuàng)建一個強大和健壯的審計和日志策略
    阻止服務器執(zhí)行有害的或者無意識的操作，是強化服務器的首要的目標。為了確保所執(zhí)行的操作是都是正確的并且合法的，那么就得創(chuàng)建全面的事件日志和健壯的審計策略。
    隨著一致性約束的來臨，法規(guī)遵從性，強大的審計策略應檬墻∽車腤indows Server 2003服務器的一個重要組成部分。成功和失敗的帳戶登錄和管理嘗試，連同特權使用和策略變化斗應該被初始化。
    在Windows Server 2003中，創(chuàng)建的日志類型有：應用日志、安全日志、目錄服務日志、文件復制服務（File Replication Service）日志和DNS服務器日志。這些日志都可以通過事件查看器（Event Viewer）監(jiān)測，同時事件察看器還提供廣泛的有關硬件、軟件和系統(tǒng)問題的信息。在每個日志條目里，事件查看器顯示五種類型的事件：錯誤、警告、信息、成功審計和失敗審計。
    6.創(chuàng)建一個基線的備份
    在你花費了大量時間和精力強化你的Windows Server 2003服務器時，你所要做的最后一步是創(chuàng)建一個0/full級別的機器和系統(tǒng)狀態(tài)備份。一定要對系統(tǒng)定期進行基線備份，這樣當有安全事故發(fā)生時，你就能根據(jù)基線備份對服務器進行恢復。可以說，基線備份就是服務器的“還魂丹”。在對Windows Server 2003服務器的主要軟件和操作系統(tǒng)進行升級后，務必要對系統(tǒng)進行基線備份。
    7.密切留意用戶帳戶
    為了確保服務器的安全性，還需要密切注意用戶帳戶的狀態(tài)。不過，管理帳戶是一個持續(xù)的過程。用戶帳戶應該被定期檢查，并且任何非活躍、復制、共享、一般或測試賬戶都應該被刪除。
    8.保持系統(tǒng)補丁應該是最新的
    強化服務器硬化是一個持續(xù)的過程，并不會因為安裝了Windows Server 2008 SP2而結束。為了第一時間安裝服務期升級/補丁軟件，你可以通過系統(tǒng)菜單（System Menu）中的控制面板（Control Panel）啟用自動更新功能（Automatic Updates）。在自動更新選項卡上，選擇自動下載更新。因為關鍵的更新通常要求服務器重新啟動，你可以給服務器設定一個安裝這些軟件的時間表，從而不影響服務器的正常功能，
    9.利用外部解決方案保護系統(tǒng)和數(shù)據(jù)安全
    ◆全面保護
    維護一個關鍵并且復雜的IT環(huán)境從未變得像現(xiàn)在這樣如此具有挑戰(zhàn)性，尤其是對于那些人員不足、工作負荷過重而且預算緊張的IT部門來說。數(shù)據(jù)量增長的速度驚人，傳統(tǒng)的備份方法越來越不能滿足需要，用戶對于更有效的數(shù)據(jù)管理方式的需求越來越多。此外，企業(yè)也正在尋找、更快、更可靠系統(tǒng)恢復解決方案。恰恰正是在這個時候，最新版本的Windows Server 2008橫空出世，它引入了一些新技術，能夠幫助企業(yè)管理和擴大業(yè)務流程。對于一個企業(yè)來說，定義一個完整的數(shù)據(jù)和系統(tǒng)保護策略以確保企業(yè)的關鍵業(yè)務信息的安全是至關重要的。
    如果缺少正確的保護措施，基礎設施故障、自然災害甚至簡單的人為錯誤，都有可能把一個效率高并且利潤豐厚的公司變成一個無法恢復的爛攤子。
    為了減少這種風險，企業(yè)需要用一種單一并且更全面的方法取代目前基于筒倉的備份和恢復策略，支持VSS Writer Integration、動態(tài)目錄、BitLocker技術、群集故障，限度地優(yōu)化Windows Server 2008和遺留的Windows系統(tǒng)。這一新方法使得IT管理員對于Windows環(huán)境和恢復策略完全有信心。Windows Server 2008的數(shù)據(jù)保護解決方案在本質(zhì)上也應該保護所有打開的文件。
    在Windows Server 2008中，微軟為數(shù)據(jù)保護解決方案設定了一個新的要求---可以從大量的快照中執(zhí)行備份。
    此外，這些全面的數(shù)據(jù)保護解決方案是由基于磁盤的技術所支持的，能夠限度地減少系統(tǒng)停機時間并幫助企業(yè)達到嚴格的恢復時間目標。先進的功能讓IT管理員能夠在幾分鐘內(nèi)還原整個服務器系統(tǒng)或個人的電子郵件。
    越來越多的全面數(shù)據(jù)和系統(tǒng)保護解決方案還集成了智能歸檔工具，這樣就增加了關鍵檔案的安全性和有效性。隨著越來越多的企業(yè)認識到數(shù)據(jù)保存和恢復標準的遵從一致性的重要性，他們希望能找到一個綜合的歸檔解決方案，以幫助管理和減少存儲量并從整體上改善的數(shù)據(jù)發(fā)現(xiàn)。
    ◆保護信息安全
    更加先進的磁盤到磁盤到磁帶式 (D2D2T)備份和恢復解決方案所包含的數(shù)據(jù)保護技術一般都利用一些強大的技術來提高數(shù)據(jù)保護的效率。這些工具能夠恢復比較重要的微軟應用（Microsoft Exchange、動態(tài)目錄、SharePoint Server、SharePoint Services）包含的粒狀數(shù)據(jù)，比如電子郵件、文件夾、郵箱、個人文件和屬性。這使管理員可以迅速恢復所需要的電子郵件和文件，消除了運行 Exchange郵箱（MAPI）備份所需的額外管理和存儲資源。
    此外，這種粒狀恢復技術能夠與基于磁盤的技術一起使用，后者能夠連續(xù)備份交易記錄，并分配用戶指定的回收點。運用這些技術，無論是兩分鐘前還是10天前的文件，恢復起來只需要幾分種的時間，因為每個還原點可以很容易地被打開和瀏覽。
    ◆維護系統(tǒng)的可用性
    雖然數(shù)據(jù)恢復極為重要的，但是光靠它仍然無法在系統(tǒng)發(fā)生故障或自然災害發(fā)生時，幫助企業(yè)恢復其業(yè)務活動?？墒?，傳統(tǒng)上的Windows系統(tǒng)恢復傳統(tǒng)一直是一個手工的、密集的并且漫長的過程，往往持續(xù)數(shù)天甚至幾個周。IT部門通常必須修復硬件，重新安裝操作系統(tǒng)以及應用程序、補丁、系統(tǒng)更新，并重新啟動多次。
    相比之下，*機恢復技術可以使上述繁重的工作縮減為幾分鐘的工作量。利用這種解決方案，IT管理員可以快速恢復系統(tǒng)，甚至是不同的硬件、虛擬環(huán)境，也可以遠程對于無人值守的服務器驚醒恢復。這種技術能夠捕獲和保護整個Windows系統(tǒng)，從操作系統(tǒng)到應用程序、數(shù)據(jù)庫、文件、設備驅(qū)動程序、配置文件、設置和注冊表，同時還不影響用戶使用應用程序。
    ◆管理電子郵件
    由于電子郵件系統(tǒng)的作用越來越大---現(xiàn)在已經(jīng)被列入關鍵任務行列，所以，IT部門面臨著巨大的壓力---不僅要保持該應用程序正常啟動和運行，而且還要確保用戶能對郵件進行訪問。不過由于電子郵件的容量越來越大以及管理它的時間越來越少， IT管理員面臨著似乎無法克服的挑戰(zhàn)。
    智能歸檔工具的出現(xiàn)，大大減輕了系統(tǒng)管理員管理電子郵件的難度，它提供了一個自動化、策略驅(qū)動的平臺，能夠儲存、管理和查找企業(yè)數(shù)據(jù)。智能歸檔工具的應用范圍不僅鍪塹繾佑始低?，还包括文件服务砌棦荚~蓖ㄑ斷低騁約靶骱湍諶莨芾硐低場?BR>
    先進的歸檔工具利用了智能分類和保存技術來捕捉、分類、索引和存儲目標數(shù)據(jù)，在執(zhí)行政策和保護信息資產(chǎn)的同時還能減少存儲成本并簡化管理。此外，專門的應用還能對存檔數(shù)據(jù)進行深度挖掘，為內(nèi)容一致性、知識管理和信息安全倡議提供支持。
    ◆強大的組合
    將數(shù)據(jù)和系統(tǒng)保護與歸檔技術結合起來能夠為IT管理員提供了一個高效的、劃算的并且可靠的解決方案，確保Windows環(huán)境的可用性和安全性。
    為了進一步保護新的Windows Server 2008操作系統(tǒng)，IT部門還必須有效地管理和保護整個Windows環(huán)境。系統(tǒng)管理工具將使IT部門能夠有效和迅速地處理伴隨Windows Server 2008出現(xiàn)的系統(tǒng)復雜性，而一致性管理工具將會自動化和規(guī)范的一致性過程，并使IT部門更好地管理內(nèi)部任務和外部規(guī)則。
    此外，安全的解決方案比如端點保護、信息安全和數(shù)據(jù)丟失預防，將使IT部門能夠更主動地去保護他們的Windows Server 2008系統(tǒng)，并且能使最終用戶免受不必要的攻擊和垃圾郵件的騷擾。
    由于企業(yè)對于利用Microsoft Windows運行關鍵業(yè)務的依賴程度越來越大，企業(yè)的IT部門必須能夠備份和恢復關鍵任務數(shù)據(jù)和系統(tǒng)，管理日期強大的操作系統(tǒng)平臺的復雜性，并保障系統(tǒng)和用戶能夠應對安全風險和威脅。所以，IT部門要合理利用成熟的Windows保護工具，這樣就可以確定企業(yè)的運營環(huán)境仍然是安全的，可用的和有秩序的。