安全实战：配置安全WINDOWS_SERVER_2003.doc

windows server 2003提供了诸多强大的网络服务功能，而且极易上手，网管不需要太多的培训即可配置和管理。不过，要配置一个安全的windows server 2003服务器，需要有经验的网管手动配置很长时间：需要在提供各种服务的同时，保证服务器的安全稳定运行，最大限度地抵御病毒和黑客的入侵，这是每个网管的基本追求。 随着windows server 2003 sp1的发布，网络安全随着进一步加强。此次工具包中还增加了许多工具，网络安全配置向导（scw）就是其中之一。利用网络安全配置向导可以让网管轻松地配置服务器，使其安全性大大提高。 注意：在被认为“安全第一”的windows server 2003上，微软为增强其安全性，很多组件（服务）在默认情况下是不被安装的。故此，如果要使用这些组件，就必须使用安装盘在“添加/删除windows组件”中按需添加。安全配置向导（scw）也是一样。 1.启动安全配置向导 在windows server 2003服务器中，可以通过以下两种方法之一启动。 方法一：单击“开始”“运行”后，在运行对话框中执行“scw.exe”命令。 方法二：单击“开始”“程序”“管理工具”“安全配置向导”，启动“安全配置向导”对话框，开始安全策略配置过程。 2.建立安全策略 在您第一次启用“scw”时，先要为windows server 2003服务器创建一个安全策略。我们可以根据实际需求为一个服务器配置多个“安全策略”文件，也可以对一个安全策略文件进行适当的编辑，以满足自己工作要求。不过，一次只能加载一个策略文件。 在“欢迎使用安全配置向导”对话框中单击“下一步”按钮，进入到“配置操作”对话框。因为是初次运行“scw”，所以要选择“创建新的安全策略”选项。 单击“下一步”按钮，开始配置安全策略之旅。 3.基于角色服务器配置 首先进入“选择服务器”对话框，在“服务器”栏中输入要进行安全配置的windows server 2003服务器的机器名或ip地址，单击“下一步”。处理完成后，可以通过“查看配置数据库”查看当前服务器角色、客户端功能、管理选项、服务、端口以及其他设置的信息。“安全配置向导”所处理的就是涉及到的这些项目。 单击下一步，就进入到“基于角色的服务配置”页面。在基于角色的服务配置中，可以对windows server 2003服务器角色、客户端角色、系统服务、应用程序以及管理选项等内容进行配置。 小知识：所谓服务器“角色”，其实就是提供各种服务的windows server 2003服务器所提供的相关服务，如文件服务器、打印服务器、dns服务器、多媒体服务及dhcp服务器等。运行windows server 2003服务器可以只提供一种服务，也可以提供多种网络服务，提供的每一种服务就是一个相应的“角色”。 （1）选择客户端功能 服务器可以是其他服务器的客户端，客户端功能必须启用角色特定的服务。 启用选定服务器执行已安装的客户端功能是必需的服务，可以选择列表中的相应客户端功能。如果计划在选定服务器上安装其他客户端功能，或者要将此安全策略应用于角色配置稍有不同的其他计算机，可以在“视图”中选择“所有客户端功能”，然后选择相应的客户端功能。如图1所示。 图1（2）选择管理和其他选项 在此配置页中，我们可以选择管理选项（如远程管理和备份）以及使用服务及端口的其他应用程序选项和windows功能。 （3）选择其他服务 选定服务器所承担的一些角色可能会映射到某些在安全配置数据库中找不到（因而没有出现在前面的页面上）的已安装服务。如果是这样，则安全配置向导会在“选择其他服务”页上显示已安装服务的列表。 单击复选框和服务名之间的三角形，可获得有关该服务的详细信息。正如在前面所接触到的那样，我们检查每个其他服务并确定是否需要运行该服务，才能使选定服务器（或打算应用该策略的其他服务器）像期望的那样工作。 如果服务不是必需的，就要确保清除其复选框；如果服务是必需的，请选中其复选框，然后单击“下一步”。 （4）处理未指定的服务 未指定的服务是指不出现在安全配置数据库中且当前未安装在选定服务器上，但是可能已安装在要应用安全策略的其他服务器上的服务。或者在将来的某个时间，也可能在选定服务器上安装这些服务。 在此配置页面中有两个选项，“保持服务的当前启动模式”和“禁用服务”。 如果我们想将安全策略应用于选定服务器之外的服务器或在选定服务器的配置发生改变（例如安装了新软件）后，将安全策略应用于选定服务器，建议配置此服务。 最后进入到“确认服务更改”页面，我们在此对配置进行最终确认后，单击下一步就完成了“基于角色的服务配置”。 提示：“安全配置向导”(scw)启用选定服务器，执行我们在此配置页上所选择的服务器角色是必需的服务，并禁用任何角色不需要的服务。 通过选择某个角色，可以自动选择它的所有相关角色，在整个scw中都可以使用“上一步”和“下一步”按钮前进或后退以及更改设置。 如果没有安装所需的角色，而且该角色不在安全配置数据库中，则它不会出现在“所有角色”视图或任何其他视图中。 4.“网络安全”配置 在完成基于角色服务器配置后，我们的windows server 2003服务器包含的各种服务，都是通过某个或某些端口来提供服务内容的。为了保证服务器的安全，windows防火墙默认是不会开放这些服务端口的。下面就可以通过“网络安全”配置向导开放各项服务所需的端口，这种向导化配置过程与手工配置windows防火墙相比，更加简单、方便和安全。 此“网络安全”配置是基于角色服务器选定的角色和管理选项使用windows防火墙的入站端口。此外，我们还可以限制访问端口并使用internet协议安全（ipsec）指明端口通讯是否经过签名或加密。 在“打开端口并允许应用程序”页面中可以自行添加、删除通信端口，可以根据windows服务或第三方程序（服务）要求情况打开或关闭端口，并且每个端口在高级选项中可以进行“远程地址限制”和“本地接口限制”配置。如图2所示。 图2由于此配置是基于windows底层控制，可以更好地控制端口及程序访问。 我们在这里选择需要的服务端口，如ftp用的20和21端口，iis使用的80或8088端口，https使用的443端口等，为了服务器的安全，不需要的端口请尽量关闭。 5.“注册表”设置 由于早期通讯协议的缺陷，造成黑客可以通过更改数据包来欺骗服务器的验证。此“注册表”设置可以限定连接到此服务器最低安全要求及使用安全签名，对出、入站用户身份进行验证。 运行windows server 2003服务器在网络中为网络用户提供相应的服务，但个别别有用心的用户试图通过远程访问来达到控制服务器的野心，如黑客，会通过远程更改服务器的注册表来加载恶意程序，或修改访问数据包来对服务器进行攻击。如何更好地保护服务器，这是每个网管工作的重要内容。在保证服务器正常运行的前提下，最大限度地限制用户的非授权访问，我们可以通过“注册表设置”向导轻松实现。如图3所示。 图3利用“注册表设置”向导，添加或修改windows server 2003服务器注册表中特殊的键值，来限制用户的访问权限。我们只要根据设置向导提示和服务器服务需求，依次在“要求smb安全签名”、“出站身份验证方法”、“入站身份验证方法”中进行必要设置，即可保证windows server 2003服务器的安全运行。以前这些设置都是通过手动在注册表中更改，不但麻烦，有时设置还不完全，甚至产生冲突影响其效果。 6.“审核策略”设置 对一个合格的网络管理员来说，能够通过日志来分析服务器的运行状况是其基本的要求，所以适当的启用审核策略是极其重要的，所有的监视信息通过我们的审核策略产生监控日志。审核策略确定日志记录的成功和失败事件，以及受审核的文件系统对象。如图4所示。 图4以前，我们通过使用组策略编辑器（gpedit.msc）来配置启用审核策略。作为新提供的安全配置向导（scw），也将此功能集成其中，我们可以在“安全配置向导”中的利用向导化提示，极其轻松地完成“审核策略”的配置。 提示：审核文件系统对象会降低系统性能并可能导致生成大量事件，如果对服务器性能要求较高的话，请慎重选择（如只审核成功的或不审核）。 7.internet信息服务配置 iis服务是网络中广泛应用的一种服务，也是容易受攻击的服务。如何来保证iis服务器的安全运行，免受黑客和病毒的攻击？ 微软曾为windows 2000提供过一个工具，但使用起来非常麻烦，而且并不能完全解决问题。虽然iis 6的安全性相对于iis 5来说有了很大的进步，但若想安全配置还需要网管人员大量的手动配置。也可以通过其他网络安全公司的工具来优化设置，但有些工具虽然显示配置完成，但因为系统兼容性问题而无法达到预期目的。 此次微软推出的“安全配置向导”可以使我们轻松地完成对internet信息服务的安全设置，使iis服务器运行更安全、更稳定。如图5所示。 图5在“internet信息服务”配置对话框中，我们在“选择动态内容web服务扩展”中选择所需的服务，在“选择要保留的虚拟路径”中选择需要保留的虚拟目录，“组织匿名用户访问内容文件”增加了访问的安全性，避免匿名用户的写入（这可是黑客常用的攻击方法）。通过这样的配置，运行iis服务器的安全性就大大提高了。 提示：iis安装运行的磁盘分区必须是ntfs分区,才能保证“限制匿名用户访问内容”起作用。 如果服务器没有安装、运行iis服务，则在scw配置过程中不会出现internet信息服务配置。 8.保存安全策略 完成以上几步配置后，出现“安全策略文件名”页面。在此我们为定制的“安全策略”起一个自己喜欢的名字，扩展名为.xml，默认的保存位置为“%systemroot%securitymsscw policies”，也可