9种方式打造安全的Win Server 2008

　　1.在系统安装过程中进行安全性设置

　　要创建一个强大并且安全的服务器必须从一开始安装的时候就注重每一个细节的安全性。新的服务器应该安装在一个孤立的网络中，杜绝一切可能造成攻击的渠道，直到操作系统的防御工作完成。

　　在开始安装的最初的一些步骤中，你将会被要求在FAT（文件分配表）和NTFS（新技术文件系统）之间做出选择。这时，你务必为所有的磁盘驱动器选择NTFS格式。FAT是为早期的操作系统设计的比较原始的文件系统。NTFS是随着Windows NT的出现而出现的，它能够提供了一FAT不具备的安全功能，包括存取控制清单（Access Control Lists 、ACL）和文件系统日志（File System Journaling），文件系统日志记录对于文件系统的任何改变。接下来，你需要安装最新的Service Pack （ SP2 ）和任何可用的热门补丁程序。虽然Service Pack中的许多补丁程序相当老了，但是它们能够修复若干已知的能够造成威胁的漏洞，比如拒绝服务攻击、远程代码执行和跨站点脚本。

　　2.配置安全策略

　　安装完系统之后，你就可以坐下来做一些更细致的安全工作。提高Windows Server 2003免疫力最最简单的方式就是利用服务器配置向导（Server Configuration Wizard 、SCW），它可以指导你根据网络上服务器的角色创建一个安全的策略。

　　SCW与配置服务向导（Configure Your Server Wizard）是不同的。SCW不安装服务器组件，但监测端口和服务，并配置注册和审计设置。SCW并不是默认安装的，所以你必须通过控制面板的添加/删除程序窗口来添加它。选择“添加/删除Windows组件”按钮并选择“安全配置向导”，安装过程就自动开始了。一旦安装完毕，SCW就可以从“管理工具 ”中访问。

　　通过SCW创建的安全策略是XML文件格式的，可用于配置服务、网络安全、特定的注册表值、审计策略，甚至如果可能的话，还能配置IIS。通过配置界面，可以创建新的安全策略，或者编辑现有策略，并将它们应用于网络上的其它服务器上。如果某个操作创建的策略造成了冲突或不稳定，那么你可以回滚该操作。

　　SCW涵盖了Windows Server 2003安全性的所有基本要素。运行该向导，首先出现的是安全配置数据库（Security Configuration Database），其中包含所有的角色、客户端功能、管理选项、服务和端口等等信息。SCW还包含广泛的应用知识知识库。这意味着当一个选定的服务器角色需要某个应用时---客户端功能比如自动更新或管理应用比如备份--- Windows防火墙就会自动打开所需要的端口。当应用程序关闭时，该端口就会自动被阻塞。

　　网络安全设置、注册表协议以及服务器消息块（Server Message Block、SMB）签名安全增加了关键服务器功能的安全性。对外身份验证（Outbound Authentication）设置决定了连接外部资源时所需要的验证级别。

　　SCW的最后一步与审计策略有关。默认情况下，Windows Server 2003只审计成功的活动，但是对于一个加强版的系统来说，成功和失败的活动都应该被审计并记入日志。一旦向导执行完成后，所创建的安全策略就保存在一个 XML中，并且立刻就能被服务器所使用，或者供日后使用，甚至还能被其它服务器使用。在服务器安装过程中没有进行第一步强化过程的服务器也能安装SCW。3.为物理机器和逻辑元件设定适当的存取控制权限

　　从你按下服务器的电源按钮那一刻开始，直到操作启动并且所有服务都活跃之前，威胁系统的恶意行为依然有机会破坏系统。除了操作系统操作系统以外，一台健康的服务器开始启动时应该具备密码保护的BIOS /固件。此外，就BIOS而言，服务器的开机顺序应当被正确设定，以防从未经授权的其它介质启动。

　　在启动电脑后，立刻按下F2键，这样你就进入了进入BIOS设置页面。你可以使用Alt-P在BIOS的各个设置标签上来回移动。在启动顺序（Boot Order）标签页上，设置服务器启动首选项为内部硬盘（Internal HDD）。在系统安全（Boot Order）标签页上，硬盘密码有三种选项可供选择：Primary、Administrative 和Hard。

　　同样，自动运行外部介质的功能包括光碟、DVD和USB驱动器，应该被禁用。在注册表，进入路径 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom（或其他设备名称）下，将 Autorun的值设置为0。自动运行功能有可能自动启动便携式介质携带的恶意应用程序。这是安装特洛伊木马（Trojan）、后门程序（Backdoor）、键盘记录程序（KeyLogger）、窃听器（Listener）等恶意软件的一种简单的方法（如图4所示） 。

　　下一道防线是有关用户如何登录到系统。虽然身份验证的替代技术，比如生物特征识别、令牌、智能卡和一次性密码，都是可以用于Windows Server 2003用来保护系统，但是很多系统管理员，无论是本地的还是远程的，都使用用户名和密码的组合作为登陆服务器的验证码。不过很多时候，他们都是使用缺省密码，这显然是自找麻烦（请不要再使用确实的@55w0rd了！） 。

　　上面这些注意点都是很显然的。但是，如果你非要使用密码的话，那么最好采用一个强壮的密码策略：密码至少8个字符那么长，包括英文大写字母、数字和非字母数字字符。此外，你最好定期改变密码并在特定的时期内不使用相同的密码。

　　一个强壮的密码策略加上多重验证（Multifactor Authentication），这也仅仅只是一个开始。多亏了NTFS提供的ACL功能，使得一个服务器的各个方面，每个用户都可以被指派不同级别的访问权限。文件访问控制打印共享权限的设置应当基于组（Group）而不是“每个人（Everyone）”。这在服务器上是可以做到的，或者通过 Active Directory。

　　确保只有一个经过合法身份验证的用户能访问和编辑注册表，这也很重要。这样做的目的是限制访问这些关键服务和应用的用户人数。

　　4.禁用或删除不需要的帐户、端口和服务

　　在安装过程中，三个本地用户帐户被自动创建---管理员（Administrator）、来宾（Guest）、远程协助账户（Help- Assistant，随着远程协助会话一起安装的）。管理员帐户拥有访问系统的最高权限。它能指定用户权限和访问控制。虽然这个主帐户不能被删除，但是你应该禁用或给它重新命名，以防被轻易就被黑客盗用而侵入系统。正确的做法是，你应该为某个用户或一个组对象指派管理员权限。这就使得黑客更难判断究竟哪个用户拥有管理员权限。这对于审计过程也是至关重要的。想象一下，如果一个IT部门的每一个人都可以使用同一个管理员账户和密码登录并访问服务器，这是一个多么重大的安全隐患啊。最好不要使用管理员帐户了。

　　同样地，来宾账户和远程协助账户为那些攻击Windows Server 2003的黑客提供了一个更为简单的目标。进入“控制面板”---“管理工具”---“计算机管理”，右键单击你想要改变的用户帐户，选择“属性”，这样你就可以禁用这些账户。务必确保这些账户在网络和本地都是禁用的。

　　开放的端口是最大的潜在威胁，Windows Server 2003有65535个可用的端口，而你的服务器并不需要所有这些端口。SP1中包含的防火墙允许管理员禁用不必要的TCP和UDP端口。所有的端口被划分为三个不同的范围：众所周知的端口（0-1023）、注册端口（1024-49151）、动态/私有端口（49152-65535）。众所周知的端口都被操作系统功能所占用；而注册端口则被某些服务或应用占用。动态/私有端口则是没有任何约束的。

　　如果能获得一个端口和所关联的服务和应用的映射清单，那么管理员就可以决定哪些端口是核心系统功能所需要的。举例来说，为了阻止任何Telnet或FTP传输路径，你就可以禁用与这两个应用相关的通讯端口。同样地，知名软件和恶意软件使用那些端口都是大家所熟知的，这些端口可以被禁用以创造一个更加安全的服务器环境。最好的做法是关闭所有未用的端口。要找到服务器上的那些端口是开发状态、监听状态还是禁用状态，使用免费的Nmap工具（www.nmap.org或www.insecure.org ）是一个比较简单高效的方式。默认情况下，SCW关闭所有的端口，当设定安装策略的时候再打开它们。

　　增强服务器免疫力最有效的方法是不安装任何与业务不相关的应用程序，并且关闭不需要的服务。虽然在服务器上安装一个电子邮件客户端或生产力工具可能会使管理员更方便，但是，如果不直接涉及到服务器的功能，那么你最好不要安装它们。在Windows Server 2003上，有100多个服务可以被禁用。举例来说，最基础的安装包含DHCP服务。不过，如果你不打算利用该系统作为一个DHCP服务器，禁用 tcpsvcs.exe将阻止该服务的初始化和运行。请记住，并非所有的服务都是可以禁用的。举例来说，虽然远端过程调用（Remote Procedure Call、RPC）服务可以被Blaster蠕虫所利用，进行系统攻击，不过它却不能被禁用，因为RPC允许其它系统过程在内部或在整个网络进行通讯。为了关闭不必要的服务，你可以通过“控制面板”的“管理工具菜单”访问“服务”接口。双击该服务，打开“属性”对话框，在“启动类型框”中选择“禁用”。 5.创建一个强大和健壮的审计和日志策略

　　阻止服务器执行有害的或者无意识的操作，是强化服务器的首要的目标。为了确保所执行的操作是都是正确的并且合法的，那么就得创建全面的事件日志和健壮的审计策略。

　　随着一致性约束的来临，法规遵从性，强大的审计策略应该是健壮的Windows Server 2003服务器的一个重要组成部分。成功和失败的帐户登录和管理尝试，连同特权使用和策略变化斗应该被初始化。

　　在Windows Server 2003中，创建的日志类型有：应用日志、安全日志、目录服务日志、文件复制服务（File Replication Service）日志和DNS服务器日志。这些日志都可以通过事件查看器（Event Viewer）监测，同时事件察看器还提供广泛的有关硬件、软件和系统问题的信息。在每个日志条目里，事件查看器显示五种类型的事件：错误、警告、信息、成功审计和失败审计。

　　6.创建一个基线的备份

　　在你花费了大量时间和精力强化你的Windows Server 2003服务器时，你所要做的最后一步是创建一个0/full级别的机器和系统状态备份。一定要对系统定期进行基线备份，这样当有安全事故发生时，你就能根据基线备份对服务器进行恢复。可以说，基线备份就是服务器的“还魂丹”。在对Windows Server 2003服务器的主要软件和操作系统进行升级后，务必要对系统进行基线备份。

　　7.密切留意用户帐户

　　为了确保服务器的安全性，还需要密切注意用户帐户的状态。不过，管理帐户是一个持续的过程。用户帐户应该被定期检查，并且任何非活跃、复制、共享、一般或测试账户都应该被删除。

　　8.保持系统补丁应该是最新的

　　强化服务器硬化是一个持续的过程，并不会因为安装了Windows Server 2008 SP2而结束。为了第一时间安装服务期升级/补丁软件，你可以通过系统菜单（System Menu）中的控制面板（Control Panel）启用自动更新功能（Automatic Updates）。在自动更新选项卡上，选择自动下载更新。因为关键的更新通常要求服务器重新启动，你可以给服务器设定一个安装这些软件的时间表，从而不影响服务器的正常功能，

　　9.利用外部解决方案保护系统和数据安全

　　◆全面保护

　　维护一个关键并且复杂的IT环境从未变得像现在这样如此具有挑战性，尤其是对于那些人员不足、工作负荷过重而且预算紧张的IT部门来说。数据量增长的速度惊人，传统的备份方法越来越不能满足需要，用户对于更有效的数据管理方式的需求越来越多。此外，企业也正在寻找、更快、更可靠系统恢复解决方案。恰恰正是在这个时候，最新版本的Windows Server 2008横空出世，它引入了一些新技术，能够帮助企业管理和扩大业务流程。对于一个企业来说，定义一个完整的数据和系统保护策略以确保企业的关键业务信息的安全是至关重要的。

　　如果缺少正确的保护措施，基础设施故障、自然灾害甚至简单的人为错误，都有可能把一个效率高并且利润丰厚的公司变成一个无法恢复的烂摊子。

　　为了减少这种风险，企业需要用一种单一并且更全面的方法取代目前基于筒仓的备份和恢复策略，支持VSS Writer Integration、动态目录、BitLocker技术、群集故障，最大限度地优化Windows Server 2008和遗留的Windows系统。这一新方法使得IT管理员对于Windows环境和恢复策略完全有信心。Windows Server 2008的数据保护解决方案在本质上也应该保护所有打开的文件。

　　在Windows Server 2008中，微软为数据保护解决方案设定了一个新的要求---可以从大量的快照中执行备份。

　　此外，这些全面的数据保护解决方案是由基于磁盘的技术所支持的，能够最大限度地减少系统停机时间并帮助企业达到严格的恢复时间目标。先进的功能让IT管理员能够在几分钟内还原整个服务器系统或个人的电子邮件。

　　越来越多的全面数据和系统保护解决方案还集成了智能归档工具，这样就增加了关键档案的安全性和有效性。随着越来越多的企业认识到数据保存和恢复标准的遵从一致性的重要性，他们希望能找到一个综合的归档解决方案，以帮助管理和减少存储量并从整体上改善的数据发现。◆保护信息安全

　　更加先进的磁盘到磁盘到磁带式 (D2D2T)备份和恢复解决方案所包含的数据保护技术一般都利用一些强大的技术来提高数据保护的效率。这些工具能够恢复比较重要的微软应用（Microsoft Exchange、动态目录、SharePoint Server、SharePoint Services）包含的粒状数据，比如电子邮件、文件夹、邮箱、个人文件和属性。这使管理员可以迅速恢复所需要的电子邮件和文件，消除了运行 Exchange邮箱（MAPI）备份所需的额外管理和存储资源。

　　此外，这种粒状恢复技术能够与基于磁盘的技术一起使用，后者能够连续备份交易记录，并分配用户指定的回收点。运用这些技术，无论是两分钟前还是10天前的文件，恢复起来只需要几分种的时间，因为每个还原点可以很容易地被打开和浏览。

　　◆维护系统的可用性

　　虽然数据恢复极为重要的，但是光靠它仍然无法在系统发生故障或自然灾害发生时，帮助企业恢复其业务活动。可是，传统上的Windows系统恢复传统一直是一个手工的、密集的并且漫长的过程，往往持续数天甚至几个周。IT部门通常必须修复硬件，重新安装操作系统以及应用程序、补丁、系统更新，并重新启动多次。

　　相比之下，裸机恢复技术可以使上述繁重的工作缩减为几分钟的工作量。利用这种解决方案，IT管理员可以快速恢复系统，甚至是不同的硬件、虚拟环境，也可以远程对于无人值守的服务器惊醒恢复。这种技术能够捕获和保护整个Windows系统，从操作系统到应用程序、数据库、文件、设备驱动程序、配置文件、设置和注册表，同时还不影响用户使用应用程序。

　　◆管理电子邮件

　　由于电子邮件系统的作用越来越大---现在已经被列入关键任务行列，所以，IT部门面临着巨大的压力---不仅要保持该应用程序正常启动和运行，而且还要确保用户能对邮件进行访问。不过由于电子邮件的容量越来越大以及管理它的时间越来越少， IT管理员面临着似乎无法克服的挑战。

　　智能归档工具的出现，大大减轻了系统管理员管理电子邮件的难度，它提供了一个自动化、策略驱动的平台，能够储存、管理和查找企业数据。智能归档工具的应用范围不仅仅是电子邮件系统，还包括文件服务器、即时通讯系统以及协作和内容管理系统。

　　先进的归档工具利用了智能分类和保存技术来捕捉、分类、索引和存储目标数据，在执行政策和保护信息资产的同时还能减少存储成本并简化管理。此外，专门的应用还能对存档数据进行深度挖掘，为内容一致性、知识管理和信息安全倡议提供支持。

　　◆强大的组合

　　将数据和系统保护与归档技术结合起来能够为IT管理员提供了一个高效的、划算的并且可靠的解决方案，确保Windows环境的可用性和安全性。

　　为了进一步保护新的Windows Server 2008操作系统，IT部门还必须有效地管理和保护整个Windows环境。系统管理工具将使IT部门能够有效和迅速地处理伴随Windows Server 2008出现的系统复杂性，而一致性管理工具将会自动化和规范的一致性过程，并使IT部门更好地管理内部任务和外部规则。

　　此外，安全的解决方案比如端点保护、信息安全和数据丢失预防，将使IT部门能够更主动地去保护他们的Windows Server 2008系统，并且能使最终用户免受不必要的攻击和垃圾邮件的骚扰。

　　由于企业对于利用Microsoft Windows运行关键业务的依赖程度越来越大，企业的IT部门必须能够备份和恢复关键任务数据和系统，管理日期强大的操作系统平台的复杂性，并保障系统和用户能够应对安全风险和威胁。所以，IT部门要合理利用成熟的Windows保护工具，这样就可以确定企业的运营环境仍然是安全的，可用的和有秩序的。