如何讓win2003更安全

　　“金無足赤,人無完人”任何事物都沒有十全十美的,微軟Windows 2003也是如此，照樣存在著系統(tǒng)漏洞、存在著不少安全隱患.不管是你用計算機(jī)欣賞音樂、上網(wǎng)沖浪、運(yùn)行游戲，還是編寫文檔都不可避免的面臨著各種病毒的威脅,如何讓W(xué)indows Server 2003更加安全，成為廣大用戶十分關(guān)注的問題。 下面讓我們來討論如何讓W(xué)indows Server 2003更加安全。

　　理解你的角色

　　理解服務(wù)器角色絕對是安全進(jìn)程中不可或缺的一步。Windows Server可以被配置為多種角色，Windows Server 2003 可以作為域控制器、成員服務(wù)器、基礎(chǔ)設(shè)施服務(wù)器、文件服務(wù)器、打印服務(wù)器、IIS服務(wù)器、IAS服務(wù)器、終端服務(wù)器等等。一個服務(wù)器甚至可以被配置為上述角色的組合。

　　現(xiàn)在的問題是每種服務(wù)器角色都有相應(yīng)的安全需求。例如，如果你的服務(wù)器將作為IIS服務(wù)器，那么你將需要開啟IIS服務(wù)。然而，如果服務(wù)器將作為獨(dú)立的文件或者打印服務(wù)器，啟用IIS服務(wù)則會帶來巨大的安全隱患。

　　我之所以在這里談到這個的原因是我不能給你一套在每種情況下都適用的步驟。服務(wù)器的安全應(yīng)該隨著服務(wù)器角色和服務(wù)器環(huán)境的改變而改變。

　　因為有很多強(qiáng)化服務(wù)器的方法，所以我將以配置一個簡單但安全的文件服務(wù)器為例來論述配置服務(wù)器安全的可行性步驟。我將努力指出當(dāng)服務(wù)器角色改變時你將要做的。請諒解這并不是一個涵蓋每種角色服務(wù)器的完全指南。

　　物理安全

　　為了實(shí)現(xiàn)真正意義上的安全，你的服務(wù)器必須被放置在一個安全的位置。通常地，這意味著將將服務(wù)器放置在上了鎖的門后。物理安全是相當(dāng)重要的，因為現(xiàn)有的許多管理和災(zāi)難恢復(fù)工具同樣也可以被黑客利用。任何擁有這樣工具的人都能在物理接入到服務(wù)器的時候攻擊服務(wù)器。唯一能夠避免這種攻擊的方法是將服務(wù)器放置在安全的地點(diǎn)。對于任何角色的Windows Server 2003，這都是必要的。

　　創(chuàng)建基線

　　除了建立良好的物理安全以外，我能給你的最佳建議是，在配置一系列Windows Server 2003的時候，應(yīng)該確定你的安全需求策略，并立即部署和執(zhí)行這些策略 。

　　實(shí)現(xiàn)這一目的最好的方法是創(chuàng)建一個安全基線(security baseline)。安全基線是文檔和公認(rèn)安全設(shè)置的清單。在大多數(shù)情況下，你的基線會隨著服務(wù)器角色的不同而產(chǎn)生區(qū)別。因此你最好創(chuàng)建幾個不同的基線，以便將它們應(yīng)用到不同類型的服務(wù)器上。例如，你可以為文件服務(wù)器制定一個基線，為域控制器制定另一個基線，并為IAS服務(wù)器制定一個和前兩者都不同的基線。

　　windows 2003包含一個叫"安全配置與分析"的工具。這個工具讓你可以將服務(wù)器的當(dāng)前安全策略與模板文件中的基線安全策略相比較。你可以自行創(chuàng)建這些模板或是使用內(nèi)建的安全模板。

　　安全模板是一系列基于文本的INF文件，被保存在%SYSTEMROOT%SECURITY|TEMPLATES 文件夾下。檢查或更改這些個體模板最簡單的方法是使用管理控制臺(MMC)。

　　要打開這個控制 臺，在RUN提示下輸入MMC命令，在控制臺加載后，選擇添加/刪除管理單元屬性命令，Windows就會顯示添加/刪除管理單元列表。點(diǎn)擊"添加"按鈕，你將會看到所有可用管理單元的列表。選擇安全模板管理單元，接著依次點(diǎn)擊添加，關(guān)閉和確認(rèn)按鈕。

　　在安全模板管理單元加載后，你就可以察看每一個安全模板了。在遍歷控制臺樹的時候，你會發(fā)現(xiàn)每個模板都模仿組策略的結(jié)構(gòu)。模板名反映出每個模板的用途。例如，HISECDC模板就是一個高安全性的域控制器模板。

　　如果你正在安全配置一個文件服務(wù)器，我建議你從SECUREWS模板開始。在審查所有的模板設(shè)置時，你會發(fā)現(xiàn)盡管模板能被用來讓服務(wù)器更加安全，但是不一定能滿足你的需求。某些安全設(shè)置可能過于嚴(yán)格或過于松散。我建議你修改現(xiàn)有的設(shè)置，或是創(chuàng)建一個全新的策略。通過在控制臺中右擊C:WINDOWSSecurityTemplates文件夾并在目標(biāo)菜單中選擇新建模板命令，你就可以輕輕松松地創(chuàng)建一個新的模板。

　　在創(chuàng)建了符合需求的模板后，回到添加/刪除管理單元屬性面板，并添加一個安全配置與分析的管理單元。在這個管理單元加載后，右擊"安全配置與分析"容器，接著在結(jié)果菜單中選擇"打開數(shù)據(jù)庫"命令，點(diǎn)擊"打開"按鈕，你可以使用你提供的名稱來創(chuàng)建必要的數(shù)據(jù)庫。

　　接下來，右擊"安全配置與分析"容器并在快捷菜單中選擇"導(dǎo)入模板"命令。你將會看到所有可用模板的列表。選擇包含你安全策略設(shè)置的模板并點(diǎn)擊打開。在模板被導(dǎo)入后，再次右擊"安全配置與分析"容器并在快捷菜單中選擇"現(xiàn)在就分析計算機(jī)"命令。Windows將會提示你寫入錯誤日志的位置，鍵入文件路徑并點(diǎn)擊"確定"。

　　在這樣的情況下，Windows將比較服務(wù)器現(xiàn)有安全設(shè)置和模板文件里的設(shè)置。你可以通過"安全配置與分析控制臺"看到比較結(jié)果。每一條組策略設(shè)置顯示現(xiàn)有的設(shè)置和模板設(shè)置。

　　在你可以檢查差異列表的時候，就是執(zhí)行基于模板安全策略的時候了。右擊"安全配置與分析"容器并從快捷菜單中選擇"現(xiàn)在就配置計算機(jī)"命令。這一工具將會立即修改你計算機(jī)的安全策略，從而匹配模板策略。

　　組策略實(shí)際上是層次化的。組策略可以被應(yīng)用到本地計算機(jī)級別、站點(diǎn)級別、域級別和OU級別。當(dāng)你實(shí)現(xiàn)基于模板的安全之時，你正在在修改計算機(jī)級別的組策略。其他的組策略不會受到直接影響，盡管最終策略可能會反映變化，由于計算機(jī)策略設(shè)置被更高級別的策略所繼承。

　　修改內(nèi)建的用戶賬號

　　多年以來，微軟一直在強(qiáng)調(diào)最好重命名Administrator賬號并禁用Guest賬號，從而實(shí)現(xiàn)更高的安全。在Windows Server 2003中，Guest 賬號是缺省禁用的，但是重命名Administrator賬號仍然是必要的，因為黑客往往會從Administrator賬號入手開始進(jìn)攻。

　　有很多工具通過檢查賬號的SID來尋找賬號的真實(shí)名稱。不幸的是，你不能改變用戶的SID，也就是說基本上沒有防止這種工具來檢測Administrator賬號真實(shí)名稱的辦法。即便如此，我還是鼓勵每個人重命名Administrator 賬號并修改賬號的描述信息，有兩個原因:

　　首先，誑橢械男率摯贍懿恢?勒飫喙ぞ叩拇嬖諢蛘卟換崾褂盟?恰F浯危?孛?鸄dministrator賬號為一個獨(dú)特的名稱讓你能更方便的監(jiān)控黑客對此賬號的進(jìn)攻。

　　另一個技巧適用于成員服務(wù)器。成員服務(wù)器有他們自己的內(nèi)建本地管理員賬號，完全獨(dú)立于域中的管理 員賬號。你可以配置每個成員服務(wù)器使用不同的用戶名和密碼。如果某人猜測出你的本地用戶名和密碼，你肯定不希望他用相同的賬號侵犯其他的服務(wù)器。當(dāng)然，如果你擁有良好的物理安全，誰也不能使用本地賬號取得你服務(wù)器的權(quán)限。

　　服務(wù)賬號

　　Windows Server 2003在某種程度上最小化服務(wù)賬號的需求。即便如此，一些第三方的應(yīng)用程序仍然堅持傳統(tǒng)的服務(wù)賬號。如果可能的話，盡量使用本地賬號而不是域賬號作為服務(wù)賬號，因為如果某人物理上獲得了服務(wù)器的訪問權(quán)限，他可能會轉(zhuǎn)儲服務(wù)器的LSA機(jī)密，并泄露密碼。如果你使用域密碼，森林中的任何計算機(jī)都可以通過此密碼獲得域訪問權(quán)限。而如果使用本地賬戶，密碼只能在本地計算機(jī)上使用，不會給域帶來任何威脅。

　　系統(tǒng)服務(wù)

　　一個基本原則告訴我們，在系統(tǒng)上運(yùn)行的代碼越多，包含漏洞的可能性就越大。你需要關(guān)注的一個重要安全策略是減少運(yùn)行在你服務(wù)器上的代碼。這么做能在減少安全隱患的同時增強(qiáng)服務(wù)器的性能。

　　在Windows 2000中，缺省運(yùn)行的服務(wù)有很多，但是有很大一部分服務(wù)在大多數(shù)環(huán)境中并派不上用場。事實(shí)上，windows 2000的缺省安裝甚至包含了完全操作的IIS服務(wù)器。而在Windows Server 2003中，微軟關(guān)閉了大多數(shù)不是絕對必要的服務(wù)。即使如此，還是有一些有爭議的服務(wù)缺省運(yùn)行。

　　其中一個服務(wù)是分布式文件系統(tǒng)(DFS)服務(wù)。DFS服務(wù)起初被設(shè)計簡化用戶的工作。DFS允許管理員創(chuàng)建一個邏輯的區(qū)域，包含多個服務(wù)器或分區(qū)的資源。對于用戶，所有這些分布式的資源存在于一個單一的文件夾中。

　　我個人很喜歡DFS，尤其因為它的容錯和可伸縮特性。然而，如果你不準(zhǔn)備使用DFS，你需要讓用戶了解文件的確切路徑。在某些環(huán)境下，這可能意味著更強(qiáng)的安全性。在我看來，DFS的利大于弊。

　　另一個這樣的服務(wù)是文件復(fù)制服務(wù)(FRS)。FRS被用來在服務(wù)器之間復(fù)制數(shù)據(jù)。它在域控制器上是強(qiáng)制的服務(wù)，因為它能夠保持SYSVOL文件夾的同步。對于成員服務(wù)器來說，這個服務(wù)不是必須的，除非運(yùn)行DFS。

　　如果你的文件服務(wù)器既不是域控制器，也不使用DFS，我建議你禁用FRS服務(wù)。這么做會減少黑客在多個服務(wù)器間復(fù)制惡意文件的可能性。

　　另一個需要注意的服務(wù)是Print Spooler服務(wù)(PSS)。該服務(wù)管理所有的本地和網(wǎng)絡(luò)打印請求，并在這些請求下控制所有的打印工作。所有的打印操作都離不開這個服務(wù)，它也是缺省被啟用的。

　　不是每個服務(wù)器都需要打印功能。除非服務(wù)器的角色是打印服務(wù)器，你應(yīng)該禁用這個服務(wù)。畢竟，專用文件服務(wù)器要打印服務(wù)有什么用呢?通常地，沒有人會在服務(wù)器控制臺工作，因此應(yīng)該沒有必要開啟本地或網(wǎng)絡(luò)打印。

　　我相信通常在災(zāi)難恢復(fù)操作過程中，打印錯誤消息或是事件日志都是十分必要的。然而，我依然建議在非打印服務(wù)器上簡單的關(guān)閉這一服務(wù)。

　　信不信由你，PSS是最危險的Windows組件之一。有不計其數(shù)的木馬更換其可執(zhí)行文件。這類攻擊的動機(jī)是因為它是統(tǒng)級的服務(wù)，因此擁有很高的特權(quán)。因此任何侵入它的木馬能夠獲得這些高級別的特權(quán)。為了防止此類攻擊，還是關(guān)掉這個服務(wù)吧。

　　Windows Server 2003作為Microsoft 最新推出的服務(wù)器操作系統(tǒng)，相比Windows 2000/XP系統(tǒng)來說，各方面的功能確實(shí)得到了增強(qiáng)，尤其在安全方面，總體感覺做的還算不錯.但如果你曾經(jīng)配置過Windows NT Server或是windows 2000 Server，你也許發(fā)現(xiàn)這些微軟的產(chǎn)品缺省并不是最安全的。但是,你學(xué)習(xí)了本教程后,你可以讓你的windows 2003系統(tǒng)變得更安全.

【如何讓win更安全】相關(guān)文章：

如何開車更安全又省油06-04

冰箱如何使用更安全06-04

車載冰箱如何使用更安全06-04

冰箱如何使用才能更安全06-03

win10如何進(jìn)入安全模式08-21

win8.1如何升級win1003-22

如何讓愛情更持久06-04

如何讓身體更健康10-25

Win10怎么優(yōu)化讓系統(tǒng)運(yùn)行更流暢06-03

Win10廣告如何關(guān)閉02-24