讓Win 2003更安全的方式

　　“金無足赤,人無完人”任何事物都沒有十全十美的,微軟Windows 2003也是如此，照樣存在著系統漏洞、存在著不少安全隱患.不管是你用計算機欣賞音樂、上網沖浪、運行游戲，還是編寫文檔都不可避免的面臨著各種病毒的威脅,如何讓Windows Server 2003更加安全，成為廣大用戶十分關注的問題。 下面讓我們來討論如何讓Windows Server 2003更加安全。

　　理解你的角色

　　理解服務器角色絕對是安全進程中不可或缺的一步。Windows Server可以被配置為多種角色，Windows Server 2003 可以作為域控制器、成員服務器、基礎設施服務器、文件服務器、打印服務器、IIS服務器、IAS服務器、終端服務器等等。一個服務器甚至可以被配置為上述角色的組合。

　　現在的問題是每種服務器角色都有相應的安全需求。例如，如果你的服務器將作為IIS服務器，那么你將需要開啟IIS服務。然而，如果服務器將作為獨立的文件或者打印服務器，啟用IIS服務則會帶來巨大的安全隱患。

　　我之所以在這里談到這個的原因是我不能給你一套在每種情況下都適用的步驟。服務器的安全應該隨著服務器角色和服務器環(huán)境的改變而改變。

　　因為有很多強化服務器的方法，所以我將以配置一個簡單但安全的文件服務器為例來論述配置服務器安全的可行性步驟。我將努力指出當服務器角色改變時你將要做的。請諒解這并不是一個涵蓋每種角色服務器的完全指南。

　　物理安全

　　為了實現真正意義上的安全，你的服務器必須被放置在一個安全的位置。通常地，這意味著將將服務器放置在上了鎖的門后。物理安全是相當重要的，因為現有的許多管理和災難恢復工具同樣也可以被黑客利用。任何擁有這樣工具的人都能在物理接入到服務器的時候攻擊服務器。唯一能夠避免這種攻擊的方法是將服務器放置在安全的地點。對于任何角色的Windows Server 2003，這都是必要的。

　　創(chuàng)建基線

　　除了建立良好的物理安全以外，我能給你的最佳建議是，在配置一系列Windows Server 2003的時候，應該確定你的安全需求策略，并立即部署和執(zhí)行這些策略 。

　　實現這一目的最好的方法是創(chuàng)建一個安全基線(security baseline)。安全基線是文檔和公認安全設置的清單。在大多數情況下，你的基線會隨著服務器角色的不同而產生區(qū)別。因此你最好創(chuàng)建幾個不同的基線，以便將它們應用到不同類型的服務器上。例如，你可以為文件服務器制定一個基線，為域控制器制定另一個基線，并為IAS服務器制定一個和前兩者都不同的基線。

　　windows 2003包含一個叫"安全配置與分析"的工具。這個工具讓你可以將服務器的當前安全策略與模板文件中的基線安全策略相比較。你可以自行創(chuàng)建這些模板或是使用內建的安全模板。

　　安全模板是一系列基于文本的INF文件，被保存在%SYSTEMROOT%\SECURITY TEMPLATES 文件夾下。檢查或更改這些個體模板最簡單的方法是使用管理控制臺(MMC)。

　　要打開這個控制 臺，在RUN提示下輸入MMC命令，在控制臺加載后，選擇添加/刪除管理單元屬性命令，Windows就會顯示添加/刪除管理單元列表。點擊"添加"按鈕，你將會看到所有可用管理單元的列表。選擇安全模板管理單元，接著依次點擊添加，關閉和確認按鈕。

　　在安全模板管理單元加載后，你就可以察看每一個安全模板了。在遍歷控制臺樹的時候，你會發(fā)現每個模板都模仿組策略的結構。模板名反映出每個模板的用途。例如，HISECDC模板就是一個高安全性的域控制器模板。

　　如果你正在安全配置一個文件服務器，我建議你從SECUREWS模板開始。在審查所有的模板設置時，你會發(fā)現盡管模板能被用來讓服務器更加安全，但是不一定能滿足你的需求。某些安全設置可能過于嚴格或過于松散。我建議你修改現有的設置，或是創(chuàng)建一個全新的策略。通過在控制臺中右擊C:\WINDOWS\Security\Templates文件夾并在目標菜單中選擇新建模板命令，你就可以輕輕松松地創(chuàng)建一個新的模板。

　　在創(chuàng)建了符合需求的模板后，回到添加/刪除管理單元屬性面板，并添加一個安全配置與分析的管理單元。在這個管理單元加載后，右擊"安全配置與分析"容器，接著在結果菜單中選擇"打開數據庫"命令，點擊"打開"按鈕，你可以使用你提供的名稱來創(chuàng)建必要的數據庫。

　　接下來，右擊"安全配置與分析"容器并在快捷菜單中選擇"導入模板"命令。你將會看到所有可用模板的列表。選擇包含你安全策略設置的模板并點擊打開。在模板被導入后，再次右擊"安全配置與分析"容器并在快捷菜單中選擇"現在就分析計算機"命令。Windows將會提示你寫入錯誤日志的位置，鍵入文件路徑并點擊"確定"。

　　在這樣的情況下，Windows將比較服務器現有安全設置和模板文件里的設置。你可以通過"安全配置與分析控制臺"看到比較結果。每一條組策略設置顯示現有的設置和模板設置。

　　在你可以檢查差異列表的時候，就是執(zhí)行基于模板安全策略的時候了。右擊"安全配置與分析"容器并從快捷菜單中選擇"現在就配置計算機"命令。這一工具將會立即修改你計算機的安全策略，從而匹配模板策略。

　　組策略實際上是層次化的。組策略可以被應用到本地計算機級別、站點級別、域級別和OU級別。當你實現基于模板的安全之時，你正在在修改計算機級別的組策略。其他的組策略不會受到直接影響，盡管最終策略可能會反映變化，由于計算機策略設置被更高級別的策略所繼承。