查看單個文章
舊 2006-05-18, 07:29 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 微軟講述Windows Server 2003 SP1的故事

微軟講述Windows Server 2003 SP1的故事
SP1的功能和修復程序
從Windows NT開始,微軟就在如何定位Service Pack、是否增加新功能方面掙扎。Paul Thurrott在Windows 2003剛投入市場時採訪過微軟副總裁Dave Thompson,Dave當時是這樣解釋的:「Service Pack以前非常靈活,通過這種方式我們可以同時交付新功能和修復程序。但是客戶們表示他們希望Service Pack只包含對Bug的修復。這就帶來了一個有趣的問題,也就是說,到底什麼才是Bug?缺少某種功能是Bug嗎?對於這個問題客戶各自都有不同的看法。不過Windows NT4 SP3是最後一次在Service Pack中包含主要新功能。」
不過,這可能並不是真正的結束。SP1包括修復程序,以及一些對被認為是缺乏的功能的安全增強。Jeff解釋說:「傳統上Service Pack是產品的一組現有的更新。SP1則並不僅僅如此。除了Windows 2003的最新更新以外,SP1還加入了一些新的增強功能,用來提高安全性和可靠性。」
我讓Clyde、Samm和Jeff介紹一下Jeff所提到一些安全增強。然後我們對SP1中的修復程序進行了討論。

安全組態嚮導

KF:SP1最受到關注的安全功能是安全組態嚮導(SCW)。Clyde,您作為SP1和Windows 2003 x64版本的項目經理和技術指導,能不能大概介紹一下?
Clyde:與其它說明 您正確組態伺服器的嚮導類似(如「組態您的系統」和「管理您的系統」),SCW為伺服器提供了一個嚮導式的功能,使伺服器減少受到表面攻擊的可能。當您執行SCW時,它向您問一些問題,然後根據伺服器的角色來確定您伺服器的功能需求。
Jeff:通過將安全性向關於角色的模式轉移,SP1讓客戶無須執行超過他們需要的服務,減少了黑客和惡意程式碼的潛在落腳點。此外,關於角色的安全機制使將來的更新更容易佈署,減少了IT Pro為新的安全漏洞作準備的時間。
Clyde:為了達到這個目的,SCW關於角色的模式是由一個可增強的XML知識庫驅動的,該知識庫為超過50種不同的伺服器角色定義服務、連接阜和其它功能需求,這些角色包括Windows Server System的應用程式角色,例如Microsoft Exchange Server和Microsoft SQL Server。SCW禁用了執行伺服器的角色所不需要的所有功能。
SCW可以進行角色發現,請求用戶輸入,以及根據伺服器角色編寫安全原則來禁用服務、封鎖連接阜、修改註冊表值和組態稽核設定。即使是保持開放的連接阜也可以被限制為只針對特定對像開放,或通過使用IP Security(IPsec)來保護。
KF:您說SCW是可增強的。它是如何工作的?
Clyde:由於是XML格式,用戶可以為其機構的特殊伺服器角色新增XML範本。他們可以使用這個範本來保護其它具有相同組態需求的電腦。這些範本可以匯出,但是這並不是必需的,因為管理員可以選項機構中的任何一台電腦來套用範本——只要您對該電腦有管理員權限。SCW還允許您回退到以前套用過的原則設定。它包含一個指令行工具,您可以利用它來使用管理指令碼和其它管理程序來套用安全組態,您還可以對機構中的一組伺服器進行分析,看它們是否符合組態。SCW還與AD整合,支持通過群組原則來佈署SCW所產生的原則設定。
KF:為什麼你們將這個新功能放在Service Pack中,而不是在R2版本發怖?
Clyde:這個決定是根據客戶的需要做出的。進行一次有關客戶的反應會如何影響某個功能的設計的對話非常好。根據客戶對Windows 2003和以前版本的反饋,我們想將保護一台機器免受外部攻擊的程序進行簡化。SCW是由一般客戶對安全改進的反饋而產生的。然後我們將它進一步細化,決定不把它強加給每個用戶,並達到一種平衡。我們希望我們提供的解決方案使所有人都能訪問他們想要的東西。
KF:你們不想把它強加給每個用戶,這是什麼意思?
Clyde:客戶希望Service Pack是針對作業系統進行改進,但不要對產品的功能進行太大的更改。對於需要Bug修復程序還是新功能,這之間一直有很大的爭議。一些客戶說他們只需要修復程序。還有一些客戶則希望有功能的改進。我們的開發團隊裡有些人想把SCW提供給所有人。而微軟還有一些人卻指出不少客戶不希望被迫接受SCW。我們不得不在交付一部分客戶需要的東西和滿足另一些客戶不需要這些工具之間達到一種微妙的平衡。客戶分析的結果說明,把SCW作為一個可選項目而不是預設項目,能夠滿足各方的要求。
KF:這麼說你們的妥協做法就是讓用戶通過「增加或刪除程式」視窗來安裝SCW。那麼你們是否擔心一些用戶會找不到它?
Clyde:我們在桌面上放置了一個SCW圖示,這樣用戶可以馬上看到一個提供更多訊息的連接。當他們點擊該圖示時,並不會自動安裝SCW。它會連接到我們網站上的訊息,說明該功能是什麼,以及有什麼作用。這樣如果客戶想安裝SCW的話,該行程會將他們指向「增加或刪除程式」,SCW在這裡開始自動安裝。

安裝後的安全更新(PSSU)
KF:SP1的另一個安全功能是PSSU。您是否能說明一下它的功能?
Clyde:PSSU被設計為用來保護伺服器,以防止它在第一次安裝和啟動伺服器後,用Windows Update安裝最新的安全更新之前,會受到感染。為了保護伺服器,我們在進行包含了Service Pack的任何版本Windows 2003的全新安裝期間,啟用了Windows防火牆。如果Windows防火牆被啟用,而管理員沒有使用無監管自動的安裝指令碼或群組原則啟用它,那麼PSSU會在管理員第一次登入時出現。對伺服器的入站連接會被阻擋,直到管理員點擊了PSSU對話視窗的「完成」按鈕為止。如果管理員通過群組原則,或在安裝期間通過啟用遠端桌面,對防火牆設定了例外情況,那麼符合這些例外條件的入站連接將保持開放。
KF:一些人在開始選單裡找PSSU,但是找不到。
Clyde:PSSU沒有通過開始選單提供,只有在我上面所述的特定條件下它才會出現。如果PSSU出現,那麼「管理您的系統」視窗會在PSSU關閉後開啟(除非有原則設定禁止了「管理您的系統」出現)。
KF:您剛才說Windows防火牆會在進行包含SP1的Windows 2003的全新安裝時啟用。我想有些用戶會感到困惑,他們以為Windows防火牆在預設情況下在伺服器上是啟用的,就像在Windows XP SP2中一樣。
Jeff:在SP1中,任何情況下Windows防火牆都被安裝,但是被禁用,只有一種情形例外——如果客戶進行的是全新的Windows 2003安裝,並且SP1已被整合到安裝光碟中。這樣相當於給伺服器加上個保護罩,直到伺服器被更新,或者是對它的角色進行組態時才會改變。
Samm:我們試著把客戶端和伺服器清楚地分開。防火牆在伺服器上關閉的原因是,早前的客戶反饋告訴我們,他們不希望加入多餘的步驟。IT Pro說:「請不要給我無法控制的預先決定的東西。」
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次