前言：對于很多運維來說服務器的系統(tǒng)安全是讓人十分揪心的事情。而Windows Server服務器在很多管理員看來又是噩夢，不僅漏洞百出，而且沒有很好的工具來進行維護。其實這是錯誤的，那么如何才能完善Windows Server服務器的安全性能呢？那么經常使用的安全機制在被攻擊時又有哪些表現呢？為此我們請到了資深微軟MVP張誠老師為我們解答這些問題。

 張　誠

人物簡介：張誠 微軟資深系統(tǒng)架構師，IT 基礎架構專家。三屆微軟全球最有價值專家（MVP），Windows Desktop Experience 方向，微軟 TechED 大會特約講師。他是微軟中文社區(qū) Windows 版版主，清華大學出版社特約作者，ITECN 博客（微軟官方指定推薦博客）核心作者。他熟悉微軟 Windows 操作系統(tǒng)和活動目錄，具有多年微軟服務器產品的項目和培訓經驗，現致力于傳播綠色 IT 概念。曾獲兩次獲得微軟 CPE 杰出貢獻獎、微軟大中華區(qū)“認證達人”稱號。著作有《Windows 7 安全指南》、《Windows 7 實用寶典》、《精通 Windows Powershell 腳本編程》等。

51CTO：如何完善Windows Server服務器的安全性能。

張誠：關于Windows服務器的安全話題，可以說是一個老生常談的話題。經常聽有人說在Windows平臺總會漏洞百出，安全性能不及Linux和Unix，其實這都是錯誤的說法。就好比前陣子挪威出現的槍擊事件，再安全的國度總會有意外情況發(fā)生，而Windows服務器之所以總是處于風口浪尖，和其市場占用率不無關系。縱然是樹大招風，但是只要籬笆扎得緊，野狗也就鉆不進來了。

關于任何服務器，包括客戶端，重中之重就是打系統(tǒng)補丁，系統(tǒng)補丁至于操作系統(tǒng)的重要性不言而喻。因此這里就涉及到了一個新的話題，微軟對于服務器操作系統(tǒng)的支持力度，比如微軟對于Windows Server 2008 R2的支持肯定要遠遠勝于Windows Server 2000，因此我們在企業(yè)中就要盡可能的去升級到最新的平臺，但是我這里說是盡可能，因為升級到新平臺是需要花上一定的代價。

其次就是對于服務器的配置，就拿活動目錄服務器來說，整個森林體系架構的設計，域的賬戶策略的定義，這些都需要事前通過大量的時間去設計，去做測試的，這個過程其實非常重要，但是現在的很多企業(yè)都很忽視這一點。我個人比較推崇的是微軟所提出的“深層防御體系”，一共有7個層面，只要以這7層來設計整個網絡體系，我覺得還是可以處于比較高的安全等級。

51CTO：在日常工作中Windows Server服務器最常遇到哪種形式的攻擊？每種攻擊的威脅都有哪些？

張誠：這個問題問得范圍很廣，因為Windows服務器只是一個基礎平臺，在上面跑得服務器程序才是重點，但這里的難點是，Windows服務器和上面跑得服務器程序又是一個相輔相成的關系。比如在Windows Server 2003上運行SQL Server 2000，如果SQL Server 2000上的SA啟用了弱口令，被一些破解工具掃出，而這臺SQL Server 2000又啟用了XP_CMDSHELL這個存儲過程（在2000上默認是啟用的），那作為攻擊者就很容易的通過運行"net user"這個命令來添加管理員帳號，而一旦Window Server上的遠程桌面服務器被打開，那么攻擊者就可以輕而易舉的攻破服務器防線。因此做好服務器的防護和設置只是一部分內容，更多的要以更加宏觀的角度來看待安全問題。

就目前比較多的服務器攻擊而言，在企業(yè)內部要注意的是蠕蟲病毒，我個人所在的企業(yè)就遇到過這個問題。當時企業(yè)網絡中有受感染的客戶端連入，而企業(yè)中的很多客戶端計算機又沒有及時更新補丁，因此這個時候蠕蟲的沖擊速度是非?？斓?，不停的嘗試破解AD的管理帳號。最后只能借助于專殺工具，才把問題給解決了。

另外，現在比較流行的虛擬化，也要注意安全保護。因為虛擬化就好比把雞蛋放在一個籃子，因此這個籃子如果被攻破了，那么其帶來的影響可能是毀滅性的。

51CTO：Windows Server自帶的高級防火墻在應對攻擊的時候表現如何？在應對攻擊的時候優(yōu)點和缺點都有哪些？

從Windows Server 2008開始，Windows里面就附帶了高級防火墻（WFAS）的功能，具體打開的命令是wf.msc（而是用firewall.cpl可以打開基本防火墻）。這個防火墻最大的特點就是支持出戰(zhàn)數據監(jiān)測和IPSEC集成,將Windows防火墻功能和Internet 協(xié)議安全(IPSec)集成到一個控制臺中。使用這些高級選項可以按照環(huán)境所需的方式配置密鑰交換、數據保護(完整性和加密)以及身份驗證設置。可以針對Windows Server上的各種對象創(chuàng)建防火墻規(guī)則，配置防火墻規(guī)則以確定阻止還是允許流量通過具有高級安全性的Windows防火墻。傳入數據包到達計算機時，具有高級安全性的Windows防火墻檢查該數據包，并確定它是否符合防火墻規(guī)則中指定的標準。如果數據包與規(guī)則中的標準匹配，則具有高級安全性的Windows防火墻執(zhí)行規(guī)則中指定的操作，即阻止連接或允許連接。如果數據包與規(guī)則中的標 準不匹配，則具有高級安全性的Windows防火墻丟棄該數據包，并在防火墻日志文件中創(chuàng)建條目(如果啟用了日志記錄)。

如果說有弱點的話，我覺得還不足夠的智能，還不足以去感應服務器上的角色，從而自動變化配置?？赡芪业囊笥悬c高吧。

51CTO：作為運維人員來說每一個企業(yè)都會有不同的生產環(huán)境，打造一套合適的生產環(huán)境需要運維人員注意那些？

張誠：還是說一下我剛剛提及的“深層防御體系”，從上到下分別是數據層、應用程序、主機、內部網絡、邊緣、物理安全和最下面的策略制定。在數據層面，我們可能需要用到ACL、EFS來加密我們的數據。在應用程序層，要用防病毒軟件和我剛剛體積的合理化的配置來解決安全性的問題。在主機層，要定期更新系統(tǒng)補丁，使用AD完成身份驗證的工作。在內部網絡層，我們要使用網絡分段、IPSec以及NIDS技術來加固。在邊緣層，自然就是通過防火墻、VPN隔離來把籬笆扎得更緊。而物理安全是我們經常忽略的一個問題，這里面牽涉到機房人員的進出，服務器的硬件狀態(tài)等，這里我建議大家可以去參考機房的一些建設模型。而最后我想強調的就是公司的策略制定，因為一切的一切都是以人為本，人的教育意識問題永遠放在第一位，秦始皇治理天下的首要目的就是車同軌，書同文，一旦用戶的意識有了一致，那么這個地基就算打牢固了。

51CTO：最后您有沒有對Windows運維人員分享一些工作中的技巧或者經驗呢？

張誠：可以多去看一些優(yōu)秀的技術博客和書籍，然后適當的去接觸一些新技術。對于自己比較感興趣的，用虛擬機，搭建一個虛機環(huán)境，做好快照，然后一步一步的去配置，并把心得體會，可以通過博客或者論壇的途徑來分析給更多的技術同行，廣交良友。