關閉不必要的服務、連接埠和帳戶使Windows Server 2003固若金湯。
駭客通常通過不使用的(沒有配置或者不安全的)連接埠和服務訪問伺服器,比如Internet資訊服務(IIS)。為了限制進入點,伺服器強化包括阻止不使用的連接埠和協議,同時中止不必要的服務。微軟最近發布的Windows Server 2008可能備受關注,但是大部分組織仍然會使用Server 2003,直到微軟不再支援它為止。雖然Server 2003可能不是最新的,也不是功能最強大的,但你採取一些簡單——但必要的——步驟來強化你的系統,你就可以保持一個更好的安全狀態。
1 從開始階段考慮安全問題
構建一個強化的伺服器意味著從最初的安裝中推行安全進程。新的電腦應該安裝在獨立的網路中,在作業系統強化之前,謹防可能的不利流量進入電腦。
在安裝的前幾步中,會要求你選擇FAT(檔案配置表),或者NTFS(新技術檔案系統)。所有都選擇NTFS。FAT是微軟為早期作業系統所設計的原始檔案系統。NTFS是在Windows NT中引入的,它提供了大量的FAT所不能提供的安全效能:包括存取控制表(ACLs)和檔案系統日誌,在把它們提交給主要檔案系統之前,可以記錄下變化。接下來,使用最新的Service Pack (SP2)和任何可用的補丁。雖然Service Pack中的許多補丁相對比較陳舊,但是它們囊括了許多熟知的漏洞,在威脅中攻擊者可以利用這些漏洞,比如服務拒絕攻擊、遠程編碼執行和跨站指令碼攻擊。
2.設定安全性原則
現在,你已經準備好開始認真考慮嚴肅的工作。強化Windows Server 2003的最簡單方法是利用伺服器設定精靈(SCW),它可以幫你建立一個安全的策略,一個專門基於網路中的伺服器功能的安全性原則。
伺服器設定精靈允許你設定功能、客戶特徵、服務和連接埠、以及管理選項。選擇這些選項可以啟用合適的連接埠和服務。
SCW與配置你的伺服器嚮導(Configure Your Server Wizard)不同。SCW不安裝伺服器組件,但是可以對連接埠和服務進行檢測,並且配置註冊表和審計設定。SCW並不是預設安裝的,因此你必須通過控制台中的“添加/刪除程式”來添加SCW。選擇“添加/刪除Windows組件”按鈕,並選定“資訊安全設定精靈”(SCW)。一旦安裝之後,就可以從Administrative Tools訪問SCW。
SCW所建立的安全性原則是XML檔案,它可以佈建服務、網路安全、特定註冊表參數、審計策略,此外,如果合適的話,它還可以配置IIS。通過配置介面,可以建立新的安全性原則,而且可以審查現有的策略或者將其應用到網路中的其它伺服器中。如果新的策略造成了衝突或者不穩定,它可以將其調整為原來的狀態。
SCW涵蓋了Server 2003安全的方方面面。該嚮導以安全設定資料庫(Security Configuration Database)開始,包含所有功能、客戶特徵、管理選項、服務和連接埠的資訊。對於應用程式,也有一個詳盡的知識庫。這意味著當被選定的伺服器功能必須要應用程式的時候——諸如自動更新的客戶特性或者例如檔案備份的管理程式之類的——Windows防火牆將會開放必需的連接埠。當應用程式關閉時,連接埠會自動隔斷。
用於網路和註冊表協議的安全設定,以及服務資訊塊(SMB)的安全簽名增強了對主要伺服器特性的保護。為了與外部資源串連,帶外認證設定決定了認證所要求的水平。
你也可以在伺服器設定精靈中設定審計策略。對於所有成功以及失敗的活動都應當審計並記錄。
SCW的最後一步包括審計策略(見上圖2)。預設狀態下,Server 2003僅僅對成功的活動進行審計,但是對於一個強化的系統而言,所有成功與失敗的活動都應該審計並記入日誌。一旦嚮導完成,安全性原則就可以儲存為XML檔案,可以立即應用到伺服器中,儲存起來已備後用,或者應用到其它伺服器。是否需要返回安裝時沒有強化的伺服器上呢?SCW也可以在現有的伺服器上安裝並運行。