Windows Server
是大家最常用的服務器操作系統之一
雖然它提供了強大的網絡服務功能
並且簡單易用
但它的安全性一直困擾著眾多網管
如何在充分利用Windows Server
提供的各種服務的同時
保證服務器的安全穩定運行
最大限度地抵御病毒和黑客的入侵
Windows Server
SP
中文版補丁包的發布
恰好解決這個問題
它不但提供了對系統漏洞的修復
還新增了很多易用的安全功能
如安全配置向導(SCW)功能
利用SCW功能的
安全策略
可以最大限度增強服務器的安全
並且配置過程非常簡單
下面就一起來看吧!
厲兵秣馬 先裝SCW 大家都很清楚
Windows Server
系統為增強其安全性
默認情況下
很多服務組件是不被安裝的
要想使用
必須手工安裝
SCW
功能也是一樣
雖然你已經成功安裝了補丁包SP
但也需要手工安裝
安全配置向導(SCW)
組件
進入
控制面板
後
運行
添加或刪除程序
然後切換到
添加/刪除Windows組件
頁
下面在
Windows組件向導
對話框中選中
安全配置向導
選項
最後點擊
下一步
按鈕後
就能輕松完成
SCW
組件的安裝
安裝過程就這麼簡單
接下來就能根據自身需要
利用
SCW
配置安全策略
增強Windows Server
服務器安全
配置安全策略 原來如此簡單 在Windows Server
服務器中
點擊
開始→運行
後
在運行對話框中執行
SCW
exe
命令
就會彈出
安全配置向導
對話框
開始你的安全策略配置過程
當然你也可以進入
控制面板→管理工具
窗口後
執行
安全配置向導
快捷方式來啟用
SCW
.新建第一個
安全策略
如果你是第一次使用
SCW
功能
首先要為Windows Server
服務器新建一個安全策略
安全策略信息是被保存在格式為XML 的文件中的
並且它的默認存儲位置是
C:\WINDOWS\security\msscw\Policies
因此一個Windows Server
系統可以根據不同需要
創建多個
安全策略
文件
並且還可以對安全策略文件進行修改
但一次只能應用其中一個安全策略
在
歡迎使用安全配置向導
對話框中點擊
下一步
按鈕
進入到
配置操作
對話框
因為是第一次使用
SCW
這裡要選擇
創建新的安全策略
單選項(圖
)
點擊
下一步
按鈕
就開始配置安全策略
圖開始創建新的安全策略 .輕松配置
角色
首先進入
選擇服務器
對話框
在
服務器
欄中輸入要進行安全配置的Windows Server
服務器的機器名或IP地址
點擊
下一步
按鈕後
安全配置向導
會處理安全配置數據庫
接著就進入到
基於角色的服務配置
對話框
在基於角色的服務配置中
可以對Windows Server
服務器角色
客戶端角色
系統服務
應用程序
以及管理選項等內容進行配置
所謂服務器
角色
其實就是提供各種服務的Windows Server
服務器
如文件服務器
打印服務器
DNS服務器和DHCP服務器等
一個Windows Server
服務器可以只提供一種服務器
角色
也可以扮演多種服務器角色
點擊
下一步
按鈕後
就進入到
選擇服務器角色
配置對話框(圖
)
這時需要在
服務器角色列表框
中勾選你的Windows Server
服務器所扮演的角色
圖根據服務器性質不同配置不同角色屬性 注意
為了保證服務器的安全
只勾選你所需要的服務器角色即可
選擇多余的服務器角色選項
會增加Windows Server
系統的安全隱患
如筆者的Windows Server
服務器只是作為文件服務器使用
這時只要選擇
文件服務器
選項即可
進入
選擇客戶端功能
標簽頁
來配置Windows Server
服務器支持的
客戶端功能
其實Windows Server
服務器的客戶端功能也很好理解
服務器在提供各種網絡服務的同時
也需要一些客戶端功能的支持才行
如Microsoft網絡客戶端
DHCP客戶端和FTP客戶端等
根據需要
在列表框中勾選你所需的客戶端功能即可(圖
)
同樣
對於不需要的客戶端功能選項
建議你一定要取消對它的選擇
圖選擇客戶端所需功能 接下來進入到
選擇管理和其它選項
對話框
在這裡選擇你需要的一些Windows Server
系統提供的管理和服務功能
操作方法是一樣的
只要在列表框中勾選你需要的管理選項即可
點擊
下一步
後
還要配置一些Windows Server
系統的額外服務
這些額外服務一般都是第三方軟件提供的服務
然後進入到
處理未指定的服務
對話框
這裡
未指定服務
是指
如果此安全策略文件被應用到其它Windows Server
服務器中
而這個服務器中提供的一些服務沒有在安全配置數據庫中列出
那麼這些沒被列出的服務該在什麼狀態下運行呢?在這裡就可以指定它們的運行狀態
建議大家選中
不更改此服務的啟用模式
單選項
最後進入到
確認服務更改
對話框
對你的配置進行最終確認後
就完成了基於角色的服務配置
.配置網絡安全
以上完成了基於角色的服務配置
但Windows Server
服務器包含的各種服務
都是通過某個或某些端口來提供服務內容的
為了保證服務器的安全
Windows防火牆默認是不會開放這些服務端口的
下面就可以通過
網絡安全
配置向導開放各項服務所需的端口
這種向導化配置過程與手工配置Windows防火牆相比
更加簡單
方便和安全
在
網絡安全
對話框中
要開放選中的服務器角色
Windows Server
系統提供的管理功能以及第三方軟件提供的服務所使用的端口
點擊
下一步
按鈕後
在
打開端口並允許應用程序
對話框中開放所需的端口(圖
)
如FTP服務器所需的
和
端口
IIS服務所需的
端口等
這裡要切記
最小化
原則
只要在列表框中選擇要必須開放的端口選項即可
最後確認端口配置
這裡要注意
其它不需要使用的端口
建議大家不要開放
以免給Windows Server
服務器造成安全隱患
圖端口開放越少越安全 .注冊表設置
Windows Server
服務器在網絡中為用戶提供各種服務
但用戶與服務器的通信中很有可能包含
不懷好意
的訪問
如黑客和病毒攻擊
如何保證服務器的安全
最大限度地限制非法用戶訪問
通過
注冊表設置
向導就能輕松實現
利用注冊表設置向導
修改Windows Server
服務器注冊表中某些特殊的鍵值
來嚴格限制用戶的訪問權限(圖
)
用戶只要根據設置向導提示
以及服務器的服務需要
分別對
要求SMB安全簽名
出站身份驗證方法
入站身份驗證方法
進行嚴格設置
就能最大限度保證Windows Server
服務器的安全運行
並且免去手工修改注冊表的麻煩
.啟用
審核策略
聰明的網管會利用日志功能來分析服務器的運行狀況
因此適當的啟用審核策略是非常重要的
SCW功能也充分的考慮到這些
利用向導化的操作就能輕松啟用審核策略
在
系統審核策略
配置對話框中要合理選擇審核目標
畢竟日志記錄過多的事件會影響服務器的性能
因此建議用戶選擇
審核成功的操作
選項(圖
)
當然如果有特殊需要
也可以選擇其它選項
如
不審核
或
審核成功或不成功的操作
選項
圖嚴格控制用戶訪問權限 
圖減少日志對服務器產生的負擔 .增強IIS安全
IIS服務器是網絡中最為廣泛應用的一種服務
也是Windows系統中最易受攻擊的服務
如何來保證IIS服務器的安全運行
最大限度免受黑客和病毒的攻擊
這也是SCW功能要解決的一個問題
利用
安全配置向導
可以輕松的增強IIS服務器的安全
保證其穩定
安全運行
在
Internet信息服務
配置對話框中
通過配置向導
來選擇你要啟用的Web服務擴展
要保持的虛擬目錄
以及設置匿名用戶對內容文件的寫權限
這樣IIS服務器的安全性就大大增強
小提示
如果你的Windows Server
服務器沒有安裝
運行IIS服務
則在SCW配置過程中不會出現IIS安全配置部分
完成以上幾步配置後
進入到保存安全策略對話框
首先在
安全策略文件名
對話框中為你配置的安全策略起個名字
最後在
應用安全策略
對話框中選擇
現在應用
選項(圖
)
使配置的安全策略立即生效
圖最後一步安全策略配置 利用SCW增強Windows Server
服務器的安全性能就這麼簡單
所有的參數配置都是通過向導化對話框完成的
免去了手工繁瑣的配置過程
SCW功能的確是安全性和易用性有效的結合點
如果你的Windows Server
系統已經安裝了SP
補丁包
不妨試試SCW吧!
From:http://tw.wingwit.com/Article/Security/201312/30103.html
