如何讓win更安全
“金無足赤,人無完人”任何事物都沒有十全十美的,微軟Windows 2003也是如此���,照樣存在著系統(tǒng)漏洞���、存在著不少安全隱患.不管是你用計算機欣賞音樂、上網(wǎng)沖浪、運行游戲�����,還是編寫文檔都不可避免的面臨著各種病毒的威脅,如何讓W(xué)indows Server 2003更加安全�,成為廣大用戶十分關(guān)注的問題。 下面讓我們來討論如何讓W(xué)indows Server 2003更加安全�。
成都做網(wǎng)站、成都網(wǎng)站建設(shè)的開發(fā)����,更需要了解用戶,從用戶角度來建設(shè)網(wǎng)站���,獲得較好的用戶體驗��。創(chuàng)新互聯(lián)建站多年互聯(lián)網(wǎng)經(jīng)驗�,見的多���,溝通容易����、能幫助客戶提出的運營建議�����。作為成都一家網(wǎng)絡(luò)公司,打造的就是網(wǎng)站建設(shè)產(chǎn)品直銷的概念�。選擇創(chuàng)新互聯(lián)建站,不只是建站�,我們把建站作為產(chǎn)品,不斷的更新�����、完善�����,讓每位來訪用戶感受到浩方產(chǎn)品的價值服務(wù)��。
理解你的角色
理解服務(wù)器角色絕對是安全進程中不可或缺的一步����。Windows Server可以被配置為多種角色��,Windows Server 2003 可以作為域控制器��、成員服務(wù)器�、基礎(chǔ)設(shè)施服務(wù)器�����、文件服務(wù)器��、打印服務(wù)器����、IIS服務(wù)器�、IAS服務(wù)器、終端服務(wù)器等等���。一個服務(wù)器甚至可以被配置為上述角色的組合��。
現(xiàn)在的問題是每種服務(wù)器角色都有相應(yīng)的安全需求�。例如����,如果你的服務(wù)器將作為IIS服務(wù)器,那么你將需要開啟IIS服務(wù)����。然而,如果服務(wù)器將作為獨立的文件或者打印服務(wù)器�,啟用IIS服務(wù)則會帶來巨大的安全隱患����。
我之所以在這里談到這個的原因是我不能給你一套在每種情況下都適用的步驟���。服務(wù)器的安全應(yīng)該隨著服務(wù)器角色和服務(wù)器環(huán)境的改變而改變����。
因為有很多強化服務(wù)器的方法��,所以我將以配置一個簡單但安全的文件服務(wù)器為例來論述配置服務(wù)器安全的可行性步驟���。我將努力指出當服務(wù)器角色改變時你將要做的�。請諒解這并不是一個涵蓋每種角色服務(wù)器的完全指南�。
物理安全
為了實現(xiàn)真正意義上的安全,你的服務(wù)器必須被放置在一個安全的位置��。通常地��,這意味著將將服務(wù)器放置在上了鎖的門后��。物理安全是相當重要的�,因為現(xiàn)有的許多管理和災(zāi)難恢復(fù)工具同樣也可以被黑客利用����。任何擁有這樣工具的人都能在物理接入到服務(wù)器的時候攻擊服務(wù)器�����。唯一能夠避免這種攻擊的方法是將服務(wù)器放置在安全的地點�。對于任何角色的Windows Server 2003����,這都是必要的。
創(chuàng)建基線
除了建立良好的物理安全以外�,我能給你的最佳建議是,在配置一系列Windows Server 2003的時候���,應(yīng)該確定你的安全需求策略�����,并立即部署和執(zhí)行這些策略 ��。
實現(xiàn)這一目的最好的方法是創(chuàng)建一個安全基線(security baseline)�����。安全基線是文檔和公認安全設(shè)置的清單����。在大多數(shù)情況下,你的基線會隨著服務(wù)器角色的不同而產(chǎn)生區(qū)別�����。因此你最好創(chuàng)建幾個不同的基線���,以便將它們應(yīng)用到不同類型的服務(wù)器上��。例如�����,你可以為文件服務(wù)器制定一個基線�����,為域控制器制定另一個基線��,并為IAS服務(wù)器制定一個和前兩者都不同的基線��。
windows 2003包含一個叫"安全配置與分析"的工具�。這個工具讓你可以將服務(wù)器的當前安全策略與模板文件中的基線安全策略相比較���。你可以自行創(chuàng)建這些模板或是使用內(nèi)建的安全模板��。
安全模板是一系列基于文本的INF文件��,被保存在%SYSTEMROOT%SECURITY|TEMPLATES 文件夾下����。檢查或更改這些個體模板最簡單的方法是使用管理控制臺(MMC)����。
要打開這個控制 臺,在RUN提示下輸入MMC命令��,在控制臺加載后����,選擇添加/刪除管理單元屬性命令,Windows就會顯示添加/刪除管理單元列表��。點擊"添加"按鈕����,你將會看到所有可用管理單元的列表。選擇安全模板管理單元,接著依次點擊添加�,關(guān)閉和確認按鈕。
在安全模板管理單元加載后�,你就可以察看每一個安全模板了。在遍歷控制臺樹的時候����,你會發(fā)現(xiàn)每個模板都模仿組策略的結(jié)構(gòu)。模板名反映出每個模板的用途�。例如,HISECDC模板就是一個高安全性的域控制器模板���。
如果你正在安全配置一個文件服務(wù)器����,我建議你從SECUREWS模板開始�����。在審查所有的模板設(shè)置時����,你會發(fā)現(xiàn)盡管模板能被用來讓服務(wù)器更加安全,但是不一定能滿足你的需求����。某些安全設(shè)置可能過于嚴格或過于松散��。我建議你修改現(xiàn)有的設(shè)置��,或是創(chuàng)建一個全新的策略。通過在控制臺中右擊C:WINDOWSSecurityTemplates文件夾并在目標菜單中選擇新建模板命令���,你就可以輕輕松松地創(chuàng)建一個新的模板�����。
在創(chuàng)建了符合需求的模板后�,回到添加/刪除管理單元屬性面板���,并添加一個安全配置與分析的管理單元�����。在這個管理單元加載后��,右擊"安全配置與分析"容器����,接著在結(jié)果菜單中選擇"打開數(shù)據(jù)庫"命令,點擊"打開"按鈕����,你可以使用你提供的名稱來創(chuàng)建必要的數(shù)據(jù)庫。
接下來�����,右擊"安全配置與分析"容器并在快捷菜單中選擇"導(dǎo)入模板"命令�����。你將會看到所有可用模板的列表��。選擇包含你安全策略設(shè)置的模板并點擊打開�����。在模板被導(dǎo)入后����,再次右擊"安全配置與分析"容器并在快捷菜單中選擇"現(xiàn)在就分析計算機"命令。Windows將會提示你寫入錯誤日志的.位置����,鍵入文件路徑并點擊"確定"����。
在這樣的情況下���,Windows將比較服務(wù)器現(xiàn)有安全設(shè)置和模板文件里的設(shè)置�。你可以通過"安全配置與分析控制臺"看到比較結(jié)果���。每一條組策略設(shè)置顯示現(xiàn)有的設(shè)置和模板設(shè)置。
在你可以檢查差異列表的時候�,就是執(zhí)行基于模板安全策略的時候了。右擊"安全配置與分析"容器并從快捷菜單中選擇"現(xiàn)在就配置計算機"命令�。這一工具將會立即修改你計算機的安全策略,從而匹配模板策略����。
組策略實際上是層次化的。組策略可以被應(yīng)用到本地計算機級別����、站點級別、域級別和OU級別�。當你實現(xiàn)基于模板的安全之時,你正在在修改計算機級別的組策略���。其他的組策略不會受到直接影響�,盡管最終策略可能會反映變化,由于計算機策略設(shè)置被更高級別的策略所繼承���。
修改內(nèi)建的用戶賬號
多年以來��,微軟一直在強調(diào)最好重命名Administrator賬號并禁用Guest賬號�����,從而實現(xiàn)更高的安全���。在Windows Server 2003中,Guest 賬號是缺省禁用的��,但是重命名Administrator賬號仍然是必要的��,因為黑客往往會從Administrator賬號入手開始進攻�����。
有很多工具通過檢查賬號的SID來尋找賬號的真實名稱��。不幸的是�����,你不能改變用戶的SID,也就是說基本上沒有防止這種工具來檢測Administrator賬號真實名稱的辦法�。即便如此,我還是鼓勵每個人重命名Administrator 賬號并修改賬號的描述信息���,有兩個原因:
首先�����,誑橢械男率摯贍懿恢?勒飫喙ぞ叩拇嬖諢蛘卟換崾褂盟?恰F浯危?孛?鸄dministrator賬號為一個獨特的名稱讓你能更方便的監(jiān)控黑客對此賬號的進攻��。
另一個技巧適用于成員服務(wù)器。成員服務(wù)器有他們自己的內(nèi)建本地管理員賬號�,完全獨立于域中的管理 員賬號。你可以配置每個成員服務(wù)器使用不同的用戶名和密碼�����。如果某人猜測出你的本地用戶名和密碼����,你肯定不希望他用相同的賬號侵犯其他的服務(wù)器。當然�����,如果你擁有良好的物理安全,誰也不能使用本地賬號取得你服務(wù)器的權(quán)限�。
服務(wù)賬號
Windows Server 2003在某種程度上最小化服務(wù)賬號的需求。即便如此���,一些第三方的應(yīng)用程序仍然堅持傳統(tǒng)的服務(wù)賬號��。如果可能的話�����,盡量使用本地賬號而不是域賬號作為服務(wù)賬號��,因為如果某人物理上獲得了服務(wù)器的訪問權(quán)限�����,他可能會轉(zhuǎn)儲服務(wù)器的LSA機密�����,并泄露密碼�。如果你使用域密碼�,森林中的任何計算機都可以通過此密碼獲得域訪問權(quán)限���。而如果使用本地賬戶,密碼只能在本地計算機上使用�����,不會給域帶來任何威脅�。
系統(tǒng)服務(wù)
一個基本原則告訴我們,在系統(tǒng)上運行的代碼越多����,包含漏洞的可能性就越大。你需要關(guān)注的一個重要安全策略是減少運行在你服務(wù)器上的代碼�����。這么做能在減少安全隱患的同時增強服務(wù)器的性能�。
在Windows 2000中���,缺省運行的服務(wù)有很多�,但是有很大一部分服務(wù)在大多數(shù)環(huán)境中并派不上用場��。事實上��,windows 2000的缺省安裝甚至包含了完全操作的IIS服務(wù)器。而在Windows Server 2003中�����,微軟關(guān)閉了大多數(shù)不是絕對必要的服務(wù)�����。即使如此�����,還是有一些有爭議的服務(wù)缺省運行����。
其中一個服務(wù)是分布式文件系統(tǒng)(DFS)服務(wù)。DFS服務(wù)起初被設(shè)計簡化用戶的工作�����。DFS允許管理員創(chuàng)建一個邏輯的區(qū)域�,包含多個服務(wù)器或分區(qū)的資源。對于用戶�,所有這些分布式的資源存在于一個單一的文件夾中。
我個人很喜歡DFS,尤其因為它的容錯和可伸縮特性����。然而,如果你不準備使用DFS�����,你需要讓用戶了解文件的確切路徑���。在某些環(huán)境下����,這可能意味著更強的安全性����。在我看來,DFS的利大于弊���。
另一個這樣的服務(wù)是文件復(fù)制服務(wù)(FRS)�����。FRS被用來在服務(wù)器之間復(fù)制數(shù)據(jù)。它在域控制器上是強制的服務(wù),因為它能夠保持SYSVOL文件夾的同步�。對于成員服務(wù)器來說,這個服務(wù)不是必須的���,除非運行DFS�����。
如果你的文件服務(wù)器既不是域控制器����,也不使用DFS�,我建議你禁用FRS服務(wù)。這么做會減少黑客在多個服務(wù)器間復(fù)制惡意文件的可能性��。
另一個需要注意的服務(wù)是Print Spooler服務(wù)(PSS)�����。該服務(wù)管理所有的本地和網(wǎng)絡(luò)打印請求����,并在這些請求下控制所有的打印工作。所有的打印操作都離不開這個服務(wù)�����,它也是缺省被啟用的。
不是每個服務(wù)器都需要打印功能���。除非服務(wù)器的角色是打印服務(wù)器����,你應(yīng)該禁用這個服務(wù)��。畢竟����,專用文件服務(wù)器要打印服務(wù)有什么用呢?通常地,沒有人會在服務(wù)器控制臺工作���,因此應(yīng)該沒有必要開啟本地或網(wǎng)絡(luò)打印�����。
我相信通常在災(zāi)難恢復(fù)操作過程中����,打印錯誤消息或是事件日志都是十分必要的��。然而,我依然建議在非打印服務(wù)器上簡單的關(guān)閉這一服務(wù)����。
信不信由你���,PSS是最危險的Windows組件之一����。有不計其數(shù)的木馬更換其可執(zhí)行文件�。這類攻擊的動機是因為它是統(tǒng)級的服務(wù),因此擁有很高的特權(quán)�。因此任何侵入它的木馬能夠獲得這些高級別的特權(quán)。為了防止此類攻擊���,還是關(guān)掉這個服務(wù)吧����。
Windows Server 2003作為Microsoft 最新推出的服務(wù)器操作系統(tǒng)��,相比Windows 2000/XP系統(tǒng)來說���,各方面的功能確實得到了增強���,尤其在安全方面�����,總體感覺做的還算不錯.但如果你曾經(jīng)配置過Windows NT Server或是windows 2000 Server��,你也許發(fā)現(xiàn)這些微軟的產(chǎn)品缺省并不是最安全的����。但是,你學(xué)習(xí)了本教程后,你可以讓你的windows 2003系統(tǒng)變得更安全.
現(xiàn)在用win2003做服務(wù)器安全嗎
不安全��。不建議使用windows2003���。
服務(wù)器版本最好用windows2012��。
Windows服務(wù)器如何做好安全防護��?
系統(tǒng)安全:
1.設(shè)置較為復(fù)雜的主機密碼���,建議8位數(shù)以上,大小寫混合帶數(shù)字��、特殊字符�����,不要使用123456、password等弱口令�����。
2.開啟系統(tǒng)自動更新功能����,定期給系統(tǒng)打補丁����。
3.windows主機安裝安全狗、360主機衛(wèi)士等防入侵的產(chǎn)品�。
4.做好網(wǎng)站的注入漏洞檢查,做好網(wǎng)站目錄訪問權(quán)限控制�����。(建議將網(wǎng)站設(shè)置為只讀狀態(tài)���,對需要上傳附件等目錄單獨開通寫權(quán)限功能�����,對上傳文件目錄設(shè)置為禁止腳本執(zhí)行權(quán)限)
5.如果用于網(wǎng)站服務(wù)��,建議安裝我們預(yù)裝“網(wǎng)站管理助手”的操作系統(tǒng)模板�����,該系統(tǒng)我們做過安全加固���,比純凈版要更安全���。新建網(wǎng)站強烈建議用網(wǎng)站管理助手創(chuàng)建,本系統(tǒng)創(chuàng)建的網(wǎng)站會相互隔離�,避免一個網(wǎng)站被入侵就導(dǎo)致其他網(wǎng)站也受影響。
6.關(guān)閉不需要的服務(wù)�����,如server,worksation等服務(wù)一般用不上�,建議禁用。
7.啟用TCP/IP篩選功能,關(guān)閉危險端口,防止遠程掃描��、蠕蟲和溢出攻擊�����。 比如mssql數(shù)據(jù)庫的1433端口,一般用不上遠程連接的話���,建議封掉���,只允許本機連接。
8.如果自己安裝數(shù)據(jù)庫�,建議修改為普通用戶運行,默認是system權(quán)限運行的�����,非常不安全���。查看幫助
9.如果是自主安裝純凈版的系統(tǒng),建議修改掉3389��、22等默認端口��,用其他非標準端口可以減少被黑的幾率�。
文章題目:win服務(wù)器安全嗎 win 服務(wù)器系統(tǒng)
網(wǎng)頁地址:
http://weahome.cn/article/ddicojd.html
重慶分公司
重慶分公司
