企业组织通常依赖组策略设置来保护及配置新的服务器。即便如此,为每个服务器配置本地安全策略也是同样重要的。
Windows Server本地安全策略与Active Directory组策略有些相似,但是,前者可以在不依赖Active Directory前提下依旧提供保护功能。如果有人想要将服务器从域中分离出来,亦或者使用本地账户进入服务器中,服务器本地安全策略便可以起到保护作用。本地安全策略的优点在于,策略设置通常与策略设置树在同一个位置,形成策略组合。这样解释很笼统,因此本文将列举一些本地服务器级别的配置项目清单。
防火墙
需要配置及启动服务器防火墙。当我们使用第三方防火墙时,应该按照供应商提供的说明进行操作。可以通过本地安全策略来配置Windows防火墙:Security Settings Windows Firewall with Advanced Security Windows Firewall with Advanced Security – Local Group Policy Object,详细操作如图1所示。
图1. 通过本地安全策略配置Windows防火墙
图1. 通过本地安全策略配置Windows防火墙
系统服务
另外一种不错的方法是,停用所有不必要的系统服务。这样做可以提高服务器性能和安全性。不同的组织环境对应不同的服务禁用情况,但是管理人员应该停用服务器上一切没有价值的服务。例如,许多公司已经不再使用Windows搜索服务。
一般使用了Service Control Manager,我们就不再会使用系统服务,但是根据Windows不同的版本,管理人员或许也会通过本地安全策略来控制系统服务。如果可行,可以进行以下设置:Computer Configuration Windows Settings Security Settings System Services。
设置补丁管理
即便我们通过Windows服务器更新服务或者第三方补丁管理方案也可以解决域级别的补丁管理问题,但是仍建议将其配置在本地安全策略中。即使服务器有可能与域分离,但是这样做却可以保证服务器可以继续接受补丁信息。补丁管理具体设置如下:Computer Configuration Administrative Templates Windows Components Windows Update。
远程桌面服务
本地安全策略的另外一项配置是远程桌面服务。远程桌面服务可以通过一种远程管理会话来管理服务器。通过在本地安全策略级别中配置远程服务管理,即使当域连接失败时,管理人员也可以进行远程管理操作。本地安全策略设置通过如下操作控制远程桌面服务:Computer Configuration Administrative Templates Windows Components Remote Desktop Services。
设置审核策略
同样地,在本地计算机中也应该配置审核策略,这样就可以审核非域登陆、特权使用以及系统事件。要根据每个组织实际情况来选择最适合的审核配置,建议按照以下每步操作来配置审核日志:
登陆账户
管理账户
变更策略
使用特权
系统事件
本地安全策略的审核设置步骤如下:Security Settings Local Policies Audit Policy,具体操作如图2所示。
图2. 本地安全策略内的审核设置
图2. 本地安全策略内的审核设置
登录横幅
另外还有一个不错的创意,那就是利用本地安全策略在服务器中设置一个登录横幅。这种横幅可以显示登录提示或者未授权禁止访问警告。在本地安全策略中设置登录横幅具体操作如下:Computer Configuration Windows Settings Security Settings Local Policy Security Options。控制登录横幅的策略设置是Interactive Logon: Message Text for Users Attempting to Log On和Interactive Logon: Message Title for Users Attempting to Log On。
记住,当部署新型服务器时,管理人员并非仅能依靠本地安全策略。还有许多其他适用于操作系统的配置任务同样可以在新型服务器上运行。其中一些任务或许还可以包含安装驱动或者超级监控服务,对反恶意软件起到保护作用,同时也可以部署备份代理。
本文转自d1net(转载)