安全實(shí)戰(zhàn)：配置安全WINDOWSSERVER2003

1、windows server 2003提供了諸多強(qiáng)大的網(wǎng)絡(luò)服務(wù)功能，而且極易上手，網(wǎng)管不需要太多的培訓(xùn)即可配置和管理。不過(guò)，要配置一個(gè)安全的windows server 2003服務(wù)器，需要有經(jīng)驗(yàn)的網(wǎng)管手動(dòng)配置很長(zhǎng)時(shí)間：需要在提供各種服務(wù)的同時(shí)，保證服務(wù)器的安全穩(wěn)定運(yùn)行，最大限度地抵御病毒和黑客的入侵，這是每個(gè)網(wǎng)管的基本追求。 隨著windows server 2003 sp1的發(fā)布，網(wǎng)絡(luò)安全隨著進(jìn)一步加強(qiáng)。此次工具包中還增加了許多工具，網(wǎng)絡(luò)安全配置向?qū)В╯cw）就是其中之一。利用網(wǎng)絡(luò)安全配置向?qū)Э梢宰尵W(wǎng)管輕松地配置服務(wù)器，使其安全性大大提高。 注意：在被認(rèn)為“安全第一”的windows se

2、rver 2003上，微軟為增強(qiáng)其安全性，很多組件（服務(wù)）在默認(rèn)情況下是不被安裝的。故此，如果要使用這些組件，就必須使用安裝盤(pán)在“添加/刪除windows組件”中按需添加。安全配置向?qū)В╯cw）也是一樣。 1.啟動(dòng)安全配置向?qū)?在windows server 2003服務(wù)器中，可以通過(guò)以下兩種方法之一啟動(dòng)。 方法一：?jiǎn)螕簟伴_(kāi)始”“運(yùn)行”后，在運(yùn)行對(duì)話框中執(zhí)行“scw.exe”命令。 方法二：?jiǎn)螕簟伴_(kāi)始”“程序”“管理工具”“安全配置向?qū)А保瑔?dòng)“安全配置向?qū)А睂?duì)話框，開(kāi)始安全策略配置過(guò)程。 2.建立安全策略 在您第一次啟用“scw”時(shí)，先要為windows server 2003服務(wù)器創(chuàng)建一個(gè)

3、安全策略。我們可以根據(jù)實(shí)際需求為一個(gè)服務(wù)器配置多個(gè)“安全策略”文件，也可以對(duì)一個(gè)安全策略文件進(jìn)行適當(dāng)?shù)木庉?，以滿足自己工作要求。不過(guò)，一次只能加載一個(gè)策略文件。 在“歡迎使用安全配置向?qū)А睂?duì)話框中單擊“下一步”按鈕，進(jìn)入到“配置操作”對(duì)話框。因?yàn)槭浅醮芜\(yùn)行“scw”，所以要選擇“創(chuàng)建新的安全策略”選項(xiàng)。 單擊“下一步”按鈕，開(kāi)始配置安全策略之旅。 3.基于角色服務(wù)器配置 首先進(jìn)入“選擇服務(wù)器”對(duì)話框，在“服務(wù)器”欄中輸入要進(jìn)行安全配置的windows server 2003服務(wù)器的機(jī)器名或ip地址，單擊“下一步”。處理完成后，可以通過(guò)“查看配置數(shù)據(jù)庫(kù)”查看當(dāng)前服務(wù)器角色、客戶(hù)端功能、管理選項(xiàng)、

4、服務(wù)、端口以及其他設(shè)置的信息?！鞍踩渲孟?qū)А彼幚淼木褪巧婕暗降倪@些項(xiàng)目。 單擊下一步，就進(jìn)入到“基于角色的服務(wù)配置”頁(yè)面。在基于角色的服務(wù)配置中，可以對(duì)windows server 2003服務(wù)器角色、客戶(hù)端角色、系統(tǒng)服務(wù)、應(yīng)用程序以及管理選項(xiàng)等內(nèi)容進(jìn)行配置。 小知識(shí)：所謂服務(wù)器“角色”，其實(shí)就是提供各種服務(wù)的windows server 2003服務(wù)器所提供的相關(guān)服務(wù)，如文件服務(wù)器、打印服務(wù)器、dns服務(wù)器、多媒體服務(wù)及dhcp服務(wù)器等。運(yùn)行windows server 2003服務(wù)器可以只提供一種服務(wù)，也可以提供多種網(wǎng)絡(luò)服務(wù)，提供的每一種服務(wù)就是一個(gè)相應(yīng)的“角色”。 （1）選擇客戶(hù)端功

5、能 服務(wù)器可以是其他服務(wù)器的客戶(hù)端，客戶(hù)端功能必須啟用角色特定的服務(wù)。 啟用選定服務(wù)器執(zhí)行已安裝的客戶(hù)端功能是必需的服務(wù)，可以選擇列表中的相應(yīng)客戶(hù)端功能。如果計(jì)劃在選定服務(wù)器上安裝其他客戶(hù)端功能，或者要將此安全策略應(yīng)用于角色配置稍有不同的其他計(jì)算機(jī)，可以在“視圖”中選擇“所有客戶(hù)端功能”，然后選擇相應(yīng)的客戶(hù)端功能。如圖1所示。 圖1（2）選擇管理和其他選項(xiàng) 在此配置頁(yè)中，我們可以選擇管理選項(xiàng)（如遠(yuǎn)程管理和備份）以及使用服務(wù)及端口的其他應(yīng)用程序選項(xiàng)和windows功能。 （3）選擇其他服務(wù) 選定服務(wù)器所承擔(dān)的一些角色可能會(huì)映射到某些在安全配置數(shù)據(jù)庫(kù)中找不到（因而沒(méi)有出現(xiàn)在前面的頁(yè)面上）的已安裝服

6、務(wù)。如果是這樣，則安全配置向?qū)?huì)在“選擇其他服務(wù)”頁(yè)上顯示已安裝服務(wù)的列表。 單擊復(fù)選框和服務(wù)名之間的三角形，可獲得有關(guān)該服務(wù)的詳細(xì)信息。正如在前面所接觸到的那樣，我們檢查每個(gè)其他服務(wù)并確定是否需要運(yùn)行該服務(wù)，才能使選定服務(wù)器（或打算應(yīng)用該策略的其他服務(wù)器）像期望的那樣工作。 如果服務(wù)不是必需的，就要確保清除其復(fù)選框；如果服務(wù)是必需的，請(qǐng)選中其復(fù)選框，然后單擊“下一步”。 （4）處理未指定的服務(wù) 未指定的服務(wù)是指不出現(xiàn)在安全配置數(shù)據(jù)庫(kù)中且當(dāng)前未安裝在選定服務(wù)器上，但是可能已安裝在要應(yīng)用安全策略的其他服務(wù)器上的服務(wù)?；蛘咴趯?lái)的某個(gè)時(shí)間，也可能在選定服務(wù)器上安裝這些服務(wù)。 在此配置頁(yè)面中有兩個(gè)選

7、項(xiàng)，“保持服務(wù)的當(dāng)前啟動(dòng)模式”和“禁用服務(wù)”。 如果我們想將安全策略應(yīng)用于選定服務(wù)器之外的服務(wù)器或在選定服務(wù)器的配置發(fā)生改變（例如安裝了新軟件）后，將安全策略應(yīng)用于選定服務(wù)器，建議配置此服務(wù)。 最后進(jìn)入到“確認(rèn)服務(wù)更改”頁(yè)面，我們?cè)诖藢?duì)配置進(jìn)行最終確認(rèn)后，單擊下一步就完成了“基于角色的服務(wù)配置”。 提示：“安全配置向?qū)А?scw)啟用選定服務(wù)器，執(zhí)行我們?cè)诖伺渲庙?yè)上所選擇的服務(wù)器角色是必需的服務(wù)，并禁用任何角色不需要的服務(wù)。 通過(guò)選擇某個(gè)角色，可以自動(dòng)選擇它的所有相關(guān)角色，在整個(gè)scw中都可以使用“上一步”和“下一步”按鈕前進(jìn)或后退以及更改設(shè)置。 如果沒(méi)有安裝所需的角色，而且該角色不在安全配置

8、數(shù)據(jù)庫(kù)中，則它不會(huì)出現(xiàn)在“所有角色”視圖或任何其他視圖中。 4.“網(wǎng)絡(luò)安全”配置 在完成基于角色服務(wù)器配置后，我們的windows server 2003服務(wù)器包含的各種服務(wù)，都是通過(guò)某個(gè)或某些端口來(lái)提供服務(wù)內(nèi)容的。為了保證服務(wù)器的安全，windows防火墻默認(rèn)是不會(huì)開(kāi)放這些服務(wù)端口的。下面就可以通過(guò)“網(wǎng)絡(luò)安全”配置向?qū)ч_(kāi)放各項(xiàng)服務(wù)所需的端口，這種向?qū)Щ渲眠^(guò)程與手工配置windows防火墻相比，更加簡(jiǎn)單、方便和安全。 此“網(wǎng)絡(luò)安全”配置是基于角色服務(wù)器選定的角色和管理選項(xiàng)使用windows防火墻的入站端口。此外，我們還可以限制訪問(wèn)端口并使用internet協(xié)議安全（ipsec）指明端口通訊是

9、否經(jīng)過(guò)簽名或加密。 在“打開(kāi)端口并允許應(yīng)用程序”頁(yè)面中可以自行添加、刪除通信端口，可以根據(jù)windows服務(wù)或第三方程序（服務(wù)）要求情況打開(kāi)或關(guān)閉端口，并且每個(gè)端口在高級(jí)選項(xiàng)中可以進(jìn)行“遠(yuǎn)程地址限制”和“本地接口限制”配置。如圖2所示。 圖2由于此配置是基于windows底層控制，可以更好地控制端口及程序訪問(wèn)。 我們?cè)谶@里選擇需要的服務(wù)端口，如ftp用的20和21端口，iis使用的80或8088端口，https使用的443端口等，為了服務(wù)器的安全，不需要的端口請(qǐng)盡量關(guān)閉。 5.“注冊(cè)表”設(shè)置 由于早期通訊協(xié)議的缺陷，造成黑客可以通過(guò)更改數(shù)據(jù)包來(lái)欺騙服務(wù)器的驗(yàn)證。此“注冊(cè)表”設(shè)置可以限定連接到此

10、服務(wù)器最低安全要求及使用安全簽名，對(duì)出、入站用戶(hù)身份進(jìn)行驗(yàn)證。 運(yùn)行windows server 2003服務(wù)器在網(wǎng)絡(luò)中為網(wǎng)絡(luò)用戶(hù)提供相應(yīng)的服務(wù)，但個(gè)別別有用心的用戶(hù)試圖通過(guò)遠(yuǎn)程訪問(wèn)來(lái)達(dá)到控制服務(wù)器的野心，如黑客，會(huì)通過(guò)遠(yuǎn)程更改服務(wù)器的注冊(cè)表來(lái)加載惡意程序，或修改訪問(wèn)數(shù)據(jù)包來(lái)對(duì)服務(wù)器進(jìn)行攻擊。如何更好地保護(hù)服務(wù)器，這是每個(gè)網(wǎng)管工作的重要內(nèi)容。在保證服務(wù)器正常運(yùn)行的前提下，最大限度地限制用戶(hù)的非授權(quán)訪問(wèn)，我們可以通過(guò)“注冊(cè)表設(shè)置”向?qū)лp松實(shí)現(xiàn)。如圖3所示。 圖3利用“注冊(cè)表設(shè)置”向?qū)В砑踊蛐薷膚indows server 2003服務(wù)器注冊(cè)表中特殊的鍵值，來(lái)限制用戶(hù)的訪問(wèn)權(quán)限。我們只要根據(jù)設(shè)置

11、向?qū)崾竞头?wù)器服務(wù)需求，依次在“要求smb安全簽名”、“出站身份驗(yàn)證方法”、“入站身份驗(yàn)證方法”中進(jìn)行必要設(shè)置，即可保證windows server 2003服務(wù)器的安全運(yùn)行。以前這些設(shè)置都是通過(guò)手動(dòng)在注冊(cè)表中更改，不但麻煩，有時(shí)設(shè)置還不完全，甚至產(chǎn)生沖突影響其效果。 6.“審核策略”設(shè)置 對(duì)一個(gè)合格的網(wǎng)絡(luò)管理員來(lái)說(shuō)，能夠通過(guò)日志來(lái)分析服務(wù)器的運(yùn)行狀況是其基本的要求，所以適當(dāng)?shù)膯⒂脤徍瞬呗允菢O其重要的，所有的監(jiān)視信息通過(guò)我們的審核策略產(chǎn)生監(jiān)控日志。審核策略確定日志記錄的成功和失敗事件，以及受審核的文件系統(tǒng)對(duì)象。如圖4所示。 圖4以前，我們通過(guò)使用組策略編輯器（gpedit.msc）來(lái)配置啟用

12、審核策略。作為新提供的安全配置向?qū)В╯cw），也將此功能集成其中，我們可以在“安全配置向?qū)А敝械睦孟驅(qū)Щ崾?，極其輕松地完成“審核策略”的配置。 提示：審核文件系統(tǒng)對(duì)象會(huì)降低系統(tǒng)性能并可能導(dǎo)致生成大量事件，如果對(duì)服務(wù)器性能要求較高的話，請(qǐng)慎重選擇（如只審核成功的或不審核）。 7.internet信息服務(wù)配置 iis服務(wù)是網(wǎng)絡(luò)中廣泛應(yīng)用的一種服務(wù)，也是容易受攻擊的服務(wù)。如何來(lái)保證iis服務(wù)器的安全運(yùn)行，免受黑客和病毒的攻擊？ 微軟曾為windows 2000提供過(guò)一個(gè)工具，但使用起來(lái)非常麻煩，而且并不能完全解決問(wèn)題。雖然iis 6的安全性相對(duì)于iis 5來(lái)說(shuō)有了很大的進(jìn)步，但若想安全配置還需要

13、網(wǎng)管人員大量的手動(dòng)配置。也可以通過(guò)其他網(wǎng)絡(luò)安全公司的工具來(lái)優(yōu)化設(shè)置，但有些工具雖然顯示配置完成，但因?yàn)橄到y(tǒng)兼容性問(wèn)題而無(wú)法達(dá)到預(yù)期目的。 此次微軟推出的“安全配置向?qū)А笨梢允刮覀冚p松地完成對(duì)internet信息服務(wù)的安全設(shè)置，使iis服務(wù)器運(yùn)行更安全、更穩(wěn)定。如圖5所示。 圖5在“internet信息服務(wù)”配置對(duì)話框中，我們?cè)凇斑x擇動(dòng)態(tài)內(nèi)容web服務(wù)擴(kuò)展”中選擇所需的服務(wù)，在“選擇要保留的虛擬路徑”中選擇需要保留的虛擬目錄，“組織匿名用戶(hù)訪問(wèn)內(nèi)容文件”增加了訪問(wèn)的安全性，避免匿名用戶(hù)的寫(xiě)入（這可是黑客常用的攻擊方法）。通過(guò)這樣的配置，運(yùn)行iis服務(wù)器的安全性就大大提高了。 提示：iis安裝運(yùn)行的磁盤(pán)分區(qū)必須是ntfs分區(qū),才能保證“限制匿名用戶(hù)訪問(wèn)內(nèi)容”起作用。 如果服務(wù)器沒(méi)有安裝、運(yùn)行iis服務(wù)，則在scw配置過(guò)程中不會(huì)出現(xiàn)internet信息服務(wù)配置。 8.保存安全策略 完成以上幾步配置后，出現(xiàn)“安全策略文件名”頁(yè)面。在此我們?yōu)槎ㄖ频摹鞍踩呗浴逼鹨粋€(gè)自己喜歡的名字，擴(kuò)展名為.xml，默認(rèn)的保存位置為“%systemroot%securitymsscw policies”，也可