目前,許多企業都將微軟的Windows平台作為自己的首選平台。而最近隨著Windows Server 2008的發布,越來越多的企業正在打算升級到這個新版服務器操作系統上。事實上,根據行業咨詢機構IDC的預測,到今年年底,整個世界范圍內Windows Server 2008的安裝數量將會達到350多萬。
隨著企業對於利用Windows 平台運行關鍵業務應用的依賴日益增加,Windows平台的安全性、可用性的重要性也就不言而喻了。畢竟,在目前競爭日益激烈的條件下,系統崩潰給企業帶來的影響可能是災難性的,所以如何有效地管理Windows服務器成為了企業IT部門一項非常緊迫的事情。幸運地是,有一些行之有效的工具和服務能夠幫助企業管理自己的服務器歡迎,最大化並維護自己在Windows環境下所做的投資,即使他們選擇遷移到Windows Server 2008 。
Windows Server 2008可說是迄今為止最健壯的Windows Server操作系統,它的所有功能都是圍繞著為企業業務和應用提供一個更加堅實的基礎平台這樣一個目標設計的。Windows Server 2008全新的可用性、虛擬化、安全性和管理能力可以幫助信息技術(IT)專業人員最大限度地控制和管理其基礎設施。
例如, Windows Server 2008引入了Windows PowerShell技術。Windows PowerShell是一個命令行外殼和腳本系統管理工具。PowerShell是一款基於對象的shell, 建立在.Net框架之上, 能夠同時支持WMI, COM, ADO.NET, ADSI等已有的Windows管理模型。此外,它還包含130多個工具。這樣的一個開發和管理環境使得IT部門更容易控制和自動化重復的系統管理任務。
此外,Windows Server 2008新的服務器管理器(Server Manager)只有一個單一的控制面板,這給管理員帶來了極大的方便,管理員可以輕松的安裝、配置和管理服務器角色和Windows Server 2008的功能。
由於Windows Server 2008的這些改進,許多企業都迫不及待地想要遷移到這個更加強大的業務平台上。正因為這樣,對於升級的Windows環境提供爭取的保護措施成為了企業IT部門最緊迫的任務。為了保持企業業務的連續性,IT部門必須能夠找到一種有效的解決方案,不僅能夠恢復數據、系統和應用,同時還能支持和整合Windows Server 2008的新功能。
1.在系統安裝過程中進行安全性設置
要創建一個強大並且安全的服務器必須從一開始安裝的時候就注重每一個細節的安全性。新的服務器應該安裝在一個孤立的網絡中,杜絕一切可能造成攻擊的渠道,直到操作系統的防御工作完成。
在開始安裝的最初的一些步驟中,你將會被要求在FAT(文件分配表)和NTFS(新技術文件系統)之間做出選擇。這時,你務必為所有的磁盤驅動器選擇NTFS格式。FAT是為早期的操作系統設計的比較原始的文件系統。NTFS是隨著Windows NT的出現而出現的,它能夠提供了一FAT不具備的安全功能,包括存取控制清單(Access Control Lists 、ACL)和文件系統日志(File System Journaling),文件系統日志記錄對於文件系統的任何改變。接下來,你需要安裝最新的Service Pack ( SP2 )和任何可用的熱門補丁程序。雖然Service Pack中的許多補丁程序相當老了,但是它們能夠修復若干已知的能夠造成威脅的漏洞,比如拒絕服務攻擊、遠程代碼執行和跨站點腳本。
2.配置安全策略
安裝完系統之後,你就可以坐下來做一些更細致的安全工作。提高Windows Server 2003免疫力最最簡單的方式就是利用服務器配置向導(Server Configuration Wizard 、SCW),它可以指導你根據網絡上服務器的角色創建一個安全的策略。
SCW與配置服務向導(Configure Your Server Wizard)是不同的。SCW不安裝服務器組件,但監測端口和服務,並配置注冊和審計設置。SCW並不是默認安裝的,所以你必須通過控制面板的添加/刪除程序窗口來添加它。選擇“添加/刪除Windows組件”按鈕並選擇“安全配置向導”,安裝過程就自動開始了。一旦安裝完畢,SCW就可以從“管理工具”中訪問。
通過SCW創建的安全策略是XML文件格式的,可用於配置服務、網絡安全、特定的注冊表值、審計策略,甚至如果可能的話,還能配置IIS。通過配置界面,可以創建新的安全策略,或者編輯現有策略,並將它們應用於網絡上的其它服務器上。如果某個操作創建的策略造成了沖突或不穩定,那麼你可以回滾該操作。
SCW涵蓋了Windows Server 2003安全性的所有基本要素。運行該向導,首先出現的是安全配置數據庫(Security Configuration Database),其中包含所有的角色、客戶端功能、管理選項、服務和端口等等信息。SCW還包含廣泛的應用知識知識庫。這意味著當一個選定的服務器角色需要某個應用時---客戶端功能比如自動更新或管理應用比如備份--- Windows防火牆就會自動打開所需要的端口。當應用程序關閉時,該端口就會自動被阻塞。
網絡安全設置、注冊表協議以及服務器消息塊(Server Message Block、SMB)簽名安全增加了關鍵服務器功能的安全性。對外身份驗證(Outbound Authentication)設置決定了連接外部資源時所需要的驗證級別。
SCW的最後一步與審計策略有關。默認情況下,Windows Server 2003只審計成功的活動,但是對於一個加強版的系統來說,成功和失敗的活動都應該被審計並記入日志。一旦向導執行完成後,所創建的安全策略就保存在一個XML中,並且立刻就能被服務器所使用,或者供日後使用,甚至還能被其它服務器使用。在服務器安裝過程中沒有進行第一步強化過程的服務器也能安裝SCW。
3.為物理機器和邏輯元件設定適當的存取控制權限
從你按下服務器的電源按鈕那一刻開始,直到操作啟動並且所有服務都活躍之前,威脅系統的惡意行為依然有機會破壞系統。除了操作系統操作系統以外,一台健康的服務器開始啟動時應該具備密碼保護的BIOS /固件。此外,就BIOS而言,服務器的開機順序應當被正確設定,以防從未經授權的其它介質啟動。
在啟動電腦後,立刻按下F2鍵,這樣你就進入了進入BIOS設置頁面。你可以使用Alt-P在BIOS的各個設置標簽上來回移動。在啟動順序(Boot Order)標簽頁上,設置服務器啟動首選項為內部硬盤(Internal HDD)。在系統安全(Boot Order)標簽頁上,硬盤密碼有三種選項可供選擇:Primary、Administrative 和Hard。
同樣,自動運行外部介質的功能包括光碟、DVD和USB驅動器,應該被禁用。在注冊表,進入路徑HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCdrom(或其他設備名稱)下,將Autorun的值設置為0。自動運行功能有可能自動啟動便攜式介質攜帶的惡意應用程序。這是安裝特洛伊木馬(Trojan)、後門程序(Backdoor)、鍵盤記錄程序(KeyLogger)、竊聽器(Listener)等惡意軟件的一種簡單的方法(如圖4所示) 。
下一道防線是有關用戶如何登錄到系統。雖然身份驗證的替代技術,比如生物特征識別、令牌、智能卡和一次性密碼,都是可以用於Windows Server 2003用來保護系統,但是很多系統管理員,無論是本地的還是遠程的,都使用用戶名和密碼的組合作為登陸服務器的驗證碼。不過很多時候,他們都是使用缺省密碼,這顯然是自找麻煩(請不要再使用確實的@55w0rd了!) 。
上面這些注意點都是很顯然的。但是,如果你非要使用密碼的話,那麼最好采用一個強壯的密碼策略:密碼至少8個字符那麼長,包括英文大寫字母、數字和非字母數字字符。此外,你最好定期改變密碼並在特定的時期內不使用相同的密碼。
一個強壯的密碼策略加上多重驗證(Multifactor Authentication),這也僅僅只是一個開始。多虧了NTFS提供的ACL功能,使得一個服務器的各個方面,每個用戶都可以被指派不同級別的訪問權限。文件訪問控制打印共享權限的設置應當基於組(Group)而不是“每個人(Everyone)”。這在服務器上是可以做到的,或者通過Active Directory。
確保只有一個經過合法身份驗證的用戶能訪問和編輯注冊表,這也很重要。這樣做的目的是限制訪問這些關鍵服務和應用的用戶人數。
