要創建一個強大並且安全的 服務器必須從一開始安裝的時候就注重每一個細節的安全性。新的 服務器應該安裝在一個孤立的 網絡中,杜絕一切可能造成 攻擊的渠道,直到操作系統的防御工作完成。
在開始安裝的最初的一些步驟中,你將會被要求在FAT( 文件分配表)和NTFS(新 技術 文件系統)之間做出選擇。這時,你務必為所有的磁盤驅動器選擇NTFS格式。FAT是為早期的操作系統設計的比較原始的 文件系統。NTFS是隨著 NT的出現而出現的,它能夠提供了一FAT不具備的安全 功能,包括存取控制清單(Access Control Lists 、ACL)和 文件系統日志(File System Journaling), 文件系統日志記錄對於 文件系統的任何改變。接下來,你需要安裝最新的Service Pack ( SP2 )和任何可用的熱門補丁 程序。雖然Service Pack中的許多補丁 程序相當老了,但是它們能夠修復若干已知的能夠造成威脅的 漏洞,比如拒絕服務攻擊、遠程代碼執行和跨站點腳本。
安裝完系統之後,你就可以坐下來做一些更細致的安全工作。提高Windows Server 2003免疫力最最簡單的方式就是利用服務器配置向導(Server Configuration Wizard 、SCW),它可以指導你根據網絡上服務器的角色創建一個安全的策略。
SCW與配置服務向導(Configure Your Server Wizard)是不同的。SCW不安裝服務器組件,但監測 端口和服務,並配置注冊和審計設置。SCW並不是默認安裝的,所以你必須通過控制面板的添加/刪除程序窗口來添加它。選擇“添加/刪除Windows組件”按鈕並選擇“安全配置向導”,安裝過程就 自動開始了。一旦安裝完畢,SCW就可以從“ 管理 工具 ”中訪問。
通過SCW創建的安全策略是XML文件格式的,可用於配置服務、網絡安全、特定的 注冊表值、審計策略,甚至如果可能的話,還能配置 IIS。通過配置界面,可以創建新的安全策略,或者編輯現有策略,並將它們 應用於網絡上的其它服務器上。如果某個操作創建的策略造成了沖突或不穩定,那麼你可以回滾該操作。
SCW涵蓋了Windows Server 2003安全性的所有基本要素。運行該向導,首先出現的是安全配置 數據庫(Security Configuration Database),其中包含所有的角色、客戶端功能、管理選項、服務和端口等等信息。SCW還包含廣泛的應用知識知識庫。這意味著當一個選定的服務器角色需要某個應用時---客戶端功能比如自動更新或管理應用比如備份--- Windows 防火牆就會自動打開所需要的端口。當應用程序關閉時,該端口就會自動被阻塞。
網絡安全設置、注冊表協議以及服務器消息塊(Server Message Block、SMB)簽名安全增加了關鍵服務器功能的安全性。對外身份驗證(Outbound Authentication)設置決定了連接外部 資源時所需要的驗證級別。
SCW的最後一步與審計策略有關。默認情況下,Windows Server 2003只審計成功的活動,但是對於一個加強版的系統來說,成功和失敗的活動都應該被審計並記入日志。一旦向導執行完成後,所創建的安全策略就保存在一個 XML中,並且立刻就能被服務器所使用,或者供日後使用,甚至還能被其它服務器使用。在服務器安裝過程中沒有進行第一步強化過程的服務器也能安裝SCW。
從你按下服務器的電源按鈕那一刻開始,直到操作啟動並且所有服務都活躍之前,威脅系統的惡意行為依然有機會破壞系統。除了操作系統操作系統以外,一台健康的服務器開始啟動時應該具備 密碼保護的BIOS /固件。此外,就BIOS而言,服務器的開機順序應當被正確設定,以防從未經授權的其它介質啟動。
在啟動 電腦後,立刻按下F2鍵,這樣你就進入了進入BIOS設置頁面。你可以使用Alt-P在BIOS的各個設置標簽上來回移動。在啟動順序(Boot Order)標簽頁上,設置服務器啟動首選項為內部 硬盤(Internal HDD)。在系統安全(Boot Order)標簽頁上, 硬盤密碼有三種選項可供選擇:Primary、Administrative 和Hard。
同樣,自動運行外部介質的功能包括光碟、DVD和USB驅動器,應該被禁用。在注冊表,進入路徑 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom(或其他設備名稱)下,將 Autorun的值設置為0。自動運行功能有可能自動啟動便攜式介質攜帶的惡意應用程序。這是安裝特洛伊 木馬(Trojan)、 後門程序(Backdoor)、鍵盤記錄程序(KeyLogger)、竊聽器(Listener)等惡意 軟件的一種簡單的方法(如圖4所示) 。
下一道防線是有關 用戶如何登錄到系統。雖然身份驗證的替代技術,比如生物特征識別、令牌、智能卡和一次性密碼,都是可以用於Windows Server 2003用來保護系統,但是很多系統管理員,無論是本地的還是遠程的,都使用 用戶名和密碼的組合作為登陸服務器的驗證碼。不過很多時候,他們都是使用缺省密碼,這顯然是自找麻煩 。 上一頁12 3 4 下一頁 閱讀全文
