WindowsServer2003全接觸(3)

　　六、安全性：
　　我想我首先必須強調微軟究竟想從Windows Server 2003上向世人證明什么。正如我們中有些人所知的那樣，微軟系統缺省狀態以“充分開放”著稱。我這么說是想表達什么意思呢？嗯，如果有人想要分析Windows 2000的話，他會發覺這個網絡操作系統（NOS）在缺省狀態下已安裝了一些非必要但卻很方便的特性。比如說，IIS、一個毫不安全的文件系統以及一個不安全的網頁瀏覽器等等。

　　進入到2002年1月份。大家請注意，比爾·蓋茨說話了！他說了什么呢？請允許我歸納一下：我們的軟件是不安全的。我們必須創建一種新的運算類型——讓我們將它稱之為“可信任計算”（Trustworthy Computing）。

　　那么“可信任計算”確切指的什么呢？好吧，你可以簡單地用微軟提出的一個公式來理解：SD3+C。具體就是：設計成就安全（Secure by Design）、缺省鞏固安全（Secure by Default）、部署實現安全（Secure in Deployment）和通信（Communication）。

　　“設計成就安全”基本上可以這么理解：軟件在發布之前力求不帶有任何安全隱患?！叭笔§柟贪踩币簿褪钦f在產品發布時盡量減少許可權限?！安渴饘崿F安全”是當系統運行于公司網絡期間采取一切有效的辦法確保它的安全性?！巴ㄐ拧薄獙崿F網絡間必要的數據通信。微軟所說的通信是指關于補丁和安全漏洞的信息是如何發送給用戶的以及修復行動的信息如何才能被更好地理解。

　　讓我們看一看2億美元的投資給安全性能帶來了什么樣的改善！Windows 2003就是將會看到投資所帶來的收獲的第一個微軟服務器產品。

　　你可以從Windows 2003中看到眾多十分超前的初步安全性。在使用這個網絡操作系統的過程中，你經常會體會到微軟今天的首要目標：安全。當你打開一些程序，比如IE瀏覽器時，你都會收到一些安全警告和建議：

　　每當你安裝一項新的服務時，系統會靜待你運行一個向導來啟用該功能。對！微軟最終關閉了系統中的所有服務，你必須在需要時啟動它。但別擔心，它還不至于像Linux那樣復雜。盡管每項功能都被關得死死的，但伴隨新安全架構應運而生的新向導對用戶十分有幫助，詳細得可以明確地了解用戶所需的操作。如此一來，在對系統進行安全設置時，你可以減少很多顧慮。我記得當年在操練Windows 2000新的安全特性時，要參考很多資料才下得了手。而Windows 2000已經算好了，Windows NT 4中的“信息VOID”更令人不敢恭維。但當你使用2003之后，你就輕松許多了！

　　讓我先來介紹一個簡單而好用的新特性——有效權限（Effective Permission）。

　　“有效權限”將總結出用戶在某一對象上具有什么樣的權限。該對象建立在所有和它的ACL（當用戶及所有的用戶組成員設置被應用時）相適應的安全設置的基礎上。簡單點說，當你進入2003中一個對象的的屬性時，選擇“安全”標簽并點擊“高級”按鈕。你將會看到三個標簽：權限（Permissions）、所有人（Owner）和“有效權限”。前兩個是通用的，它們會被暫時選定。如果你進入“有效權限”標簽，你可以對用戶或組進行選擇。當你選擇了一個組或用戶時，Windows將會分析對象可能被放置的所有次級組，并提供“有效權限”信息的一個精確摘要。

　　信任機制（Trust）：

　　Windows Server 2003的“信任”同Windows 2000很相似。就如在Windows 2000中一樣，2003中所有網域的信任具有傳遞性的特點。假如你的網絡中有三個網域：網域A、B和C。如果A信任B，而B信任C，那么A也信任C。

　　Windows Server 2003中新添加的功能有“Forest Trust”，它允許Forest與Forest之間的相互信任。這有什么作用呢？有了Forest Trust，你就再也不必在不同Forest的網域中建立信任，可以大大減少網絡混亂以及人為錯誤所帶來的潛在危險。另外，如果在網域的后端節點上添加一個網域時，該網域無需進一步設置就可以訪問其他Forset中的資源。但Windows 2003中的Forest Trust在不同的Forest中并不具備傳遞性。

　　Windows 2003同時還帶有一個經過完全重新編寫的IIS。IIS 6.0具有一系列全新特性，這將在本文的第七部分進行探討。Windows 2003還建立了Common Language Runtime（CLR）。你可以要求CLR做什么呢？它可以核實軟件是否可以在無錯狀態下運行，也可以核實是否具有適當的安全權限?！跋到y策略”（System Policies）也同樣經過了重寫，減少了Windows缺省安裝下所運行的服務項目（共19個），同時還有多頂服務以更低的權限運行。
　　“文件系統安全”（File System Security）被大幅度降低，用戶再也不能向驅動器的根目錄寫入數據。微軟還計劃在今年底之前陸續發布幾個新的公用程序，給管理員提供對其網絡的更多控制權。比如，MACS。MACS是Microsoft Audit Collection Services——“微軟稽核集合服務”的簡稱。據我的了解，這個程序預計可以通過一些加密方法將“安全信息”導入一個SQL數據庫中，信息也可以從多臺服務器中被收集到該位置。

　　讓我們來了解一下Windows Server 2003中在“稽核”所作的增強。首先來看一看基于作業的“稽核”。Windows Server 2003支持一種新稽核類型，它不只告知用戶什么人訪問了什么文件，同時還顯示某人在訪問文件時所作的操作。Windows Server 2003還可以對各個用戶有選擇性地進行稽核。用戶可以稽核特定用戶的行為，而不再是簡單的系統級別的稽核。

　　接著來看看“文件加密”（File Encryption）。還記得人們對2000加密問題的抱怨嗎？如果有一位用戶試圖加密2000中的一個文件，那么它就是可以訪問該文件的唯一用戶?，F在，2003支持文件的多用戶加密。同時，離線文件夾可以以離線狀態加密。

　　微軟在相關主題的白皮書中提到了一些策略改變。以下是一些摘要：
　　
　　1、改變策略以鞏固默認安全性：

　　·創建安全根ACL：增強型的ACL防止對根目錄（c:\）的訪問；

　　·把默認的共享ACL從“Everyone:F”更改為“Everyone:R”；

　　·更改DLL搜索順序：從系統文件夾開始；

　　·鞏固Internet Explorer；

　　·增加對匿名用戶的限制：匿名用戶在缺省狀態下不再是“Everyone”成員，禁用在服務器上生成匿名SID和名稱；

　　·對空白密碼進行限制：遠程機器不能連接使用空白密碼的本地賬戶；

　　·在服務器或目錄服務中缺省設置LanManCompatibilityLevel=2：在默認情況下Windows Sever 2003將不會發出不安全的LanMan回應；

　　·需要SMB Packet登錄目錄服務：提供客戶端DC SMB通信的自動檢測；

　　·安全通道通：信必須經過簽名或加密；

　　·修改LDAP簽名；

　　·對象大小寫不敏感：防止Canonicalization型攻擊；

　　·不允許路徑泄漏：消除透露和系統配置相關的多余信息；

　　·限制遠程執行主控臺程序——只有管理員有權限；

　　·增強網域控制器的稽核功能；

　　·增強轉換情景。
　　2、缺省關閉的服務：

　　·不安裝IIS；

　　·報警器（Alerter）；

　　·剪貼簿（Clipbook）；

　　·跟蹤服務器鏈接；

　　·Human Interface設備訪問；

　　·Imapi CDROM刻錄服務；

　　·ICF\ICS；

　　·點間通信（Intersite Messenging）；

　　·許可日志記錄（License Logging）；

　　·Messenger；

　　·NetMeeting遠程桌共享；

　　·Network DDE；

　　·Network DDE DSDM；

　　·尋址和遠程訪問；

　　·Telnet；

　　·終端服務進程探索（Terminal Service Session Discovery）；

　　·主題；

　　·WebClient；

　　·Windows圖象捕獲（WIA）；

　　·Kerberos KDC缺省狀態下禁用，在DCPromo自動啟用。
　　七、IIS 6（Internet Information Server）：

　　IIS 6.0多個最優的增強都包含在Windows Server 2003之中。它已經過了完全的重新設計，不僅適應了微軟的新安全策略，也具有了真正的基于Web應用程序服務器的功能。

　　工作進程隔離（Worker Process Isolation）：

　　“工作進程隔離”是Windows Server 2003的IIS所帶有的一個新特性，它可以將各個服務器程序隔離開來使它們不致相互干擾。協助IIS 5.0的有兩個進程：InetInfo.exe和DLLHost.exe。IIS 6.0則使用了HTTP.sys、WWW服務管理及監視組件。這兩個應用程序都不會直接同安裝在Web服務器上的任何Web服務器程序結合起來，但可以簡單地連線和分析任何請求?！癙rocessor Affinity”是IIS 6.0的另一個新特性，它使IIS的性能得到了另一個實質性的增強！

　　安全性能是IIS另一方面的增強。在我看來，IIS 6.0之所以比其他版本的IIS在安全性上有所增強，主要原因有以下四個：

　　·IIS缺省禁用；

　　·可使用GPO禁用IIS；

　　·安裝之初處于鎖定狀態；

　　·當Server 2000進行升級時，IIS處于禁用狀態，除非運行了IIS鎖定程序或明確地輸入了注冊表項目。

　　每當我們想要鎖定Windows Server 2000時，第一步是刪除多余的IIS。Windows 2000在缺省狀態下是安裝了IIS的。我們知道關閉服務器中的安全隱患的第一步是去除可能存在的缺陷，堵住其他漏洞。所以，如果你需要IIS，你現在再也無需去堵塞漏洞了，微軟已幫你完成。為了給管理人員對他們的計算機網絡有一步的控制權，微軟還為我們提供了另一個方便的特性：我們現在可以使用組策略刪除IIS。

　　IIS還以兩種方式將你的系統同微軟的.Net Passport Service集成起來。其中之一是將活動目錄用戶賬戶同.Net Passport捆綁在一起。你還可以在IIS 6.0 Web Server同.Net Passport認證服務上集成你的Web應用程序。

　　以前，通過IIS的認證幾乎都是基于對象的。如果你想使你的站點上的每個頁面都安全的話，你要使用NTFS權限。IIS 6.0在認證方面作了些更改，現在是基于任務，而不是基于對象。

　　八、終端服務：

　　Windows 2003中的終端服務也同樣作了大幅度的改善?？蛻舳司哂?000中所沒有的功能更強的選項。如果你使用過Windows XP的“Remote Desktop”，你將會覺得Windows 2003 Server的終端服務新客戶端（稱為Remote Desktop Client）的一些特性似曾相識。

　　使用Windows 2000的終端服務實作，你可以通過本地機訪問的資源數目有所限制。在2003中，你將可以訪問到更多，分列如下：

　　1、文件系統；

　　2、端口；

　　3、打印機；

　　4、音頻；

　　5、智能卡賬號；
　　
　　6、Windows Key；

　　7、時區；

　　8、虛擬通道。

　　“Remote Desktop Web Control”是Windows 2003另一個全新的特性。如果你擁有帶有IIS的Windows 2000，你可以登錄微軟網站下載“終端服務高級客戶端”（Terminal Services Advanced Client）。它同Remote Desktop Web Control基本相同。Remote Desktop Web Control是一個增強型的ActiveX控件/COM對象，它允許人們在沒有安裝客戶端應用程序的客戶端機器上通過一個URL登錄到終端服務。

　　在Windows 2000中你可以選擇“遠程管理”或應用程序的模式安裝終端服務。在2003中，每一個組件都是可以獨立設置的，它們也被各自命名。一個叫做“Remote Desktop for Administration”，另一個就是“終端服務”?！癛emote Desktop for Administration”可以通過訪問控制面板中的“系統”圖標來啟用，“終端服務” 可通過“添加\刪除程序”進行安裝。

　　為了允許某一用戶訪問終端服務，你可以將該用戶或該用戶所屬的組添加到“Remote Desktop用戶組”中。連接到終端服務器經過了128位加密。

　　九、結論：

　　以下是對Windows Server 2003各個等級的評價：

　　1、安裝：90%；2、界面：88%；3、特性：91%；4、性價比：90%；5、總體評價：89.75%。

原文轉自：http://www.kjueaiud.com