如何提高服務(wù)器的安全性？

1、系統(tǒng)漏洞的修復(fù)

黃陂網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)！從網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、成都響應(yīng)式網(wǎng)站建設(shè)公司等網(wǎng)站項(xiàng)目制作，到程序開發(fā)，運(yùn)營(yíng)維護(hù)。創(chuàng)新互聯(lián)于2013年開始到現(xiàn)在10年的時(shí)間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)。

安裝好的系統(tǒng)都會(huì)有系統(tǒng)漏洞需要進(jìn)行補(bǔ)丁，一些高危漏洞是需要我們及時(shí)補(bǔ)丁的, 否則黑客容易利用漏洞進(jìn)行服務(wù)器攻擊。

2、系統(tǒng)賬號(hào)優(yōu)化

我們服務(wù)器的密碼需要使用強(qiáng)口令，同時(shí)有一些來賓賬戶例如guest一定要禁用掉。

3、目錄權(quán)限優(yōu)化

對(duì)于不需要執(zhí)行與寫入權(quán)限的服務(wù)器我們要進(jìn)行權(quán)限修改，確保不把不該出現(xiàn)的的權(quán)限暴露給攻擊者讓攻擊者有機(jī)可趁。

例如我們的windows文件夾權(quán)限，我們給的就應(yīng)該盡可能的少，對(duì)于用戶配置信息文件夾，不要給予everyone權(quán)限。

4、數(shù)據(jù)庫優(yōu)化

針對(duì)數(shù)據(jù)密碼和數(shù)據(jù)庫端口訪問都要進(jìn)行優(yōu)化，不要將數(shù)據(jù)庫暴露在公網(wǎng)訪問環(huán)境。

5、系統(tǒng)服務(wù)優(yōu)化

去除一些不必要的系統(tǒng)服務(wù)，可以優(yōu)化我們系統(tǒng)性能，同時(shí)優(yōu)化系統(tǒng)服務(wù)可以提升系統(tǒng)安全性。

6、注冊(cè)表優(yōu)化

注冊(cè)表優(yōu)化可以提升網(wǎng)絡(luò)并發(fā)能力，去除不必要的端口，幫助抵御snmp攻擊，優(yōu)化網(wǎng)絡(luò)，是我們優(yōu)化服務(wù)器不可缺少的環(huán)節(jié)。

7、掃描垃圾文件

垃圾文件冗余可能會(huì)造成我們的服務(wù)器卡頓，硬盤空間不足，需要我們定期進(jìn)行清理。

如何保證Web服務(wù)器安全？

一、在代碼編寫時(shí)就要進(jìn)行漏洞測(cè)試。

二、對(duì)Web服務(wù)器進(jìn)行持續(xù)的監(jiān)控。

三、設(shè)置蜜罐，將攻擊者引向錯(cuò)誤的方向。

四、專人對(duì)Web服務(wù)器的安全性進(jìn)行測(cè)試。

在Web服務(wù)器的攻防戰(zhàn)上，這一個(gè)原則也適用。筆者建議，如果企業(yè)對(duì)于Web服務(wù)的安全比較高，如網(wǎng)站服務(wù)器上有電子商務(wù)交易平臺(tái)，此時(shí)最好設(shè)置一個(gè)專業(yè)的團(tuán)隊(duì)。他們充當(dāng)攻擊者的角色，對(duì)服務(wù)器進(jìn)行安全性的測(cè)試。這個(gè)專業(yè)團(tuán)隊(duì)主要執(zhí)行如下幾個(gè)任務(wù)?！?/p>

一是測(cè)試Web管理團(tuán)隊(duì)對(duì)攻擊行為的反應(yīng)速度。如可以采用一些現(xiàn)在比較流行的攻擊手段，對(duì)自己的Web服務(wù)器發(fā)動(dòng)攻擊。當(dāng)然這個(gè)時(shí)間是隨機(jī)的。預(yù)先Web管理團(tuán)隊(duì)并不知道?，F(xiàn)在要評(píng)估的是，Web管理團(tuán)隊(duì)在多少時(shí)間之內(nèi)能夠發(fā)現(xiàn)這種攻擊的行為。這也是考驗(yàn)管理團(tuán)隊(duì)全天候跟蹤的能力。一般來說，這個(gè)時(shí)間越短越好。應(yīng)該將這個(gè)時(shí)間控制在可控的范圍之內(nèi)。即使攻擊最后沒有成功，Web管理團(tuán)隊(duì)也應(yīng)該及早的發(fā)現(xiàn)攻擊的行為。畢竟有沒有發(fā)現(xiàn)、與最終有沒有取得成功，是兩個(gè)不同的概念。

二是要測(cè)試服務(wù)器的漏洞是否有補(bǔ)上。畢竟大部分的攻擊行為，都是針對(duì)服務(wù)器現(xiàn)有的漏洞所產(chǎn)生的?，F(xiàn)在這個(gè)專業(yè)團(tuán)隊(duì)要做的就是，這些已發(fā)現(xiàn)的漏洞是否都已經(jīng)打上了安全補(bǔ)丁或者采取了對(duì)應(yīng)的安全措施。有時(shí)候我們都沒有發(fā)現(xiàn)的漏洞是無能為力，但是對(duì)于這些已經(jīng)存在的漏洞不能夠放過。否則的話，也太便宜那些攻擊者了。

如何管理服務(wù)器

問題一：如何做好一個(gè)服務(wù)器管理員？有哪些管理技巧 總體來說，服務(wù)器系統(tǒng)的管理是整個(gè)網(wǎng)絡(luò)管理工作中的重中之重，特別是在小型單位網(wǎng)絡(luò)中，單位的網(wǎng)絡(luò)規(guī)模比較小，網(wǎng)絡(luò)設(shè)備比較簡(jiǎn)單，基本上是屬于傻瓜式的。

這里的服務(wù)器系統(tǒng)包括網(wǎng)絡(luò)服務(wù)器和應(yīng)用服務(wù)器系統(tǒng)兩個(gè)方面。服務(wù)器系統(tǒng)的管理是整個(gè)網(wǎng)絡(luò)管理工作中最重要的部分，因?yàn)樗钦麄€(gè)網(wǎng)絡(luò)的核心所在，無論是網(wǎng)絡(luò)操作系統(tǒng)本身，還是各種網(wǎng)絡(luò)服務(wù)器和應(yīng)用服務(wù)器。

具體來說，服務(wù)器系統(tǒng)管理主要是安裝、配置和管理網(wǎng)絡(luò)操作系統(tǒng)、文件服務(wù)器、DNS、WINS、DHCP等網(wǎng)絡(luò)服務(wù)器，以及像Web、FTP、E-mail、RAS、NAT等應(yīng)用服務(wù)器。服務(wù)器系統(tǒng)管理的最終目標(biāo)，就是要確保服務(wù)器各種協(xié)議和服務(wù)工作正常，確保服務(wù)器的各項(xiàng)性能指標(biāo)正常發(fā)揮。另外，還需要及時(shí)地更新服務(wù)器系統(tǒng)的版本或補(bǔ)丁程序，這不僅關(guān)系到服務(wù)器的性能發(fā)揮，而且還關(guān)系到整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性，因?yàn)楝F(xiàn)在的操作系統(tǒng)不斷有新的安全漏洞被發(fā)現(xiàn)，及時(shí)安裝補(bǔ)丁可以有效地阻止、填補(bǔ)這些安全漏洞。

目前在服務(wù)器系統(tǒng)管理方面的重點(diǎn)與難點(diǎn)當(dāng)然是各種網(wǎng)絡(luò)操作系統(tǒng)的管理了。在這其中又包括各種不同版本的主流Windows、Linux和UNIX網(wǎng)絡(luò)操作系統(tǒng)的管理了。而每個(gè)系統(tǒng)中所包括的具體管理工作又非常多，非常復(fù)雜，但這些又是網(wǎng)絡(luò)管理員所必須掌握的。至少，在大多數(shù)中小型企業(yè)中，網(wǎng)絡(luò)管理員應(yīng)該掌握主流的Windows和Linux網(wǎng)絡(luò)操作系統(tǒng)的管理了。在一些較大企業(yè)，或者一些特殊行業(yè)（如金融、證券和保險(xiǎn)等）中，UNIX、Linux系統(tǒng)又是最普遍采用的，所以UNIX和Linux系統(tǒng)管理對(duì)于專業(yè)網(wǎng)絡(luò)管理員來說，又是必須要掌握的。當(dāng)然，像其他應(yīng)用服務(wù)器的管理也是非常重要，而且必須掌握。

2．關(guān)鍵設(shè)備的維護(hù)與管理

這也是整個(gè)網(wǎng)絡(luò)管理中的重點(diǎn)之一，同時(shí)也是非常重要的工作，特別是在網(wǎng)絡(luò)規(guī)模比較大，網(wǎng)絡(luò)設(shè)備比較高檔的單位網(wǎng)絡(luò)中。因?yàn)閱挝痪W(wǎng)絡(luò)系統(tǒng)更依賴這些關(guān)鍵設(shè)備的正常工作。

計(jì)算機(jī)網(wǎng)絡(luò)的關(guān)鍵設(shè)備一般包括網(wǎng)絡(luò)的核心交換機(jī)、核心路由器和服務(wù)器，它們是網(wǎng)絡(luò)中的“節(jié)點(diǎn)”。對(duì)這些節(jié)點(diǎn)的維護(hù)和管理，除了需要經(jīng)驗(yàn)積累外，還可以通過一些專門的網(wǎng)絡(luò)管理系統(tǒng)來監(jiān)視其工作狀態(tài)，以便及時(shí)發(fā)現(xiàn)問題，及時(shí)進(jìn)行維護(hù)和故障排除。

另外，為了提高網(wǎng)絡(luò)的可用性，對(duì)一些關(guān)鍵設(shè)備進(jìn)行冗余配置也是必不可少的。冗余包括兩層含義，一是從端口角度進(jìn)行，如對(duì)關(guān)鍵設(shè)備（如服務(wù)器、核心交換機(jī)）采取冗余鏈路連接，這樣當(dāng)其中一個(gè)端口出現(xiàn)故障時(shí)，另一個(gè)冗余鏈路就可以接替故障鏈路繼續(xù)保持正常工作狀態(tài)；另一層含義是對(duì)配置雙份的設(shè)備或部件，如服務(wù)器中的電源、風(fēng)扇、網(wǎng)卡，甚至內(nèi)存等，核心交換機(jī)和路由器也可以配置兩個(gè)。在正常工作時(shí)，這些冗余設(shè)備或部件起到負(fù)載均衡的作用，而在某部分出現(xiàn)故障時(shí)，則又起備份的作用。

在關(guān)鍵設(shè)備維護(hù)與管理中，服務(wù)器和網(wǎng)絡(luò)總體性能的監(jiān)控與管理是個(gè)技術(shù)重點(diǎn)和難點(diǎn)。要用到各種監(jiān)控和管理工具，如流量監(jiān)控工具M(jìn)RTG、網(wǎng)絡(luò)性能和通信監(jiān)控的Sniffer類工具，帶寬性能監(jiān)控的Qcheck和IxChariot工具等。服務(wù)器性能方面的監(jiān)控與管理還可利用操作系統(tǒng)自帶的性能和監(jiān)控管理工具進(jìn)行。

當(dāng)然，網(wǎng)絡(luò)設(shè)備的配置與管理是整個(gè)關(guān)鍵設(shè)備維護(hù)與管理的重點(diǎn)與難點(diǎn)，這一點(diǎn)幾乎是所有從事網(wǎng)絡(luò)管理，甚至網(wǎng)絡(luò)工程技術(shù)人員的共識(shí)。目前在關(guān)鍵設(shè)備方面，主要是以Cisco、華為3等品牌為主，掌握這兩個(gè)主要品牌設(shè)備的配置與管理方法是網(wǎng)絡(luò)管理員所必需的。

3. 用戶管理

用戶管理是網(wǎng)絡(luò)管理中的一個(gè)重點(diǎn)和難點(diǎn)，所涉及到的方面非常多，如用戶賬戶、密碼、文件和網(wǎng)絡(luò)訪問權(quán)限、用戶權(quán)利、用戶配置文件及用戶安全策略等。既要保證各用戶的正常工作不受影響，同時(shí)又......

問題二：win7服務(wù)器管理器怎么下載 如果之前在 控制面板 - 程序 - 打開或關(guān)閉Windows功能 里沒有這個(gè)選項(xiàng)勾欄

到官網(wǎng)去下載一下AD的補(bǔ)丁

microsoft/...d=7887

然后你再去看 控制面板 - 程序 - 打開或關(guān)閉Windows功能 就有如圖的東西

希望能幫助你

問題三：如何打開服務(wù)管理器 這兩個(gè)完全可以去掉一個(gè)，并不會(huì)影響你的計(jì)算機(jī)安全的，

打開控制面板---管理工具--服務(wù)

問題四：什么是服務(wù)器的管理ip？有什么作用？怎么配置？ 有的服務(wù)器限制不同地區(qū)的IP登錄，因?yàn)椴煌貐^(qū)的IP不同。也就是限制不同地區(qū)的IP段。

問題五：新手站長(zhǎng)如何輕松管理服務(wù)器安全？ 在服務(wù)器上安裝安全狗軟件，并把服務(wù)器加入服云。

這樣不僅可以為服務(wù)器提供防護(hù)功能，而且可以登陸服云管理服務(wù)器。

服云客戶端有web版、pc版、手機(jī)端的，可以隨時(shí)隨地了解服務(wù)器實(shí)時(shí)情況并進(jìn)行調(diào)整服務(wù)器安全策略來應(yīng)對(duì)攻擊。讓服務(wù)器更安全。

請(qǐng)采納，謝謝

問題六：如何控制服務(wù)器? 你的電腦登陸的時(shí)候是要登陸到域服務(wù)器上嗎 如果是的話 那就沒辦法了 除非你的電腦脫離了域控制器的管理了 也就是說你不登陸到域控制器上 而是登陸本地的賬號(hào) 比如administrator 你如果登陸到域上 那就只能遵循域管理員設(shè)定的規(guī)則 除非域管理員給你解除了那些限制 否則你是無法擺脫的 要解除 讓管理員給你更高的權(quán)限 或者破解你的局域網(wǎng)里的域服務(wù)器 給你的登陸賬號(hào)提權(quán) 只有這幾種辦法 其他的都不行

問題七：系統(tǒng)服務(wù)管理器怎么打開 1.XP 在 開始----運(yùn)行------輸入services.msc而win 7 直接在開始，然后---輸入 services.msc

如圖所示：

2.然后就可以打開服務(wù)管理器了。

可以點(diǎn)擊名稱，按照字母進(jìn)行排序

3.選擇一個(gè)服務(wù)后，可以右擊，進(jìn)行開啟/關(guān)閉 等操作。

問題八：電腦的系統(tǒng)服務(wù)管理怎么進(jìn)入 一、打開電腦的系統(tǒng)服務(wù)界面方法：

1、點(diǎn)擊開始菜單點(diǎn)擊運(yùn)行（或在鍵盤上按WIN+R快捷鍵），打開運(yùn)行界面，輸入services.msc指令，按確定。

2、直接在我的電腦圖標(biāo)上右鍵在彈出的菜單中選擇管理，彈出的計(jì)算機(jī)管理界面，點(diǎn)擊服務(wù)和應(yīng)用程序，就能看到服務(wù)選項(xiàng)，雙擊即可打開服務(wù)界面。

3、點(diǎn)擊開始菜單，選擇控制面板，在管理工具界面，找到服務(wù)并雙擊，即可打開服務(wù)界面。

二、啟動(dòng)系統(tǒng)服務(wù)

第1步：使用本文中的任何一種方法打開系統(tǒng)服務(wù)程序。

第2步：在系統(tǒng)服務(wù)窗口中找盯自己需要啟動(dòng)的系統(tǒng)服務(wù)，并雙擊此服務(wù)。如打開(DHCP Client)系統(tǒng)服務(wù)。

第3步：在打開的系統(tǒng)服務(wù)窗口中，單擊“啟動(dòng)”按扭即可啟動(dòng)相關(guān)的系統(tǒng)服務(wù)了。

問題九：如何快速打開服務(wù)器管理器 常用方法 服務(wù)器管理器，右鍵，發(fā)送到桌面，建立快捷方式

問題十：如何管理服務(wù)器上的多個(gè)數(shù)據(jù)庫 雖然這將減少托管所有這些數(shù)據(jù)庫的成本，但是，這增加了管理這些系統(tǒng)的復(fù)雜性，因?yàn)槟悻F(xiàn)在要處理多個(gè)服務(wù)級(jí)協(xié)議和維護(hù)窗口。當(dāng)你決定在同一臺(tái)服務(wù)器上托管多個(gè)數(shù)據(jù)庫的時(shí)候，你要考慮的第一件事是這些系統(tǒng)是否有互補(bǔ)的維護(hù)窗口。如果一個(gè)系統(tǒng)不能在夜間放慢速度或者離線，另一個(gè)系統(tǒng)不能在白天放慢速度或者離線，這些系統(tǒng)就不適合共享一個(gè)服務(wù)器，因?yàn)槟阍谛枰獮橄到y(tǒng)使用補(bǔ)丁或者處于其它原因要讓系統(tǒng)離線的時(shí)候，你沒有有效的維護(hù)時(shí)間窗。 你需要考察的下一個(gè)決定因素是這些系統(tǒng)的服務(wù)級(jí)協(xié)議。需要99%的開機(jī)時(shí)間的系統(tǒng)能夠安排在一起，因?yàn)槟憧赡軙?huì)為這些系統(tǒng)(也許是集群解決方案)建立一個(gè)比非重要任務(wù)系統(tǒng)更強(qiáng)大的環(huán)境。這可以為你節(jié)省額外的成本，因?yàn)槟悻F(xiàn)在不需要采購任何高端系統(tǒng)。具有更高的服務(wù)級(jí)協(xié)議的系統(tǒng)也可能會(huì)有同樣的維護(hù)時(shí)間窗。因此，這些系統(tǒng)在一開始就是互補(bǔ)的。 承擔(dān)工作量 對(duì)托管多個(gè)數(shù)據(jù)庫的SQL服務(wù)器進(jìn)行維護(hù)的最大難題是時(shí)機(jī)。 當(dāng)然，當(dāng)把多個(gè)數(shù)據(jù)庫集中在一個(gè)SQL服務(wù)器的時(shí)候需要考慮的最重要的問題是，是否有足夠的CPU和內(nèi)存資源處理這些客戶程序添加到這個(gè)數(shù)據(jù)庫服務(wù)器的工作量。如果單個(gè)服務(wù)器不能提供需要的CPU和內(nèi)存資源，那么，把這些數(shù)據(jù)庫都集中在那臺(tái)服務(wù)器上就不是一個(gè)好的選擇。 當(dāng)你經(jīng)過這個(gè)整個(gè)決策過程并且把這些數(shù)據(jù)庫都放在同一臺(tái)服務(wù)器上之后，你如何保持這些系統(tǒng)的健康和在高峰期仍能運(yùn)行?與其它任何數(shù)據(jù)庫解決方案一樣，你仍需要處理自己的備份、索引碎片整理和重建、以及為操作系統(tǒng)和SQL服務(wù)器使用補(bǔ)丁。 處理托管多個(gè)數(shù)據(jù)庫的SQL服務(wù)器的維護(hù)的最大難題是時(shí)機(jī)。你需要保證你的維護(hù)任務(wù)能夠在這個(gè)SQL服務(wù)器托管的全部數(shù)據(jù)庫計(jì)劃的維護(hù)時(shí)間窗內(nèi)完成。在任何數(shù)據(jù)庫的維護(hù)時(shí)間窗之外進(jìn)行維護(hù)工作都將引起數(shù)據(jù)庫運(yùn)行緩慢，因?yàn)橛脖P和CPU資源現(xiàn)在被維護(hù)活動(dòng)占用了，而不是處理正常的數(shù)據(jù)庫查詢。 重新索引工作 已經(jīng)證明是有用的一個(gè)技術(shù)是比正常運(yùn)行重新索引指令更頻繁地對(duì)你的索引進(jìn)行碎片整理。整理碎片的指令比重新索引指令有更多的好處。第一，索引碎片整理指令是一種在線操作，而重建索引是一種離線工作(除非你運(yùn)行SQL服務(wù)器2005企業(yè)版或者更新的版本)。第二，如果你頻繁地運(yùn)行索引碎片整理指令，每一次運(yùn)行這個(gè)指令的時(shí)候工作量都比較少。 例如，你每個(gè)星期檢查一次索引碎片，它顯示碎片是70%。這樣，你就可以運(yùn)行一個(gè)索引重建指令清除這些索引。 然而，你在第二天再檢查索引碎片的時(shí)候會(huì)發(fā)生什么情況呢?它可能是大約8%至10%的碎片。因此，如果你每天運(yùn)行一個(gè)索引碎片整理指令而不是每個(gè)星期運(yùn)行一次索引碎片整理指令，每一天要做的工作就很少，這個(gè)工作就能夠更快地完成，可能在每天的維護(hù)時(shí)間窗內(nèi)完成。 即使你在時(shí)間窗內(nèi)不能讓這個(gè)系統(tǒng)離線，由于碎片整理操作是一種在線操作，這個(gè)系統(tǒng)在整理碎片操作的時(shí)間將繼續(xù)發(fā)揮作用，只是反應(yīng)速度比正常情況下稍微慢一點(diǎn)。 數(shù)據(jù)庫備份 備份是在一臺(tái)服務(wù)器上托管多個(gè)數(shù)據(jù)庫的時(shí)候需要解決的另一個(gè)關(guān)鍵問題。 每一個(gè)數(shù)據(jù)庫都有自己的備份要求。備份數(shù)據(jù)庫也許是能夠在SQL服務(wù)器運(yùn)行時(shí)執(zhí)行的最繁重的任務(wù)。并不是因?yàn)檫@種備份需要占用大量的CPU和內(nèi)存資源(這個(gè)任務(wù)占用的資源一般是很低的，除非你在備份的時(shí)候?qū)?shù)據(jù)庫進(jìn)行壓縮)，而是因?yàn)閭浞菀粋€(gè)大型數(shù)據(jù)庫需要占用大量的硬盤資源。 當(dāng)進(jìn)行全面?zhèn)浞莸臅r(shí)候，整個(gè)數(shù)據(jù)庫必須從硬盤讀取。如果你的硬盤系統(tǒng)非常繁忙，這個(gè)備份會(huì)引起性能嚴(yán)重下降。這種備份的最佳解決方案是選擇合適的時(shí)機(jī)。你還可以尋找能夠在備份的同時(shí)允許對(duì)數(shù)據(jù)庫備份進(jìn)行壓縮的第三方工具。由于這將增加SQL服務(wù)器上的CPU的工作量，它通......

如何讓win更安全

“金無足赤,人無完人”任何事物都沒有十全十美的,微軟Windows 2003也是如此，照樣存在著系統(tǒng)漏洞、存在著不少安全隱患.不管是你用計(jì)算機(jī)欣賞音樂、上網(wǎng)沖浪、運(yùn)行游戲，還是編寫文檔都不可避免的面臨著各種病毒的威脅,如何讓W(xué)indows Server 2003更加安全，成為廣大用戶十分關(guān)注的問題。 下面讓我們來討論如何讓W(xué)indows Server 2003更加安全。

理解你的角色

理解服務(wù)器角色絕對(duì)是安全進(jìn)程中不可或缺的一步。Windows Server可以被配置為多種角色，Windows Server 2003 可以作為域控制器、成員服務(wù)器、基礎(chǔ)設(shè)施服務(wù)器、文件服務(wù)器、打印服務(wù)器、IIS服務(wù)器、IAS服務(wù)器、終端服務(wù)器等等。一個(gè)服務(wù)器甚至可以被配置為上述角色的組合。

現(xiàn)在的問題是每種服務(wù)器角色都有相應(yīng)的安全需求。例如，如果你的服務(wù)器將作為IIS服務(wù)器，那么你將需要開啟IIS服務(wù)。然而，如果服務(wù)器將作為獨(dú)立的文件或者打印服務(wù)器，啟用IIS服務(wù)則會(huì)帶來巨大的安全隱患。

我之所以在這里談到這個(gè)的原因是我不能給你一套在每種情況下都適用的步驟。服務(wù)器的安全應(yīng)該隨著服務(wù)器角色和服務(wù)器環(huán)境的改變而改變。

因?yàn)橛泻芏鄰?qiáng)化服務(wù)器的方法，所以我將以配置一個(gè)簡(jiǎn)單但安全的文件服務(wù)器為例來論述配置服務(wù)器安全的可行性步驟。我將努力指出當(dāng)服務(wù)器角色改變時(shí)你將要做的。請(qǐng)諒解這并不是一個(gè)涵蓋每種角色服務(wù)器的完全指南。

物理安全

為了實(shí)現(xiàn)真正意義上的安全，你的服務(wù)器必須被放置在一個(gè)安全的位置。通常地，這意味著將將服務(wù)器放置在上了鎖的門后。物理安全是相當(dāng)重要的，因?yàn)楝F(xiàn)有的許多管理和災(zāi)難恢復(fù)工具同樣也可以被黑客利用。任何擁有這樣工具的人都能在物理接入到服務(wù)器的時(shí)候攻擊服務(wù)器。唯一能夠避免這種攻擊的方法是將服務(wù)器放置在安全的地點(diǎn)。對(duì)于任何角色的Windows Server 2003，這都是必要的。

創(chuàng)建基線

除了建立良好的物理安全以外，我能給你的最佳建議是，在配置一系列Windows Server 2003的時(shí)候，應(yīng)該確定你的安全需求策略，并立即部署和執(zhí)行這些策略 。

實(shí)現(xiàn)這一目的最好的方法是創(chuàng)建一個(gè)安全基線(security baseline)。安全基線是文檔和公認(rèn)安全設(shè)置的清單。在大多數(shù)情況下，你的基線會(huì)隨著服務(wù)器角色的不同而產(chǎn)生區(qū)別。因此你最好創(chuàng)建幾個(gè)不同的基線，以便將它們應(yīng)用到不同類型的服務(wù)器上。例如，你可以為文件服務(wù)器制定一個(gè)基線，為域控制器制定另一個(gè)基線，并為IAS服務(wù)器制定一個(gè)和前兩者都不同的基線。

windows 2003包含一個(gè)叫"安全配置與分析"的工具。這個(gè)工具讓你可以將服務(wù)器的當(dāng)前安全策略與模板文件中的基線安全策略相比較。你可以自行創(chuàng)建這些模板或是使用內(nèi)建的安全模板。

安全模板是一系列基于文本的INF文件，被保存在%SYSTEMROOT%SECURITY|TEMPLATES 文件夾下。檢查或更改這些個(gè)體模板最簡(jiǎn)單的方法是使用管理控制臺(tái)(MMC)。

要打開這個(gè)控制 臺(tái)，在RUN提示下輸入MMC命令，在控制臺(tái)加載后，選擇添加/刪除管理單元屬性命令，Windows就會(huì)顯示添加/刪除管理單元列表。點(diǎn)擊"添加"按鈕，你將會(huì)看到所有可用管理單元的列表。選擇安全模板管理單元，接著依次點(diǎn)擊添加，關(guān)閉和確認(rèn)按鈕。

在安全模板管理單元加載后，你就可以察看每一個(gè)安全模板了。在遍歷控制臺(tái)樹的時(shí)候，你會(huì)發(fā)現(xiàn)每個(gè)模板都模仿組策略的結(jié)構(gòu)。模板名反映出每個(gè)模板的用途。例如，HISECDC模板就是一個(gè)高安全性的域控制器模板。

如果你正在安全配置一個(gè)文件服務(wù)器，我建議你從SECUREWS模板開始。在審查所有的模板設(shè)置時(shí)，你會(huì)發(fā)現(xiàn)盡管模板能被用來讓服務(wù)器更加安全，但是不一定能滿足你的需求。某些安全設(shè)置可能過于嚴(yán)格或過于松散。我建議你修改現(xiàn)有的設(shè)置，或是創(chuàng)建一個(gè)全新的策略。通過在控制臺(tái)中右擊C:WINDOWSSecurityTemplates文件夾并在目標(biāo)菜單中選擇新建模板命令，你就可以輕輕松松地創(chuàng)建一個(gè)新的模板。

在創(chuàng)建了符合需求的模板后，回到添加/刪除管理單元屬性面板，并添加一個(gè)安全配置與分析的管理單元。在這個(gè)管理單元加載后，右擊"安全配置與分析"容器，接著在結(jié)果菜單中選擇"打開數(shù)據(jù)庫"命令，點(diǎn)擊"打開"按鈕，你可以使用你提供的名稱來創(chuàng)建必要的數(shù)據(jù)庫。

接下來，右擊"安全配置與分析"容器并在快捷菜單中選擇"導(dǎo)入模板"命令。你將會(huì)看到所有可用模板的列表。選擇包含你安全策略設(shè)置的模板并點(diǎn)擊打開。在模板被導(dǎo)入后，再次右擊"安全配置與分析"容器并在快捷菜單中選擇"現(xiàn)在就分析計(jì)算機(jī)"命令。Windows將會(huì)提示你寫入錯(cuò)誤日志的.位置，鍵入文件路徑并點(diǎn)擊"確定"。

在這樣的情況下，Windows將比較服務(wù)器現(xiàn)有安全設(shè)置和模板文件里的設(shè)置。你可以通過"安全配置與分析控制臺(tái)"看到比較結(jié)果。每一條組策略設(shè)置顯示現(xiàn)有的設(shè)置和模板設(shè)置。

在你可以檢查差異列表的時(shí)候，就是執(zhí)行基于模板安全策略的時(shí)候了。右擊"安全配置與分析"容器并從快捷菜單中選擇"現(xiàn)在就配置計(jì)算機(jī)"命令。這一工具將會(huì)立即修改你計(jì)算機(jī)的安全策略，從而匹配模板策略。

組策略實(shí)際上是層次化的。組策略可以被應(yīng)用到本地計(jì)算機(jī)級(jí)別、站點(diǎn)級(jí)別、域級(jí)別和OU級(jí)別。當(dāng)你實(shí)現(xiàn)基于模板的安全之時(shí)，你正在在修改計(jì)算機(jī)級(jí)別的組策略。其他的組策略不會(huì)受到直接影響，盡管最終策略可能會(huì)反映變化，由于計(jì)算機(jī)策略設(shè)置被更高級(jí)別的策略所繼承。

修改內(nèi)建的用戶賬號(hào)

多年以來，微軟一直在強(qiáng)調(diào)最好重命名Administrator賬號(hào)并禁用Guest賬號(hào)，從而實(shí)現(xiàn)更高的安全。在Windows Server 2003中，Guest 賬號(hào)是缺省禁用的，但是重命名Administrator賬號(hào)仍然是必要的，因?yàn)楹诳屯鶗?huì)從Administrator賬號(hào)入手開始進(jìn)攻。

有很多工具通過檢查賬號(hào)的SID來尋找賬號(hào)的真實(shí)名稱。不幸的是，你不能改變用戶的SID，也就是說基本上沒有防止這種工具來檢測(cè)Administrator賬號(hào)真實(shí)名稱的辦法。即便如此，我還是鼓勵(lì)每個(gè)人重命名Administrator 賬號(hào)并修改賬號(hào)的描述信息，有兩個(gè)原因:

首先，誑橢械男率摯贍懿恢?勒飫喙ぞ叩拇嬖諢蛘卟換崾褂盟?恰F浯危?孛?鸄dministrator賬號(hào)為一個(gè)獨(dú)特的名稱讓你能更方便的監(jiān)控黑客對(duì)此賬號(hào)的進(jìn)攻。

另一個(gè)技巧適用于成員服務(wù)器。成員服務(wù)器有他們自己的內(nèi)建本地管理員賬號(hào)，完全獨(dú)立于域中的管理 員賬號(hào)。你可以配置每個(gè)成員服務(wù)器使用不同的用戶名和密碼。如果某人猜測(cè)出你的本地用戶名和密碼，你肯定不希望他用相同的賬號(hào)侵犯其他的服務(wù)器。當(dāng)然，如果你擁有良好的物理安全，誰也不能使用本地賬號(hào)取得你服務(wù)器的權(quán)限。

服務(wù)賬號(hào)

Windows Server 2003在某種程度上最小化服務(wù)賬號(hào)的需求。即便如此，一些第三方的應(yīng)用程序仍然堅(jiān)持傳統(tǒng)的服務(wù)賬號(hào)。如果可能的話，盡量使用本地賬號(hào)而不是域賬號(hào)作為服務(wù)賬號(hào)，因?yàn)槿绻橙宋锢砩汐@得了服務(wù)器的訪問權(quán)限，他可能會(huì)轉(zhuǎn)儲(chǔ)服務(wù)器的LSA機(jī)密，并泄露密碼。如果你使用域密碼，森林中的任何計(jì)算機(jī)都可以通過此密碼獲得域訪問權(quán)限。而如果使用本地賬戶，密碼只能在本地計(jì)算機(jī)上使用，不會(huì)給域帶來任何威脅。

系統(tǒng)服務(wù)

一個(gè)基本原則告訴我們，在系統(tǒng)上運(yùn)行的代碼越多，包含漏洞的可能性就越大。你需要關(guān)注的一個(gè)重要安全策略是減少運(yùn)行在你服務(wù)器上的代碼。這么做能在減少安全隱患的同時(shí)增強(qiáng)服務(wù)器的性能。

在Windows 2000中，缺省運(yùn)行的服務(wù)有很多，但是有很大一部分服務(wù)在大多數(shù)環(huán)境中并派不上用場(chǎng)。事實(shí)上，windows 2000的缺省安裝甚至包含了完全操作的IIS服務(wù)器。而在Windows Server 2003中，微軟關(guān)閉了大多數(shù)不是絕對(duì)必要的服務(wù)。即使如此，還是有一些有爭(zhēng)議的服務(wù)缺省運(yùn)行。

其中一個(gè)服務(wù)是分布式文件系統(tǒng)(DFS)服務(wù)。DFS服務(wù)起初被設(shè)計(jì)簡(jiǎn)化用戶的工作。DFS允許管理員創(chuàng)建一個(gè)邏輯的區(qū)域，包含多個(gè)服務(wù)器或分區(qū)的資源。對(duì)于用戶，所有這些分布式的資源存在于一個(gè)單一的文件夾中。

我個(gè)人很喜歡DFS，尤其因?yàn)樗娜蒎e(cuò)和可伸縮特性。然而，如果你不準(zhǔn)備使用DFS，你需要讓用戶了解文件的確切路徑。在某些環(huán)境下，這可能意味著更強(qiáng)的安全性。在我看來，DFS的利大于弊。

另一個(gè)這樣的服務(wù)是文件復(fù)制服務(wù)(FRS)。FRS被用來在服務(wù)器之間復(fù)制數(shù)據(jù)。它在域控制器上是強(qiáng)制的服務(wù)，因?yàn)樗軌虮３諷YSVOL文件夾的同步。對(duì)于成員服務(wù)器來說，這個(gè)服務(wù)不是必須的，除非運(yùn)行DFS。

如果你的文件服務(wù)器既不是域控制器，也不使用DFS，我建議你禁用FRS服務(wù)。這么做會(huì)減少黑客在多個(gè)服務(wù)器間復(fù)制惡意文件的可能性。

另一個(gè)需要注意的服務(wù)是Print Spooler服務(wù)(PSS)。該服務(wù)管理所有的本地和網(wǎng)絡(luò)打印請(qǐng)求，并在這些請(qǐng)求下控制所有的打印工作。所有的打印操作都離不開這個(gè)服務(wù)，它也是缺省被啟用的。

不是每個(gè)服務(wù)器都需要打印功能。除非服務(wù)器的角色是打印服務(wù)器，你應(yīng)該禁用這個(gè)服務(wù)。畢竟，專用文件服務(wù)器要打印服務(wù)有什么用呢?通常地，沒有人會(huì)在服務(wù)器控制臺(tái)工作，因此應(yīng)該沒有必要開啟本地或網(wǎng)絡(luò)打印。

我相信通常在災(zāi)難恢復(fù)操作過程中，打印錯(cuò)誤消息或是事件日志都是十分必要的。然而，我依然建議在非打印服務(wù)器上簡(jiǎn)單的關(guān)閉這一服務(wù)。

信不信由你，PSS是最危險(xiǎn)的Windows組件之一。有不計(jì)其數(shù)的木馬更換其可執(zhí)行文件。這類攻擊的動(dòng)機(jī)是因?yàn)樗墙y(tǒng)級(jí)的服務(wù)，因此擁有很高的特權(quán)。因此任何侵入它的木馬能夠獲得這些高級(jí)別的特權(quán)。為了防止此類攻擊，還是關(guān)掉這個(gè)服務(wù)吧。

Windows Server 2003作為Microsoft 最新推出的服務(wù)器操作系統(tǒng)，相比Windows 2000/XP系統(tǒng)來說，各方面的功能確實(shí)得到了增強(qiáng)，尤其在安全方面，總體感覺做的還算不錯(cuò).但如果你曾經(jīng)配置過Windows NT Server或是windows 2000 Server，你也許發(fā)現(xiàn)這些微軟的產(chǎn)品缺省并不是最安全的。但是,你學(xué)習(xí)了本教程后,你可以讓你的windows 2003系統(tǒng)變得更安全.