Windows Server 2003是大家最常用的伺服器作業系統之一。雖然它提供了強大的網路服務功能,並且簡單易用,但它的安全性一直困擾著眾多網管,如何在充分利用Windows Server 2003提供的各種服務的同時,保證伺服器的安全穩定運行,最大限度地抵禦病毒和駭客的入侵。Windows Server 2003 SP1中文版補丁包的發布,恰好解決這個問題,它不但提供了對系統漏洞的修複,還新增了很多易用的安全功能,如資訊安全設定精靈(SCW)功能。利用SCW功能的“安全性原則”可以最大限度增強伺服器的安全,並且配置過程非常簡單,下面就一起來看吧!
厲兵秣馬 先裝“SCW”
大家都很清楚,Windows Server 2003系統為增強其安全性,預設情況下,很多服務元件是不被安裝的,要想使用,必須手工安裝。“SCW”功能也是一樣,雖然你已經成功安裝了補丁包SP1,但也需要手工安裝“資訊安全設定精靈(SCW)”組件。
安裝過程就這麼簡單,接下來就能根據自身需要,利用“SCW”配置安全性原則,增強Windows Server 2003伺服器安全。
配置“安全性原則” 原來如此“簡單”
在Windows Server 2003伺服器中,點擊“開始→運行”後,在運行對話方塊中執行“SCW.exe”命令,就會彈出“資訊安全設定精靈”對話方塊,開始你的安全性原則配置過程。當然你也可以進入“控制台→管理工具”視窗後,執行“資訊安全設定精靈”捷徑來啟用“SCW”。
1.建立第一個“安全性原則”
如果你是第一次使用“SCW”功能,首先要為Windows Server 2003伺服器建立一個安全性原則,安全性原則資訊是被儲存在格式為XML 的檔案中的,並且它的預設儲存位置是“C:\WINDOWS\security\msscw\Policies”。因此一個Windows Server 2003系統可以根據不同需要,建立多個“安全性原則”檔案,並且還可以對安全性原則檔案進行修改,但一次只能應用其中一個安全性原則。
首先進入“選擇伺服器”對話方塊,在“伺服器”欄中輸入要進行安全配置的Windows Server 2003伺服器的機器名或IP地址,點擊“下一步”按鈕後,“資訊安全設定精靈”會處理安全設定資料庫。
接著就進入到“基於角色的服務配置”對話方塊。在基於角色的服務配置中,可以對Windows Server 2003伺服器角色、用戶端角色、系統服務、應用程式,以及管理選項等內容進行配置。
所謂伺服器“角色”,其實就是提供各種服務的Windows Server 2003伺服器,如檔案伺服器、列印伺服器、DNS伺服器和DHCP伺服器等 , 一個Windows Server 2003伺服器可以只提供一種伺服器“角色”,也可以扮演多種伺服器角色。點擊“下一步”按鈕後,就進入到“選擇伺服器角色”配置對話方塊,這時需要在“伺服器角色列表框”中勾選你的Windows Server 2003伺服器所扮演的角色。
注意:為了保證伺服器的安全,只勾選你所需要的伺服器角色即可,選擇多餘的伺服器角色選項,會增加Windows Server 2003系統的安全隱患。如筆者的Windows Server 2003伺服器只是作為檔案伺服器使用,這時只要選擇“檔案伺服器”選項即可。
進入“選擇用戶端功能”標籤頁,來配置Windows Server 2003伺服器支援的“用戶端功能”,其實Windows Server 2003伺服器的用戶端功能也很好理解,伺服器在提供各種網路服務的同時,也需要一些用戶端功能的支援才行,如Microsoft網路用戶端、DHCP用戶端和FTP用戶端等。根據需要,在列表框中勾選你所需的用戶端功能即可,同樣,對於不需要的用戶端功能選項,建議你一定要取消對它的選擇。
接下來進入到“選擇管理和其它選項”對話方塊,在這裡選擇你需要的一些Windows Server 2003系統提供的管理和服務功能,操作方法是一樣的,只要在列表框中勾選你需要的管理選項即可。點擊“下一步”後,還要配置一些Windows Server 2003系統的額外服務,這些額外服務一般都是第三方軟體提供的服務。
然後進入到“處理未指定的服務”對話方塊,這裡“未指定服務”是指,如果此安全性原則檔案被應用到其它Windows Server 2003伺服器中,而這個伺服器中提供的一些服務沒有在安全設定資料庫中列出,那麼這些沒被列出的服務該在什麼狀態下運行呢?在這裡就可以指定它們的運行狀態,建議大家選中“不更改此服務的啟用模式”單選項。最後進入到“確認服務更改”對話方塊,對你的配置進行最終確認後,就完成了基於角色的服務配置。
3.配置網路安全
以上完成了基於角色的服務配置。但Windows Server 2003伺服器包含的各種服務,都是通過某個或某些連接埠來提供服務內容的,為了保證伺服器的安全,Windows防火牆預設是不會開放這些服務連接埠的。下面就可以通過“網路安全”設定精靈開放各項服務所需的連接埠,這種嚮導化配置過程與手工配置Windows防火牆相比,更加簡單、方便和安全。
在“網路安全”對話方塊中,要開放選中的伺服器角色,Windows Server 2003系統提供的管理功能以及第三方軟體提供的服務所使用的連接埠。點擊“下一步”按鈕後,在“開啟連接埠並允許應用程式”對話方塊中開放所需的連接埠,如FTP伺服器所需的“20和21”連接埠,IIS服務所需的“80”連接埠等,這裡要切記“最小化”原則,只要在列表框中選擇要必須開放的連接埠選項即可,最後確認連接埠配置,這裡要注意:其它不需要使用的連接埠,建議大家不要開放,以免給Windows Server 2003伺服器造成安全隱患。
4.註冊表設定
Windows Server 2003伺服器在網路中為使用者提供各種服務,但使用者與伺服器的通訊中很有可能包含“不懷好意”的訪問,如駭客和病毒攻擊。如何保證伺服器的安全,最大限度地限制非法使用者訪問,通過“註冊表設定”嚮導就能輕鬆實現。
利用註冊表設定嚮導,修改Windows Server 2003伺服器註冊表中某些特殊的索引值,來嚴格限制使用者的存取權限。使用者只要根據設定嚮導提示,以及伺服器的服務需要,分別對“要求SMB安全簽名”、“出站驗證方法”、“入站驗證方法”進行嚴格設定,就能最大限度保證Windows Server 2003伺服器的安全運行,並且免去手工修改註冊表的麻煩。