关闭不必要的服务、端口和帐户使Windows Server 2003固若金汤。
黑客通常通过不使用的(没有配置或者不安全的)端口和服务访问服务器,比如Internet信息服务(IIS)。为了限制入口点,服务器强化包括阻止不使用的端口和协议,同时中止不必要的服务。微软最近发布的Windows Server 2008可能备受关注,但是大部分组织仍然会使用Server 2003,直到微软不再支持它为止。虽然Server 2003可能不是最新的,也不是功能最强大的,但你采取一些简单——但必要的——步骤来强化你的系统,你就可以保持一个更好的安全状态。
1 从开始阶段考虑安全问题
构建一个强化的服务器意味着从最初的安装中推行安全进程。新的计算机应该安装在独立的网络中,在操作系统强化之前,谨防可能的不利流量进入计算机。
在安装的前几步中,会要求你选择FAT(文件分配表),或者NTFS(新技术文件系统)。所有都选择NTFS。FAT是微软为早期操作系统所设计的原始文件系统。NTFS是在Windows NT中引入的,它提供了大量的FAT所不能提供的安全性能:包括访问控制表(ACLs)和文件系统日志,在把它们提交给主要文件系统之前,可以记录下变化。接下来,使用最新的Service Pack (SP2)和任何可用的补丁。虽然Service Pack中的许多补丁相对比较陈旧,但是它们囊括了许多熟知的漏洞,在威胁中攻击者可以利用这些漏洞,比如服务拒绝攻击、远程编码执行和跨站脚本攻击。
2.设定安全策略
现在,你已经准备好开始认真考虑严肃的工作。强化Windows Server 2003的最简单方法是利用服务器配置向导(SCW),它可以帮你创建一个安全的策略,一个专门基于网络中的服务器功能的安全策略。
服务器配置向导允许你设置功能、客户特征、服务和端口、以及管理选项。选择这些选项可以激活合适的端口和服务。
SCW与配置你的服务器向导(Configure Your Server Wizard)不同。SCW不安装服务器组件,但是可以对端口和服务进行检测,并且配置注册表和审计设置。SCW并不是默认安装的,因此你必须通过控制面板中的“添加/删除程序”来添加SCW。选择“添加/删除Windows组件”按钮,并选定“安全配置向导”(SCW)。一旦安装之后,就可以从Administrative Tools访问SCW。
SCW所创建的安全策略是XML文件,它可以配置服务、网络安全、特定注册表参数、审计策略,此外,如果合适的话,它还可以配置IIS。通过配置界面,可以创建新的安全策略,而且可以审查现有的策略或者将其应用到网络中的其它服务器中。如果新的策略造成了冲突或者不稳定,它可以将其调整为原来的状态。
SCW涵盖了Server 2003安全的方方面面。该向导以安全配置数据库(Security Configuration Database)开始,包含所有功能、客户特征、管理选项、服务和端口的信息。对于应用程序,也有一个详尽的知识库。这意味着当被选定的服务器功能必须要应用程序的时候——诸如自动更新的客户特性或者例如文件备份的管理程序之类的——Windows防火墙将会开放必需的端口。当应用程序关闭时,端口会自动隔断。
用于网络和注册表协议的安全设置,以及服务信息块(SMB)的安全签名增强了对主要服务器特性的保护。为了与外部资源连接,带外认证设置决定了认证所要求的水平。
你也可以在服务器配置向导中设置审计策略。对于所有成功以及失败的活动都应当审计并记录。
SCW的最后一步包括审计策略(见上图2)。默认状态下,Server 2003仅仅对成功的活动进行审计,但是对于一个强化的系统而言,所有成功与失败的活动都应该审计并记入日志。一旦向导完成,安全策略就可以存储为XML文件,可以立即应用到服务器中,保存起来已备后用,或者应用到其它服务器。是否需要返回安装时没有强化的服务器上呢?SCW也可以在现有的服务器上安装并运行。