共用方式為

微軟 Windows Server 2008 R2:保障 Windows Server 安全性

  • 發行項

在這麼多選擇下,決定哪些安全性功能和設定最適合您的 Microsoft Windows Server 基礎結構是一大挑戰。

Brien M。 Posey

Microsoft 提供了大量的 Windows Server 2008 R2 的安全機制。 有這麼多的選擇,它可以很難知道哪些個人安全機制和應使用來充分地保護您的伺服器的安全的設置。

有很多技術獲取 Windows Server 2008 R2 的各種安全功能。 沒有任何單一的文章可以涵蓋所有 Windows Server 2008 R2 的安全功能的方法 — — 這就需要一本大型的書。 所以這篇文章,我想強調的一些可能會對大部分的你最有利的技術和安全功能。

當在 Windows Server 2008 R2 保護時,有兩個階段,您需要考慮:部署前和部署後的安全。 你最好能想到的部署前安全作為安全規劃。 如果你要設置的新伺服器,有某些甚至開始安裝過程之前應考慮的安全注意事項。

伺服器角色分離

在部署前安全規劃中所涉及的主要任務之一採取措施減少您的伺服器的受攻擊面。 攻擊表面減少基於概念更多的代碼正在運行的系統上,更大可能性該代碼包含一個可以利用的漏洞。 為了減少您的伺服器的攻擊面,您需要確保這些伺服器未運行任何不必要的代碼。

建議您採取算一步進一步,不過,你的安全態勢的效率最大化。 作為一般的最佳做法,您應該配置每個伺服器執行一項特定任務。 例如,伺服器已配置為充當檔案伺服器上運行 DNS 服務和動態主機設定通訊協定 (DHCP) 服務,而不是從安全的角度看,在專用的伺服器上運行的每個角色更好。 不只這不會説明減少攻擊面,它也會使任何所需疑難排解變得更容易,因為每個伺服器正在運行一個不那麼複雜的配置。

這是可以理解的有時使用單獨的伺服器,每個角色不實際,因為成本或因功能的需求。 即便如此,它是一個好主意,每當您可以隔離伺服器角色。

伺服器虛擬化可以説明進一步降低成本。 例如,Windows Server 2008 R2 企業版許可使用最多四個虛擬機器 (Vm) 內,只要基礎物理伺服器正在運行 HYPER-V 和沒有別的。

使用伺服器核心

降低伺服器的攻擊面另一種策略是將其配置為運行伺服器核心。 伺服器核心是基本的 Windows Server 2008 R2 安裝不包含完整的圖形化使用者介面。

伺服器核心部署運行的系統服務的最小集,因為他們有比傳統的 Windows 伺服器部署的很多較小的攻擊面。 伺服器核心安裝也往往比完全 Windows 伺服器安裝更好地執行。 伺服器有處理系統開銷較小,這使得 Vm 內使用的理想選擇。

不幸的是,不能使用伺服器核心對於所有 Windows Server 2008 R2 部署,因為只有某些系統服務和相對較少的伺服器應用程式可以在伺服器核心部署運行。 為此,這是最好地部署伺服器核心,但要接受這個事實,你不能在所有的伺服器上使用它 — — 至少現在。

群組原則規劃

規劃部署前的安全是重要的但事情一旦啟動並運行,您的安全最佳做法應包括正在進行的群組原則管理和規劃。 它是明智的群組原則設置在 Windows 部署之前考慮到。 您還需要調整策略設置隨著時間的推移,隨著您的安全需求的發展。

雖然您可以充分管理群組原則設置,使用 Windows Server 2008 R2 附帶的工具,Microsoft 提供了被稱為安全法規遵從性管理器 (SCM),可以簡化過程的免費工具。 供應鏈管理下載這裡。 安裝過程很簡單,並使用一個簡單的嚮導。 只需確保您選擇了告訴安裝嚮導檢查更新核取方塊。

一旦安裝在供應鏈管理,您可以通過伺服器的開始功能表啟動它。 當您第一次運行它時,軟體要導入多個不同的安全基線套裝軟體。 此過程可能需要幾分鐘才能完成。

一旦您已經導入安全基線,您將看到一個基線主控台樹狀目錄中的類別清單。 展開以查看可用的 Windows Server 2008 R2 基線的 Windows Server 2008 R2 SP1 容器。 Microsoft 提供的多個不同的伺服器角色的安全基線 (請參見圖 1)。

Security Compliance Manager provides a number of different security baselines for Windows Server 2008 R2

圖 1 安全法規遵從性管理器提供了 Windows Server 2008 R2 數量的不同安全基線。

Microsoft 提供的每個基線代表認為該單個伺服器角色的最佳的群組原則設置的集合。 雖然微軟的安全最佳做法,堅持基線,盲目接受安全基準被不壞的實踐。 您的組織將有它自己獨特的安全需求。 通常,Microsoft 建議您除了預設安全基線以滿足這些需要。

所以做的第一步是選擇匹配您要配置的伺服器角色的安全基準。 下一步,按一下操作窗格中找到的重複連結。 這允許您創建安全基準的副本。 這種方式,您可以修改該副本,而無需擔心如何不可逆更改原始安全基準。

出現提示時,輸入您的自訂安全基線的名稱,然後按一下保存。 操作時,您將看到顯示在頂部的主控台樹狀目錄中的自訂基線部分你新創建的安全基準。

選擇您的自訂安全基準時,您將看到顯示在主控台的中心列中的所有安全設置。 主控台列出的預設設置,微軟的推薦設置和自訂設置 (請參見圖 2)。 最初,自訂的設置將與微軟設置匹配。 為您進行修改,那些將反映在自訂列中。

Select a custom baseline and you’ll see all of its settings

圖 2 選擇一個自訂的基線,您將看到其所有設置

您可以通過按兩下一個設置,然後選擇一個新值,修改單獨的策略設置 (請參見圖 3)。 修改後的任何設置,請按一下崩潰連結以保存您的更改。 操作時,將顯示策略設置,以加粗的字體,以指示已修改設置主控台內。

You can double-click on a security policy setting to modify its properties

圖 3 你可以按兩下修改其屬性的安全性原則設置。

當您完成檢討各種設置和進行任何必要的修改安全基準時,匯出您安全基準。 操作窗格包含許多不同的匯出選項。

最初,應將安全基準匯出到 Excel 試算表中。 這樣,您可以存儲您的安全基準設置獨立的供應鏈管理的記錄的副本。 您還應匯出到群組原則物件 (GPO) 備份設置。 導入安全基準設置到群組原則編輯器中,可以使用 GPO 備份。

您可以導入一個基線到群組原則編輯器中打開您要修改的安全性原則安全設置容器上按右鍵並選擇導入策略選項 (請參見圖 4)。

You can import your security settings into the Group Policy Editor

圖 4 您可以導入您的安全設置到群組原則編輯器。

安全配置嚮導

安全配置嚮導是同樣得心應手的工具,您可以使用來保護您的 Windows 2008 R2 伺服器。 這安裝在 Windows Server 2008 R2,預設情況下,可以通過伺服器的管理工具功能表訪問。 像設計來説明您創建特定于伺服器的角色的安全性原則的供應鏈管理、 安全配置嚮導您可以匯出您的網路上的伺服器。

當您啟動嚮導時,您將看到一個介紹性的螢幕。 按一下下一步以清除此螢幕,你就會詢問您要執行的操作的螢幕。 您可以創建、 編輯或應用的安全性原則中,或者您可以回滾的最新的安全性原則。

假設您要創建一個新的政策決定,安全配置嚮導將提示您提供的名稱或使用作為安全基準的伺服器的 IP 位址。 這應該是一個伺服器後,要將模型,您將要創建的政策。

按一下下一步兩次,和你能來詢問您的伺服器將執行哪些角色的螢幕 (見圖 5)。 角色清單中的會自動填充基於從其正在建模的新策略在伺服器上安裝的角色。 然後您可以手動修改角色的清單。

它是重要的角色清單中,以準確地反映您計畫在接收到策略的伺服器上安裝的角色。 群組原則設置、 註冊表設置和防火牆配置將所有基於您所選擇的角色。

Choose the roles that will be installed on target servers

圖 5 選擇將安裝在目標伺服器的角色。

按一下下一步,,你會看到一個類似的清單,指的您將在伺服器上安裝的功能。 再一次,是重要的準確的功能清單。 此外值得注意的是安全配置嚮導並不實際安裝角色和功能。 它只會基於角色的策略和安裝的功能,您可以指示。

下麵的兩個螢幕遵循相同的基本格式的角色和功能的螢幕。 一個螢幕會詢問您安裝選項。 這些是一樣的東西,如遠端桌面或遠端卷管理。 下一螢幕會詢問您任何其他已安裝的服務,例如,磁片磁碟重組程式或 Adobe Acrobat 更新服務。 您可能會看到一些非 Microsoft 服務顯示在此清單中,取決於模型的伺服器上安裝了哪些軟體上。

下一螢幕會要求您在啟動時遇到一個未指定的服務時,應發生什麼情況。 你可以離開服務的啟動類型不變,或您可以阻止該服務。 在下一個螢幕上,您將看到其啟動類型將被更改,因此您可以確保你不是要禁用一些關鍵的服務的清單。

嚮導現在將您帶到網路安全部分。 如果您願意,可以跳過本部分中。 它旨在將基於您將如何使用伺服器的 Windows 防火牆配置。 這一節可以檢討現有的防火牆規則和添加或刪除規則基於您的需要。

下一步是註冊表部分。 嚮導的註冊表部分詢問,是否將連接到伺服器的所有電腦都滿足某些作業系統的最低要求。 它還能驗證伺服器有剩餘處理能力。 這些配置設置確定啟用伺服器訊息區安全簽名。

其它螢幕要求您有關您使用的帳戶類型和類型的網域控制站上您的網路。 一旦您完成嚮導的回答後,它會顯示您所有的註冊表修改它是關於使。

你可能會遇到你被要求保存您的安全性原則之前的最後一節是稽核原則部分。 這一節詢問有關你一般的審計哲學的一個問題。 本質上,它想知道是否要在所有審核成功的事件、 成功和失敗的事件,或沒有什麼。 稽核原則設置將基於您的選擇。

當你達到嚮導結束時,你要將新策略保存為 XML 檔。 然後,您可以應用新的安全性原則,現在還是以後的選擇。 如果您選擇要應用的安全設置後,您可以通過重新運行安全配置嚮導,然後選擇一個現有的安全性原則設置的應用 (請參見圖 6)。

You can apply a previously created security policy through the Security Configuration Wizard

圖 6 您可以應用安全配置嚮導通過以前創建的安全性原則。

有太多 Windows 伺服器的安全功能,在單個專案,專案內討論,但這些是一些亮點。 安全配置嚮導和安全法規遵從性管理器主要工具可以説明您保護您的伺服器,而不必分別設置每個安全配置。

Brien M. Posey

**Brien M。 Posey**MVP,是兼職的技術作家,與成千上萬的文章和書給他的信用數十個。 您可以訪問 Posey 的網站,網址是 brienposey.com

相關內容