出于安全性以及新的應用需求，現在越來越多的企業(yè)開始部署基于Windows Server 2008平臺的服務器，甚至有些個人用戶也在使用該系統。就筆者了解，面對一個相對陌生的Server系統，管理員們最關心的是實現系統平臺的平滑過度以及如何進行安全部署。下面筆者結合自己的經驗，從六個方面談談Windows Server 2008的安全部署。

1、安全部署從安裝開始

要創(chuàng)建一個強大并且安全的服務器，必須從一開始安裝的時候就注重每一個細節(jié)的安全性，當然Windows Server 2008的部署也不例外。新的服務器應該安裝在一個孤立的網絡中，杜絕一切可能造成攻擊的渠道，直到操作系統的防御工作完成為止。在開始安裝的最初的一些步驟中，我們將會被要求在FAT(文件分配表)和NTFS(新技術文件系統)之間做出選擇。這時，大家務必為所有的磁盤驅動器選擇NTFS格式。FAT是為早期的操作系統沒計的比較原始的文件系統。NTFS是隨著NT的出現而出現的，它能夠提供了FAT不具備的安全功能，包括存取控制清單(Access Control Lists、ACL)和文件系統日志(File SystemJoumaling)，文件系統日志記錄對于文件系統的任何改變。接下來，我們需要安裝最新的Service Pack(SP2)和任何可用的熱門補丁程序。雖然Service Pack中的許多補丁程序相當老了，但是它們能夠修復若干已知的能夠造成威脅的漏洞，比如拒絕服務攻擊、遠程代碼執(zhí)行和跨站點腳本。

2、通過SCW配置安全策略

安裝完系統之后，我們就可以坐下來做一些更細致的安全工作。提高Windows Server 2008免疫力最簡單的方式就是利用服務器配置向導(Server Configuration Wizard即SCW)進行安全部署。它可以指導我們根據網絡上服務器的角色創(chuàng)建一個安全的策略。

(1).SCW的安裝

需要說明的是，SCW與配置服務向導(Configure Your Server wizafd)是不同的。SCW不安裝服務器組件，但監(jiān)測端口和服務，并配置注冊和審計設置。SCW并不是默認安裝的，所以我們必須通過“控制面板”的“添加/刪除程序”窗口來添加它。選擇“添加/刪除Windows組件”按鈕并選擇“安全配置向導”，安裝過程就自動開始了。一旦安裝完畢，SCW就可以從“管理工具”中訪問。

(2).用SCW配置安全策略

通過SCW創(chuàng)建的安全策略是XML文件格式的，可用于配置服務、網絡安全、特定的注冊表值、審計策略，甚至如果可能的話，還能配置IIS。通過配置界面，可以創(chuàng)建新的安全策略，或者編輯現有策略，并將它們應用于網絡上的其它服務器上。如果某個操作創(chuàng)建的策略造成了沖突或不穩(wěn)定，那么我們可以回滾該操作。

可以說，SCW涵蓋了Windows Server 2008安全性的所有基本要素。運行該向導，首先出現的是安全配置數據庫(security Configuration Database)，其中包含所有的角色、客戶端功能、管理選項、服務和端f1等等信息。SCW還包含廣泛的應用知識知識庫。這意味著當一個選定的服務器角色需要某個應用時客戶端功能比如自動更新或管理應用比如備份Windows防火墻就會自動打開所需要的端口。當應用程序關閉時，該端口就會自動被阻塞。網絡安全設置、注冊表協議以及服務器消息塊(ServerMessage Block、SMB)簽名安全增加了關鍵服務器功能的安令性。對外身份驗證(Outbound Authentication)設置決定了連接外部資源時所需要的驗證級別。

SCW的最后一步與審計策略有關。默認情況下，WindowsServer 2008只審計成功的活動，但是對于一個加強版的系統來說，成功和失敗的活動都應該被審計并記入日志。一旦向導執(zhí)行

完成后，所創(chuàng)建的安傘策略就保存在一個XML中，并且立刻就能被服務器所使用，或者供日后使用，甚至還能被其它服務器使用。在服務器安裝過程中沒有進行第一步強化過程的服務器也能

#p#

安裝SCW。
3、數據存取權限的控制

(1).設置服務器的開機順序

可以說，從我們按下服務器的電源按鈕那一刻開始，直到操作啟動并且所有服務都活躍之前，威脅系統的惡意行為依然有機會破壞系統。除了操作系統以外，一臺健康的服務器開始啟動時應該具備密碼保護的BIOS/固件。此外，就BIOS而言，服務器的開機順序應當被正確設定，以防從未經授權的其它介質啟動。

在啟動后，進入BIOS設置頁面。我們可以使用組合鍵在BIOS的各個設置標簽上來回移動。在啟動順序(Boot Order)標簽頁上，設置服務器啟動首選項為內部硬盤(Internal HDD)。在系統安全(Boot Order)標簽頁上，硬盤密碼有三種選項可供選擇：Primary、Administratortive和Hard。

(2).管理好自動運行

自動運行外部介質的功能包括光碟、DVD和USB驅動器，應該被禁用。在注冊表，進入路徑HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl\Set\Services\Cdrom(或其他設備名稱)下，將Automn的值設置為0。自動運行功能有可能自動啟動便攜式介質攜帶的惡意應用程序。這是安裝特洛伊木馬(Trojan)、后門程序(Backdoor)、鍵盤記錄程序(KeyLogger)、竊聽器(Listener)等惡意軟件的一種簡單的方法。

(3).選擇用戶登錄方式

下一道防線是有關用戶如何登錄到系統。雖然身份驗證的替代技術。比如生物特征識別、令牌、智能卡和一次性密碼，都是可以用于Windows Server 2008用來保護系統，但是很多系統管理員，無論是本地的還是遠程的，都使用用戶名和密碼的組合作為登陸服務器的驗證碼。不過很多時候，他們都是使用缺省密碼。這顯然是自找麻煩。

上面這些注意點都是很顯然的。但是，如果我們非要使用密碼的話，那么最好采用一個強壯的密碼策略：密碼至少8個字符那么長。包括英文大寫字母、數字和非字母數字字符：此外，我們最好定期改變密碼并在特定的時期內不使用相同的密碼。一個強壯的密碼策略加上多重驗證(Multifactor Authentication)，這也僅僅只是一個開始。多虧了NTFS提供的ACL功能，使得一個服務器的各個方面，每個用戶都可以被指派不同級別的訪問權限。文件訪問控制打印共享權限的設置應當基于組(Group)而不是“每個人(Everyone)”。這在服務器上是可以做到的，或者通過Active Directory。確保只有一個經過合法身份驗證的用戶能訪問和編輯注冊表，這也很重要。這樣做的目的是限制訪問這些關鍵服務和應用的用戶人數。

4、基于賬戶、端口、服務等限制
 

(1).賬戶安全控制

在安裝過程中，三個本地用戶帳戶被自動創(chuàng)建管理員(Administrator)、來賓(Guest)、遠程協助賬戶(Help—Assistant，隨著遠程協助會話一起安裝的)。管理員帳戶擁有訪問系統的最高權限。它能指定用戶權限和訪問控制。雖然這個主帳戶不能被刪除，但是我們應該禁用或給它重新命名，以防被輕易就被黑客盜用而侵入系統。正確的做法是，我們應該為某個用戶或一個組對象指派管理員權限。這就使得黑客更難判斷究竟哪個用戶擁有管理員權限。這對于審計過程也是至關蓖要的。想象一下，如果一個部門的每一個人都可以使用同一個管理員賬戶和密碼登錄并訪問服務器，這是一個多么重大的安全隱患啊。因此，筆者建議最好不要使用管理員帳戶。同樣地，來賓賬戶和遠程協助賬戶為那些攻擊Windows Server 2008的黑客提供了一個更為簡單的目標。進入”控制面板”→”管理工具”→”計算機管理”，右鍵單擊我們想要改變的用戶帳戶，選擇”屬性”，這樣我們就可以禁用這些賬戶。務必確保這些賬戶在網絡和本地都是禁用的。

(2).關閉危險的端口

開放的端口是最大的潛在威脅，Windows Server 2008有65535個可用的端口，而我們

#p#

的服務器并不需要所有這些端口。SPl中包含的防火墻允許管理員禁用不必要的TCP和UDP端口。所有的端口被劃分為三個不同的范圍：眾所周知的端口(0～1023)、注冊端口(1024～49151)、動態(tài)，私有端口(49152～65535)。眾所周知的端口都被操作系統功能所占用;而注冊端u則被某些服務或應用占用。動態(tài)/私有端門則是沒有任何約束的。

如果能獲得一個端口和所關聯的服務和應用的映射清單，那么管理員就可以決定哪些端口是核心系統功能所需要的。舉例來說，為了阻止任何Telnet或FTP傳輸路徑，我們就可以禁用與這兩個應用相關的通訊端口。同樣地，知名軟件和惡意軟件使用那些端口都是大家所熟知的，這些端口可以被禁用以創(chuàng)造一個更加安全的服務器環(huán)境。最好的做法是關閉所有未用的端口。要找到服務器上的那些端口是開啟狀態(tài)、監(jiān)聽狀態(tài)還是禁用狀態(tài)，使用Nmap工具是一個比較簡單高效的方式，默認情況下，SCW關閉所有的端口，當設定安裝策略的時候再打開它們。

(3).管理好各種服務

增強服務器免疫力最有效的方法是不安裝任何與業(yè)務不相關的應用程序，并且關閉不需要的服務。雖然在服務器上安裝一個電子郵件客戶端或管理工具可能會使管理員更方便，但是，

如果不直接涉及到服務器的功能，那么我們最好不要安裝它們。在Windows Server2008上，有100多個服務可以被禁用。舉例來說，最基礎的安裝包含DHCP服務。不過，如果我們不打算利用該系統作為一個DHCP服務器，禁用tcpsvcs.exe將阻止該服務的初始化和運行。希望大家記住，并非所有的服務都是可以禁用的。舉例來說，雖然遠端過程調用(Remote Procedure Call、RPC)服務可以被Blaster蠕蟲所利用，進行系統攻擊。不過它卻不能被禁用，因為RPC允許其它系統過程在內部或在整個網絡進行通訊。為了關閉不必要的服務，我們可以通過“控制面板”的“管理工具”打開“服務”管理工具進行管理。雙擊對于的服務，打開“屬性”對話框，在“啟動類型框”中選擇“禁用”即可。

5、創(chuàng)建健壯的審計和日志策略
 

阻止服務器執(zhí)行有害的或者無意識的操作，是強化服務器的首要的目標。為了確保所執(zhí)行的操作是都是正確的并且合法的。那么就得創(chuàng)建全面的事件日志和健壯的審計策略。通過一致性的約束，強大的審計策略應該是健壯的Windows Server 2008服務器的一個重要組成部分。成功和失敗的帳戶登錄和管理嘗試，連同特權使用和策略變化應該被審核的記錄。

在Windows Server2008中。創(chuàng)建的日志類型有：應用日志、安全日志、目錄服務日志、文件復制服務(File Replication Service)日志和DNS服務器日志。這些日志都可以通過事件查看器(Event Viewer)臨測。同時事件查看器還提供廣泛的有關硬件、軟件和系統問題的信息。在每個日志條目里，事件查看器顯示五種類型的事件：錯誤、警告、信息、成功審計和失敗審計。

6、其他安全部署措施

(1).未雨綢繆，進行基線備份

在我們花費了大量時間和精力強化你的Windows Server 2008服務器時，大家所要做的最后一步是創(chuàng)建一個0/full級別的機器和系統狀態(tài)備份。一定要對系統定期進行基線備份，這樣當有安全事故發(fā)生時，我們就能根據基線備份對服務器進行恢復?？梢哉f，基線備份就是服務器的”還魂丹”。在對Windows Server 2008服務器的主要軟件和操作系統進行升級后，務必要對系統進行基線備份。

(2).密切關注用戶帳戶

為了確保服務器的安全性，還需要密切注意用戶帳戶的狀態(tài)。不過，管理帳戶是一個持續(xù)的過程。用戶帳戶應該被定期檢查，并且任何非活躍的、進行復制、共享的一般或測試賬戶都應該被刪除。

(3).確保及時打上最新的系統補丁

強化服務器補丁是一個持續(xù)的過程，并不會因為安裝了Windows Server 2008 SP2而結束。為了第一時間安裝服務期升級/補丁軟件，我們可以通過“系統菜單”中的“控制面板”啟用“自動更新功能”。在“自動更新”選項卡上，選擇“自動下載更新”。因為關鍵的更新通常要求服務器重新啟動，大家可以給服務器設定一個安裝這些軟件的計劃任務，從而盡可能小地影響服務器的正常運行。

總結：以上六個方面是筆者在Windows Server 2008學習以及實戰(zhàn)部署中總結的一些經驗，希望能夠幫助到你們。

【編輯推薦】

1. 微軟Windows Server 2008因安全再度延期
2. windows server 2008虛擬化技術一覽
3. 避免攻擊：Windows Server 2008安全指南