Windows Server 是大家最常用的服务器操作系统之一虽然它提供了强大的网络服务功能并且简单易用但它的安全性一直困扰着众多网管如何在充分利用Windows Server 提供的各种服务的同时保证服务器的安全稳定运行最大限度地抵御病毒和黑客的入侵Windows Server SP中文版补丁包的发布恰好解决这个问题它不但提供了对系统漏洞的修复还新增了很多易用的安全功能如安全配置向导(SCW)功能利用SCW功能的安全策略可以最大限度增强服务器的安全并且配置过程非常简单下面就一起来看吧!
厉兵秣马 先装SCW
大家都很清楚Windows Server 系统为增强其安全性默认情况下很多服务组件是不被安装的要想使用必须手工安装SCW功能也是一样虽然你已经成功安装了补丁包SP但也需要手工安装安全配置向导(SCW)组件
进入控制面板后运行添加或删除程序然后切换到添加/删除Windows组件页下面在Windows组件向导对话框中选中安全配置向导选项最后点击下一步按钮后就能轻松完成SCW组件的安装
安装过程就这么简单接下来就能根据自身需要利用SCW配置安全策略增强Windows Server 服务器安全
配置安全策略 原来如此简单
在Windows Server 服务器中点击开始→运行后在运行对话框中执行SCWexe命令就会弹出安全配置向导对话框开始你的安全策略配置过程当然你也可以进入控制面板→管理工具窗口后执行安全配置向导快捷方式来启用SCW
.新建第一个安全策略
如果你是第一次使用SCW功能首先要为Windows Server 服务器新建一个安全策略安全策略信息是被保存在格式为XML 的文件中的并且它的默认存储位置是C:\WINDOWS\security\msscw\Policies因此一个Windows Server 系统可以根据不同需要创建多个安全策略文件并且还可以对安全策略文件进行修改但一次只能应用其中一个安全策略
在欢迎使用安全配置向导对话框中点击下一步按钮进入到配置操作对话框因为是第一次使用SCW这里要选择创建新的安全策略单选项(图)点击下一步按钮就开始配置安全策略
图开始创建新的安全策略.轻松配置角色
首先进入选择服务器对话框在服务器栏中输入要进行安全配置的Windows Server 服务器的机器名或IP地址点击下一步按钮后安全配置向导会处理安全配置数据库
接着就进入到基于角色的服务配置对话框在基于角色的服务配置中可以对Windows Server 服务器角色客户端角色系统服务应用程序以及管理选项等内容进行配置
所谓服务器角色其实就是提供各种服务的Windows Server 服务器如文件服务器打印服务器DNS服务器和DHCP服务器等 一个Windows Server 服务器可以只提供一种服务器角色也可以扮演多种服务器角色点击下一步按钮后就进入到选择服务器角色配置对话框(图)这时需要在服务器角色列表框中勾选你的Windows Server 服务器所扮演的角色
图根据服务器性质不同配置不同角色属性注意为了保证服务器的安全只勾选你所需要的服务器角色即可选择多余的服务器角色选项会增加Windows Server 系统的安全隐患如笔者的Windows Server 服务器只是作为文件服务器使用这时只要选择文件服务器选项即可
进入选择客户端功能标签页来配置Windows Server 服务器支持的客户端功能其实Windows Server 服务器的客户端功能也很好理解服务器在提供各种网络服务的同时也需要一些客户端功能的支持才行如Microsoft网络客户端DHCP客户端和FTP客户端等根据需要在列表框中勾选你所需的客户端功能即可(图)同样对于不需要的客户端功能选项建议你一定要取消对它的选择
图选择客户端所需功能接下来进入到选择管理和其它选项对话框在这里选择你需要的一些Windows Server 系统提供的管理和服务功能操作方法是一样的只要在列表框中勾选你需要的管理选项即可点击下一步后还要配置一些Windows Server 系统的额外服务这些额外服务一般都是第三方软件提供的服务
然后进入到处理未指定的服务对话框这里未指定服务是指如果此安全策略文件被应用到其它Windows Server 服务器中而这个服务器中提供的一些服务没有在安全配置数据库中列出那么这些没被列出的服务该在什么状态下运行呢?在这里就可以指定它们的运行状态建议大家选中不更改此服务的启用模式单选项最后进入到确认服务更改对话框对你的配置进行最终确认后就完成了基于角色的服务配置
.配置网络安全
以上完成了基于角色的服务配置但Windows Server 服务器包含的各种服务都是通过某个或某些端口来提供服务内容的为了保证服务器的安全Windows防火墙默认是不会开放这些服务端口的下面就可以通过网络安全配置向导开放各项服务所需的端口这种向导化配置过程与手工配置Windows防火墙相比更加简单方便和安全
在网络安全对话框中要开放选中的服务器角色Windows Server 系统提供的管理功能以及第三方软件提供的服务所使用的端口点击下一步按钮后在打开端口并允许应用程序对话框中开放所需的端口(图)如FTP服务器所需的和端口IIS服务所需的端口等这里要切记最小化原则只要在列表框中选择要必须开放的端口选项即可最后确认端口配置这里要注意其它不需要使用的端口建议大家不要开放以免给Windows Server 服务器造成安全隐患
图端口开放越少越安全.注册表设置
Windows Server 服务器在网络中为用户提供各种服务但用户与服务器的通信中很有可能包含不怀好意的访问如黑客和病毒攻击如何保证服务器的安全最大限度地限制非法用户访问通过注册表设置向导就能轻松实现
利用注册表设置向导修改Windows Server 服务器注册表中某些特殊的键值来严格限制用户的访问权限(图)用户只要根据设置向导提示以及服务器的服务需要分别对要求SMB安全签名出站身份验证方法入站身份验证方法进行严格设置就能最大限度保证Windows Server 服务器的安全运行并且免去手工修改注册表的麻烦
.启用审核策略
聪明的网管会利用日志功能来分析服务器的运行状况因此适当的启用审核策略是非常重要的SCW功能也充分的考虑到这些利用向导化的操作就能轻松启用审核策略
在系统审核策略配置对话框中要合理选择审核目标毕竟日志记录过多的事件会影响服务器的性能因此建议用户选择审核成功的操作选项(图)当然如果有特殊需要也可以选择其它选项如不审核或审核成功或不成功的操作选项
图严格控制用户访问权限图减少日志对服务器产生的负担.增强IIS安全
IIS服务器是网络中最为广泛应用的一种服务也是Windows系统中最易受攻击的服务如何来保证IIS服务器的安全运行最大限度免受黑客和病毒的攻击这也是SCW功能要解决的一个问题利用安全配置向导可以轻松的增强IIS服务器的安全保证其稳定安全运行
在Internet信息服务配置对话框中通过配置向导来选择你要启用的Web服务扩展要保持的虚拟目录以及设置匿名用户对内容文件的写权限这样IIS服务器的安全性就大大增强
小提示如果你的Windows Server 服务器没有安装运行IIS服务则在SCW配置过程中不会出现IIS安全配置部分
完成以上几步配置后进入到保存安全策略对话框首先在安全策略文件名对话框中为你配置的安全策略起个名字最后在应用安全策略对话框中选择现在应用选项(图)使配置的安全策略立即生效
图最后一步安全策略配置利用SCW增强Windows Server 服务器的安全性能就这么简单所有的参数配置都是通过向导化对话框完成的免去了手工繁琐的配置过程SCW功能的确是安全性和易用性有效的结合点如果你的Windows Server 系统已经安装了SP补丁包不妨试试SCW吧!
