出於安全性以及新的應用需求,現在越來越多的企業開始部署基於Windows Server 2008平台的伺服器,甚至有些個人使用者也在使用該系統。就筆者瞭解,面對一個相對陌生的Server系統,管理員們最關心的是實現系統平台的平滑過度以及如何進行安全部署。下面筆者結合自己的經驗,從六個方面談談Windows Server 2008的安全部署。
1、安全部署從安裝開始
要建立一個強大並且安全的伺服器,必須從一開始安裝的時候就注重每一個細節的安全性,當然Windows Server 2008的部署也不例外。新的伺服器應該安裝在一個孤立的網路中,杜絕一切可能造成攻擊的渠道,直到作業系統的防禦工作完成為止。在開始安裝的最初的一些步驟中,我們將會被要求在FAT(檔案配置表)和NTFS(新技術檔案系統)之間做出選擇。這時,大家務必為所有的磁碟機選擇NTFS格式。FAT是為早期的作業系統沒計的比較原始的檔案系統。NTFS是隨著NT的出現而出現的,它能夠提供了FAT不具備的安全功能,包括存取控制清單(Access Control Lists、ACL)和檔案系統日誌(File SystemJoumaling),檔案系統日誌記錄對於檔案系統的任何改變。接下來,我們需要安裝最新的Service Pack(SP2)和任何可用的熱門補丁程式。雖然Service Pack中的許多補丁程式相當老了,但是它們能夠修複若干已知的能夠造成威脅的漏洞,比如拒絕服務的攻擊、遠程代碼執行和跨網站指令碼。
2、通過SCW配置安全性原則
安裝完系統之後,我們就可以坐下來做一些更細緻的安全工作。提高Windows Server 2008免疫力最簡單的方式就是利用伺服器設定精靈(Server Configuration Wizard即SCW)進行安全部署。它可以指導我們根據網路上伺服器的角色建立一個安全的策略。
(1).SCW的安裝
需要說明的是,SCW與佈建服務嚮導(Configure Your Server wizafd)是不同的。SCW不安裝伺服器組件,但監測連接埠和服務,並配置註冊和審計設定。SCW並不是預設安裝的,所以我們必須通過“控制台”的“添加/刪除程式”視窗來添加它。選擇“添加/刪除Windows組件”按鈕並選擇“資訊安全設定精靈”,安裝過程就自動開始了。一旦安裝完畢,SCW就可以從“管理工具”中訪問。
(2).用SCW配置安全性原則
通過SCW建立的安全性原則是XML檔案格式的,可用於佈建服務、網路安全、特定的註冊表值、審計策略,甚至如果可能的話,還能配置IIS。通過配置介面,可以建立新的安全性原則,或者編輯現有策略,並將它們應用於網路上的其它伺服器上。如果某個操作建立的策略造成了衝突或不穩定,那麼我們可以復原該操作。
可以說,SCW涵蓋了Windows Server 2008安全性的所有基本要素。運行該嚮導,首先出現的是安全設定資料庫(security Configuration Database),其中包含所有的角色、用戶端功能、管理選項、服務和端f1等等資訊。SCW還包含廣泛的應用知識知識庫。這意味著當一個選定的伺服器角色需要某個應用時用戶端功能比如自動更新或管理應用比如備份Windows防火牆就會自動開啟所需要的連接埠。當應用程式關閉時,該連接埠就會自動被阻塞。網路安全設定、註冊表協議以及伺服器訊息區(ServerMessage Block、SMB)簽名安全增加了關鍵伺服器功能的安令性。對外身分識別驗證(Outbound Authentication)設定決定了串連外部資源時所需要的驗證層級。
SCW的最後一步與審計策略有關。預設情況下,WindowsServer 2008隻審計成功的活動,但是對於一個加強版的系統來說,成功和失敗的活動都應該被審計並記入日誌。一旦嚮導執行
完成後,所建立的安傘策略就儲存在一個XML中,並且立刻就能被伺服器所使用,或者供日後使用,甚至還能被其它伺服器使用。在伺服器安裝過程中沒有進行第一步強化過程的伺服器也能安裝SCW。