打造安全的Windows 2003伺服器_安全設定

Windows Server 2003是大家最常用的伺服器作業系統之一。雖然它提供了強大的網路服務功能，並且簡單易用，但它的安全性一直困擾著眾多網管，如何在充分利用Windows Server 2003提供的各種服務的同時，保證伺服器的安全穩定運行，最大限度地抵禦病毒和駭客的入侵。Windows Server 2003 SP1中文版補丁包的發布，恰好解決這個問題，它不但提供了對系統漏洞的修複，還新增了很多易用的安全功能，如資訊安全設定精靈（SCW）功能。利用SCW功能的“安全性原則”可以最大限度增強伺服器的安全，並且配置過程非常簡單，下面就一起來看吧！
　　厲兵秣馬 先裝“SCW”

　　大家都很清楚，Windows Server 2003系統為增強其安全性，預設情況下，很多服務元件是不被安裝的，要想使用，必須手工安裝。“SCW”功能也是一樣，雖然你已經成功安裝了補丁包SP1，但也需要手工安裝“資訊安全設定精靈（SCW）”組件。

　　進入“控制台”後，運行“添加或刪除程式”，然後切換到“添加/刪除Windows組件”頁。下面在“Windows組件嚮導”對話方塊中選中“資訊安全設定精靈”選項，最後點擊“下一步”按鈕後，就能輕鬆完成“SCW”組件的安裝。

　　安裝過程就這麼簡單，接下來就能根據自身需要，利用“SCW”配置安全性原則，增強Windows Server 2003伺服器安全。

　　配置“安全性原則” 原來如此“簡單”

　　在Windows Server 2003伺服器中，點擊“開始→運行”後，在運行對話方塊中執行“SCW.exe”命令，就會彈出“資訊安全設定精靈”對話方塊，開始你的安全性原則配置過程。當然你也可以進入“控制台→管理工具”視窗後，執行“資訊安全設定精靈”捷徑來啟用“SCW”。

　　1．建立第一個“安全性原則”

　　如果你是第一次使用“SCW”功能，首先要為Windows Server 2003伺服器建立一個安全性原則，安全性原則資訊是被儲存在格式為XML 的檔案中的，並且它的預設儲存位置是“C:\WINDOWS\security\msscw\Policies”。因此一個Windows Server 2003系統可以根據不同需要，建立多個“安全性原則”檔案，並且還可以對安全性原則檔案進行修改，但一次只能應用其中一個安全性原則。

　　在“歡迎使用資訊安全設定精靈”對話方塊中點擊“下一步”按鈕，進入到“配置操作”對話方塊，因為是第一次使用“SCW”，這裡要選擇“建立新的安全性原則”單選項，點擊“下一步”按鈕，就開始配置安全性原則。

　　2．輕鬆配置“角色”

　　首先進入“選擇伺服器”對話方塊，在“伺服器”欄中輸入要進行安全配置的Windows Server 2003伺服器的機器名或IP地址，點擊“下一步”按鈕後，“資訊安全設定精靈”會處理安全設定資料庫。

　　接著就進入到“基於角色的服務配置”對話方塊。在基於角色的服務配置中，可以對Windows Server 2003伺服器角色、用戶端角色、系統服務、應用程式，以及管理選項等內容進行配置。

　　所謂伺服器“角色”，其實就是提供各種服務的Windows Server 2003伺服器，如檔案伺服器、列印伺服器、DNS伺服器和DHCP伺服器等 ， 一個Windows Server 2003伺服器可以只提供一種伺服器“角色”，也可以扮演多種伺服器角色。點擊“下一步”按鈕後，就進入到“選擇伺服器角色”配置對話方塊，這時需要在“伺服器角色列表框”中勾選你的Windows Server 2003伺服器所扮演的角色。

　　注意：為了保證伺服器的安全，只勾選你所需要的伺服器角色即可，選擇多餘的伺服器角色選項，會增加Windows Server 2003系統的安全隱患。如筆者的Windows Server 2003伺服器只是作為檔案伺服器使用，這時只要選擇“檔案伺服器”選項即可。

　　進入“選擇用戶端功能”標籤頁，來配置Windows Server 2003伺服器支援的“用戶端功能”，其實Windows Server 2003伺服器的用戶端功能也很好理解，伺服器在提供各種網路服務的同時，也需要一些用戶端功能的支援才行，如Microsoft網路用戶端、DHCP用戶端和FTP用戶端等。根據需要，在列表框中勾選你所需的用戶端功能即可，同樣，對於不需要的用戶端功能選項，建議你一定要取消對它的選擇。

　　接下來進入到“選擇管理和其它選項”對話方塊，在這裡選擇你需要的一些Windows Server 2003系統提供的管理和服務功能，操作方法是一樣的，只要在列表框中勾選你需要的管理選項即可。點擊“下一步”後，還要配置一些Windows Server 2003系統的額外服務，這些額外服務一般都是第三方軟體提供的服務。

　　然後進入到“處理未指定的服務”對話方塊，這裡“未指定服務”是指，如果此安全性原則檔案被應用到其它Windows Server 2003伺服器中，而這個伺服器中提供的一些服務沒有在安全設定資料庫中列出，那麼這些沒被列出的服務該在什麼狀態下運行呢？在這裡就可以指定它們的運行狀態，建議大家選中“不更改此服務的啟用模式”單選項。最後進入到“確認服務更改”對話方塊，對你的配置進行最終確認後，就完成了基於角色的服務配置。

　　3．配置網路安全

　　以上完成了基於角色的服務配置。但Windows Server 2003伺服器包含的各種服務，都是通過某個或某些連接埠來提供服務內容的，為了保證伺服器的安全，Windows防火牆預設是不會開放這些服務連接埠的。下面就可以通過“網路安全”設定精靈開放各項服務所需的連接埠，這種嚮導化配置過程與手工配置Windows防火牆相比，更加簡單、方便和安全。

　　在“網路安全”對話方塊中，要開放選中的伺服器角色，Windows Server 2003系統提供的管理功能以及第三方軟體提供的服務所使用的連接埠。點擊“下一步”按鈕後，在“開啟連接埠並允許應用程式”對話方塊中開放所需的連接埠，如FTP伺服器所需的“20和21”連接埠，IIS服務所需的“80”連接埠等，這裡要切記“最小化”原則，只要在列表框中選擇要必須開放的連接埠選項即可，最後確認連接埠配置，這裡要注意：其它不需要使用的連接埠，建議大家不要開放，以免給Windows Server 2003伺服器造成安全隱患。

　　4．註冊表設定

　　Windows Server 2003伺服器在網路中為使用者提供各種服務，但使用者與伺服器的通訊中很有可能包含“不懷好意”的訪問，如駭客和病毒攻擊。如何保證伺服器的安全，最大限度地限制非法使用者訪問，通過“註冊表設定”嚮導就能輕鬆實現。

　　利用註冊表設定嚮導，修改Windows Server 2003伺服器註冊表中某些特殊的索引值，來嚴格限制使用者的存取權限。使用者只要根據設定嚮導提示，以及伺服器的服務需要，分別對“要求SMB安全簽名”、“出站驗證方法”、“入站驗證方法”進行嚴格設定，就能最大限度保證Windows Server 2003伺服器的安全運行，並且免去手工修改註冊表的麻煩。

　　5．啟用“稽核原則”

　　聰明的網管會利用日誌功能來分析伺服器的健全狀態，因此適當的啟用稽核原則是非常重要的。SCW功能也充分的考慮到這些，利用嚮導化的操作就能輕鬆啟用稽核原則。

　　在“系統稽核原則”配置對話方塊中要合理選擇審核目標，畢竟日誌記錄過多的事件會影響伺服器的效能，因此建議使用者選擇“審核成功的操作”選項。當然如果有特殊需要，也可以選擇其它選項。如“不審核”或“審核成功或不成功的操作”選項。

　　6．增強IIS安全

　　IIS伺服器是網路中最為廣泛應用的一種服務，也是Windows系統中最易受攻擊的服務。如何來保證IIS伺服器的安全運行，最大限度免受駭客和病毒的攻擊，這也是SCW功能要解決的一個問題。利用“資訊安全設定精靈”可以輕鬆的增強IIS伺服器的安全，保證其穩定、安全運行。

　　在“Internet資訊服務”配置對話方塊中，通過設定精靈，來選擇你要啟用的Web服務擴充、要保持的虛擬目錄，以及設定匿名使用者對內容檔案的寫入權限。這樣IIS伺服器的安全性就大大增強。

　　小提示：如果你的Windows Server 2003伺服器沒有安裝、運行IIS服務，則在SCW配置過程中不會出現IIS安全配置部分。

　　完成以上幾步配置後，進入到儲存安全性原則對話方塊，首先在“安全性原則檔案名稱”對話方塊中為你配置的安全性原則起個名字，最後在“應用安全性原則”對話方塊中選擇“現在應用”選項，使配置的安全性原則立即生效。

　　利用SCW增強Windows Server 2003伺服器的安全效能就這麼簡單，所有的參數配置都是通過嚮導化對話方塊完成的，免去了手工繁瑣的配置過程，SCW功能的確是安全性和易用性有效結合點。如果你的Windows Server 2003系統已經安裝了SP1補丁包，不妨試試SCW吧！

　　註明：

　　☉本資料大多來自互連網收集整理，僅供學習和研究使用。如有侵犯您著作權的，請來信指出，本站將立即改正。