|
||||
黑客往往通过未使用的端口(未配置或不可靠)或服务非法访问服务器,Internet Information Services (IIS)。为了限制访问服务器的入口数,你可以堵赛未用端口或协议以及禁用不需要的服务,这些都能增强服务器的“免疫力”。微软最新版本的Windows Server 2008很快就要面市了,不过大多数企业仍然选择继续使用Windows Server 2003,只要微软对它提供支持。虽然Windows Server 2003不是最新的并且功能最强大的操作系统,不过你通过采取一些容易但是比不可少的措施使它变得更加安全和强大。
1.从一开始就考虑安全性要创建一个强大并且安全的服务器必须从一开始安装的时候就注重每一个细节的安全性。新的服务器应该安装在一个孤立的网络中,杜绝一切可能造成攻击的渠道,直到操作系统的防御工作完成。
在开始安装的最初的一些步骤中,你将会被要求在FAT(文件分配表)和NTFS(新技术文件系统)之间做出选择。这时,你务必为所有的磁盘驱动器选择NTFS格式。FAT是为早期的操作系统设计的比较原始的文件系统。NTFS是随着Windows NT的出现而出现的,它能够提供了一FAT不具备的安全功能,包括存取控制清单(Access Control Lists 、ACL)和文件系统日志(File System Journaling),文件系统日志记录对于文件系统的任何改变。接下来,你需要安装最新的Service Pack ( SP2 )和任何可用的热门补丁程序。虽然Service Pack中的许多补丁程序相当老了,但是它们能够修复若干已知的能够造成威胁的漏洞,比如拒绝服务攻击、远程代码执行和跨站点脚本。
2.配置你的安全策略安装完系统之后,你就可以坐下来做一些更细致的安全工作。提高Windows Server 2003免疫力最最简单的方式就是利用服务器配置向导(Server Configuration Wizard 、SCW),它可以指导你根据网络上服务器的角色创建一个安全的策略,如图1所示:
图1:服务器配置向导可以让你设定角色、客户端功能、服务、端口以及管理选项。
选择这些选项,你就能得到相应合适的端口和服务。
SCW与配置服务向导(Configure Your Server Wizard)是不同的。SCW不安装服务器组件,但监测端口和服务,并配置注册和审计设置。SCW并不是默认安装的,所以你必须通过控制面板的添加/删除程序窗口来添加它。选择“添加/删除Windows组件”按钮并选择“安全配置向导”,安装过程就自动开始了。一旦安装完毕,SCW就可以从“管理工具”中访问。