作者:張四大來(lái)源:網(wǎng)管員世界

Windows Server 2003提供了諸多強(qiáng)大的網(wǎng)絡(luò)服務(wù)功能，而且極易上手，網(wǎng)管不需要太多的培訓(xùn)即可配置和管理。不過(guò)，要配置一個(gè)安全的Windows Server 2003服務(wù)器，需要有經(jīng)驗(yàn)的網(wǎng)管手動(dòng)配置很長(zhǎng)時(shí)間：需要在提供各種服務(wù)的同時(shí)，保證服務(wù)器的安全穩(wěn)定運(yùn)行，最大限度地抵御病毒和安全的入侵，這是每個(gè)網(wǎng)管的基本追求。

隨著Windows Server 2003 SP1的發(fā)布，網(wǎng)絡(luò)安全隨著進(jìn)一步加強(qiáng)。此次工具包中還增加了許多工具，網(wǎng)絡(luò)安全配置向?qū)?SCW)就是其中之一。利用網(wǎng)絡(luò)安全配置向?qū)Э梢宰尵W(wǎng)管輕松地配置服務(wù)器，使其安全性大大提高。

注意：在被認(rèn)為“安全第一”的Windows Server 2003上，微軟為增強(qiáng)其安全性，很多組件(服務(wù))在默認(rèn)情況下是不被安裝的。故此，如果要使用這些組件，就必須使用安裝盤在“添加/刪除Windows組件”中按需添加。安全配置向?qū)?SCW)也是一樣。

　　1.啟動(dòng)安全配置向?qū)?/STRONG>

在Windows Server 2003服務(wù)器中，可以通過(guò)以下兩種方法之一啟動(dòng)。

方法一：?jiǎn)螕簟伴_始”→“運(yùn)行”后，在運(yùn)行對(duì)話框中執(zhí)行“SCW.exe”命令。

方法二：?jiǎn)螕簟伴_始”→“程序”→“管理工具”→“安全配置向?qū)А保瑔?dòng)“安全配置向?qū)А睂?duì)話框，開始安全策略配置過(guò)程。

　　2.建立安全策略

在您第一次啟用“SCW”時(shí)，先要為Windows Server 2003服務(wù)器創(chuàng)建一個(gè)安全策略。我們可以根據(jù)實(shí)際需求為一個(gè)服務(wù)器配置多個(gè)“安全策略”文件，也可以對(duì)一個(gè)安全策略文件進(jìn)行適當(dāng)?shù)木庉嫞詽M足自己工作要求。不過(guò)，一次只能加載一個(gè)策略文件。

在“歡迎使用安全配置向?qū)А睂?duì)話框中單擊“下一步”按鈕，進(jìn)入到“配置操作”對(duì)話框。因?yàn)槭浅醮芜\(yùn)行“SCW”，所以要選擇“創(chuàng)建新的安全策略”選項(xiàng)。

單擊“下一步”按鈕，開始配置安全策略之旅。

　　3.基于角色服務(wù)器配置

首先進(jìn)入“選擇服務(wù)器”對(duì)話框，在“服務(wù)器”欄中輸入要進(jìn)行安全配置的Windows Server 2003服務(wù)器的機(jī)器名或IP地址，單擊“下一步”。處理完成后，可以通過(guò)“查看配置數(shù)據(jù)庫(kù)”查看當(dāng)前服務(wù)器角色、客戶端功能、管理選項(xiàng)、服務(wù)、端口以及其他設(shè)置的信息。“安全配置向?qū)А彼幚淼木褪巧婕暗降倪@些項(xiàng)目。

單擊下一步，就進(jìn)入到“基于角色的服務(wù)配置”頁(yè)面。在基于角色的服務(wù)配置中，可以對(duì)Windows Server 2003服務(wù)器角色、客戶端角色、系統(tǒng)服務(wù)、應(yīng)用程序以及管理選項(xiàng)等內(nèi)容進(jìn)行配置。

小知識(shí)：所謂服務(wù)器“角色”，其實(shí)就是提供各種服務(wù)的Windows Server 2003服務(wù)器所提供的相關(guān)服務(wù)，如文件服務(wù)器、打印服務(wù)器、DNS服務(wù)器、多媒體服務(wù)及DHCP服務(wù)器等。運(yùn)行Windows Server 2003服務(wù)器可以只提供一種服務(wù)，也可以提供多種網(wǎng)絡(luò)服務(wù)，提供的每一種服務(wù)就是一個(gè)相應(yīng)的“角色”。

(1)選擇客戶端功能

服務(wù)器可以是其他服務(wù)器的客戶端，客戶端功能必須啟用角色特定的服務(wù)。

啟用選定服務(wù)器執(zhí)行已安裝的客戶端功能是必需的服務(wù)，可以選擇列表中的相應(yīng)客戶端功能。如果計(jì)劃在選定服務(wù)器上安裝其他客戶端功能，或者要將此安全策略應(yīng)用于角色配置稍有不同的其他計(jì)算機(jī)，可以在“視圖”中選擇“所有客戶端功能”，然后選擇相應(yīng)的客戶端功能。如圖1所示。

圖1

(2)選擇管理和其他選項(xiàng)

在此配置頁(yè)中，我們可以選擇管理選項(xiàng)(如遠(yuǎn)程管理和備份)以及使用服務(wù)及端口的其他應(yīng)用程序選項(xiàng)和Windows功能。

(3)選擇其他服務(wù)

選定服務(wù)器所承擔(dān)的一些角色可能會(huì)映射到某些在安全配置數(shù)據(jù)庫(kù)中找不到(因而沒有出現(xiàn)在前面的頁(yè)面上)的已安裝服務(wù)。如果是這樣，則安全配置向?qū)?huì)在“選擇其他服務(wù)”頁(yè)上顯示已安裝服務(wù)的列表。

單擊復(fù)選框和服務(wù)名之間的三角形，可獲得有關(guān)該服務(wù)的詳細(xì)信息。正如在前面所接觸到的那樣，我們檢查每個(gè)其他服務(wù)并確定是否需要運(yùn)行該服務(wù)，才能使選定服務(wù)器(或打算應(yīng)用該策略的其他服務(wù)器)像期望的那樣工作。

如果服務(wù)不是必需的，就要確保清除其復(fù)選框;如果服務(wù)是必需的，請(qǐng)選中其復(fù)選框，然后單擊“下一步”。

(4)處理未指定的服務(wù)

未指定的服務(wù)是指不出現(xiàn)在安全配置數(shù)據(jù)庫(kù)中且當(dāng)前未安裝在選定服務(wù)器上，但是可能已安裝在要應(yīng)用安全策略的其他服務(wù)器上的服務(wù)。或者在將來(lái)的某個(gè)時(shí)間，也可能在選定服務(wù)器上安裝這些服務(wù)。

在此配置頁(yè)面中有兩個(gè)選項(xiàng)，“保持服務(wù)的當(dāng)前啟動(dòng)模式”和“禁用服務(wù)”。

如果我們想將安全策略應(yīng)用于選定服務(wù)器之外的服務(wù)器或在選定服務(wù)器的配置發(fā)生改變(例如安裝了新軟件)后，將安全策略應(yīng)用于選定服務(wù)器，建議配置此服務(wù)。

最后進(jìn)入到“確認(rèn)服務(wù)更改”頁(yè)面，我們?cè)诖藢?duì)配置進(jìn)行最終確認(rèn)后，單擊下一步就完成了“基于角色的服務(wù)配置”。

提示：①“安全配置向?qū)А?SCW)啟用選定服務(wù)器，執(zhí)行我們?cè)诖伺渲庙?yè)上所選擇的服務(wù)器角色是必需的服務(wù)，并禁用任何角色不需要的服務(wù)。

②通過(guò)選擇某個(gè)角色，可以自動(dòng)選擇它的所有相關(guān)角色，在整個(gè)SCW中都可以使用“上一步”和“下一步”按鈕前進(jìn)或后退以及更改設(shè)置。

③如果沒有安裝所需的角色，而且該角色不在安全配置數(shù)據(jù)庫(kù)中，則它不會(huì)出現(xiàn)在“所有角色”視圖或任何其他視圖中。

　　4.“網(wǎng)絡(luò)安全”配置

在完成基于角色服務(wù)器配置后，我們的Windows Server 2003服務(wù)器包含的各種服務(wù)，都是通過(guò)某個(gè)或某些端口來(lái)提供服務(wù)內(nèi)容的。為了保證服務(wù)器的安全，Windows防火墻默認(rèn)是不會(huì)開放這些服務(wù)端口的。下面就可以通過(guò)“網(wǎng)絡(luò)安全”配置向?qū)ч_放各項(xiàng)服務(wù)所需的端口，這種向?qū)Щ渲眠^(guò)程與手工配置Windows防火墻相比，更加簡(jiǎn)單、方便和安全。

此“網(wǎng)絡(luò)安全”配置是基于角色服務(wù)器選定的角色和管理選項(xiàng)使用Windows防火墻的入站端口。此外，我們還可以限制訪問(wèn)端口并使用Internet協(xié)議安全(IPSec)指明端口通訊是否經(jīng)過(guò)簽名或加密。

在“打開端口并允許應(yīng)用程序”頁(yè)面中可以自行添加、刪除通信端口，可以根據(jù)Windows服務(wù)或第三方程序(服務(wù))要求情況打開或關(guān)閉端口，并且每個(gè)端口在高級(jí)選項(xiàng)中可以進(jìn)行“遠(yuǎn)程地址限制”和“本地接口限制”配置。如圖2所示。

圖2

由于此配置是基于Windows底層控制，可以更好地控制端口及程序訪問(wèn)。

我們?cè)谶@里選擇需要的服務(wù)端口，如FTP用的20和21端口，IIS使用的80或8088端口，HTTPS使用的443端口等，為了服務(wù)器的安全，不需要的端口請(qǐng)盡量關(guān)閉。

5.“注冊(cè)表”設(shè)置

由于早期通訊協(xié)議的缺陷，造成安全可以通過(guò)更改數(shù)據(jù)包來(lái)欺騙服務(wù)器的驗(yàn)證。此“注冊(cè)表”設(shè)置可以限定連接到此服務(wù)器最低安全要求及使用安全簽名，對(duì)出、入站用戶身份進(jìn)行驗(yàn)證。

運(yùn)行Windows Server 2003服務(wù)器在網(wǎng)絡(luò)中為網(wǎng)絡(luò)用戶提供相應(yīng)的服務(wù)，但個(gè)別別有用心的用戶試圖通過(guò)遠(yuǎn)程訪問(wèn)來(lái)達(dá)到控制服務(wù)器的野心，如安全，會(huì)通過(guò)遠(yuǎn)程更改服務(wù)器的注冊(cè)表來(lái)加載惡意程序，或修改訪問(wèn)數(shù)據(jù)包來(lái)對(duì)服務(wù)器進(jìn)行攻擊。如何更好地保護(hù)服務(wù)器，這是每個(gè)網(wǎng)管工作的重要內(nèi)容。在保證服務(wù)器正常運(yùn)行的前提下，最大限度地限制用戶的非授權(quán)訪問(wèn)，我們可以通過(guò)“注冊(cè)表設(shè)置”向?qū)лp松實(shí)現(xiàn)。如圖3所示。

圖3

利用“注冊(cè)表設(shè)置”向?qū)В砑踊蛐薷腤indows Server 2003服務(wù)器注冊(cè)表中特殊的鍵值，來(lái)限制用戶的訪問(wèn)權(quán)限。我們只要根據(jù)設(shè)置向?qū)崾竞头?wù)器服務(wù)需求，依次在“要求SMB安全簽名”、“出站身份驗(yàn)證方法”、“入站身份驗(yàn)證方法”中進(jìn)行必要設(shè)置，即可保證Windows Server 2003服務(wù)器的安全運(yùn)行。以前這些設(shè)置都是通過(guò)手動(dòng)在注冊(cè)表中更改，不但麻煩，有時(shí)設(shè)置還不完全，甚至產(chǎn)生沖突影響其效果。

6.“審核策略”設(shè)置

對(duì)一個(gè)合格的網(wǎng)絡(luò)管理員來(lái)說(shuō)，能夠通過(guò)日志來(lái)分析服務(wù)器的運(yùn)行狀況是其基本的要求，所以適當(dāng)?shù)膯⒂脤徍瞬呗允菢O其重要的，所有的監(jiān)視信息通過(guò)我們的審核策略產(chǎn)生監(jiān)控日志。審核策略確定日志記錄的成功和失敗事件，以及受審核的文件系統(tǒng)對(duì)象。如圖4所示。

圖4

以前，我們通過(guò)使用組策略編輯器(Gpedit.msc)來(lái)配置啟用審核策略。作為新提供的安全配置向?qū)?SCW)，也將此功能集成其中，我們可以在“安全配置向?qū)А敝械睦孟驅(qū)Щ崾荆瑯O其輕松地完成“審核策略”的配置。

提示：審核文件系統(tǒng)對(duì)象會(huì)降低系統(tǒng)性能并可能導(dǎo)致生成大量事件，如果對(duì)服務(wù)器性能要求較高的話，請(qǐng)慎重選擇(如只審核成功的或不審核)。

7.Internet信息服務(wù)配置

IIS服務(wù)是網(wǎng)絡(luò)中廣泛應(yīng)用的一種服務(wù)，也是容易受攻擊的服務(wù)。如何來(lái)保證IIS服務(wù)器的安全運(yùn)行，免受安全和病毒的攻擊?

微軟曾為Windows 2000提供過(guò)一個(gè)工具，但使用起來(lái)非常麻煩，而且并不能完全解決問(wèn)題。雖然IIS 6的安全性相對(duì)于IIS 5來(lái)說(shuō)有了很大的進(jìn)步，但若想安全配置還需要網(wǎng)管人員大量的手動(dòng)配置。也可以通過(guò)其他網(wǎng)絡(luò)安全公司的工具來(lái)優(yōu)化設(shè)置，但有些工具雖然顯示配置完成，但因?yàn)橄到y(tǒng)兼容性問(wèn)題而無(wú)法達(dá)到預(yù)期目的。

此次微軟推出的“安全配置向?qū)А笨梢允刮覀冚p松地完成對(duì)Internet信息服務(wù)的安全設(shè)置，使IIS服務(wù)器運(yùn)行更安全、更穩(wěn)定。如圖5所示。

圖5

在“Internet信息服務(wù)”配置對(duì)話框中，我們?cè)凇斑x擇動(dòng)態(tài)內(nèi)容Web服務(wù)擴(kuò)展”中選擇所需的服務(wù)，在“選擇要保留的虛擬路徑”中選擇需要保留的虛擬目錄，“組織匿名用戶訪問(wèn)內(nèi)容文件”增加了訪問(wèn)的安全性，避免匿名用戶的寫入(這可是安全常用的攻擊方法)。通過(guò)這樣的配置，運(yùn)行IIS服務(wù)器的安全性就大大提高了。

提示：①IIS安裝運(yùn)行的磁盤分區(qū)必須是NTFS分區(qū),才能保證“限制匿名用戶訪問(wèn)內(nèi)容”起作用。

②如果服務(wù)器沒有安裝、運(yùn)行IIS服務(wù)，則在SCW配置過(guò)程中不會(huì)出現(xiàn)Internet信息服務(wù)配置。

8.保存安全策略

完成以上幾步配置后，出現(xiàn)“安全策略文件名”頁(yè)面。在此我們?yōu)槎ㄖ频摹鞍踩呗浴逼鹨粋€(gè)自己喜歡的名字，擴(kuò)展名為.xml，默認(rèn)的保存位置為“%Systemroot%/Security/Msscw /Policies/”，也可以選擇合適的位置來(lái)保存，如圖6所示。

圖6

然后在“應(yīng)用安全策略”頁(yè)面中選擇“現(xiàn)在應(yīng)用”選項(xiàng)，即可使配置的安全策略立即生效，也可以選擇稍后應(yīng)用，重新啟動(dòng)配置向?qū)?lái)加載或創(chuàng)建新的安全策略。

利用“安全配置向?qū)А笨梢苑浅：?jiǎn)便地配置Windows Server 2003服務(wù)器，提高其安全性。以前通過(guò)手動(dòng)方法來(lái)處理的Windows服務(wù)器都可以通過(guò)向?qū)б徊揭徊酵瓿桑郧靶枰粋€(gè)多小時(shí)的配置服務(wù)器時(shí)間縮短到只有五分鐘即可完成。