我們通常把服務(wù)器只當(dāng)作服務(wù)器看待——不需要類(lèi)似傳統(tǒng)工作站的安全控制的野蠻盒子。我經(jīng)常在安全評(píng)估里看到這些。事實(shí)上，Windows服務(wù)器是需要終端控制來(lái)確保安全的。這里是幾個(gè)關(guān)于Windows服務(wù)器終端安全的常見(jiàn)問(wèn)題解答。

我不能承受我的Windows服務(wù)器由于補(bǔ)丁和殺毒軟件而掉線(xiàn)或者崩潰。鎖定服務(wù)器這一論點(diǎn)的基礎(chǔ)是什么，比如它們就是工作站？

事實(shí)上，大多數(shù)服務(wù)器都是工作站，供網(wǎng)絡(luò)管理員進(jìn)行操作，如瀏覽網(wǎng)頁(yè)、傳輸文件和郵件等等。在目前情況下，服務(wù)器就像是一座房子，存儲(chǔ)業(yè)務(wù)的大部分信息資產(chǎn)。由于惡意軟件而開(kāi)發(fā)缺失的補(bǔ)丁，或由于Metasploit以及類(lèi)似的工具進(jìn)行定向滲透，這些是很偉大的工程。同工作站相比，如果不是更棒，那就是同樣棒。目前存在的問(wèn)題是，我遇到的任何給定的無(wú)補(bǔ)丁的Windows系統(tǒng)，幾乎總是服務(wù)器而不是工作站。

服務(wù)器需要什么樣的惡意軟件防護(hù)？

我認(rèn)為控件需要像工作站的一樣牢固。對(duì)新手來(lái)說(shuō)，一個(gè)可靠的反病毒程序是很好的選擇。使用一些互補(bǔ)的控件來(lái)預(yù)防間諜軟件會(huì)比較好。確保能夠針對(duì)數(shù)據(jù)庫(kù)和類(lèi)似的應(yīng)用程序進(jìn)行實(shí)時(shí)的掃描微調(diào)，把性能影響最小化。也要留意先進(jìn)的惡意軟件的控制，如Damballa和FireEye產(chǎn)品。這些技術(shù)可能非常有利——尤其是如果你知道或懷疑入侵者進(jìn)入“房子”。白名單技術(shù)也正在受到我的喜愛(ài)。白名單對(duì)服務(wù)器有益的（更簡(jiǎn)單的），在服務(wù)器上你可能會(huì)運(yùn)行比較少的應(yīng)用程序并且配置更加標(biāo)準(zhǔn)化。

服務(wù)器上需要使用磁盤(pán)加密技術(shù)嗎？

如果有物理服務(wù)器的風(fēng)險(xiǎn)，那么答案是肯定的。我遭遇過(guò)許多Windows服務(wù)器被盜竊和濫用的情況。無(wú)論是BitLocker或第三方選項(xiàng)，全盤(pán)加密技術(shù)是堅(jiān)強(qiáng)的最后防線(xiàn)。你可以在應(yīng)用程序、數(shù)據(jù)庫(kù)和操作系統(tǒng)級(jí)別擁有世界上的所有控件，但是一個(gè)物理入侵就會(huì)結(jié)束一切，這將出現(xiàn)在數(shù)據(jù)泄漏事件列表上并登上各大媒體頭版頭條。

推薦的服務(wù)器硬化的最佳實(shí)踐是什么？

你的內(nèi)部審計(jì)員和調(diào)整員也許已經(jīng)跟你講清楚了安全性要求。如果沒(méi)有，你必須后退一步，確定你想要保護(hù)的是什么，然后確定如何實(shí)施。NIST對(duì)初學(xué)者來(lái)說(shuō)是很好的資源。我喜歡Microsoft的推薦，尤其是他們的Security Compliance Manager工具。硬化Windows服務(wù)器沒(méi)有萬(wàn)能解決方案。確定風(fēng)險(xiǎn)，利用可用的免費(fèi)資源創(chuàng)建適合自己獨(dú)特需求的最佳解決方案。例如，審計(jì)日志記錄可能只針對(duì)一個(gè)業(yè)務(wù)，但是也可以給另外一個(gè)增加最小限度的價(jià)值。類(lèi)似的情況如密碼策略、遠(yuǎn)程訪(fǎng)問(wèn)控制、加密的網(wǎng)絡(luò)通信會(huì)話(huà)這類(lèi)。因此，明白你的需求，選擇可以用在Windows操作系統(tǒng)和相關(guān)應(yīng)用程序的安全控件，并保持檢查。

當(dāng)然，Windows服務(wù)器本質(zhì)上更為靜態(tài)，但是它們有許多（如果不是更多）的Windows相關(guān)風(fēng)險(xiǎn)比如它們的同行工作站。每種情況都是不同的。只要確保找到缺陷和鎖定最重要的——在端點(diǎn)處。

【編輯推薦】

1. 高效管理Windows服務(wù)器三大法寶
2. 解決Windows服務(wù)器最大終端連接數(shù)問(wèn)題
3. Windows服務(wù)器補(bǔ)丁你傷不起！
4. Windows服務(wù)器管理經(jīng)驗(yàn)技巧
5. windows服務(wù)器安裝手冊(cè)