千呼萬喚：Windows 2003 SP1搶鮮試用

領測軟件測試網 　　每次Windows發布大規模補丁包都會得到很多用戶的關注，在2005年4月27日零點千呼萬喚的Windows2003 SP1中文版終于隆重登場了，筆者在第一時間下載了該補丁并進行了安裝，在此將Windows2003 SP1的一些新特性新功能為大家介紹一下。

　　 Win2003 SP1小檔案：

　　 補丁文件名：WindowsServer2003-KB889101-SP1-x86-CHS.exe

　　 補丁大�。�331254 KB

　　 下載>>>

　　 一、Service Pack 1整體一覽
　　
　　 Microsoft Windows Server 2003 Service Pack 1 (SP1)的中文版本補丁包不但提供客戶更好的安全性，在可靠性及性能方面也有所改善。Service Pack 1匯集了完整的安全更新，并根據這些安全更新降低了可能的攻擊面，提升系統的防御，同時也提供了更健全的默認值與使用者權限控管，使系統服務受到更好的保護。

　　 這次Service Pack的功能非常重要，能夠協助企業防止某些惡意的攻擊；Windows Server 2003 Service Pack 1提供的新功能可以防范一般的安全性弱點，這些新技術包括：

　　 （1）安全性設定向導：有了這個功能，客戶可以更輕易地縮小可能遭受的攻擊面。此工具根據服務器的角色自動阻擋執行這些服務器角色時所不必要的服務和連接，達到縮小攻擊面的效果。

　　 （2）Windows防火墻：在服務器上使用新的Windows防火墻可讓客戶通過群組原則執行網絡控制，進而提升系統的安全性。此外，此防火墻可搭配Windows XP Service Pack 2，做為客戶企業網絡內每一臺服務器及客戶端電腦的本機軟件防火墻。

　　 （3）安裝后安全性更新(PSSU)：服務器在安裝后到更新安全修補程序之間的這段期間最為脆弱。所以在服務器安裝系統后至Windows Update傳送最新的安全性更新到電腦的這段期間，Windows Server 2003 Service Pack 1會封鎖服務器所有的外來聯機請求。

　　 （4）其他新功能：包括Internet Information Services (IIS) 6.0 Metabase Auditing，該功能讓管理員能在文件破壞時辨識出惡意的使用者；提供性能更佳的默認值和有限的權限存取權，以建立應用程序的基本安全性標準；以及 Network Access Quarantine Control組件讓管理員能隔離過期的虛擬私人網路(VPN)裝置。

　　 二、Service Pack 1的安裝
　　
　　 首先從微軟主頁下載SP1補丁程序，文件名為WindowsServer2003-KB889101-SP1-x86-CHS.exe。在安裝前我們要做好充足的準備工作，具體要求如圖所示。
圖1
　　 在此圖中“運行空間”項目是僅在安裝過程中使用的文件所需要的硬盤空間。運行空間要求是臨時的，并不算在總硬盤空間要求內。具體安裝步驟如下：

　　 第一步：雙擊WindowsServer2003-KB889101-SP1-x86-CHS.exe程序啟動SP1安裝工作，補丁將自行解壓縮。

圖2
　　 第二步：解壓縮完畢后會自動調用Windows Installer程序開始安裝SP1。

圖3
　　 第三步：選擇同意許可協議后按“下一步”按鈕

圖4
　　 將出現設置卸載與備份補丁目錄窗口，如果C盤容量不足我們可以通過“瀏覽”按鈕選擇其他分區或其他目錄。
　圖5
　　 第四步：補丁將收集系統信息，驗證磁盤空間和操作系統的有效性。接著將復制補丁文件到本地計算機中。安裝時間會比較長，當所有工作都完成后會提示要求重新啟動計算機。
圖6
　　 我們重新啟動計算機后就完成了SP1補丁的安裝工作。

　　 三、Service Pack 1新功能新特性
　　
　　 安裝完SP1后會從三個地方顯示出來，第一就是在“我的電腦”的屬性中的“常規”標簽。
圖7
　　 第二是在控制面板的“添加/刪除程序”中可以看出Windows Server 2003 Service Pack 1的存在。
圖8
　　另外通過Windows Update我們會發現系統已經安裝了很多更新補丁，唯一需要打的就是SP1發布后提供的一個更新信息，因為先前的很多安全補丁都整合到SP1中一起安裝到本地計算機了。
圖9

　　 那么Service Pack 1究竟有哪些新功能和新特性呢？

　　 （1）Windows防火墻
　　
　　 和更新XP系統SP2一樣，SP1安裝后會在系統的控制面板中添加一個名為“Windows 防火墻”的圖標。

圖10
　　 他可以為我們系統安全性提供保障，功能和專業的防火墻沒有任何差別，而且因為是系統內置的組件，所以在兼容性上會比第三方軟件做得更好。
　　
　　 剛剛安裝完SP1后防火墻是沒有啟用的，僅僅安裝在我們的系統中。雙擊控制面板中的“Windows防火墻”會出現如圖11的提示，要求我們啟動Windows防火墻/ICS服務。選擇“是”后將轉移到防火墻配置窗口。
圖11
　　 Windows2003防火墻的設置方法和XP SP2中的一樣�？梢酝ㄟ^“高級”標簽多個按鈕來詳細設置防火墻的規則。

　圖12
　　 在“本地連接”上點“設置”按鈕還可以打開高級設置，對規則進行詳細設定。

圖13

　　 當把防火墻設置完畢后我們就會在“本地連接”中看到如圖提示——“已連接，有防火墻的”。這樣外部攻擊就不會輕易的進入本地系統了。

圖14

　　 小提示：

　　 由于篇幅有限對于防火墻的詳細設置和技巧就不再過多的介紹了，感興趣的讀者可以參考XP SP2防火墻的設置方法。

　　 （2）更安全的遠程桌面連接
　　
　　 自從Win2000server開始為用戶提供了一個更方便更簡單遠程管理服務器的遠程桌面連接功能，雖然以前版本的遠程桌面連接提供了加密傳輸數據，但在認證方面一直沒有提供有效的方法，因此在驗證合法性方面存在著安全隱患。Windows Server 2003 Service Pack 1為我們解決了這個問題，我們可以配置自己的證書然后批準只有擁有證書的合法用戶才能通過遠程桌面控制服務器。在連接遠程計算機時對于已經配置了證書的服務器我們需要在遠程桌面連接程序“選項”中的“安全”標簽找到身份驗證，然后設置事先選擇好的驗證方式才能正常連接，驗證方式包括“試圖身份驗證，無身份驗證與要求身份驗證”。
圖15

　　 （3）安裝更新更安全

　　 在以往操作系統安裝補丁時是系統最薄弱的時刻，黑客往往在這時候入侵操作系統。Windows Server 2003 Service Pack 1為我們解決了這個問題，他提供了一種稱為Post-Setup Security Updates的技術，也就是在你升級操作系統或安裝補丁時Post-Setup Security Updates技術會自動將防火墻開啟，阻止黑客在這時攻擊服務器。由于筆者升級完了SP1才發現這個功能，所以沒有截圖，這里我們參考英文版SP1中該功能的圖即可。

　　（4）安全配置不用愁

　　 安裝完操作系統我們應該在哪些地方進行安全配置呢？哪些默認設置需要我們修改呢？在以往操作系統版本中大家會經常為這個問題�发愁。Windows Server 2003 Service Pack 1為我們解決了這個問題。在安裝完SP1后我們會發現系統中提供了一個名為“安全配置向導”功能（Security Configuration Wizard (SCW)），通過他我們可以打造更安全更穩定的系統。

　　 第一步：“安全配置向導”默認不會安裝在我們的系統中即使安裝了SP1補丁，我們需要通過“控制面板->添加/刪除程序->添加刪除Windows組件”選擇安裝。
圖17
　　 第二步：安裝完畢后我們可以通過任務欄的“開始->管理工具->安全配置向導”來啟動。


圖18 　　 第三步：第一次使用的話我們要創建一個新的安全策略。
圖19
　　 輸入服務器名稱后安全配置向導將根據本地服務器的服務角色自動選擇適合的安全策略。
圖20
　　 第四步：安全配置向導自動檢測完畢后還會提供我們手動修改的界面，我們根據實際需要進行選擇即可。
圖21
　　 接著是選擇安裝的功能，也是根據實際選擇。
圖22
　　 第五步：選擇安裝的選項和服務，具體配置和上面提到的功能選擇一樣。
圖23
　　 第六步：向導要求我們選擇如何處理未指定的服務，我們可以從“不更改此服務的啟動模式”和“禁用此服務”兩者之間選擇。
圖24
　　接下來是向導自動調節的服務啟動方式。
圖25
　　 第七步：配置“網絡安全”中的端口信息。

圖26
　　 第八步：配置注冊表中的鍵值。

　　圖27

　　 第九步：配置審核策略。
圖28 　
　　 第十步：配置IIS信息服務的安全性。

圖29
　　 第十一步：保存剛剛配置好的安全策略，啟用安全策略并保存以備后用。

圖30
　　 默認是保存在C:\WINDOWS\security\msscw\Policies\中，文件由我們自行起名，文件擴展名為XML。

　　圖31
　　 第十二步：完成了整個安全配置向導的配置工作，并將配置信息進行了應用。
　　圖32
　　 這樣我們的系統就變得更加安全了。

　　 整個安全配置工作不需要我們對安全有多高的理解，不需要自身技術水平有多高，只要根據系統默認一步一步的操作就可以最大限度的加強服務器的安全。這種傻瓜式的配置方法以后會逐步流行起來的，畢竟人性化簡約化是操作系統的未來發展趨勢。

　　 四、Service Pack 1兼容性問題

　　 對于Win2003 SP1，微軟預期會有80%的服務器軟件能穩定運行，剩下的20%有可能會出現兼容性問題，兼容性問題主要來自內置更新防火墻與某些軟件發生沖突。

　　 小部分重要的微軟和第三方軟件不能通過測試，列表如下：

　　 （1）Computer Associates' Brightstor ARCserve Backup 11.0;

　　 （2）Hewlett Packard's Compaq Insight Manager and HP Insight Manager 4.0 products;
　　
　　 （3）Microsoft Application Center 2000 Service Pack 2;
　　
　　 （4）Microsoft Baseline Security Analyzer 1.2.1;
　　
　　 （5）Microsoft ISA (Internet Security and Acceleration) Server 2000 Service Pack 1;

　　 （6）Microsoft Exchange Server 2003;

　　 （7）Microsoft Systems Management Server 2003;

　　 （8） NetIQ's AppManager 5.01 and 6.0 and Group Policy Administrator 2.0 products; and

　　 （9）Trend Micro's ServerProtect.

　　 （10）冠群的Brightstor ARCserve Backup 11.0

　　 （11）Citrix的Metaframe XPe FR3
　　
　　 目前，部分軟件公司已經發布相應補丁和更新，以修復自家軟件在Win2003 SP1系統上運行發生的問題。如果用戶安裝了SP1后出現兼容性問題可以到相應軟件廠商主頁下載更新補丁。當然，微軟也在盡自己所能處理好Win2003 SP1服務器單方的兼容性問題。

　　 總結：
　　
　　 不管怎么說Win2003 SP1為我們服務器提供了強有力的安全保證，在很多默認設置上更加科學，不過由于SP1剛剛推出不久在兼容性方面還存在著不足。是嘗第一口螃蟹加固服務器還是更加穩妥的保證服務器運行穩定呢？這就需要用戶自己去選擇了。

文章來源于領測軟件測試網 http://www.kjueaiud.com/