出于安全性以及新的應(yīng)用需求,現(xiàn)在越來越多的企業(yè)開始部署基于Windows Server 2008平臺(tái)的服務(wù)器,甚至有些個(gè)人用戶也在使用該系統(tǒng)。就筆者了解,面對(duì)一個(gè)相對(duì)陌生的Server系統(tǒng),管理員們最關(guān)心的是實(shí)現(xiàn)系統(tǒng)平臺(tái)的平滑過度以及如何進(jìn)行安全部署。下面筆者結(jié)合自己的經(jīng)驗(yàn),從六個(gè)方面談?wù)刉indows Server 2008的安全部署。
1、安全部署從安裝開始
要?jiǎng)?chuàng)建一個(gè)強(qiáng)大并且安全的服務(wù)器,必須從一開始安裝的時(shí)候就注重每一個(gè)細(xì)節(jié)的安全性,當(dāng)然Windows Server 2008的部署也不例外。新的服務(wù)器應(yīng)該安裝在一個(gè)孤立的網(wǎng)絡(luò)中,杜絕一切可能造成攻擊的渠道,直到操作系統(tǒng)的防御工作完成為止。在開始安裝的最初的一些步驟中,我們將會(huì)被要求在FAT(文件分配表)和NTFS(新技術(shù)文件系統(tǒng))之間做出選擇。這時(shí),大家務(wù)必為所有的磁盤驅(qū)動(dòng)器選擇NTFS格式。FAT是為早期的操作系統(tǒng)沒計(jì)的比較原始的文件系統(tǒng)。NTFS是隨著NT的出現(xiàn)而出現(xiàn)的,它能夠提供了FAT不具備的安全功能,包括存取控制清單(Access Control Lists、ACL)和文件系統(tǒng)日志(File SystemJoumaling),文件系統(tǒng)日志記錄對(duì)于文件系統(tǒng)的任何改變。接下來,我們需要安裝最新的Service Pack(SP2)和任何可用的熱門補(bǔ)丁程序。雖然Service Pack中的許多補(bǔ)丁程序相當(dāng)老了,但是它們能夠修復(fù)若干已知的能夠造成威脅的漏洞,比如拒絕服務(wù)攻擊、遠(yuǎn)程代碼執(zhí)行和跨站點(diǎn)腳本。
2、通過SCW配置安全策略
安裝完系統(tǒng)之后,我們就可以坐下來做一些更細(xì)致的安全工作。提高Windows Server 2008免疫力最簡單的方式就是利用服務(wù)器配置向?qū)?Server Configuration Wizard即SCW)進(jìn)行安全部署。它可以指導(dǎo)我們根據(jù)網(wǎng)絡(luò)上服務(wù)器的角色創(chuàng)建一個(gè)安全的策略。
(1).SCW的安裝
需要說明的是,SCW與配置服務(wù)向?qū)?Configure Your Server wizafd)是不同的。SCW不安裝服務(wù)器組件,但監(jiān)測(cè)端口和服務(wù),并配置注冊(cè)和審計(jì)設(shè)置。SCW并不是默認(rèn)安裝的,所以我們必須通過“控制面板”的“添加/刪除程序”窗口來添加它。選擇“添加/刪除Windows組件”按鈕并選擇“安全配置向?qū)А?,安裝過程就自動(dòng)開始了。一旦安裝完畢,SCW就可以從“管理工具”中訪問。
(2).用SCW配置安全策略
通過SCW創(chuàng)建的安全策略是XML文件格式的,可用于配置服務(wù)、網(wǎng)絡(luò)安全、特定的注冊(cè)表值、審計(jì)策略,甚至如果可能的話,還能配置IIS。通過配置界面,可以創(chuàng)建新的安全策略,或者編輯現(xiàn)有策略,并將它們應(yīng)用于網(wǎng)絡(luò)上的其它服務(wù)器上。如果某個(gè)操作創(chuàng)建的策略造成了沖突或不穩(wěn)定,那么我們可以回滾該操作。
可以說,SCW涵蓋了Windows Server 2008安全性的所有基本要素。運(yùn)行該向?qū)?,首先出現(xiàn)的是安全配置數(shù)據(jù)庫(security Configuration Database),其中包含所有的角色、客戶端功能、管理選項(xiàng)、服務(wù)和端f1等等信息。SCW還包含廣泛的應(yīng)用知識(shí)知識(shí)庫。這意味著當(dāng)一個(gè)選定的服務(wù)器角色需要某個(gè)應(yīng)用時(shí)客戶端功能比如自動(dòng)更新或管理應(yīng)用比如備份Windows防火墻就會(huì)自動(dòng)打開所需要的端口。當(dāng)應(yīng)用程序關(guān)閉時(shí),該端口就會(huì)自動(dòng)被阻塞。網(wǎng)絡(luò)安全設(shè)置、注冊(cè)表協(xié)議以及服務(wù)器消息塊(ServerMessage Block、SMB)簽名安全增加了關(guān)鍵服務(wù)器功能的安令性。對(duì)外身份驗(yàn)證(Outbound Authentication)設(shè)置決定了連接外部資源時(shí)所需要的驗(yàn)證級(jí)別。
SCW的最后一步與審計(jì)策略有關(guān)。默認(rèn)情況下,WindowsServer 2008只審計(jì)成功的活動(dòng),但是對(duì)于一個(gè)加強(qiáng)版的系統(tǒng)來說,成功和失敗的活動(dòng)都應(yīng)該被審計(jì)并記入日志。一旦向?qū)?zhí)行
完成后,所創(chuàng)建的安傘策略就保存在一個(gè)XML中,并且立刻就能被服務(wù)器所使用,或者供日后使用,甚至還能被其它服務(wù)器使用。在服務(wù)器安裝過程中沒有進(jìn)行第一步強(qiáng)化過程的服務(wù)器也能安裝SCW。
上一頁12 3 4 下一頁 閱讀全文