讓W(xué)in 2003更安全的方式

　　“金無(wú)足赤,人無(wú)完人”任何事物都沒有十全十美的,微軟Windows 2003也是如此，照樣存在著系統(tǒng)漏洞、存在著不少安全隱患.不管是你用計(jì)算機(jī)欣賞音樂、上網(wǎng)沖浪、運(yùn)行游戲，還是編寫文檔都不可避免的面臨著各種病毒的威脅,如何讓W(xué)indows Server 2003更加安全，成為廣大用戶十分關(guān)注的問(wèn)題。 下面讓我們來(lái)討論如何讓W(xué)indows Server 2003更加安全。

　　理解你的角色

　　理解服務(wù)器角色絕對(duì)是安全進(jìn)程中不可或缺的一步。Windows Server可以被配置為多種角色，Windows Server 2003 可以作為域控制器、成員服務(wù)器、基礎(chǔ)設(shè)施服務(wù)器、文件服務(wù)器、打印服務(wù)器、IIS服務(wù)器、IAS服務(wù)器、終端服務(wù)器等等。一個(gè)服務(wù)器甚至可以被配置為上述角色的組合。

　　現(xiàn)在的問(wèn)題是每種服務(wù)器角色都有相應(yīng)的安全需求。例如，如果你的服務(wù)器將作為IIS服務(wù)器，那么你將需要開啟IIS服務(wù)。然而，如果服務(wù)器將作為獨(dú)立的文件或者打印服務(wù)器，啟用IIS服務(wù)則會(huì)帶來(lái)巨大的安全隱患。

　　我之所以在這里談到這個(gè)的原因是我不能給你一套在每種情況下都適用的步驟。服務(wù)器的安全應(yīng)該隨著服務(wù)器角色和服務(wù)器環(huán)境的改變而改變。

　　因?yàn)橛泻芏鄰?qiáng)化服務(wù)器的方法，所以我將以配置一個(gè)簡(jiǎn)單但安全的文件服務(wù)器為例來(lái)論述配置服務(wù)器安全的可行性步驟。我將努力指出當(dāng)服務(wù)器角色改變時(shí)你將要做的。請(qǐng)諒解這并不是一個(gè)涵蓋每種角色服務(wù)器的完全指南。

　　物理安全

　　為了實(shí)現(xiàn)真正意義上的安全，你的服務(wù)器必須被放置在一個(gè)安全的位置。通常地，這意味著將將服務(wù)器放置在上了鎖的門后。物理安全是相當(dāng)重要的，因?yàn)楝F(xiàn)有的許多管理和災(zāi)難恢復(fù)工具同樣也可以被黑客利用。任何擁有這樣工具的人都能在物理接入到服務(wù)器的時(shí)候攻擊服務(wù)器。唯一能夠避免這種攻擊的方法是將服務(wù)器放置在安全的地點(diǎn)。對(duì)于任何角色的Windows Server 2003，這都是必要的。

　　創(chuàng)建基線

　　除了建立良好的物理安全以外，我能給你的最佳建議是，在配置一系列Windows Server 2003的時(shí)候，應(yīng)該確定你的安全需求策略，并立即部署和執(zhí)行這些策略 。

　　實(shí)現(xiàn)這一目的最好的方法是創(chuàng)建一個(gè)安全基線(security baseline)。安全基線是文檔和公認(rèn)安全設(shè)置的清單。在大多數(shù)情況下，你的基線會(huì)隨著服務(wù)器角色的不同而產(chǎn)生區(qū)別。因此你最好創(chuàng)建幾個(gè)不同的基線，以便將它們應(yīng)用到不同類型的服務(wù)器上。例如，你可以為文件服務(wù)器制定一個(gè)基線，為域控制器制定另一個(gè)基線，并為IAS服務(wù)器制定一個(gè)和前兩者都不同的基線。

　　windows 2003包含一個(gè)叫"安全配置與分析"的工具。這個(gè)工具讓你可以將服務(wù)器的當(dāng)前安全策略與模板文件中的基線安全策略相比較。你可以自行創(chuàng)建這些模板或是使用內(nèi)建的安全模板。

　　安全模板是一系列基于文本的INF文件，被保存在%SYSTEMROOT%\SECURITY|TEMPLATES 文件夾下。檢查或更改這些個(gè)體模板最簡(jiǎn)單的方法是使用管理控制臺(tái)(MMC)。

　　要打開這個(gè)控制 臺(tái)，在RUN提示下輸入MMC命令，在控制臺(tái)加載后，選擇添加/刪除管理單元屬性命令，Windows就會(huì)顯示添加/刪除管理單元列表。點(diǎn)擊"添加"按鈕，你將會(huì)看到所有可用管理單元的列表。選擇安全模板管理單元，接著依次點(diǎn)擊添加，關(guān)閉和確認(rèn)按鈕。

　　在安全模板管理單元加載后，你就可以察看每一個(gè)安全模板了。在遍歷控制臺(tái)樹的時(shí)候，你會(huì)發(fā)現(xiàn)每個(gè)模板都模仿組策略的結(jié)構(gòu)。模板名反映出每個(gè)模板的用途。例如，HISECDC模板就是一個(gè)高安全性的域控制器模板。

　　如果你正在安全配置一個(gè)文件服務(wù)器，我建議你從SECUREWS模板開始。在審查所有的模板設(shè)置時(shí)，你會(huì)發(fā)現(xiàn)盡管模板能被用來(lái)讓服務(wù)器更加安全，但是不一定能滿足你的需求。某些安全設(shè)置可能過(guò)于嚴(yán)格或過(guò)于松散。我建議你修改現(xiàn)有的設(shè)置，或是創(chuàng)建一個(gè)全新的策略。通過(guò)在控制臺(tái)中右擊C:\WINDOWS\Security\Templates文件夾并在目標(biāo)菜單中選擇新建模板命令，你就可以輕輕松松地創(chuàng)建一個(gè)新的模板。

　　在創(chuàng)建了符合需求的模板后，回到添加/刪除管理單元屬性面板，并添加一個(gè)安全配置與分析的管理單元。在這個(gè)管理單元加載后，右擊"安全配置與分析"容器，接著在結(jié)果菜單中選擇"打開數(shù)據(jù)庫(kù)"命令，點(diǎn)擊"打開"按鈕，你可以使用你提供的名稱來(lái)創(chuàng)建必要的數(shù)據(jù)庫(kù)。

　　接下來(lái)，右擊"安全配置與分析"容器并在快捷菜單中選擇"導(dǎo)入模板"命令。你將會(huì)看到所有可用模板的列表。選擇包含你安全策略設(shè)置的模板并點(diǎn)擊打開。在模板被導(dǎo)入后，再次右擊"安全配置與分析"容器并在快捷菜單中選擇"現(xiàn)在就分析計(jì)算機(jī)"命令。Windows將會(huì)提示你寫入錯(cuò)誤日志的位置，鍵入文件路徑并點(diǎn)擊"確定"。

　　在這樣的情況下，Windows將比較服務(wù)器現(xiàn)有安全設(shè)置和模板文件里的設(shè)置。你可以通過(guò)"安全配置與分析控制臺(tái)"看到比較結(jié)果。每一條組策略設(shè)置顯示現(xiàn)有的設(shè)置和模板設(shè)置。

　　在你可以檢查差異列表的時(shí)候，就是執(zhí)行基于模板安全策略的時(shí)候了。右擊"安全配置與分析"容器并從快捷菜單中選擇"現(xiàn)在就配置計(jì)算機(jī)"命令。這一工具將會(huì)立即修改你計(jì)算機(jī)的安全策略，從而匹配模板策略。

　　組策略實(shí)際上是層次化的。組策略可以被應(yīng)用到本地計(jì)算機(jī)級(jí)別、站點(diǎn)級(jí)別、域級(jí)別和OU級(jí)別。當(dāng)你實(shí)現(xiàn)基于模板的安全之時(shí)，你正在在修改計(jì)算機(jī)級(jí)別的組策略。其他的組策略不會(huì)受到直接影響，盡管最終策略可能會(huì)反映變化，由于計(jì)算機(jī)策略設(shè)置被更高級(jí)別的策略所繼承。