加強Windows Server 2003的安全性

關閉不必要的服務、連接埠和帳戶使Windows Server 2003固若金湯。

駭客通常通過不使用的(沒有配置或者不安全的)連接埠和服務訪問伺服器，比如Internet資訊服務（IIS）。為了限制進入點，伺服器強化包括阻止不使用的連接埠和協議，同時中止不必要的服務。微軟最近發布的Windows Server 2008可能備受關注，但是大部分組織仍然會使用Server 2003，直到微軟不再支援它為止。雖然Server 2003可能不是最新的，也不是功能最強大的，但你採取一些簡單——但必要的——步驟來強化你的系統，你就可以保持一個更好的安全狀態。

1 從開始階段考慮安全問題

構建一個強化的伺服器意味著從最初的安裝中推行安全進程。新的電腦應該安裝在獨立的網路中，在作業系統強化之前，謹防可能的不利流量進入電腦。

在安裝的前幾步中，會要求你選擇FAT(檔案配置表)，或者NTFS(新技術檔案系統)。所有都選擇NTFS。FAT是微軟為早期作業系統所設計的原始檔案系統。NTFS是在Windows NT中引入的，它提供了大量的FAT所不能提供的安全效能：包括存取控制表（ACLs）和檔案系統日誌，在把它們提交給主要檔案系統之前，可以記錄下變化。接下來，使用最新的Service Pack (SP2)和任何可用的補丁。雖然Service Pack中的許多補丁相對比較陳舊，但是它們囊括了許多熟知的漏洞，在威脅中攻擊者可以利用這些漏洞，比如服務拒絕攻擊、遠程編碼執行和跨站指令碼攻擊。

2．設定安全性原則

現在，你已經準備好開始認真考慮嚴肅的工作。強化Windows Server 2003的最簡單方法是利用伺服器設定精靈(SCW)，它可以幫你建立一個安全的策略，一個專門基於網路中的伺服器功能的安全性原則。

伺服器設定精靈允許你設定功能、客戶特徵、服務和連接埠、以及管理選項。選擇這些選項可以啟用合適的連接埠和服務。

SCW與配置你的伺服器嚮導(Configure Your Server Wizard)不同。SCW不安裝伺服器組件，但是可以對連接埠和服務進行檢測，並且配置註冊表和審計設定。SCW並不是預設安裝的，因此你必須通過控制台中的“添加/刪除程式”來添加SCW。選擇“添加/刪除Windows組件”按鈕，並選定“資訊安全設定精靈”（SCW）。一旦安裝之後，就可以從Administrative Tools訪問SCW。

SCW所建立的安全性原則是XML檔案，它可以佈建服務、網路安全、特定註冊表參數、審計策略，此外，如果合適的話，它還可以配置IIS。通過配置介面，可以建立新的安全性原則，而且可以審查現有的策略或者將其應用到網路中的其它伺服器中。如果新的策略造成了衝突或者不穩定，它可以將其調整為原來的狀態。

SCW涵蓋了Server 2003安全的方方面面。該嚮導以安全設定資料庫（Security Configuration Database）開始，包含所有功能、客戶特徵、管理選項、服務和連接埠的資訊。對於應用程式，也有一個詳盡的知識庫。這意味著當被選定的伺服器功能必須要應用程式的時候——諸如自動更新的客戶特性或者例如檔案備份的管理程式之類的——Windows防火牆將會開放必需的連接埠。當應用程式關閉時，連接埠會自動隔斷。

用於網路和註冊表協議的安全設定，以及服務資訊塊（SMB）的安全簽名增強了對主要伺服器特性的保護。為了與外部資源串連，帶外認證設定決定了認證所要求的水平。

你也可以在伺服器設定精靈中設定審計策略。對於所有成功以及失敗的活動都應當審計並記錄。

SCW的最後一步包括審計策略（見上圖2）。預設狀態下，Server 2003僅僅對成功的活動進行審計，但是對於一個強化的系統而言，所有成功與失敗的活動都應該審計並記入日誌。一旦嚮導完成，安全性原則就可以儲存為XML檔案，可以立即應用到伺服器中，儲存起來已備後用，或者應用到其它伺服器。是否需要返回安裝時沒有強化的伺服器上呢？SCW也可以在現有的伺服器上安裝並運行。