千呼万唤始出来,近日
微软终于发布
WindowsServer2003中文补丁包SP1。它除了对
系统中存在的漏洞进行修补外,还新增了一些实用
功能,特别是
安全配置向导(SecurityConfigurationWizard,简称SCW)功能,它成为Windows2003SP1新增功能中的亮点。
9 C% @% F, Y$ t$ K在Windows2003SP1系统中,安全配置向导(SCW)是一个新增的安全配置功能,它可以最大程度地缩小
服务器的受攻击面。
t- [3 E a+ h/ ]
利用SCW所提供的功能,网管能非常轻松地完成服务器角色的指定,禁用不需要的服务和
端口,配置服务器的
网络安全,配置审核策略、注册表和IIS服务器等工作,对巩固服务器的安全有极大的帮助。同时,由于整个配置过程都是在向导对话框中完成的,无需繁琐的手工设置,网管的工作负担会得到减轻。
6 M, e2 F& F- p, v现在,不妨让我们在这位安全“向导”的指引下,去巩固我们的服务器安全防护体系。
" y# r1 j# |5 U, x- l9 E6 O/ x默认情况下,即使你的Windows2003系统已安装了SP1补丁包,但这时还是无法使用SCW功能的。这是因为该组件没有被安装,用户需要通过“添加/删除Windows组件”功能手工安装SCW。
; |8 K+ o% H1 g$ t* _
[color=#FFFFFF']
3 {( `' a5 C; W, h$ V' z3 C8 y0 g: h* O1 P+ {
首先保证Windows2003系统已经安装了SP1补丁包,接着进入“添加/删除Windows组件”页面。在“Windows组件向导”对话框中选中“安全配置向导”选项,点击“下一步”按钮后,就能轻松完成SCW组件的安装。
/ h& P w9 c. [" w4 w7 e. `2 J提示:完成该组件的安装后,运行SCW也很简单,主要有两种方法。进入“控制面板”中的“
管理工具”窗口,运行“安全配置向导”即可;点击“开始→运行”,在运行对话框中运行“SCW.exe”命令。
& q' o' U: m3 x3 s8 w
“万事俱备,只欠东风”,完成了“安全配置向导”组件的安装后。大家可利用SCW安全配置向导,一步步的对Windows2003服务器的角色服务、网络安全、注册表、审核策略,以及IIS服务器进行配置,实现增强服务器安全的目的。
" X2 b* N0 F' x
[color=#FFFFFF']
) |' R8 I, B$ V8 u! N! ^7 b3 b* V; x, l
运行SCW后,弹出“欢迎使用安全配置向导”对话框,点击“下一步”按钮,进入“配置操作”对话框。
* v5 Z. C2 n- d( {: q" c' r7 r; ?由于是第一次运行SCW功能,因此在“配置操作”对话框中要选择“创建新的安全策略”。
8 B6 I/ y) G& N- c& ^# n
/ b( z7 \' w( R7 R7 X2 i ~' Z6 N. H' O4 e
& B. l2 c- M0 Y& s1 \
/ }. q/ L7 [6 [
$ E- Z% H3 w3 y( w$ @# j
) ~; E! a$ z6 J: b- d {! a
/ {; d5 P z0 z/ f" ]* N1.选择服务器
; E/ h) B, x5 m& ^5 p$ Y! H* {
[color=#FFFFFF']
* I- H/ G8 W7 S& i
+ f: J7 R @. j! z m0 p. P0 G俗话说“有的放矢”,在进行安全配置之前,首先要选择目标,也就是选择将要进行安全配置的Windows2003服务器。
9 B( Y5 Z% t1 f; ]6 v! k. m
点击“下一步”按钮后,进入“选择服务器”对话框。在这里选择要进行安全配置的Windows2003服务器(可以是本地服务器,也可是网络中的其他服务器)。在“服务器”栏中输入要进行安全配置的Windows2003服务器的
机器名或IP地址。接着点击“下一步”按钮,SCW就开始处理安全配置
数据库。完成后,进入“基于角色的服务配置”对话框,才真正开始SCW向导化的安全配置之旅。
5 { J* n6 \/ f: i6 F1 i
2.我的“角色”,我做主
3 J9 `/ N/ X5 i/ W7 c u3 t
Windows2003服务器提供了数量众多的服务器角色,如文件服务器、DHCP服务器等,但并不是所有的角色都是需要的。使用不慎,反而会增加服务器的安全隐患。利用SCW的“选择服务器角色”向导就能轻松完成角色的选择。
. K0 h# l; J: E7 P) n
[color=#FFFFFF']
( B$ G5 ^4 c* M4 @
: X: A& ~, U, F0 }7 z6 e在“基于角色的服务配置”向导中可以对Windows2003服务器角色、客户端功能、系统服务等内容进行配置。点击“下一步”按钮,进入“选择服务器角色”对话框(图1),在列表框中选择Windows2003服务器所执行的角色(如文件服务器、打印服务器等)。根据自己的需要,在角色列表框中勾选需要的服务器角色选项后,才能使用相应的Windows2003服务器功能并开放相应的服务端口。
5 @: k/ z" ~/ `4 g O8 J. H: h, p
当然,一个Windows2003服务器可以担当一个或多个服务器角色,它可以是Web服务器,也可以是文件服务器。
$ p0 e* }* M J, a点击“下一步”后,选择Windows2003服务器的“客户端功能”。设置Windows2003系统作为客户端所要扮演的角色(如
Microsoft网络客户端、
FTP客户端等),在列表框中勾选所需要的客户端功能即可。点击“下一步”后,进入“选择管理和其它选项”对话框,选择所需要的Windows2003服务。
9 f" x6 P- s* b* v# X, F8 c
下面还要配置Windows2003系统的额外服务,配置完成后进入“处理未指定的服务”对话框。“未指定的服务”是指没有在安全配置数据库中列出的服务(如杀毒
软件提供的服务)。建议大家选中“不更改此服务的启用模式”选项,这样该服务会按照以前的状态运行。
/ u) z H$ `* w3 d0 ^# _* `
最后进入“确认服务更改”对话框,对以上所做的配置进行最终确认后,这样就完成了基于角色的服务配置。
( D! W ^% V- i/ J& V/ @4 w- h3.开放端口,要注意网络安全
4 ?) z3 w* s) @) U% h/ Q% E完成基于角色的服务配置后,各种服务器要在网络中为用户提供服务,就必须开放相应的服务端口。默认情况下,Windows
防火墙是不允许这些服务端口
通信的。因此,我们可以在SCW向导中开放通信端口。
) k+ u& f6 G0 G' `2 U
进入“网络安全”对话框,在此可配置已经选中的服务器角色和其他Windows2003服务所使用的端口。点击“下一步”按钮后,在“打开端口并允许应用
程序”对话框中开放需要的端口(图2)。如FTP服务器需要的“20和21”端口,IIS服务需要的“80”端口等。只要在列表框中选择要开放的端口选项即可,最后确认端口配置。
- j3 r, k9 k) j, `+ p3 Q[color=#FFFFFF']
) C2 ]& t; X6 H. M8 h0 x9 o
+ p B+ \8 T: c' T0 K
8 Q4 H D, G3 O; H- s- G: Y/ m
' _, O7 g$ A0 y8 o2 U" m) b. }! V" Z3 V4 q0 i2 o
0 d9 p8 k$ J, ]4 r e1 W# ~
* r0 P+ n/ m, ~" X; R& m
: c7 a$ m% x. X- X: w" K1 r9 r4.修改注册表,增强服务器安全
0 z& I7 e4 O7 n' Q/ e8 j1 u2 {
! s: S0 w& o3 b4 c9 Z
很多网管利用修改注册表和组策略的方法增强服务器安全,但这种方法存在很大的风险性,错误修改了某个键值或安全策略,会导致服务器出现问题。利用SCW的注册表设置向导进行修改,既省事,又安全。
. `3 \( q+ \2 a完成以上网络安全设置后,就进入到注册表设置向导对话框,利用设置向导来修改某些特殊的注册表键值,增强服务器安全。根据注册表设置向导的提示,分别完成对“出站身份验证方法”、“入站身份验证方法”等项目的设置即可。
8 E* e. a$ _; A1 [" s( h
5.配置审核策略,用好日志
r/ n* i$ F* `0 W3 a
Windows2003服务器的日志就像一个“
黑匣子”,可以记录系统中发生的一切,为服务器的稳定运行提供帮助。但记录太多的事件会浪费服务器资源,因此网管可以合理地选择审核目标,记录一些重要事件。
# g) ]$ k$ g( C$ k
SCW提供了系统审核策略配置功能,免去了手工指定审核目标的麻烦。
0 ?: ?1 J" R8 E$ u: n1 H进入“系统审核策略”配置对话框后,合理选择审核目标即可。建议大家选择“审核成功的操作”选项,这样一来,日志只记录成功的事件操作,而其他则会被忽略,节省了服务器资源。
. P" n* K2 i& F, H: G3 h f当然,如果有特殊需要,也可以选择其他选项。如“不审核”或“审核成功或不成功的操作”选项。
5 O+ \$ X' O1 V7 |5 R _: A6.IIS安全,要慎重
! Y1 T6 Q! @7 P/ wIIS服务器的脆弱性大家都知道,这次
微软对IIS非常重视,在SCW中提供了“Internet
信息服务”配置功能。
/ {; H- S" u3 Y; V& W
如果你的系统中已安装、运行了IIS服务器,完成了系统审核策略配置后,SCW就会对IIS服务进行安全配置,保证它能稳定运行。
Q/ z" C0 t: O& U4 \+ S
进入“Internet信息服务”配置向导对话框后,按照提示和服务器的需要,分别设置IIS要启用的Web服务扩展、要保留的虚拟目录,以及设置匿名用户是否有写权限。以上设置过程比较简单,根据实际需要,启用所要的IIS项目即可。
3 \0 z" K# M1 u8 K E# i( X
[color=#FFFFFF']
4 ]' a( ^+ C; t( ~5 y) o* u
8 H: a% u) I4 B. } m; f" i5 V5 \) g完成以上配置后,还要保存配置的安全策略。在“安全策略文件名”对话框中,为配置的安全策略取名,最后在“应用安全策略”对话框中选择“现在应用”选项,使配置的安全策略生效。
8 w7 I2 T7 O& y9 y- \& o E) t: x[color=#FFFFFF']
Q% k) M- @8 \7 [0 G) A1 }: X- j. t; Z+ R
现在,经过上述设置之后,Windows2003服务器会变得更加安全、可靠,能够最大限度地抵御
病毒和
黑客的攻击。同时,使用SCW功能对Windows2003系统进行安全方面的配置,非常简单,易于上手,极大地降低了网管的安全维护工作量。如果SP1补丁包已在你的Windows2003系统中安家落户,不妨立刻试试SCW的
神奇功效。
