出于安全性以及新的應(yīng)用需求，現(xiàn)在越來(lái)越多的企業(yè)開(kāi)始部署基于Windows Server 2008平臺(tái)的服務(wù)器，甚至有些個(gè)人用戶(hù)也在使用該系統(tǒng)。就筆者了解，面對(duì)一個(gè)相對(duì)陌生的Server系統(tǒng)，管理員們最關(guān)心的是實(shí)現(xiàn)系統(tǒng)平臺(tái)的平滑過(guò)度以及如何進(jìn)行安全部署。下面筆者結(jié)合自己的經(jīng)驗(yàn)，從六個(gè)方面談?wù)刉indows Server 2008的安全部署。

　　1、安全部署從安裝開(kāi)始

　　要?jiǎng)?chuàng)建一個(gè)強(qiáng)大并且安全的服務(wù)器，必須從一開(kāi)始安裝的時(shí)候就注重每一個(gè)細(xì)節(jié)的安全性，當(dāng)然Windows Server 2008的部署也不例外。新的服務(wù)器應(yīng)該安裝在一個(gè)孤立的網(wǎng)絡(luò)中，杜絕一切可能造成攻擊的渠道，直到操作系統(tǒng)的防御工作完成為止。在開(kāi)始安裝的最初的一些步驟中，我們將會(huì)被要求在FAT(文件分配表)和NTFS(新技術(shù)文件系統(tǒng))之間做出選擇。這時(shí)，大家務(wù)必為所有的磁盤(pán)驅(qū)動(dòng)器選擇NTFS格式。FAT是為早期的操作系統(tǒng)沒(méi)計(jì)的比較原始的文件系統(tǒng)。NTFS是隨著NT的出現(xiàn)而出現(xiàn)的，它能夠提供了FAT不具備的安全功能，包括存取控制清單(Access Control Lists、ACL)和文件系統(tǒng)日志(File SystemJoumaling)，文件系統(tǒng)日志記錄對(duì)于文件系統(tǒng)的任何改變。接下來(lái)，我們需要安裝最新的Service Pack(SP2)和任何可用的熱門(mén)補(bǔ)丁程序。雖然Service Pack中的許多補(bǔ)丁程序相當(dāng)老了，但是它們能夠修復(fù)若干已知的能夠造成威脅的漏洞，比如拒絕服務(wù)攻擊、遠(yuǎn)程代碼執(zhí)行和跨站點(diǎn)腳本。

　　2、通過(guò)SCW配置安全策略

　　安裝完系統(tǒng)之后，我們就可以坐下來(lái)做一些更細(xì)致的安全工作。提高Windows Server 2008免疫力最簡(jiǎn)單的方式就是利用服務(wù)器配置向?qū)?Server Configuration Wizard即SCW)進(jìn)行安全部署。它可以指導(dǎo)我們根據(jù)網(wǎng)絡(luò)上服務(wù)器的角色創(chuàng)建一個(gè)安全的策略。

　　(1).SCW的安裝

　　需要說(shuō)明的是，SCW與配置服務(wù)向?qū)?Configure Your Server wizafd)是不同的。SCW不安裝服務(wù)器組件，但監(jiān)測(cè)端口和服務(wù)，并配置注冊(cè)和審計(jì)設(shè)置。SCW并不是默認(rèn)安裝的，所以我們必須通過(guò)“控制面板”的“添加/刪除程序”窗口來(lái)添加它。選擇“添加/刪除Windows組件”按鈕并選擇“安全配置向?qū)А保�安裝過(guò)程就自動(dòng)開(kāi)始了。一旦安裝完畢，SCW就可以從“管理工具”中訪問(wèn)。

　　(2).用SCW配置安全策略

　　通過(guò)SCW創(chuàng)建的安全策略是XML文件格式的，可用于配置服務(wù)、網(wǎng)絡(luò)安全、特定的注冊(cè)表值、審計(jì)策略，甚至如果可能的話，還能配置IIS。通過(guò)配置界面，可以創(chuàng)建新的安全策略，或者編輯現(xiàn)有策略，并將它們應(yīng)用于網(wǎng)絡(luò)上的其它服務(wù)器上。如果某個(gè)操作創(chuàng)建的策略造成了沖突或不穩(wěn)定，那么我們可以回滾該操作。

　　可以說(shuō)，SCW涵蓋了Windows Server 2008安全性的所有基本要素。運(yùn)行該向?qū)В�首先出現(xiàn)的是安全配置數(shù)據(jù)庫(kù)(security Configuration Database)，其中包含所有的角色、客戶(hù)端功能、管理選項(xiàng)、服務(wù)和端f1等等信息。SCW還包含廣泛的應(yīng)用知識(shí)知識(shí)庫(kù)。這意味著當(dāng)一個(gè)選定的服務(wù)器角色需要某個(gè)應(yīng)用時(shí)客戶(hù)端功能比如自動(dòng)更新或管理應(yīng)用比如備份Windows防火墻就會(huì)自動(dòng)打開(kāi)所需要的端口。當(dāng)應(yīng)用程序關(guān)閉時(shí)，該端口就會(huì)自動(dòng)被阻塞。網(wǎng)絡(luò)安全設(shè)置、注冊(cè)表協(xié)議以及服務(wù)器消息塊(ServerMessage Block、SMB)簽名安全增加了關(guān)鍵服務(wù)器功能的安令性。對(duì)外身份驗(yàn)證(Outbound Authentication)設(shè)置決定了連接外部資源時(shí)所需要的驗(yàn)證級(jí)別。

　　SCW的最后一步與審計(jì)策略有關(guān)。默認(rèn)情況下，WindowsServer 2008只審計(jì)成功的活動(dòng)，但是對(duì)于一個(gè)加強(qiáng)版的系統(tǒng)來(lái)說(shuō)，成功和失敗的活動(dòng)都應(yīng)該被審計(jì)并記入日志。一旦向?qū)��?zhí)行

　　完成后，所創(chuàng)建的安傘策略就保存在一個(gè)XML中，并且立刻就能被服務(wù)器所使用，或者供日后使用，甚至還能被其它服務(wù)器使用。在服務(wù)器安裝過(guò)程中沒(méi)有進(jìn)行第一步強(qiáng)化過(guò)程的服務(wù)器也能安裝SCW。

　　3、數(shù)據(jù)存取權(quán)限的控制

　　(1).設(shè)置服務(wù)器的開(kāi)機(jī)順序

　　可以說(shuō)，從我們按下服務(wù)器的電源按鈕那一刻開(kāi)始，直到操作啟動(dòng)并且所有服務(wù)都活躍之前，威脅系統(tǒng)的惡意行為依然有機(jī)會(huì)破壞系統(tǒng)。除了操作系統(tǒng)以外，一臺(tái)健康的服務(wù)器開(kāi)始啟動(dòng)時(shí)應(yīng)該具備密碼保護(hù)的BIOS/固件。此外，就BIOS而言，服務(wù)器的開(kāi)機(jī)順序應(yīng)當(dāng)被正確設(shè)定，以防從未經(jīng)授權(quán)的其它介質(zhì)啟動(dòng)。

　　在啟動(dòng)后，進(jìn)入BIOS設(shè)置頁(yè)面。我們可以使用組合鍵在BIOS的各個(gè)設(shè)置標(biāo)簽上來(lái)回移動(dòng)。在啟動(dòng)順序(Boot Order)標(biāo)簽頁(yè)上，設(shè)置服務(wù)器啟動(dòng)首選項(xiàng)為內(nèi)部硬盤(pán)(Internal HDD)。在系統(tǒng)安全(Boot Order)標(biāo)簽頁(yè)上，硬盤(pán)密碼有三種選項(xiàng)可供選擇：Primary、Administratortive和Hard。

　　(2).管理好自動(dòng)運(yùn)行

　　自動(dòng)運(yùn)行外部介質(zhì)的功能包括光碟、DVD和USB驅(qū)動(dòng)器，應(yīng)該被禁用。在注冊(cè)表，進(jìn)入路徑HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl\Set\Services\Cdrom(或其他設(shè)備名稱(chēng))下，將Automn的值設(shè)置為0。自動(dòng)運(yùn)行功能有可能自動(dòng)啟動(dòng)便攜式介質(zhì)攜帶的惡意應(yīng)用程序。這是安裝特洛伊木馬(Trojan)、后門(mén)程序(Backdoor)、鍵盤(pán)記錄程序(KeyLogger)、竊聽(tīng)器(Listener)等惡意軟件的一種簡(jiǎn)單的方法。

　　(3).選擇用戶(hù)登錄方式

　　下一道防線是有關(guān)用戶(hù)如何登錄到系統(tǒng)。雖然身份驗(yàn)證的替代技術(shù)。比如生物特征識(shí)別、令牌、智能卡和一次性密碼，都是可以用于Windows Server 2008用來(lái)保護(hù)系統(tǒng)，但是很多系統(tǒng)管理員，無(wú)論是本地的還是遠(yuǎn)程的，都使用用戶(hù)名和密碼的組合作為登陸服務(wù)器的驗(yàn)證碼。不過(guò)很多時(shí)候，他們都是使用缺省密碼。這顯然是自找麻煩。

　　上面這些注意點(diǎn)都是很顯然的。但是，如果我們非要使用密碼的話，那么最好采用一個(gè)強(qiáng)壯的密碼策略：密碼至少8個(gè)字符那么長(zhǎng)。包括英文大寫(xiě)字母、數(shù)字和非字母數(shù)字字符：此外，我們最好定期改變密碼并在特定的時(shí)期內(nèi)不使用相同的密碼。一個(gè)強(qiáng)壯的密碼策略加上多重驗(yàn)證(Multifactor Authentication)，這也僅僅只是一個(gè)開(kāi)始。多虧了NTFS提供的ACL功能，使得一個(gè)服務(wù)器的各個(gè)方面，每個(gè)用戶(hù)都可以被指派不同級(jí)別的訪問(wèn)權(quán)限。文件訪問(wèn)控制打印共享權(quán)限的設(shè)置應(yīng)當(dāng)基于組(Group)而不是“每個(gè)人(Everyone)”。這在服務(wù)器上是可以做到的，或者通過(guò)Active Directory。確保只有一個(gè)經(jīng)過(guò)合法身份驗(yàn)證的用戶(hù)能訪問(wèn)和編輯注冊(cè)表，這也很重要。這樣做的目的是限制訪問(wèn)這些關(guān)鍵服務(wù)和應(yīng)用的用戶(hù)人數(shù)。

　4、基于賬戶(hù)、端口、服務(wù)等限制

　　(1).賬戶(hù)安全控制

　　在安裝過(guò)程中，三個(gè)本地用戶(hù)帳戶(hù)被自動(dòng)創(chuàng)建管理員(Administrator)、來(lái)賓(Guest)、遠(yuǎn)程協(xié)助賬戶(hù)(Help—Assistant，隨著遠(yuǎn)程協(xié)助會(huì)話一起安裝的)。管理員帳戶(hù)擁有訪問(wèn)系統(tǒng)的最高權(quán)限。它能指定用戶(hù)權(quán)限和訪問(wèn)控制。雖然這個(gè)主帳戶(hù)不能被刪除，但是我們應(yīng)該禁用或給它重新命名，以防被輕易就被黑客盜用而侵入系統(tǒng)。正確的做法是，我們應(yīng)該為某個(gè)用戶(hù)或一個(gè)組對(duì)象指派管理員權(quán)限。這就使得黑客更難判斷究竟哪個(gè)用戶(hù)擁有管理員權(quán)限。這對(duì)于審計(jì)過(guò)程也是至關(guān)蓖要的。想象一下，如果一個(gè)部門(mén)的每一個(gè)人都可以使用同一個(gè)管理員賬戶(hù)和密碼登錄并訪問(wèn)服務(wù)器，這是一個(gè)多么重大的安全隱患啊。因此，筆者建議最好不要使用管理員帳戶(hù)。同樣地，來(lái)賓賬戶(hù)和遠(yuǎn)程協(xié)助賬戶(hù)為那些攻擊Windows Server 2008的黑客提供了一個(gè)更為簡(jiǎn)單的目標(biāo)。進(jìn)入”控制面板”→”管理工具”→”計(jì)算機(jī)管理”，右鍵單擊我們想要改變的用戶(hù)帳戶(hù)，選擇”屬性”，這樣我們就可以禁用這些賬戶(hù)。務(wù)必確保這些賬戶(hù)在網(wǎng)絡(luò)和本地都是禁用的。

　　(2).關(guān)閉危險(xiǎn)的端口

　　開(kāi)放的端口是最大的潛在威脅，Windows Server 2008有65535個(gè)可用的端口，而我們的服務(wù)器并不需要所有這些端口。SPl中包含的防火墻允許管理員禁用不必要的TCP和UDP端口。所有的端口被劃分為三個(gè)不同的范圍：眾所周知的端口(0～1023)、注冊(cè)端口(1024～49151)、動(dòng)態(tài)，私有端口(49152～65535)。眾所周知的端口都被操作系統(tǒng)功能所占用;而注冊(cè)端u則被某些服務(wù)或應(yīng)用占用。動(dòng)態(tài)/私有端門(mén)則是沒(méi)有任何約束的。

　　如果能獲得一個(gè)端口和所關(guān)聯(lián)的服務(wù)和應(yīng)用的映射清單，那么管理員就可以決定哪些端口是核心系統(tǒng)功能所需要的。舉例來(lái)說(shuō)，為了阻止任何Telnet或FTP傳輸路徑，我們就可以禁用與這兩個(gè)應(yīng)用相關(guān)的通訊端口。同樣地，知名軟件和惡意軟件使用那些端口都是大家所熟知的，這些端口可以被禁用以創(chuàng)造一個(gè)更加安全的服務(wù)器環(huán)境。最好的做法是關(guān)閉所有未用的端口。要找到服務(wù)器上的那些端口是開(kāi)啟狀態(tài)、監(jiān)聽(tīng)狀態(tài)還是禁用狀態(tài)，使用Nmap工具是一個(gè)比較簡(jiǎn)單高效的方式，默認(rèn)情況下，SCW關(guān)閉所有的端口，當(dāng)設(shè)定安裝策略的時(shí)候再打開(kāi)它們。

　　(3).管理好各種服務(wù)

　　增強(qiáng)服務(wù)器免疫力最有效的方法是不安裝任何與業(yè)務(wù)不相關(guān)的應(yīng)用程序，并且關(guān)閉不需要的服務(wù)。雖然在服務(wù)器上安裝一個(gè)電子郵件客戶(hù)端或管理工具可能會(huì)使管理員更方便，但是，

　　如果不直接涉及到服務(wù)器的功能，那么我們最好不要安裝它們。在Windows Server2008上，有100多個(gè)服務(wù)可以被禁用。舉例來(lái)說(shuō)，最基礎(chǔ)的安裝包含DHCP服務(wù)。不過(guò)，如果我們不打算利用該系統(tǒng)作為一個(gè)DHCP服務(wù)器，禁用tcpsvcs.exe將阻止該服務(wù)的初始化和運(yùn)行。希望大家記住，并非所有的服務(wù)都是可以禁用的。舉例來(lái)說(shuō)，雖然遠(yuǎn)端過(guò)程調(diào)用(Remote Procedure Call、RPC)服務(wù)可以被Blaster蠕蟲(chóng)所利用，進(jìn)行系統(tǒng)攻擊。不過(guò)它卻不能被禁用，因?yàn)镽PC允許其它系統(tǒng)過(guò)程在內(nèi)部或在整個(gè)網(wǎng)絡(luò)進(jìn)行通訊。為了關(guān)閉不必要的服務(wù)，我們可以通過(guò)“控制面板”的“管理工具”打開(kāi)“服務(wù)”管理工具進(jìn)行管理。雙擊對(duì)于的服務(wù)，打開(kāi)“屬性”對(duì)話框，在“啟動(dòng)類(lèi)型框”中選擇“禁用”即可。

　　5、創(chuàng)建健壯的審計(jì)和日志策略

　　阻止服務(wù)器執(zhí)行有害的或者無(wú)意識(shí)的操作，是強(qiáng)化服務(wù)器的首要的目標(biāo)。為了確保所執(zhí)行的操作是都是正確的并且合法的。那么就得創(chuàng)建全面的事件日志和健壯的審計(jì)策略。通過(guò)一致性的約束，強(qiáng)大的審計(jì)策略應(yīng)該是健壯的Windows Server 2008服務(wù)器的一個(gè)重要組成部分。成功和失敗的帳戶(hù)登錄和管理嘗試，連同特權(quán)使用和策略變化應(yīng)該被審核的記錄。

　　在Windows Server2008中。創(chuàng)建的日志類(lèi)型有：應(yīng)用日志、安全日志、目錄服務(wù)日志、文件復(fù)制服務(wù)(File Replication Service)日志和DNS服務(wù)器日志。這些日志都可以通過(guò)事件查看器(Event Viewer)臨測(cè)。同時(shí)事件查看器還提供廣泛的有關(guān)硬件、軟件和系統(tǒng)問(wèn)題的信息。在每個(gè)日志條目里，事件查看器顯示五種類(lèi)型的事件：錯(cuò)誤、警告、信息、成功審計(jì)和失敗審計(jì)。

　　6、其他安全部署措施

　　(1).未雨綢繆，進(jìn)行基線備份

　　在我們花費(fèi)了大量時(shí)間和精力強(qiáng)化你的Windows Server 2008服務(wù)器時(shí)，大家所要做的最后一步是創(chuàng)建一個(gè)0/full級(jí)別的機(jī)器和系統(tǒng)狀態(tài)備份。一定要對(duì)系統(tǒng)定期進(jìn)行基線備份，這樣當(dāng)有安全事故發(fā)生時(shí)，我們就能根據(jù)基線備份對(duì)服務(wù)器進(jìn)行恢復(fù)。可以說(shuō)，基線備份就是服務(wù)器的”還魂丹”。在對(duì)Windows Server 2008服務(wù)器的主要軟件和操作系統(tǒng)進(jìn)行升級(jí)后，務(wù)必要對(duì)系統(tǒng)進(jìn)行基線備份。

　　(2).密切關(guān)注用戶(hù)帳戶(hù)

　　為了確保服務(wù)器的安全性，還需要密切注意用戶(hù)帳戶(hù)的狀態(tài)。不過(guò)，管理帳戶(hù)是一個(gè)持續(xù)的過(guò)程。用戶(hù)帳戶(hù)應(yīng)該被定期檢查，并且任何非活躍的、進(jìn)行復(fù)制、共享的一般或測(cè)試賬戶(hù)都應(yīng)該被刪除。

　　(3).確保及時(shí)打上最新的系統(tǒng)補(bǔ)丁

　　強(qiáng)化服務(wù)器補(bǔ)丁是一個(gè)持續(xù)的過(guò)程，并不會(huì)因?yàn)榘惭b了Windows Server 2008 SP2而結(jié)束。為了第一時(shí)間安裝服務(wù)期升級(jí)/補(bǔ)丁軟件，我們可以通過(guò)“系統(tǒng)菜單”中的“控制面板”啟用“自動(dòng)更新功能”。在“自動(dòng)更新”選項(xiàng)卡上，選擇“自動(dòng)下載更新”。因?yàn)殛P(guān)鍵的更新通常要求服務(wù)器重新啟動(dòng)，大家可以給服務(wù)器設(shè)定一個(gè)安裝這些軟件的計(jì)劃任務(wù)，從而盡可能小地影響服務(wù)器的正常運(yùn)行。

　　總結(jié)：以上六個(gè)方面是筆者在Windows Server 2008學(xué)習(xí)以及實(shí)戰(zhàn)部署中總結(jié)的一些經(jīng)驗(yàn)，希望能夠幫助到你們。

關(guān)鍵字：Server 2008、安全部署、服務(wù)器