很多用戶會有疑問,從系統的安裝到安全保護都自己動手在做,難道還不夠嗎?當然是不夠的,除了動手之外還要做對方法。如果你曾經配置過Windows NT Server或是windows 2000 Server,你也許發現這些微軟的產品缺省並不是最安全的。雖然微軟提供了很多安全機制,但是依然需要你來實現它們。然而當微軟發布Windows Server 2003的時候,改變了以往的哲學體系。新的理念是,服務器缺省就應該是安全的。這的確是一個不錯的理念,不過微軟貫徹得還不夠徹底。雖然缺省的windows 2003安裝絕對比確省的Windows NT或 windows 2000安裝安全許多,但是它還是存在著一些不足。下面讓我們來討論如何讓Windows Server 2003更加安全。
理解你的角色
理解服務器角色絕對是安全進程中不可或缺的一步。Windows Server可以被配置為多種角色,Windows Server 2003 可以作為域控制器、成員服務器、基礎設施服務器、文件服務器、打印服務器、IIS服務器、IAS服務器、終端服務器等等。一個服務器甚至可以被配置為上述角色的組合。
現在的問題是每種服務器角色都有相應的安全需求。例如,如果你的服務器將作為IIS服務器,那麼你將需要開啟IIS服務。然而,如果服務器將作為獨立的文件或者打印服務器,啟用IIS服務則會帶來巨大的安全隱患。
我之所以在這裡談到這個的原因是我不能給你一套在每種情況下都適用的步驟。服務器的安全應該隨著服務器角色和服務器環境的改變而改變。
因為有很多強化服務器的方法,所以我將以配置一個簡單但安全的文件服務器為例來論述配置服務器安全的可行性步驟。我將努力指出當服務器角色改變時你將要做的。請諒解這並不是一個涵蓋每種角色服務器的完全指南。
物理安全
為了實現真正意義上的安全,你的服務器必須被放置在一個安全的位置。通常地,這意味著將將服務器放置在上了鎖的門後。物理安全是相當重要的,因為現有的許多管理和災難恢復工具同樣也可以被黑客利用。任何擁有這樣工具的人都能在物理接入到服務器的時候攻擊服務器。唯一能夠避免這種攻擊的方法是將服務器放置在安全的地點。對於任何角色的Windows Server 2003,這都是必要的。
創建基線
除了建立良好的物理安全以外,我能給你的最佳建議是,在配置一系列Windows Server 2003的時候,應該確定你的安全需求策略,並立即部署和執行這些策略 。
實現這一目的最好的方法是創建一個安全基線(security baseline)。安全基線是文檔和公認安全設置的清單。在大多數情況下,你的基線會隨著服務器角色的不同而產生區別。因此你最好創建幾個不同的基線,以便將它們應用到不同類型的服務器上。例如,你可以為文件服務器制定一個基線,為域控制器制定另一個基線,並為IAS服務器制定一個和前兩者都不同的基線。
windows 2003包含一個叫"安全配置與分析"的工具。這個工具讓你可以將服務器的當前安全策略與模板文件中的基線安全策略相比較。你可以自行創建這些模板或是使用內建的安全模板。
安全模板是一系列基於文本的INF文件,被保存在%SYSTEMROOT%\SECURITY|TEMPLATES 文件夾下。檢查或更改這些個體模板最簡單的方法是使用管理控制台(MMC)。
要打開這個控制 台,在RUN提示下輸入MMC命令,在控制台加載後,選擇添加/刪除管理單元屬性命令,Windows就會顯示添加/刪除管理單元列表。點擊"添加"按鈕,你將會看到所有可用管理單元的列表。選擇安全模板管理單元,接著依次點擊添加,關閉和確認按鈕。
在安全模板管理單元加載後,你就可以察看每一個安全模板了。在遍歷控制台樹的時候,你會發現每個模板都模仿組策略的結構。模板名反映出每個模板的用途。例如,HISECDC模板就是一個高安全性的域控制器模板。
