1、安全部署从安装开始
要创建一个强大并且安全的服务器,必须从一开始安装的时候就注重每一个细节的安全性,当然Windows Server 2008的部署也不例外。新的服务器应该安装在一个孤立的网络中,杜绝一切可能造成攻击的渠道,直到操作系统的防御工作完成为止。在开始安装的最初的一些步骤中,我们将会被要求在FAT(文件分配表)和NTFS(新技术文件系统)之间做出选择。这时,大家务必为所有的磁盘驱动器选择NTFS格式。FAT是为早期的操作系统没计的比较原始的文件系统。NTFS是随着NT的出现而出现的,它能够提供了FAT不具备的安全功能,包括存取控制清单(Access Control Lists、ACL)和文件系统日志(File SystemJoumaling),文件系统日志记录对于文件系统的任何改变。接下来,我们需要安装最新的Service Pack(SP2)和任何可用的热门补丁程序。虽然Service Pack中的许多补丁程序相当老了,但是它们能够修复若干已知的能够造成威胁的漏洞,比如拒绝服务攻击、远程代码执行和跨站点脚本。
2、通过SCW配置安全策略
安装完系统之后,我们就可以坐下来做一些更细致的安全工作。提高Windows Server 2008免疫力最简单的方式就是利用服务器配置向导(Server Configuration Wizard即SCW)进行安全部署。它可以指导我们根据网络上服务器的角色创建一个安全的策略。
(1).SCW的安装
需要说明的是,SCW与配置服务向导(Configure Your Server wizafd)是不同的。SCW不安装服务器组件,但监测端口和服务,并配置注册和审计设置。SCW并不是默认安装的,所以我们必须通过“控制面板”的“添加/删除程序”窗口来添加它。选择“添加/删除Windows组件”按钮并选择“安全配置向导”,安装过程就自动开始了。一旦安装完毕,SCW就可以从“管理工具”中访问。
(2).用SCW配置安全策略
通过SCW创建的安全策略是XML文件格式的,可用于配置服务、网络安全、特定的注册表值、审计策略,甚至如果可能的话,还能配置IIS。通过配置界面,可以创建新的安全策略,或者编辑现有策略,并将它们应用于网络上的其它服务器上。如果某个操作创建的策略造成了冲突或不稳定,那么我们可以回滚该操作。
可以说,SCW涵盖了Windows Server 2008安全性的所有基本要素。运行该向导,首先出现的是安全配置数据库(security Configuration Database),其中包含所有的角色、客户端功能、管理选项、服务和端f1等等信息。SCW还包含广泛的应用知识知识库。这意味着当一个选定的服务器角色需要某个应用时客户端功能比如自动更新或管理应用比如备份Windows防火墙就会自动打开所需要的端口。当应用程序关闭时,该端口就会自动被阻塞。网络安全设置、注册表协议以及服务器消息块(ServerMessage Block、SMB)签名安全增加了关键服务器功能的安令性。对外身份验证(Outbound Authentication)设置决定了连接外部资源时所需要的验证级别。
SCW的最后一步与审计策略有关。默认情况下,WindowsServer 2008只审计成功的活动,但是对于一个加强版的系统来说,成功和失败的活动都应该被审计并记入日志。一旦向导执行
完成后,所创建的安伞策略就保存在一个XML中,并且立刻就能被服务器所使用,或者供日后使用,甚至还能被其它服务器使用。在服务器安装过程中没有进行第一步强化过程的服务器也能9 7 3 1 2 3 4 8 :
本文来源:不详 作者:佚名