微軟發(fā)布Windows Server 2003中文補(bǔ)丁包SP1。它除了對(duì)系統(tǒng)中存在的漏洞進(jìn)行修補(bǔ)外,還新增了一些實(shí)用功能,特別是安全配置向?qū)В⊿ecurity Configuration Wizard,簡(jiǎn)稱SCW)功能,它成為Windows 2003 SP1新增功能中的亮點(diǎn)。
在Windows 2003 SP1系統(tǒng)中,安全配置向?qū)В⊿CW)是一個(gè)新增的安全配置功能,它可以最大程度地縮小服務(wù)器的受攻擊面。
利用SCW所提供的功能,網(wǎng)管能非常輕松地完成服務(wù)器角色的指定,禁用不需要的服務(wù)和端口,配置服務(wù)器的網(wǎng)絡(luò)安全,配置審核策略、注冊(cè)表和IIS服務(wù)器等工作,對(duì)鞏固服務(wù)器的安全有極大的幫助。同時(shí),由于整個(gè)配置過(guò)程都是在向?qū)?duì)話框中完成的,無(wú)需繁瑣的手工設(shè)置,網(wǎng)管的工作負(fù)擔(dān)會(huì)得到減輕。
現(xiàn)在,不妨讓我們?cè)谶@位安全“向?qū)А钡闹敢,去鞏固我們的服?wù)器安全防護(hù)體系。
默認(rèn)情況下,即使你的Windows 2003系統(tǒng)已安裝了SP1補(bǔ)丁包,但這時(shí)還是無(wú)法使用SCW功能的。這是因?yàn)樵摻M件沒有被安裝,用戶需要通過(guò)“添加/刪除Windows組件”功能手工安裝SCW。
首先保證Windows 2003系統(tǒng)已經(jīng)安裝了SP1補(bǔ)丁包,接著進(jìn)入“添加/刪除Windows組件”頁(yè)面。在“Windows組件向?qū)А睂?duì)話框中選中“安全配置向?qū)А边x項(xiàng),點(diǎn)擊“下一步”按鈕后,就能輕松完成SCW組件的安裝。
提示:完成該組件的安裝后,運(yùn)行SCW也很簡(jiǎn)單,主要有兩種方法。進(jìn)入“控制面板”中的“管理工具”窗口,運(yùn)行“安全配置向?qū)А奔纯桑稽c(diǎn)擊“開始→運(yùn)行”,在運(yùn)行對(duì)話框中運(yùn)行“SCW.exe”命令。
“萬(wàn)事俱備,只欠東風(fēng)”,完成了“安全配置向?qū)А苯M件的安裝后。大家可利用SCW安全配置向?qū),一步步的?duì)Windows 2003服務(wù)器的角色服務(wù)、網(wǎng)絡(luò)安全、注冊(cè)表、審核策略,以及IIS服務(wù)器進(jìn)行配置,實(shí)現(xiàn)增強(qiáng)服務(wù)器安全的目的。
運(yùn)行SCW后,彈出“歡迎使用安全配置向?qū)А睂?duì)話框,點(diǎn)擊“下一步”按鈕,進(jìn)入“配置操作”對(duì)話框。
由于是第一次運(yùn)行SCW功能,因此在“配置操作”對(duì)話框中要選擇“創(chuàng)建新的安全策略”。
1.選擇服務(wù)器
俗話說(shuō)“有的放矢”,在進(jìn)行安全配置之前,首先要選擇目標(biāo),也就是選擇將要進(jìn)行安全配置的Windows 2003服務(wù)器。
點(diǎn)擊“下一步”按鈕后,進(jìn)入“選擇服務(wù)器”對(duì)話框。在這里選擇要進(jìn)行安全配置的Windows 2003服務(wù)器(可以是本地服務(wù)器,也可是網(wǎng)絡(luò)中的其他服務(wù)器)。在“服務(wù)器”欄中輸入要進(jìn)行安全配置的Windows 2003服務(wù)器的機(jī)器名或IP地址。接著點(diǎn)擊“下一步”按鈕,SCW就開始處理安全配置數(shù)據(jù)庫(kù)。完成后,進(jìn)入“基于角色的服務(wù)配置”對(duì)話框,才真正開始SCW向?qū)Щ陌踩渲弥谩?/P>
2.我的“角色”,我做主
Windows 2003服務(wù)器提供了數(shù)量眾多的服務(wù)器角色,如文件服務(wù)器、DHCP服務(wù)器等,但并不是所有的角色都是需要的。使用不慎,反而會(huì)增加服務(wù)器的安全隱患。利用SCW的“選擇服務(wù)器角色”向?qū)Ь湍茌p松完成角色的選擇。
在“基于角色的服務(wù)配置”向?qū)е锌梢詫?duì)Windows 2003服務(wù)器角色、客戶端功能、系統(tǒng)服務(wù)等內(nèi)容進(jìn)行配置。點(diǎn)擊“下一步”按鈕,進(jìn)入“選擇服務(wù)器角色”對(duì)話框(圖1),在列表框中選擇Windows 2003服務(wù)器所執(zhí)行的角色(如文件服務(wù)器、打印服務(wù)器等)。根據(jù)自己的需要,在角色列表框中勾選需要的服務(wù)器角色選項(xiàng)后,才能使用相應(yīng)的Windows 2003服務(wù)器功能并開放相應(yīng)的服務(wù)端口。
當(dāng)然,一個(gè)Windows 2003服務(wù)器可以擔(dān)當(dāng)一個(gè)或多個(gè)服務(wù)器角色,它可以是Web服務(wù)器,也可以是文件服務(wù)器。
點(diǎn)擊“下一步”后,選擇Windows 2003服務(wù)器的“客戶端功能”。設(shè)置Windows 2003系統(tǒng)作為客戶端所要扮演的角色(如Microsoft網(wǎng)絡(luò)客戶端、FTP客戶端等),在列表框中勾選所需要的客戶端功能即可。點(diǎn)擊 “下一步”后,進(jìn)入“選擇管理和其它選項(xiàng)”對(duì)話框,選擇所需要的Windows 2003服務(wù)。
下面還要配置Windows 2003系統(tǒng)的額外服務(wù),配置完成后進(jìn)入“處理未指定的服務(wù)”對(duì)話框!拔粗付ǖ姆⻊(wù)”是指沒有在安全配置數(shù)據(jù)庫(kù)中列出的服務(wù)(如殺毒軟件提供的服務(wù))。建議大家選中“不更改此服務(wù)的啟用模式”選項(xiàng),這樣該服務(wù)會(huì)按照以前的狀態(tài)運(yùn)行。
最后進(jìn)入“確認(rèn)服務(wù)更改”對(duì)話框,對(duì)以上所做的配置進(jìn)行最終確認(rèn)后,這樣就完成了基于角色的服務(wù)配置。
3.開放端口,要注意網(wǎng)絡(luò)安全
完成基于角色的服務(wù)配置后,各種服務(wù)器要在網(wǎng)絡(luò)中為用戶提供服務(wù),就必須開放相應(yīng)的服務(wù)端口。默認(rèn)情況下,Windows防火墻是不允許這些服務(wù)端口通信的。因此,我們可以在SCW向?qū)е虚_放通信端口。
進(jìn)入“網(wǎng)絡(luò)安全”對(duì)話框,在此可配置已經(jīng)選中的服務(wù)器角色和其他Windows 2003服務(wù)所使用的端口。點(diǎn)擊“下一步”按鈕后,在“打開端口并允許應(yīng)用程序”對(duì)話框中開放需要的端口(圖2)。如FTP服務(wù)器需要的“20和21”端口,IIS服務(wù)需要的“80”端口等。只要在列表框中選擇要開放的端口選項(xiàng)即可,最后確認(rèn)端口配置。
很多網(wǎng)管利用修改注冊(cè)表和組策略的方法增強(qiáng)服務(wù)器安全,但這種方法存在很大的風(fēng)險(xiǎn)性,錯(cuò)誤修改了某個(gè)鍵值或安全策略,會(huì)導(dǎo)致服務(wù)器出現(xiàn)問題。利用SCW的注冊(cè)表設(shè)置向?qū)нM(jìn)行修改,既省事,又安全。
完成以上網(wǎng)絡(luò)安全設(shè)置后,就進(jìn)入到注冊(cè)表設(shè)置向?qū)?duì)話框,利用設(shè)置向?qū)?lái)修改某些特殊的注冊(cè)表鍵值,增強(qiáng)服務(wù)器安全。根據(jù)注冊(cè)表設(shè)置向?qū)У奶崾,分別完成對(duì)“出站身份驗(yàn)證方法”、“入站身份驗(yàn)證方法”等項(xiàng)目的設(shè)置即可。
5.配置審核策略,用好日志
Windows 2003服務(wù)器的日志就像一個(gè)“黑匣子”,可以記錄系統(tǒng)中發(fā)生的一切,為服務(wù)器的穩(wěn)定運(yùn)行提供幫助。但記錄太多的事件會(huì)浪費(fèi)服務(wù)器資源,因此網(wǎng)管可以合理地選擇審核目標(biāo),記錄一些重要事件。
SCW提供了系統(tǒng)審核策略配置功能,免去了手工指定審核目標(biāo)的麻煩。
進(jìn)入“系統(tǒng)審核策略”配置對(duì)話框后,合理選擇審核目標(biāo)即可。建議大家選擇“審核成功的操作”選項(xiàng),這樣一來(lái),日志只記錄成功的事件操作,而其他則會(huì)被忽略,節(jié)省了服務(wù)器資源。
當(dāng)然,如果有特殊需要,也可以選擇其他選項(xiàng)。如“不審核”或“審核成功或不成功的操作”選項(xiàng)。
6.IIS安全,要慎重
IIS服務(wù)器的脆弱性大家都知道,這次微軟對(duì)IIS非常重視,在SCW中提供了“Internet信息服務(wù)”配置功能。
如果你的系統(tǒng)中已安裝、運(yùn)行了IIS服務(wù)器,完成了系統(tǒng)審核策略配置后,SCW就會(huì)對(duì)IIS服務(wù)進(jìn)行安全配置,保證它能穩(wěn)定運(yùn)行。
進(jìn)入“Internet信息服務(wù)”配置向?qū)?duì)話框后,按照提示和服務(wù)器的需要,分別設(shè)置IIS要啟用的Web服務(wù)擴(kuò)展、要保留的虛擬目錄,以及設(shè)置匿名用戶是否有寫權(quán)限。以上設(shè)置過(guò)程比較簡(jiǎn)單,根據(jù)實(shí)際需要,啟用所要的IIS項(xiàng)目即可。
完成以上配置后,還要保存配置的安全策略。在“安全策略文件名”對(duì)話框中,為配置的安全策略取名,最后在“應(yīng)用安全策略”對(duì)話框中選擇“現(xiàn)在應(yīng)用”選項(xiàng),使配置的安全策略生效。
現(xiàn)在,經(jīng)過(guò)上述設(shè)置之后,Windows 2003服務(wù)器會(huì)變得更加安全、可靠,能夠最大限度地抵御病毒和黑客的攻擊。同時(shí),使用SCW功能對(duì)Windows 2003系統(tǒng)進(jìn)行安全方面的配置,非常簡(jiǎn)單,易于上手,極大地降低了網(wǎng)管的安全維護(hù)工作量。如果SP1補(bǔ)丁包已在你的Windows 2003系統(tǒng)中安家落戶,不妨立刻試試SCW的神奇功效。