用Win2003 SP1嚮導功能打造安全伺服器
在Windows 2003 SP1系統中,安全組態嚮導(SCW)是一個新增的安全組態功能,它可以最大程度地縮小伺服器的受攻擊面。
利用SCW所提供的功能,網管能非常輕鬆地完成伺服器角色的指定,禁用不需要的服務和連接阜,組態伺服器的網路安全,組態稽核原則、註冊表和IIS伺服器等工作,對鞏固伺服器的安全有極大的說明 。同時,由於整個組態程序都是在嚮導對話視窗中完成的,無需繁瑣的手動式設定,網管的工作負擔會得到減輕。
現在,不妨讓我們在這位安全「嚮導」的指引下,去鞏固我們的伺服器安全防護體系。
預設情況下,即使你的Windows 2003系統已安裝了SP1修正檔包,但這時還是無法使用SCW功能的。這是因為該群組件沒有被安裝,用戶需要通過「增加/移除Windows元件」功能手動式安裝SCW。
首先保證Windows 2003系統已經安裝了SP1修正檔包,接著進入「增加/移除Windows元件」頁面。在「Windows元件嚮導」對話視窗中選「安全組態嚮導」選項,點擊「下一步」按鈕後,就能輕鬆完成SCW元件的安裝。
提示:完成該群組件的安裝後,執行SCW也很簡單,主要有兩種方法。進入「控制台」中的「系統管理工具」視窗,執行「安全組態嚮導」即可;點擊「開始→執行」,在執行對話視窗中執行「SCW.exe」指令。
「萬事俱備,只欠東風」,完成了「安全組態嚮導」元件的安裝後。大家可利用SCW安全組態嚮導,一步步的對Windows 2003伺服器的角色服務、網路安全、註冊表、稽核原則,以及IIS伺服器進行組態,實現增強伺服器安全的目的。
執行SCW後,彈出「歡迎使用安全組態嚮導」對話視窗,點擊「下一步」按鈕,進入「組態操作」對話視窗。
由於是第一次執行SCW功能,因此在「組態操作」對話視窗中要選項「新增新的安全原則」。
Win 2003 SP1嚮導功能打造安全伺服器
在Windows 2003 SP1系統中,安全組態嚮導(SCW)是一個新增的安全組態功能,它可以最大程度地縮小伺服器的受攻擊面。
利用SCW所提供的功能,網管能非常輕鬆地完成伺服器角色的指定,禁用不需要的服務和連接阜,組態伺服器的網路安全,組態稽核原則、註冊表和IIS伺服器等工作,對鞏固伺服器的安全有極大的說明 。同時,由於整個組態程序都是在嚮導對話視窗中完成的,無需繁瑣的手動式設定,網管的工作負擔會得到減輕。
現在,不妨讓我們在這位安全「嚮導」的指引下,去鞏固我們的伺服器安全防護體系。
預設情況下,即使你的Windows 2003系統已安裝了SP1修正檔包,但這時還是無法使用SCW功能的。這是因為該群組件沒有被安裝,用戶需要通過「增加/移除Windows元件」功能手動式安裝SCW。
首先保證Windows 2003系統已經安裝了SP1修正檔包,接著進入「增加/移除Windows元件」頁面。在「Windows元件嚮導」對話視窗中選「安全組態嚮導」選項,點擊「下一步」按鈕後,就能輕鬆完成SCW元件的安裝。
提示:完成該群組件的安裝後,執行SCW也很簡單,主要有兩種方法。進入「控制台」中的「系統管理工具」視窗,執行「安全組態嚮導」即可;點擊「開始→執行」,在執行對話視窗中執行「SCW.exe」指令。
「萬事俱備,只欠東風」,完成了「安全組態嚮導」元件的安裝後。大家可利用SCW安全組態嚮導,一步步的對Windows 2003伺服器的角色服務、網路安全、註冊表、稽核原則,以及IIS伺服器進行組態,實現增強伺服器安全的目的。
執行SCW後,彈出「歡迎使用安全組態嚮導」對話視窗,點擊「下一步」按鈕,進入「組態操作」對話視窗。
由於是第一次執行SCW功能,因此在「組態操作」對話視窗中要選項「新增新的安全原則」。
1.選項伺服器
俗話說「有的放矢」,在進行安全組態之前,首先要選項目標,也就是選項將要進行安全組態的Windows 2003伺服器。
點擊「下一步」按鈕後,進入「選項伺服器」對話視窗。在這裡選項要進行安全組態的Windows 2003伺服器(可以是本機伺服器,也可是網路中的其他伺服器)。在「伺服器」欄中輸入要進行安全組態的Windows 2003伺服器的機器名或IP位址。接著點擊「下一步」按鈕,SCW就開始處理安全組態資料庫。完成後,進入「關於角色的服務組態」對話視窗,才真正開始SCW嚮導化的安全組態之旅。
2.我的「角色」,我做主
Windows 2003伺服器提供了數量眾多的伺服器角色,如文件伺服器、DHCP伺服器等,但並不是所有的角色都是需要的。使用不慎,反而會增加伺服器的安全隱患。利用SCW的「選項伺服器角色」嚮導就能輕鬆完成角色的選項。
在「關於角色的服務組態」嚮導中可以對Windows 2003伺服器角色、客戶端功能、系統服務等內容進行組態。點擊「下一步」按鈕,進入「選項伺服器角色」對話視窗(圖1),在列表項中選項Windows 2003伺服器所執行的角色(如文件伺服器、列印伺服器等)。根據自己的需要,在角色列表項中勾選需要的伺服器角色選項後,才能使用相應的Windows 2003伺服器功能並開放相應的服務連接阜。
當然,一個Windows 2003伺服器可以擔當一個或多個伺服器角色,它可以是Web伺服器,也可以是文件伺服器。
點擊「下一步」後,選項Windows 2003伺服器的「客戶端功能」。設定Windows 2003系統作為客戶端所要扮演的角色(如Microsoft網路客戶端、FTP客戶端等),在列表項中勾選所需要的客戶端功能即可。點擊 「下一步」後,進入「選項管理和其它選項」對話視窗,選項所需要的Windows 2003服務。
下面還要組態Windows 2003系統的額外服務,組態完成後進入「處理未指定的服務」對話視窗。「未指定的服務」是指沒有在安全組態資料庫中列出的服務(如殺毒軟體提供的服務)。建議大家選「不更改此服務的啟用模式」選項,這樣該服務會按照以前的狀態執行。
最後進入「驗證服務更改」對話視窗,對以上所做的組態進行最終驗證後,這樣就完成了關於角色的服務組態。
3.開放連接阜,要注意網路安全
完成關於角色的服務組態後,各種伺服器要在網路中為用戶提供服務,就必須開放相應的服務連接阜。預設情況下,Windows防火牆是不允許這些服務連接阜通信的。因此,我們可以在SCW嚮導中開放通信連接阜。
進入「網路安全」對話視窗,在此可組態已經選的伺服器角色和其他Windows 2003服務所使用的連接阜。點擊「下一步」按鈕後,在「開啟連接阜並允許應用程式」對話視窗中開放需要的連接阜(圖2)。如FTP伺服器需要的「20和21」連接阜,IIS服務需要的「80」連接阜等。只要在列表項中選項要開放的連接阜選項即可,最後驗證連接阜組態。
4.修改註冊表,增強伺服器安全
很多網管利用修改註冊表和群組原則的方法增強伺服器安全,但這種方法存在很大的風險性,錯誤修改了某個鍵值或安全原則,會導致伺服器出現問題。利用SCW的註冊表設定嚮導進行修改,既省事,又安全。
完成以上網路安全性設定後,就進入到註冊表設定嚮導對話視窗,利用設定嚮導來修改某些特殊的註冊表鍵值,增強伺服器安全。根據註冊表設定嚮導的提示,分別完成對「出站身份驗證方法」、「入站身份驗證方法」等項目的設定即可。
5.組態稽核原則,用好日誌
Windows 2003伺服器的日誌就像一個「黑匣子」,可以記錄系統中發生的一切,為伺服器的穩定執行提供說明 。但記錄太多的事件會浪費伺服器資源,因此網管可以合理地選項稽核目標,記錄一些重要事件。
SCW提供了系統稽核原則組態功能,免去了手動式指定稽核目標的麻煩。
進入「系統稽核原則」組態對話視窗後,合理選項稽核目標即可。建議大家選項「稽核成功的操作」選項,這樣一來,日誌只記錄成功的事件操作,而其他則會被忽略,節省了伺服器資源。
當然,如果有特殊需要,也可以選項其他選項。如「不稽核」或「稽核成功或不成功的操作」選項。
6.IIS安全,要慎重
IIS伺服器的脆弱性大家都知道,這次微軟對IIS非常重視,在SCW中提供了「Internet訊息服務」組態功能。
如果你的系統中已安裝、執行了IIS伺服器,完成了系統稽核原則組態後,SCW就會對IIS服務進行安全組態,保證它能穩定執行。
進入「Internet訊息服務」組態嚮導對話視窗後,按照提示和伺服器的需要,分別設定IIS要啟用的Web服務增強、要保留的虛擬目錄,以及設定匿名用戶是否有寫權限。以上設定程序比較簡單,根據實際需要,啟用所要的IIS項目即可。
完成以上組態後,還要儲存組態的安全原則。在「安全原則檔案名」對話視窗中,為組態的安全原則取名,最後在「套用安全原則」對話視窗中選項「現在套用」選項,使組態的安全原則生效。
現在,經過上述設定之後,Windows 2003伺服器會變得更加安全、可靠,能夠最大限度地抵禦病毒和黑客的攻擊。同時,使用SCW功能對Windows 2003系統進行安全方面的組態,非常簡單,易於上手,極大地降低了網管的安全維護工作量。如果SP1修正檔包已在你的Windows 2003系統中安家落戶,不妨立刻試試SCW的神奇功效。(