你的Windows Server 2012和Windows Server 2012 R2系統(tǒng)正在遭受攻擊的危險(xiǎn)。被認(rèn)為微軟最安全的服務(wù)器操作系統(tǒng)在大多數(shù)網(wǎng)絡(luò)中只是甕中之鱉。這是為什么呢?

還記得幾十年前當(dāng)微軟為了確保其Windows服務(wù)器操作系統(tǒng)安全時(shí)所做出的一系列糟糕的決定么?開始是LAN Manager，后來是Windows NT。緊隨Windows NT其后的是Windows 2000 Server的未加密的密碼存儲(chǔ)在SAM數(shù)據(jù)庫中，網(wǎng)絡(luò)共享開放給Everyone Group，以及無法預(yù)測(cè)的安全熱補(bǔ)丁和修補(bǔ)程序。另外還有Windows注冊(cè)表架構(gòu)。

那些日子已經(jīng)一去不復(fù)返了，伙計(jì)。大多數(shù)嚴(yán)重的漏洞都消失了。微軟已不再是問題。

我們對(duì)這個(gè)公司時(shí)不時(shí)地表現(xiàn)出愛與恨，但微軟的使命召喚已經(jīng)不僅僅是保護(hù)其最新的服務(wù)器操作系統(tǒng)的安全了。這不僅是由于其強(qiáng)化了服務(wù)器角色配置向?qū)В€因?yàn)槠涮峁┑目蛻艉蜕鐓^(qū)的整體資源。例如，Security Compliance Manager(SCM) 基于組織的特定需求進(jìn)一步鎖定操作系統(tǒng)。

在我寫這篇文章時(shí)，我正進(jìn)行Windows Server 2012全新安裝的漏洞掃描，所有的角色和功能都啟用了頂級(jí)商業(yè)漏洞掃描器Rapid7 Nexpose。掃描時(shí)有沒有認(rèn)證都可以——除了尚未調(diào)整的密碼策略，未啟用遞歸DNS查詢尚和補(bǔ)丁之外，并沒有主要的安全缺陷。使用QualysGuard、LanGuard或其他漏洞掃描器也得到了大致相同的結(jié)果。

所以，如何確保Windows Server 2012的安全呢?對(duì)Windows Server 2012和Windows Server 2012 R2安裝經(jīng)過了更大范圍的安全評(píng)估和滲透測(cè)試，為什么漏洞還會(huì)出現(xiàn)呢?為什么還會(huì)出現(xiàn)違反合規(guī)性的情況呢?實(shí)際上答案很簡(jiǎn)單，但修復(fù)過程是復(fù)雜的：這是個(gè)人的問題。

人們一旦參與，就會(huì)有安全風(fēng)險(xiǎn)。Windows Server 2012的安全掌握在我們手中，這里有三個(gè)例子：

業(yè)務(wù)流程要求快捷的訪問。不是由正確的人考介入，考慮工程師安全選項(xiàng)或?qū)嵤┍匾木徑饪刂疲闆r變成了“開放訪問，然后再解決問題”。

合規(guī)和后續(xù)審計(jì)使人緊張。我知道的大多數(shù)人喜歡在必要的時(shí)候做點(diǎn)什么來敷衍了事，比如想辦法讓一個(gè)高級(jí)別的清單通過審計(jì)，而不是花時(shí)間去解決核心問題。一些最常見的原因包括缺乏溝通以及預(yù)算緊張。

人們不愿意找麻煩。隨大流的做法是簡(jiǎn)單又安全的，因此人們不會(huì)選擇對(duì)Windows Server 2012做點(diǎn)什么。在出現(xiàn)安全風(fēng)險(xiǎn)的時(shí)候，人們會(huì)猶豫地執(zhí)行復(fù)雜的密碼或應(yīng)用補(bǔ)丁，因?yàn)樗麄兒芰?xí)慣由廠商或部門主管做出決定。人們也可能猶豫地關(guān)閉服務(wù)器共享來避免任何內(nèi)部錯(cuò)誤或確保必要的資源用于妥善管理審計(jì)日志和安全事件。

當(dāng)你把人們按照這個(gè)方程式進(jìn)行規(guī)定，微軟最具彈性的操作系統(tǒng)會(huì)和它的上一任一樣終結(jié)生命。它處于最糟糕的安全狀態(tài)。

退后一步，看看你的環(huán)境并考慮實(shí)際需要的是什么，這樣做可以增加你的安全。你的Windows Server 2012和Server 2012 R2系統(tǒng)曾經(jīng)是安全的服務(wù)器，但現(xiàn)在已經(jīng)不是了。問問自己哪些正在運(yùn)行。更好的是，請(qǐng)教別人你需要注意什么。鼓起勇氣使用保護(hù)Windows Server 2012安全的權(quán)利。不僅僅是安裝操作系統(tǒng)——這是從核心解決人們的問題。