出于安全性以及新的應(yīng)用需求,現(xiàn)在越來越多的企業(yè)開始部署基于Windows Server 2008平臺的服務(wù)器����,甚至有些個人用戶也在使用該系統(tǒng)。就筆者了解�����,面對一個相對陌生的Server系統(tǒng)�����,管理員們最關(guān)心的是實現(xiàn)系統(tǒng)平臺的平滑過度以及如何進行安全部署��。下面筆者結(jié)合自己的經(jīng)驗��,從六個方面談?wù)刉indows Server 2008的安全部署。
1�����、安全部署從安裝開始
要創(chuàng)建一個強大并且安全的服務(wù)器���,必須從一開始安裝的時候就注重每一個細節(jié)的安全性�,當(dāng)然Windows Server 2008的部署也不例外��。新的服務(wù)器應(yīng)該安裝在一個孤立的網(wǎng)絡(luò)中����,杜絕一切可能造成攻擊的渠道��,直到操作系統(tǒng)的防御工作完成為止����。在開始安裝的最初的一些步驟中��,我們將會被要求在FAT(文件分配表)和NTFS(新技術(shù)文件系統(tǒng))之間做出選擇����。這時,大家務(wù)必為所有的磁盤驅(qū)動器選擇NTFS格式����。FAT是為早期的操作系統(tǒng)沒計的比較原始的文件系統(tǒng)���。NTFS是隨著NT的出現(xiàn)而出現(xiàn)的��,它能夠提供了FAT不具備的安全功能����,包括存取控制清單(Access Control Lists���、ACL)和文件系統(tǒng)日志(File SystemJoumaling)�,文件系統(tǒng)日志記錄對于文件系統(tǒng)的任何改變���。接下來��,我們需要安裝最新的Service Pack(SP2)和任何可用的熱門補丁程序。雖然Service Pack中的許多補丁程序相當(dāng)老了��,但是它們能夠修復(fù)若干已知的能夠造成威脅的漏洞,比如拒絕服務(wù)攻擊��、遠程代碼執(zhí)行和跨站點腳本�����。
2、通過SCW配置安全策略
安裝完系統(tǒng)之后����,我們就可以坐下來做一些更細致的安全工作�。提高Windows Server 2008免疫力最簡單的方式就是利用服務(wù)器配置向?qū)?Server Configuration Wizard即SCW)進行安全部署����。它可以指導(dǎo)我們根據(jù)網(wǎng)絡(luò)上服務(wù)器的角色創(chuàng)建一個安全的策略。
(1).SCW的安裝
需要說明的是���,SCW與配置服務(wù)向?qū)?Configure Your Server wizafd)是不同的���。SCW不安裝服務(wù)器組件����,但監(jiān)測端口和服務(wù)�����,并配置注冊和審計設(shè)置���。SCW并不是默認安裝的,所以我們必須通過“控制面板”的“添加/刪除程序”窗口來添加它�。選擇“添加/刪除Windows組件”按鈕并選擇“安全配置向?qū)А保惭b過程就自動開始了�����。一旦安裝完畢��,SCW就可以從“管理工具”中訪問。
(2).用SCW配置安全策略
通過SCW創(chuàng)建的安全策略是XML文件格式的�����,可用于配置服務(wù)���、網(wǎng)絡(luò)安全��、特定的注冊表值��、審計策略����,甚至如果可能的話����,還能配置IIS。通過配置界面�����,可以創(chuàng)建新的安全策略���,或者編輯現(xiàn)有策略,并將它們應(yīng)用于網(wǎng)絡(luò)上的其它服務(wù)器上�����。如果某個操作創(chuàng)建的策略造成了沖突或不穩(wěn)定���,那么我們可以回滾該操作。
可以說����,SCW涵蓋了Windows Server 2008安全性的所有基本要素�。運行該向?qū)В紫瘸霈F(xiàn)的是安全配置數(shù)據(jù)庫(security Configuration Database)����,其中包含所有的角色���、客戶端功能、管理選項����、服務(wù)和端f1等等信息。SCW還包含廣泛的應(yīng)用知識知識庫�����。這意味著當(dāng)一個選定的服務(wù)器角色需要某個應(yīng)用時客戶端功能比如自動更新或管理應(yīng)用比如備份Windows防火墻就會自動打開所需要的端口��。當(dāng)應(yīng)用程序關(guān)閉時���,該端口就會自動被阻塞�����。網(wǎng)絡(luò)安全設(shè)置�、注冊表協(xié)議以及服務(wù)器消息塊(ServerMessage Block���、SMB)簽名安全增加了關(guān)鍵服務(wù)器功能的安令性。對外身份驗證(Outbound Authentication)設(shè)置決定了連接外部資源時所需要的驗證級別���。
SCW的最后一步與審計策略有關(guān)。默認情況下�,WindowsServer 2008只審計成功的活動,但是對于一個加強版的系統(tǒng)來說�����,成功和失敗的活動都應(yīng)該被審計并記入日志。一旦向?qū)?zhí)行
完成后���,所創(chuàng)建的安傘策略就保存在一個XML中��,并且立刻就能被服務(wù)器所使用�,或者供日后使用����,甚至還能被其它服務(wù)器使用�����。在服務(wù)器安裝過程中沒有進行第一步強化過程的服務(wù)器也能安裝SCW�����。
上一頁12 3 4 下一頁 閱讀全文
