每当你安装一项新的服务时,系统会静待你运行一个向导来启用该功能。对!微软最终关闭了系统中的所有服务,你必须在需要时启动它。但别担心,它还不至于像Linux那样复杂。尽管每项功能都被关得死死的,但伴随新安全架构应运而生的新向导对用户十分有帮助,详细得可以明确地了解用户所需的操作。如此一来,在对系统进行安全设置时,你可以减少很多顾虑。我记得当年在操练Windows 2000新的安全特性时,要参考很多资料才下得了手。而Windows 2000已经算好了,Windows NT 4中的“信息VOID”更令人不敢恭维。但当你使用2003之后,你就轻松许多了!
让我先来介绍一个简单而好用的新特性——有效权限(Effective Permission)。
“有效权限”将总结出用户在某一对象上具有什么样的权限。该对象建立在所有和它的ACL(当用户及所有的用户组成员设置被应用时)相适应的安全设置的基础上。简单点说,当你进入2003中一个对象的的属性时,选择“安全”标签并点击“高级”按钮。你将会看到三个标签:权限(Permissions)、所有人(Owner)和“有效权限”。前两个是通用的,它们会被暂时选定。如果你进入“有效权限”标签,你可以对用户或组进行选择。当你选择了一个组或用户时,Windows将会分析对象可能被放置的所有次级组,并提供“有效权限”信息的一个精确摘要。
信任机制(Trust):
Windows Server 2003的“信任”同Windows 2000很相似。就如在Windows 2000中一样,2003中所有网域的信任具有传递性的特点。假如你的网络中有三个网域:网域A、B和C。如果A信任B,而B信任C,那么A也信任C。
Windows Server 2003中新添加的功能有“Forest Trust”,它允许Forest与Forest之间的相互信任。这有什么作用呢?有了Forest Trust,你就再也不必在不同Forest的网域中建立信任,可以大大减少网络混乱以及人为错误所带来的潜在危险。另外,如果在网域的后端节点上添加一个网域时,该网域无需进一步设置就可以访问其他Forset中的资源。但Windows 2003中的Forest Trust在不同的Forest中并不具备传递性。
Windows 2003同时还带有一个经过完全重新编写的IIS。IIS 6.0具有一系列全新特性,这将在本文的第七部分进行探讨。Windows 2003还建立了Common Language Runtime(CLR)。你可以要求CLR做什么呢?它可以核实软件是否可以在无错状态下运行,也可以核实是否具有适当的安全权限。“系统策略”(System Policies)也同样经过了重写,减少了Windows缺省安装下所运行的服务项目(共19个),同时还有多顶服务以更低的权限运行。
“文件系统安全”(File System Security)被大幅度降低,用户再也不能向驱动器的根目录写入数据。微软还计划在今年底之前陆续发布几个新的公用程序,给管理员提供对其网络的更多控制权。比如,MACS。MACS是Microsoft Audit Collection Services——“微软稽核集合服务”的简称。据我的了解,这个程序预计可以通过一些加密方法将“安全信息”导入一个SQL数据库中,信息也可以从多台服务器中被收集到该位置。
让我们来了解一下Windows Server 2003中在“稽核”所作的增强。首先来看一看基于作业的“稽核”。Windows Server 2003支持一种新稽核类型,它不只告知用户什么人访问了什么文件,同时还显示某人在访问文件时所作的操作。Windows Server 2003还可以对各个用户有选择性地进行稽核。用户可以稽核特定用户的行为,而不再是简单的系统级别的稽核。
接着来看看“文件加密”(File Encryption)。还记得人们对2000加密问题的抱怨吗?如果有一位用户试图加密2000中的一个文件,那么它就是可以访问该文件的唯一用户。现在,2003支持文件的多用户加密。同时,离线文件夹可以以离线状态加密。
微软在相关主题的白皮书中提到了一些策略改变。以下是一些摘要:
1、改变策略以巩固默认安全性:
·创建安全根ACL:增强型的ACL防止对根目录(c:\)的访问;
·把默认的共享ACL从“Everyone:F”更改为“Everyone:R”;
·更改DLL搜索顺序:从系统文件夹开始;
·巩固Internet Explorer;
·增加对匿名用户的限制:匿名用户在缺省状态下不再是“Everyone”成员,禁用在服务器上生成匿名SID和名称;
·对空白密码进行限制:远程机器不能连接使用空白密码的本地账户;
·在服务器或目录服务中缺省设置LanManCompatibilityLevel=2:在默认情况下Windows Sever 2003将不会发出不安全的LanMan回应;
·需要SMB Packet登录目录服务:提供客户端DC SMB通信的自动检测;
·安全通道通:信必须经过签名或加密;
·修改LDAP签名;
·对象大小写不敏感:防止Canonicalization型攻击;
·不允许路径泄漏:消除透露和系统配置相关的多余信息;
·限制远程执行主控台程序——只有管理员有权限;
·增强网域控制器的稽核功能;
·增强转换情景。
2、缺省关闭的服务:
·不安装IIS;
·报警器(Alerter);
·剪贴簿(Clipbook);
·跟踪服务器链接;
·Human Interface设备访问;
·Imapi CDROM刻录服务;
·ICF\ICS;
·点间通信(Intersite Messenging);
·许可日志记录(License Logging);
·Messenger;
·NetMeeting远程桌共享;
·Network DDE;
·Network DDE DSDM;
·寻址和远程访问;
·Telnet;
·终端服务进程探索(Terminal Service Session Discovery);
·主题;
·WebClient;
·Windows图象捕获(WIA);
·Kerberos KDC缺省状态下禁用,在DCPromo自动启用。
七、IIS 6(Internet Information Server):
IIS 6.0多个最优的增强都包含在Windows Server 2003之中。它已经过了完全的重新设计,不仅适应了微软的新安全策略,也具有了真正的基于Web应用程序服务器的功能。
工作进程隔离(Worker Process Isolation):
“工作进程隔离”是Windows Server 2003的IIS所带有的一个新特性,它可以将各个服务器程序隔离开来使它们不致相互干扰。协助IIS 5.0的有两个进程:InetInfo.exe和DLLHost.exe。IIS 6.0则使用了HTTP.sys、WWW服务管理及监视组件。这两个应用程序都不会直接同安装在Web服务器上的任何Web服务器程序结合起来,但可以简单地连线和分析任何请求。“Processor Affinity”是IIS 6.0的另一个新特性,它使IIS的性能得到了另一个实质性的增强!
安全性能是IIS另一方面的增强。在我看来,IIS 6.0之所以比其他版本的IIS在安全性上有所增强,主要原因有以下四个:
·IIS缺省禁用;
·可使用GPO禁用IIS;
·安装之初处于锁定状态;
·当Server 2000进行升级时,IIS处于禁用状态,除非运行了IIS锁定程序或明确地输入了注册表项目。
每当我们想要锁定Windows Server 2000时,第一步是删除多余的IIS。Windows 2000在缺省状态下是安装了IIS的。我们知道关闭服务器中的安全隐患的第一步是去除可能存在的缺陷,堵住其他漏洞。所以,如果你需要IIS,你现在再也无需去堵塞漏洞了,微软已帮你完成。为了给管理人员对他们的计算机网络有一步的控制权,微软还为我们提供了另一个方便的特性:我们现在可以使用组策略删除IIS。
IIS还以两种方式将你的系统同微软的.Net Passport Service集成起来。其中之一是将活动目录用户账户同.Net Passport捆绑在一起。你还可以在IIS 6.0 Web Server同.Net Passport认证服务上集成你的Web应用程序。
以前,通过IIS的认证几乎都是基于对象的。如果你想使你的站点上的每个页面都安全的话,你要使用NTFS权限。IIS 6.0在认证方面作了些更改,现在是基于任务,而不是基于对象。
八、终端服务:
Windows 2003中的终端服务也同样作了大幅度的改善。客户端具有2000中所没有的功能更强的选项。如果你使用过Windows XP的“Remote Desktop”,你将会觉得Windows 2003 Server的终端服务新客户端(称为Remote Desktop Client)的一些特性似曾相识。
使用Windows 2000的终端服务实作,你可以通过本地机访问的资源数目有所限制。在2003中,你将可以访问到更多,分列如下:
1、文件系统;
2、端口;
3、打印机;
4、音频;
5、智能卡账号;
6、Windows Key;
7、时区;
8、虚拟通道。
“Remote Desktop Web Control”是Windows 2003另一个全新的特性。如果你拥有带有IIS的Windows 2000,你可以登录微软网站下载“终端服务高级客户端”(Terminal Services Advanced Client)。它同Remote Desktop Web Control基本相同。Remote Desktop Web Control是一个增强型的ActiveX控件/COM对象,它允许人们在没有安装客户端应用程序的客户端机器上通过一个URL登录到终端服务。
在Windows 2000中你可以选择“远程管理”或应用程序的模式安装终端服务。在2003中,每一个组件都是可以独立设置的,它们也被各自命名。一个叫做“Remote Desktop for Administration”,另一个就是“终端服务”。“Remote Desktop for Administration”可以通过访问控制面板中的“系统”图标来启用,“终端服务” 可通过“添加\删除程序”进行安装。
为了允许某一用户访问终端服务,你可以将该用户或该用户所属的组添加到“Remote Desktop用户组”中。连接到终端服务器经过了128位加密。
九、结论:
以下是对Windows Server 2003各个等级的评价:
1、安装:90%;2、界面:88%;3、特性:91%;4、性价比:90%;5、总体评价:89.75%。
评论 {{userinfo.comments}}
{{child.content}}
{{question.question}}
提交