安全實戰(zhàn)：配置安全WINDOWSSERVER2003

1、windows server 2003提供了諸多強大的網(wǎng)絡服務功能，而且極易上手，網(wǎng)管不需要太多的培訓即可配置和管理。不過，要配置一個安全的windows server 2003服務器，需要有經(jīng)驗的網(wǎng)管手動配置很長時間：需要在提供各種服務的同時，保證服務器的安全穩(wěn)定運行，最大限度地抵御病毒和黑客的入侵，這是每個網(wǎng)管的基本追求。 隨著windows server 2003 sp1的發(fā)布，網(wǎng)絡安全隨著進一步加強。此次工具包中還增加了許多工具，網(wǎng)絡安全配置向導（scw）就是其中之一。利用網(wǎng)絡安全配置向導可以讓網(wǎng)管輕松地配置服務器，使其安全性大大提高。 注意：在被認為“安全第一”的windows se

2、rver 2003上，微軟為增強其安全性，很多組件（服務）在默認情況下是不被安裝的。故此，如果要使用這些組件，就必須使用安裝盤在“添加/刪除windows組件”中按需添加。安全配置向導（scw）也是一樣。 1.啟動安全配置向導 在windows server 2003服務器中，可以通過以下兩種方法之一啟動。 方法一：單擊“開始”“運行”后，在運行對話框中執(zhí)行“scw.exe”命令。 方法二：單擊“開始”“程序”“管理工具”“安全配置向導”，啟動“安全配置向導”對話框，開始安全策略配置過程。 2.建立安全策略 在您第一次啟用“scw”時，先要為windows server 2003服務器創(chuàng)建一個

3、安全策略。我們可以根據(jù)實際需求為一個服務器配置多個“安全策略”文件，也可以對一個安全策略文件進行適當?shù)木庉?，以滿足自己工作要求。不過，一次只能加載一個策略文件。 在“歡迎使用安全配置向導”對話框中單擊“下一步”按鈕，進入到“配置操作”對話框。因為是初次運行“scw”，所以要選擇“創(chuàng)建新的安全策略”選項。 單擊“下一步”按鈕，開始配置安全策略之旅。 3.基于角色服務器配置 首先進入“選擇服務器”對話框，在“服務器”欄中輸入要進行安全配置的windows server 2003服務器的機器名或ip地址，單擊“下一步”。處理完成后，可以通過“查看配置數(shù)據(jù)庫”查看當前服務器角色、客戶端功能、管理選項、

4、服務、端口以及其他設置的信息?！鞍踩渲孟驅А彼幚淼木褪巧婕暗降倪@些項目。 單擊下一步，就進入到“基于角色的服務配置”頁面。在基于角色的服務配置中，可以對windows server 2003服務器角色、客戶端角色、系統(tǒng)服務、應用程序以及管理選項等內容進行配置。 小知識：所謂服務器“角色”，其實就是提供各種服務的windows server 2003服務器所提供的相關服務，如文件服務器、打印服務器、dns服務器、多媒體服務及dhcp服務器等。運行windows server 2003服務器可以只提供一種服務，也可以提供多種網(wǎng)絡服務，提供的每一種服務就是一個相應的“角色”。 （1）選擇客戶端功

5、能 服務器可以是其他服務器的客戶端，客戶端功能必須啟用角色特定的服務。 啟用選定服務器執(zhí)行已安裝的客戶端功能是必需的服務，可以選擇列表中的相應客戶端功能。如果計劃在選定服務器上安裝其他客戶端功能，或者要將此安全策略應用于角色配置稍有不同的其他計算機，可以在“視圖”中選擇“所有客戶端功能”，然后選擇相應的客戶端功能。如圖1所示。 圖1（2）選擇管理和其他選項 在此配置頁中，我們可以選擇管理選項（如遠程管理和備份）以及使用服務及端口的其他應用程序選項和windows功能。 （3）選擇其他服務 選定服務器所承擔的一些角色可能會映射到某些在安全配置數(shù)據(jù)庫中找不到（因而沒有出現(xiàn)在前面的頁面上）的已安裝服

6、務。如果是這樣，則安全配置向導會在“選擇其他服務”頁上顯示已安裝服務的列表。 單擊復選框和服務名之間的三角形，可獲得有關該服務的詳細信息。正如在前面所接觸到的那樣，我們檢查每個其他服務并確定是否需要運行該服務，才能使選定服務器（或打算應用該策略的其他服務器）像期望的那樣工作。 如果服務不是必需的，就要確保清除其復選框；如果服務是必需的，請選中其復選框，然后單擊“下一步”。 （4）處理未指定的服務 未指定的服務是指不出現(xiàn)在安全配置數(shù)據(jù)庫中且當前未安裝在選定服務器上，但是可能已安裝在要應用安全策略的其他服務器上的服務?；蛘咴趯淼哪硞€時間，也可能在選定服務器上安裝這些服務。 在此配置頁面中有兩個選

7、項，“保持服務的當前啟動模式”和“禁用服務”。 如果我們想將安全策略應用于選定服務器之外的服務器或在選定服務器的配置發(fā)生改變（例如安裝了新軟件）后，將安全策略應用于選定服務器，建議配置此服務。 最后進入到“確認服務更改”頁面，我們在此對配置進行最終確認后，單擊下一步就完成了“基于角色的服務配置”。 提示：“安全配置向導”(scw)啟用選定服務器，執(zhí)行我們在此配置頁上所選擇的服務器角色是必需的服務，并禁用任何角色不需要的服務。 通過選擇某個角色，可以自動選擇它的所有相關角色，在整個scw中都可以使用“上一步”和“下一步”按鈕前進或后退以及更改設置。 如果沒有安裝所需的角色，而且該角色不在安全配置

8、數(shù)據(jù)庫中，則它不會出現(xiàn)在“所有角色”視圖或任何其他視圖中。 4.“網(wǎng)絡安全”配置 在完成基于角色服務器配置后，我們的windows server 2003服務器包含的各種服務，都是通過某個或某些端口來提供服務內容的。為了保證服務器的安全，windows防火墻默認是不會開放這些服務端口的。下面就可以通過“網(wǎng)絡安全”配置向導開放各項服務所需的端口，這種向導化配置過程與手工配置windows防火墻相比，更加簡單、方便和安全。 此“網(wǎng)絡安全”配置是基于角色服務器選定的角色和管理選項使用windows防火墻的入站端口。此外，我們還可以限制訪問端口并使用internet協(xié)議安全（ipsec）指明端口通訊是

9、否經(jīng)過簽名或加密。 在“打開端口并允許應用程序”頁面中可以自行添加、刪除通信端口，可以根據(jù)windows服務或第三方程序（服務）要求情況打開或關閉端口，并且每個端口在高級選項中可以進行“遠程地址限制”和“本地接口限制”配置。如圖2所示。 圖2由于此配置是基于windows底層控制，可以更好地控制端口及程序訪問。 我們在這里選擇需要的服務端口，如ftp用的20和21端口，iis使用的80或8088端口，https使用的443端口等，為了服務器的安全，不需要的端口請盡量關閉。 5.“注冊表”設置 由于早期通訊協(xié)議的缺陷，造成黑客可以通過更改數(shù)據(jù)包來欺騙服務器的驗證。此“注冊表”設置可以限定連接到此

10、服務器最低安全要求及使用安全簽名，對出、入站用戶身份進行驗證。 運行windows server 2003服務器在網(wǎng)絡中為網(wǎng)絡用戶提供相應的服務，但個別別有用心的用戶試圖通過遠程訪問來達到控制服務器的野心，如黑客，會通過遠程更改服務器的注冊表來加載惡意程序，或修改訪問數(shù)據(jù)包來對服務器進行攻擊。如何更好地保護服務器，這是每個網(wǎng)管工作的重要內容。在保證服務器正常運行的前提下，最大限度地限制用戶的非授權訪問，我們可以通過“注冊表設置”向導輕松實現(xiàn)。如圖3所示。 圖3利用“注冊表設置”向導，添加或修改windows server 2003服務器注冊表中特殊的鍵值，來限制用戶的訪問權限。我們只要根據(jù)設置

11、向導提示和服務器服務需求，依次在“要求smb安全簽名”、“出站身份驗證方法”、“入站身份驗證方法”中進行必要設置，即可保證windows server 2003服務器的安全運行。以前這些設置都是通過手動在注冊表中更改，不但麻煩，有時設置還不完全，甚至產(chǎn)生沖突影響其效果。 6.“審核策略”設置 對一個合格的網(wǎng)絡管理員來說，能夠通過日志來分析服務器的運行狀況是其基本的要求，所以適當?shù)膯⒂脤徍瞬呗允菢O其重要的，所有的監(jiān)視信息通過我們的審核策略產(chǎn)生監(jiān)控日志。審核策略確定日志記錄的成功和失敗事件，以及受審核的文件系統(tǒng)對象。如圖4所示。 圖4以前，我們通過使用組策略編輯器（gpedit.msc）來配置啟用

12、審核策略。作為新提供的安全配置向導（scw），也將此功能集成其中，我們可以在“安全配置向導”中的利用向導化提示，極其輕松地完成“審核策略”的配置。 提示：審核文件系統(tǒng)對象會降低系統(tǒng)性能并可能導致生成大量事件，如果對服務器性能要求較高的話，請慎重選擇（如只審核成功的或不審核）。 7.internet信息服務配置 iis服務是網(wǎng)絡中廣泛應用的一種服務，也是容易受攻擊的服務。如何來保證iis服務器的安全運行，免受黑客和病毒的攻擊？ 微軟曾為windows 2000提供過一個工具，但使用起來非常麻煩，而且并不能完全解決問題。雖然iis 6的安全性相對于iis 5來說有了很大的進步，但若想安全配置還需要

13、網(wǎng)管人員大量的手動配置。也可以通過其他網(wǎng)絡安全公司的工具來優(yōu)化設置，但有些工具雖然顯示配置完成，但因為系統(tǒng)兼容性問題而無法達到預期目的。 此次微軟推出的“安全配置向導”可以使我們輕松地完成對internet信息服務的安全設置，使iis服務器運行更安全、更穩(wěn)定。如圖5所示。 圖5在“internet信息服務”配置對話框中，我們在“選擇動態(tài)內容web服務擴展”中選擇所需的服務，在“選擇要保留的虛擬路徑”中選擇需要保留的虛擬目錄，“組織匿名用戶訪問內容文件”增加了訪問的安全性，避免匿名用戶的寫入（這可是黑客常用的攻擊方法）。通過這樣的配置，運行iis服務器的安全性就大大提高了。 提示：iis安裝運行的磁盤分區(qū)必須是ntfs分區(qū),才能保證“限制匿名用戶訪問內容”起作用。 如果服務器沒有安裝、運行iis服務，則在scw配置過程中不會出現(xiàn)internet信息服務配置。 8.保存安全策略 完成以上幾步配置后，出現(xiàn)“安全策略文件名”頁面。在此我們?yōu)槎ㄖ频摹鞍踩呗浴逼鹨粋€自己喜歡的名字，擴展名為.xml，默認的保存位置為“%systemroot%securitymsscw policies”，也可