出於安全性以及新的應用需求,現在越來越多的企業開始部署基於Windows Server 2008平台的服務器,甚至有些個人用戶也在使用該系統。就筆者了解,面對一個相對陌生的Server系統,管理員們最關心的是實現系統平台的平滑過度以及如何進行安全部署。下面筆者結合自己的經驗,從六個方面談談Windows Server 2008的安全部署。
1、安全部署從安裝開始
要創建一個強大並且安全的服務器,必須從一開始安裝的時候就注重每一個細節的安全性,當然Windows Server 2008的部署也不例外。新的服務器應該安裝在一個孤立的網絡中,杜絕一切可能造成攻擊的渠道,直到操作系統的防御工作完成為止。在開始安裝的最初的一些步驟中,我們將會被要求在FAT(文件分配表)和NTFS(新技術文件系統)之間做出選擇。這時,大家務必為所有的磁盤驅動器選擇NTFS格式。FAT是為早期的操作系統沒計的比較原始的文件系統。NTFS是隨著NT的出現而出現的,它能夠提供了FAT不具備的安全功能,包括存取控制清單(Access Control Lists、ACL)和文件系統日志(File SystemJoumaling),文件系統日志記錄對於文件系統的任何改變。接下來,我們需要安裝最新的Service Pack(SP2)和任何可用的熱門補丁程序。雖然Service Pack中的許多補丁程序相當老了,但是它們能夠修復若干已知的能夠造成威脅的漏洞,比如拒絕服務攻擊、遠程代碼執行和跨站點腳本。
2、通過SCW配置安全策略
安裝完系統之後,我們就可以坐下來做一些更細致的安全工作。提高Windows Server 2008免疫力最簡單的方式就是利用服務器配置向導(Server Configuration Wizard即SCW)進行安全部署。它可以指導我們根據網絡上服務器的角色創建一個安全的策略。
(1).SCW的安裝
需要說明的是,SCW與配置服務向導(Configure Your Server wizafd)是不同的。SCW不安裝服務器組件,但監測端口和服務,並配置注冊和審計設置。SCW並不是默認安裝的,所以我們必須通過“控制面板”的“添加/刪除程序”窗口來添加它。選擇“添加/刪除Windows組件”按鈕並選擇“安全配置向導”,安裝過程就自動開始了。一旦安裝完畢,SCW就可以從“管理工具”中訪問。
(2).用SCW配置安全策略
通過SCW創建的安全策略是XML文件格式的,可用於配置服務、網絡安全、特定的注冊表值、審計策略,甚至如果可能的話,還能配置IIS。通過配置界面,可以創建新的安全策略,或者編輯現有策略,並將它們應用於網絡上的其它服務器上。如果某個操作創建的策略造成了沖突或不穩定,那麼我們可以回滾該操作。
可以說,SCW涵蓋了Windows Server 2008安全性的所有基本要素。運行該向導,首先出現的是安全配置數據庫(security Configuration Database),其中包含所有的角色、客戶端功能、管理選項、服務和端f1等等信息。SCW還包含廣泛的應用知識知識庫。這意味著當一個選定的服務器角色需要某個應用時客戶端功能比如自動更新或管理應用比如備份Windows防火牆就會自動打開所需要的端口。當應用程序關閉時,該端口就會自動被阻塞。網絡安全設置、注冊表協議以及服務器消息塊(ServerMessage Block、SMB)簽名安全增加了關鍵服務器功能的安令性。對外身份驗證(Outbound Authentication)設置決定了連接外部資源時所需要的驗證級別。
SCW的最後一步與審計策略有關。默認情況下,WindowsServer 2008只審計成功的活動,但是對於一個加強版的系統來說,成功和失敗的活動都應該被審計並記入日志。一旦向導執行
完成後,所創建的安傘策略就保存在一個XML中,並且立刻就能被服務器所使用,或者供日後使用,甚至還能被其它服務器使用。在服務器安裝過程中沒有進行第一步強化過程的服務器也能安裝SCW。
上一頁12 3 4 下一頁 閱讀全文
