Windows Server 2003是大家最常用的服務(wù)器操作系統(tǒng)之一。雖然它提供了強(qiáng)大的網(wǎng)絡(luò)服務(wù)功能,并且簡(jiǎn)單易用,但它的安全性一直困擾著眾多網(wǎng)管,如何在充分利用Windows Server 2003提供的各種服務(wù)的同時(shí),保證服務(wù)器的安全穩(wěn)定運(yùn)行,最大限度地抵御病毒和黑客的入侵。Windows Server 2003 SP1中文版補(bǔ)丁包的發(fā)布,恰好解決這個(gè)問(wèn)題,它不但提供了對(duì)系統(tǒng)漏洞的修復(fù),還新增了很多易用的安全功能,如安全配置向?qū)В⊿CW)功能。利用SCW功能的“安全策略”可以最大限度增強(qiáng)服務(wù)器的安全,并且配置過(guò)程非常簡(jiǎn)單,下面就一起來(lái)看吧!
厲兵秣馬 先裝“SCW”
大家都很清楚,Windows Server 2003系統(tǒng)為增強(qiáng)其安全性,默認(rèn)情況下,很多服務(wù)組件是不被安裝的,要想使用,必須手工安裝。“SCW”功能也是一樣,雖然你已經(jīng)成功安裝了補(bǔ)丁包SP1,但也需要手工安裝“安全配置向?qū)В⊿CW)”組件。
進(jìn)入“控制面板”后,運(yùn)行“添加或刪除程序”,然后切換到“添加/刪除Windows組件”頁(yè)。下面在“Windows組件向?qū)А睂?duì)話框中選中“安全配置向?qū)А边x項(xiàng),最后點(diǎn)擊“下一步”按鈕后,就能輕松完成“SCW”組件的安裝。
安裝過(guò)程就這么簡(jiǎn)單,接下來(lái)就能根據(jù)自身需要,利用“SCW”配置安全策略,增強(qiáng)Windows Server 2003服務(wù)器安全。
配置“安全策略” 原來(lái)如此“簡(jiǎn)單”
在Windows Server 2003服務(wù)器中,點(diǎn)擊“開(kāi)始→運(yùn)行”后,在運(yùn)行對(duì)話框中執(zhí)行“SCW.exe”命令,就會(huì)dan出“安全配置向?qū)А睂?duì)話框,開(kāi)始你的安全策略配置過(guò)程。當(dāng)然你也可以進(jìn)入“控制面板→管理工具”窗口后,執(zhí)行“安全配置向?qū)А笨旖莘绞絹?lái)啟用“SCW”。
1.新建第一個(gè)“安全策略”
如果你是第一次使用“SCW”功能,首先要為Windows Server 2003服務(wù)器新建一個(gè)安全策略,安全策略信息是被保存在格式為XML 的文件中的,并且它的默認(rèn)存儲(chǔ)位置是“C:\WINDOWS\security\msscw\Policies”。因此一個(gè)Windows Server 2003系統(tǒng)可以根據(jù)不同需要,創(chuàng)建多個(gè)“安全策略”文件,并且還可以對(duì)安全策略文件進(jìn)行修改,但一次只能應(yīng)用其中一個(gè)安全策略。
在“歡迎使用安全配置向?qū)А睂?duì)話框中點(diǎn)擊“下一步”按鈕,進(jìn)入到“配置操作”對(duì)話框,因?yàn)槭堑谝淮问褂谩癝CW”,這里要選擇“創(chuàng)建新的安全策略”單選項(xiàng),點(diǎn)擊“下一步”按鈕,就開(kāi)始配置安全策略。
2.輕松配置“角色”
首先進(jìn)入“選擇服務(wù)器”對(duì)話框,在“服務(wù)器”欄中輸入要進(jìn)行安全配置的Windows Server 2003服務(wù)器的機(jī)器名或IP地址,點(diǎn)擊“下一步”按鈕后,“安全配置向?qū)А睍?huì)處理安全配置數(shù)據(jù)庫(kù)。
接著就進(jìn)入到“基于角色的服務(wù)配置”對(duì)話框。在基于角色的服務(wù)配置中,可以對(duì)Windows Server 2003服務(wù)器角色、客戶端角色、系統(tǒng)服務(wù)、應(yīng)用程序,以及管理選項(xiàng)等內(nèi)容進(jìn)行配置。
所謂服務(wù)器“角色”,其實(shí)就是提供各種服務(wù)的Windows Server 2003服務(wù)器,如文件服務(wù)器、打印服務(wù)器、DNS服務(wù)器和DHCP服務(wù)器等 , 一個(gè)Windows Server 2003服務(wù)器可以只提供一種服務(wù)器“角色”,也可以扮演多種服務(wù)器角色。點(diǎn)擊“下一步”按鈕后,就進(jìn)入到“選擇服務(wù)器角色”配置對(duì)話框,這時(shí)需要在“服務(wù)器角色列表框”中勾選你的Windows Server 2003服務(wù)器所扮演的角色。
注意:為了保證服務(wù)器的安全,只勾選你所需要的服務(wù)器角色即可,選擇多余的服務(wù)器角色選項(xiàng),會(huì)增加Windows Server 2003系統(tǒng)的安全隱患。如筆者的Windows Server 2003服務(wù)器只是作為文件服務(wù)器使用,這時(shí)只要選擇“文件服務(wù)器”選項(xiàng)即可。
進(jìn)入“選擇客戶端功能”標(biāo)簽頁(yè),來(lái)配置Windows Server 2003服務(wù)器支持的“客戶端功能”,其實(shí)Windows Server 2003服務(wù)器的客戶端功能也很好理解,服務(wù)器在提供各種網(wǎng)絡(luò)服務(wù)的同時(shí),也需要一些客戶端功能的支持才行,如Microsoft網(wǎng)絡(luò)客戶端、DHCP客戶端和FTP客戶端等。根據(jù)需要,在列表框中勾選你所需的客戶端功能即可,同樣,對(duì)于不需要的客戶端功能選項(xiàng),建議你一定要取消對(duì)它的選擇。
接下來(lái)進(jìn)入到“選擇管理和其它選項(xiàng)”對(duì)話框,在這里選擇你需要的一些Windows Server 2003系統(tǒng)提供的管理和服務(wù)功能,操作方法是一樣的,只要在列表框中勾選你需要的管理選項(xiàng)即可。點(diǎn)擊“下一步”后,還要配置一些Windows Server 2003系統(tǒng)的額外服務(wù),這些額外服務(wù)一般都是第三方軟件提供的服務(wù)。
然后進(jìn)入到“處理未指定的服務(wù)”對(duì)話框,這里“未指定服務(wù)”是指,如果此安全策略文件被應(yīng)用到其它Windows Server 2003服務(wù)器中,而這個(gè)服務(wù)器中提供的一些服務(wù)沒(méi)有在安全配置數(shù)據(jù)庫(kù)中列出,那么這些沒(méi)被列出的服務(wù)該在什么狀態(tài)下運(yùn)行呢?在這里就可以指定它們的運(yùn)行狀態(tài),建議大家選中“不更改此服務(wù)的啟用模式”單選項(xiàng)。最后進(jìn)入到“確認(rèn)服務(wù)更改”對(duì)話框,對(duì)你的配置進(jìn)行最終確認(rèn)后,就完成了基于角色的服務(wù)配置。
3.配置網(wǎng)絡(luò)安全
以上完成了基于角色的服務(wù)配置。但Windows Server 2003服務(wù)器包含的各種服務(wù),都是通過(guò)某個(gè)或某些端口來(lái)提供服務(wù)內(nèi)容的,為了保證服務(wù)器的安全,Windows防火墻默認(rèn)是不會(huì)開(kāi)放這些服務(wù)端口的。下面就可以通過(guò)“網(wǎng)絡(luò)安全”配置向?qū)ч_(kāi)放各項(xiàng)服務(wù)所需的端口,這種向?qū)Щ渲眠^(guò)程與手工配置Windows防火墻相比,更加簡(jiǎn)單、方便和安全。
在“網(wǎng)絡(luò)安全”對(duì)話框中,要開(kāi)放選中的服務(wù)器角色,Windows Server 2003系統(tǒng)提供的管理功能以及第三方軟件提供的服務(wù)所使用的端口。點(diǎn)擊“下一步”按鈕后,在“打開(kāi)端口并允許應(yīng)用程序”對(duì)話框中開(kāi)放所需的端口,如FTP服務(wù)器所需的“20和21”端口,IIS服務(wù)所需的“80”端口等,這里要切記“最小化”原則,只要在列表框中選擇要必須開(kāi)放的端口選項(xiàng)即可,最后確認(rèn)端口配置,這里要注意:其它不需要使用的端口,建議大家不要開(kāi)放,以免給Windows Server 2003服務(wù)器造成安全隱患。
4.注冊(cè)表設(shè)置
Windows Server 2003服務(wù)器在網(wǎng)絡(luò)中為用戶提供各種服務(wù),但用戶與服務(wù)器的通信中很有可能包含“不懷好意”的訪問(wèn),如黑客和病毒攻擊。如何保證服務(wù)器的安全,最大限度地限制非法用戶訪問(wèn),通過(guò)“注冊(cè)表設(shè)置”向?qū)Ь湍茌p松實(shí)現(xiàn)。
利用注冊(cè)表設(shè)置向?qū)В薷腤indows Server 2003服務(wù)器注冊(cè)表中某些特殊的鍵值,來(lái)嚴(yán)格限制用戶的訪問(wèn)權(quán)限。用戶只要根據(jù)設(shè)置向?qū)崾荆约胺?wù)器的服務(wù)需要,分別對(duì)“要求SMB安全簽名”、“出站身份驗(yàn)證方法”、“入站身份驗(yàn)證方法”進(jìn)行嚴(yán)格設(shè)置,就能最大限度保證Windows Server 2003服務(wù)器的安全運(yùn)行,并且免去手工修改注冊(cè)表的麻煩。
5.啟用“審核策略”
聰明的網(wǎng)管會(huì)利用日志功能來(lái)分析服務(wù)器的運(yùn)行狀況,因此適當(dāng)?shù)膯⒂脤徍瞬呗允欠浅V匾摹CW功能也充分的考慮到這些,利用向?qū)Щ牟僮骶湍茌p松啟用審核策略。
在“系統(tǒng)審核策略”配置對(duì)話框中要合理選擇審核目標(biāo),畢竟日志記錄過(guò)多的事件會(huì)影響服務(wù)器的性能,因此建議用戶選擇“審核成功的操作”選項(xiàng)。當(dāng)然如果有特殊需要,也可以選擇其它選項(xiàng)。如“不審核”或“審核成功或不成功的操作”選項(xiàng)。
6.增強(qiáng)IIS安全
IIS服務(wù)器是網(wǎng)絡(luò)中最為廣泛應(yīng)用的一種服務(wù),也是Windows系統(tǒng)中最易受攻擊的服務(wù)。如何來(lái)保證IIS服務(wù)器的安全運(yùn)行,最大限度免受黑客和病毒的攻擊,這也是SCW功能要解決的一個(gè)問(wèn)題。利用“安全配置向?qū)А笨梢暂p松的增強(qiáng)IIS服務(wù)器的安全,保證其穩(wěn)定、安全運(yùn)行。
在“Internet信息服務(wù)”配置對(duì)話框中,通過(guò)配置向?qū)В瑏?lái)選擇你要啟用的Web服務(wù)擴(kuò)展、要保持的虛擬目錄,以及設(shè)置匿名用戶對(duì)內(nèi)容文件的寫(xiě)權(quán)限。這樣IIS服務(wù)器的安全性就大大增強(qiáng)。
小提示:如果你的Windows Server 2003服務(wù)器沒(méi)有安裝、運(yùn)行IIS服務(wù),則在SCW配置過(guò)程中不會(huì)出現(xiàn)IIS安全配置部分。
完成以上幾步配置后,進(jìn)入到保存安全策略對(duì)話框,首先在“安全策略文件名”對(duì)話框中為你配置的安全策略起個(gè)名字,最后在“應(yīng)用安全策略”對(duì)話框中選擇“現(xiàn)在應(yīng)用”選項(xiàng),使配置的安全策略立即生效。
利用SCW增強(qiáng)Windows Server 2003服務(wù)器的安全性能就這么簡(jiǎn)單,所有的參數(shù)配置都是通過(guò)向?qū)Щ瘜?duì)話框完成的,免去了手工繁瑣的配置過(guò)程,SCW功能的確是安全性和易用性有效的結(jié)合點(diǎn)。如果你的Windows Server 2003系統(tǒng)已經(jīng)安裝了SP1補(bǔ)丁包,不妨試試SCW吧!
厲兵秣馬 先裝“SCW”
大家都很清楚,Windows Server 2003系統(tǒng)為增強(qiáng)其安全性,默認(rèn)情況下,很多服務(wù)組件是不被安裝的,要想使用,必須手工安裝。“SCW”功能也是一樣,雖然你已經(jīng)成功安裝了補(bǔ)丁包SP1,但也需要手工安裝“安全配置向?qū)В⊿CW)”組件。
進(jìn)入“控制面板”后,運(yùn)行“添加或刪除程序”,然后切換到“添加/刪除Windows組件”頁(yè)。下面在“Windows組件向?qū)А睂?duì)話框中選中“安全配置向?qū)А边x項(xiàng),最后點(diǎn)擊“下一步”按鈕后,就能輕松完成“SCW”組件的安裝。
安裝過(guò)程就這么簡(jiǎn)單,接下來(lái)就能根據(jù)自身需要,利用“SCW”配置安全策略,增強(qiáng)Windows Server 2003服務(wù)器安全。
配置“安全策略” 原來(lái)如此“簡(jiǎn)單”
在Windows Server 2003服務(wù)器中,點(diǎn)擊“開(kāi)始→運(yùn)行”后,在運(yùn)行對(duì)話框中執(zhí)行“SCW.exe”命令,就會(huì)dan出“安全配置向?qū)А睂?duì)話框,開(kāi)始你的安全策略配置過(guò)程。當(dāng)然你也可以進(jìn)入“控制面板→管理工具”窗口后,執(zhí)行“安全配置向?qū)А笨旖莘绞絹?lái)啟用“SCW”。
1.新建第一個(gè)“安全策略”
如果你是第一次使用“SCW”功能,首先要為Windows Server 2003服務(wù)器新建一個(gè)安全策略,安全策略信息是被保存在格式為XML 的文件中的,并且它的默認(rèn)存儲(chǔ)位置是“C:\WINDOWS\security\msscw\Policies”。因此一個(gè)Windows Server 2003系統(tǒng)可以根據(jù)不同需要,創(chuàng)建多個(gè)“安全策略”文件,并且還可以對(duì)安全策略文件進(jìn)行修改,但一次只能應(yīng)用其中一個(gè)安全策略。
在“歡迎使用安全配置向?qū)А睂?duì)話框中點(diǎn)擊“下一步”按鈕,進(jìn)入到“配置操作”對(duì)話框,因?yàn)槭堑谝淮问褂谩癝CW”,這里要選擇“創(chuàng)建新的安全策略”單選項(xiàng),點(diǎn)擊“下一步”按鈕,就開(kāi)始配置安全策略。
2.輕松配置“角色”
首先進(jìn)入“選擇服務(wù)器”對(duì)話框,在“服務(wù)器”欄中輸入要進(jìn)行安全配置的Windows Server 2003服務(wù)器的機(jī)器名或IP地址,點(diǎn)擊“下一步”按鈕后,“安全配置向?qū)А睍?huì)處理安全配置數(shù)據(jù)庫(kù)。
接著就進(jìn)入到“基于角色的服務(wù)配置”對(duì)話框。在基于角色的服務(wù)配置中,可以對(duì)Windows Server 2003服務(wù)器角色、客戶端角色、系統(tǒng)服務(wù)、應(yīng)用程序,以及管理選項(xiàng)等內(nèi)容進(jìn)行配置。
所謂服務(wù)器“角色”,其實(shí)就是提供各種服務(wù)的Windows Server 2003服務(wù)器,如文件服務(wù)器、打印服務(wù)器、DNS服務(wù)器和DHCP服務(wù)器等 , 一個(gè)Windows Server 2003服務(wù)器可以只提供一種服務(wù)器“角色”,也可以扮演多種服務(wù)器角色。點(diǎn)擊“下一步”按鈕后,就進(jìn)入到“選擇服務(wù)器角色”配置對(duì)話框,這時(shí)需要在“服務(wù)器角色列表框”中勾選你的Windows Server 2003服務(wù)器所扮演的角色。
注意:為了保證服務(wù)器的安全,只勾選你所需要的服務(wù)器角色即可,選擇多余的服務(wù)器角色選項(xiàng),會(huì)增加Windows Server 2003系統(tǒng)的安全隱患。如筆者的Windows Server 2003服務(wù)器只是作為文件服務(wù)器使用,這時(shí)只要選擇“文件服務(wù)器”選項(xiàng)即可。
進(jìn)入“選擇客戶端功能”標(biāo)簽頁(yè),來(lái)配置Windows Server 2003服務(wù)器支持的“客戶端功能”,其實(shí)Windows Server 2003服務(wù)器的客戶端功能也很好理解,服務(wù)器在提供各種網(wǎng)絡(luò)服務(wù)的同時(shí),也需要一些客戶端功能的支持才行,如Microsoft網(wǎng)絡(luò)客戶端、DHCP客戶端和FTP客戶端等。根據(jù)需要,在列表框中勾選你所需的客戶端功能即可,同樣,對(duì)于不需要的客戶端功能選項(xiàng),建議你一定要取消對(duì)它的選擇。
接下來(lái)進(jìn)入到“選擇管理和其它選項(xiàng)”對(duì)話框,在這里選擇你需要的一些Windows Server 2003系統(tǒng)提供的管理和服務(wù)功能,操作方法是一樣的,只要在列表框中勾選你需要的管理選項(xiàng)即可。點(diǎn)擊“下一步”后,還要配置一些Windows Server 2003系統(tǒng)的額外服務(wù),這些額外服務(wù)一般都是第三方軟件提供的服務(wù)。
然后進(jìn)入到“處理未指定的服務(wù)”對(duì)話框,這里“未指定服務(wù)”是指,如果此安全策略文件被應(yīng)用到其它Windows Server 2003服務(wù)器中,而這個(gè)服務(wù)器中提供的一些服務(wù)沒(méi)有在安全配置數(shù)據(jù)庫(kù)中列出,那么這些沒(méi)被列出的服務(wù)該在什么狀態(tài)下運(yùn)行呢?在這里就可以指定它們的運(yùn)行狀態(tài),建議大家選中“不更改此服務(wù)的啟用模式”單選項(xiàng)。最后進(jìn)入到“確認(rèn)服務(wù)更改”對(duì)話框,對(duì)你的配置進(jìn)行最終確認(rèn)后,就完成了基于角色的服務(wù)配置。
3.配置網(wǎng)絡(luò)安全
以上完成了基于角色的服務(wù)配置。但Windows Server 2003服務(wù)器包含的各種服務(wù),都是通過(guò)某個(gè)或某些端口來(lái)提供服務(wù)內(nèi)容的,為了保證服務(wù)器的安全,Windows防火墻默認(rèn)是不會(huì)開(kāi)放這些服務(wù)端口的。下面就可以通過(guò)“網(wǎng)絡(luò)安全”配置向?qū)ч_(kāi)放各項(xiàng)服務(wù)所需的端口,這種向?qū)Щ渲眠^(guò)程與手工配置Windows防火墻相比,更加簡(jiǎn)單、方便和安全。
在“網(wǎng)絡(luò)安全”對(duì)話框中,要開(kāi)放選中的服務(wù)器角色,Windows Server 2003系統(tǒng)提供的管理功能以及第三方軟件提供的服務(wù)所使用的端口。點(diǎn)擊“下一步”按鈕后,在“打開(kāi)端口并允許應(yīng)用程序”對(duì)話框中開(kāi)放所需的端口,如FTP服務(wù)器所需的“20和21”端口,IIS服務(wù)所需的“80”端口等,這里要切記“最小化”原則,只要在列表框中選擇要必須開(kāi)放的端口選項(xiàng)即可,最后確認(rèn)端口配置,這里要注意:其它不需要使用的端口,建議大家不要開(kāi)放,以免給Windows Server 2003服務(wù)器造成安全隱患。
4.注冊(cè)表設(shè)置
Windows Server 2003服務(wù)器在網(wǎng)絡(luò)中為用戶提供各種服務(wù),但用戶與服務(wù)器的通信中很有可能包含“不懷好意”的訪問(wèn),如黑客和病毒攻擊。如何保證服務(wù)器的安全,最大限度地限制非法用戶訪問(wèn),通過(guò)“注冊(cè)表設(shè)置”向?qū)Ь湍茌p松實(shí)現(xiàn)。
利用注冊(cè)表設(shè)置向?qū)В薷腤indows Server 2003服務(wù)器注冊(cè)表中某些特殊的鍵值,來(lái)嚴(yán)格限制用戶的訪問(wèn)權(quán)限。用戶只要根據(jù)設(shè)置向?qū)崾荆约胺?wù)器的服務(wù)需要,分別對(duì)“要求SMB安全簽名”、“出站身份驗(yàn)證方法”、“入站身份驗(yàn)證方法”進(jìn)行嚴(yán)格設(shè)置,就能最大限度保證Windows Server 2003服務(wù)器的安全運(yùn)行,并且免去手工修改注冊(cè)表的麻煩。
5.啟用“審核策略”
聰明的網(wǎng)管會(huì)利用日志功能來(lái)分析服務(wù)器的運(yùn)行狀況,因此適當(dāng)?shù)膯⒂脤徍瞬呗允欠浅V匾摹CW功能也充分的考慮到這些,利用向?qū)Щ牟僮骶湍茌p松啟用審核策略。
在“系統(tǒng)審核策略”配置對(duì)話框中要合理選擇審核目標(biāo),畢竟日志記錄過(guò)多的事件會(huì)影響服務(wù)器的性能,因此建議用戶選擇“審核成功的操作”選項(xiàng)。當(dāng)然如果有特殊需要,也可以選擇其它選項(xiàng)。如“不審核”或“審核成功或不成功的操作”選項(xiàng)。
6.增強(qiáng)IIS安全
IIS服務(wù)器是網(wǎng)絡(luò)中最為廣泛應(yīng)用的一種服務(wù),也是Windows系統(tǒng)中最易受攻擊的服務(wù)。如何來(lái)保證IIS服務(wù)器的安全運(yùn)行,最大限度免受黑客和病毒的攻擊,這也是SCW功能要解決的一個(gè)問(wèn)題。利用“安全配置向?qū)А笨梢暂p松的增強(qiáng)IIS服務(wù)器的安全,保證其穩(wěn)定、安全運(yùn)行。
在“Internet信息服務(wù)”配置對(duì)話框中,通過(guò)配置向?qū)В瑏?lái)選擇你要啟用的Web服務(wù)擴(kuò)展、要保持的虛擬目錄,以及設(shè)置匿名用戶對(duì)內(nèi)容文件的寫(xiě)權(quán)限。這樣IIS服務(wù)器的安全性就大大增強(qiáng)。
小提示:如果你的Windows Server 2003服務(wù)器沒(méi)有安裝、運(yùn)行IIS服務(wù),則在SCW配置過(guò)程中不會(huì)出現(xiàn)IIS安全配置部分。
完成以上幾步配置后,進(jìn)入到保存安全策略對(duì)話框,首先在“安全策略文件名”對(duì)話框中為你配置的安全策略起個(gè)名字,最后在“應(yīng)用安全策略”對(duì)話框中選擇“現(xiàn)在應(yīng)用”選項(xiàng),使配置的安全策略立即生效。
利用SCW增強(qiáng)Windows Server 2003服務(wù)器的安全性能就這么簡(jiǎn)單,所有的參數(shù)配置都是通過(guò)向?qū)Щ瘜?duì)話框完成的,免去了手工繁瑣的配置過(guò)程,SCW功能的確是安全性和易用性有效的結(jié)合點(diǎn)。如果你的Windows Server 2003系統(tǒng)已經(jīng)安裝了SP1補(bǔ)丁包,不妨試試SCW吧!
