风舞残阳 2008-4-1 15:00
Windows Server 2003全接触(3)
六、[wiki]安全[/wiki]性:
我想我首先必须强调[wiki]微软[/wiki]究竟想从WindowsServer2003上向世人证明什么。正如我们中有些人所知的那样,微软[wiki]系统[/wiki]缺省状态以“充分开放”著称。我这么说是想表达什么意思呢?嗯,如果有人想要分析Windows2000的话,他会发觉这个[wiki]网络操作系统[/wiki](NOS)在缺省状态下已安装了一些非必要但却很方便的特性。比如说,IIS、一个毫不安全的文件系统以及一个不安全的网页[wiki]浏览器[/wiki]等等。
进入到2002年1月份。大家请注意,比尔%26;#11751;%26;#112040;%26;#51752;%26;#64808;%26;#63332;%26;#106927;%26;#114788;%26;#112040;%26;#64804;%26;#106916;%26;#110628;%26;#102949;%26;#71855;%26;#116712;%26;#64997;%26;#20584;%26;#60966;%26;#33893;%26;#119975;%26;#109796;%26;#98340;%26;#99055;%26;#116390;%26;#33892;%26;#113447;%26;#106792;%26;#121828;%26;#114086;%26;#101348;%26;#99173;%26;#57957;%26;#23079;%26;#106787;%26;#166;%26;#33892;%26;#113445;%26;#127337;%26;#7909;%26;#34533;%26;#114340;%26;#98343;%26;#29542;%26;#93223;%26;#106792;%26;#128039;%26;#58855;%26;#73445;%26;#123618;%26;#1314;%26;#1320;%26;#60006;%26;#33892;%26;#113445;%26;#65957;%26;#57575;%26;#31780;%26;#103140;%26;#102050;%26;#1829;%26;#64484;%26;#129124;%26;#114408;%26;#59495;%26;#58850;%26;#1903;%26;#115220;rustworthyComputing)。
那么“可信任计算”确切指的什么呢?好吧,你可以简单地用微软提出的一个公式来理解:SD3C。具体就是:设计成就安全(SecurebyDesign)、缺省巩固安全(SecurebyDefault)、部署实现安全(SecureinDeployment)和[wiki]通信[/wiki](Communication)。
“设计成就安全”基本上可以这么理解:[wiki]软件[/wiki]在发布之前力求不带有任何安全隐患。“缺省巩固安全”也就是说在产品发布时尽量减少许可权限。“部署实现安全”是当系统运行于公司网络期间采取一切有效的办法确保它的安全性。“通信”%26;#8212;%26;#8212;实现网络间必要的数据通信。微软所说的通信是指关于补丁和安全漏洞的[wiki]信息[/wiki]是如何发送给用户的以及修复行动的信息如何才能被更好地理解。
让我们看一看2亿美元的投资给安全性能带来了什么样的改善!Windows2003就是将会看到投资所带来的收获的第一个微软[wiki]服务器[/wiki]产品。
你可以从Windows2003中看到众多十分超前的初步安全性。在使用这个网络操作系统的过程中,你经常会体会到微软今天的首要目标:安全。当你打开一些[wiki]程序[/wiki],比如IE浏览器时,你都会收到一些安全警告和建议:
[color=#FFFFFF'][/color]
[img]http://www.yuyd.com/upimg/20070203/11F434a54F155G9.jpg[/img]
[img]http://www.yuyd.com/upimg/20070203/11F434a5U0161060.jpg[/img]
每当你安装一项新的服务时,系统会静待你运行一个向导来启用该功能。对!微软最终关闭了系统中的所有服务,你必须在需要时启动它。但别担心,它还不至于像Linux那样复杂。尽管每项功能都被关得死死的,但伴随新安全架构应运而生的新向导对用户十分有帮助,详细得可以明确地了解用户所需的操作。如此一来,在对系统进行安全设置时,你可以减少很多顾虑。我记得当年在操练Windows2000新的安全特性时,要参考很多资料才下得了手。而Windows2000已经算好了,WindowsNT4中的“信息VOID”更令人不敢恭维。但当你使用2003之后,你就轻松许多了!
让我先来介绍一个简单而好用的新特性%26;#8212;%26;#8212;有效权限(EffectivePermission)。
[color=#FFFFFF'][/color]
“有效权限”将总结出用户在某一[wiki]对象[/wiki]上具有什么样的权限。该对象建立在所有和它的ACL(当用户及所有的用户组成员设置被应用时)相适应的安全设置的基础上。简单点说,当你进入2003中一个对象的的属性时,选择“安全”标签并点击“高级”按钮。你将会看到三个标签:权限(Permissions)、所有人(Owner)和“有效权限”。前两个是通用的,它们会被暂时选定。如果你进入“有效权限”标签,你可以对用户或组进行选择。当你选择了一个组或用户时,Windows将会分析对象可能被放置的所有次级组,并提供“有效权限”信息的一个精确摘要。
信任机制(Trust):
[color=#FFFFFF'][/color]
WindowsServer2003的“信任”同Windows2000很相似。就如在Windows2000中一样,2003中所有网域的信任具有传递性的特点。假如你的网络中有三个网域:网域A、B和C。如果A信任B,而B信任C,那么A也信任C。
WindowsServer2003中新添加的功能有“ForestTrust”,它允许Forest与Forest之间的相互信任。这有什么作用呢?有了ForestTrust,你就再也不必在不同Forest的网域中建立信任,可以大大减少网络混乱以及人为错误所带来的潜在危险。另外,如果在网域的后端节点上添加一个网域时,该网域无需进一步设置就可以访问其他Forset中的资源。但Windows2003中的ForestTrust在不同的Forest中并不具备传递性。
[color=#FFFFFF'][/color]
Windows2003同时还带有一个经过完全重新编写的IIS。IIS6.0具有一系列全新特性,这将在本文的第七部分进行探讨。Windows2003还建立了CommonLanguageRuntime(CLR)。你可以要求CLR做什么呢?它可以核实软件是否可以在无错状态下运行,也可以核实是否具有适当的安全权限。“系统策略”(SystemPolicies)也同样经过了重写,减少了Windows缺省安装下所运行的服务项目(共19个),同时还有多顶服务以更低的权限运行。
“文件系统安全”(FileSystemSecurity)被大幅度降低,用户再也不能向驱动器的根目录写入数据。微软还计划在今年底之前陆续发布几个新的公用程序,给[wiki]管理[/wiki]员提供对其网络的更多控制权。比如,MACS。MACS是MicrosoftAuditCollectionServices%26;#8212;%26;#8212;“微软稽核集合服务”的简称。据我的了解,这个程序预计可以通过一些加密方法将“安全信息”导入一个[wiki]SQL[/wiki][wiki]数据库[/wiki]中,信息也可以从多台服务器中被收集到该位置。
让我们来了解一下WindowsServer2003中在“稽核”所作的增强。首先来看一看基于作业的“稽核”。WindowsServer2003支持一种新稽核[wiki]类[/wiki]型,它不只告知用户什么人访问了什么文件,同时还显示某人在访问文件时所作的操作。WindowsServer2003还可以对各个用户有选择性地进行稽核。用户可以稽核特定用户的行为,而不再是简单的系统级别的稽核。
接着来看看“文件加密”(FileEncryption)。还记得人们对2000加密问题的抱怨吗?如果有一位用户试图加密2000中的一个文件,那么它就是可以访问该文件的唯一用户。现在,2003支持文件的多用户加密。同时,离线文件夹可以以离线状态加密。
微软在相关主题的白皮书中提到了一些策略改变。以下是一些摘要:
1、改变策略以巩固默认安全性:
%26;#11749;%26;#34533;%26;#114341;%26;#57957;%26;#23078;%26;#3649;CL:增强型的ACL防止对根目录(c:\)的访问;
%26;#11750;%26;#41641;%26;#112168;%26;#59687;%26;#106789;%26;#23652;%26;#109249;CL从“Everyone:F”更改为“Everyone:R”;
%26;#11750;%26;#113958;%26;#85572;LL搜索顺序:从系统文件夹开始;
[color=#FFFFFF'][/color]
%26;#11749;%26;#96869;%26;#114313;nternetExplorer;
%26;#11749;%26;#10149;%26;#43045;%26;#65125;%26;#53221;%26;#66407;%26;#84518;%26;#36327;%26;#106793;%26;#103461;%26;#36271;%26;#116389;%26;#53221;%26;#66407;%26;#84518;%26;#36325;%26;#117287;%26;#118439;%26;#114791;%26;#44454;%26;#100;%26;#99044;%26;#99173;%26;#25446;%26;#101346;%26;#1797;veryone”成员,禁用在服务器上生成匿名SID和名称;
%26;#11749;%26;#65127;%26;#40615;%26;#106341;%26;#61863;%26;#104;%26;#128744;%26;#4905;%26;#103461;%26;#36271;%26;#116392;%26;#128807;苦%26;#118437;%26;#104996;%26;#99176;%26;#16232;%26;#128934;%26;#59748;%26;#122855;%26;#84519;%26;#40615;%26;#106341;%26;#61863;%26;#103;%26;#106790;%26;#117541;%26;#117800;%26;#84390;路%26;#116476;/P%26gt;
%26;#11749;%26;#117286;%26;#115557;%26;#43109;%26;#104998;%26;#34215;%26;#113573;%26;#120166;%26;#115557;%26;#43108;%26;#101223;%26;#118439;%26;#114792;%26;#61351;%26;#121740;anManCompatibilityLevel=2:在默认情况下WindowsSever2003将不会发出不安全的LanMan回应;
%26;#11753;%26;#114728;%26;#24659;MBPacket登录目录服务:提供客户端DCSMB通信的自动检测;
%26;#11749;%26;#57957;娩%26;#1705;%26;#5353;%26;#1711;%26;#116388;%26;#129125;%26;#127337;%26;#7911;%26;#111592;%26;#127463;%26;#57253;%26;#66406;%26;#34213;%26;#43045;%26;#61871;%26;#116476;/P%26gt;
%26;#11748;%26;#129958;%26;#85580;DAP签名;
%26;#11749;%26;#65128;%26;#71781;%26;#18917;%26;#66533;晤%26;#99174;%26;#87014;%26;#18415;%26;#116393;%26;#101542;%26;#55427;anonicalization型攻击;
%26;#11748;%26;#99173;%26;#20584;%26;#60968;%26;#97253;%26;#123174;%26;#78118;%26;#115695;%26;#116390;%26;#90665;%26;#104745;%26;#1001;%26;#117925;%26;#74535;%26;#81639;%26;#112617;卧%26;#121767;%26;#114213;%26;#23783;%26;#106789;%26;#18084;%26;#120420;%26;#129126;%26;#7151;%26;#116476;/P%26gt;
%26;#11753;%26;#103461;%26;#36264;%26;#128807;苦%26;#39400;%26;#4900;%26;#102118;%26;#59877;%26;#64551;若%26;#107490;%26;#1314;%26;#1317;%26;#64166;%26;#115303;%26;#59495;%26;#65957;%26;#71206;%26;#115302;%26;#119017;%26;#103471;%26;#116476;/P%26gt;
%26;#11749;%26;#10149;%26;#118439;%26;#119909;%26;#128998;%26;#59877;%26;#36261;%26;#104999;%26;#106791;车%26;#3621;%26;#42984;%26;#16239;%26;#116448;
%26;#11749;%26;#10149;%26;#118440;%26;#121638;%26;#55462;%26;#12646;%26;#105443;%26;#188;/P%26gt;
2、缺省关闭的服务:
%26;#11748;%26;#99173;%26;#57960;%26;#12617;IS;
%26;#11750;%26;#43368;%26;#55717;%26;#105007;%26;#115201;lerter);
%26;#11749;骨%26;#85287;%26;#69615;%26;#115203;lipbook);
%26;#11752;%26;#96232;%26;#101030;%26;#115557;%26;#43109;%26;#105001;%26;#81830;%26;#59759;%26;#116448;
%26;#11720;umanInterface设备访问;
%26;#11721;mapiCDROM刻录服务;
[color=#FFFFFF'][/color]
%26;#11721;CF\ICS;
%26;#11751;%26;#11881;%26;#97577;%26;#1700;%26;#129135;%26;#115209;ntersiteMessenging);
%26;#11752;%26;#60965;%26;#64486;%26;#96613;%26;#128488;%26;#60453;%26;#120175;%26;#115212;icenseLogging);
%26;#11725;essenger;
[color=#FFFFFF'][/color]
%26;#11726;etMeeting远程桌[wiki]共享[/wiki];
%26;#11726;etworkDDE;
%26;#11726;etworkDDEDSDM;
%26;#11749;%26;#65253;%26;#118821;%26;#74536;%26;#128807;%26;#33512;%26;#61417;%26;#97199;%26;#116448;
%26;#11732;elnet;
%26;#11751;%26;#111143;%26;#48102;%26;#115557;%26;#43112;%26;#128743;苦%26;#59559;%26;#84143;%26;#115220;erminalServiceSessionDiscovery);
%26;#11748;%26;#102121;%26;#9775;%26;#116448;
%26;#11735;ebClient;
[color=#FFFFFF'][/color]
%26;#11735;indows图象捕获(WIA);
%26;#11723;erberosKDC缺省状态下禁用,在DCPromo自动启用。
七、IIS6(InternetInformationServer):
[color=#FFFFFF'][/color]
IIS6.0多个最优的增强都包含在WindowsServer2003之中。它已经过了完全的重新设计,不仅适应了微软的新安全策略,也具有了真正的基于Web应用程序服务器的功能。
工作进程隔离(WorkerProcessIsolation):
“工作进程隔离”是WindowsServer2003的IIS所带有的一个新特性,它可以将各个服务器程序隔离开来使它们不致相互干扰。协助IIS5.0的有两个进程:InetInfo.exe和DLLHost.exe。IIS6.0则使用了HTTP.sys、WWW服务管理及监视组件。这两个应用程序都不会直接同安装在Web服务器上的任何Web服务器程序结合起来,但可以简单地连线和分析任何请求。“ProcessorAffinity”是IIS6.0的另一个新特性,它使IIS的性能得到了另一个实质性的增强!
[img]http://www.yuyd.com/upimg/20070203/11F434a62601N116.jpg[/img]
安全性能是IIS另一方面的增强。在我看来,IIS6.0之所以比其他版本的IIS在安全性上有所增强,主要原因有以下四个:
[color=#FFFFFF'][/color]
%26;#11721;IS缺省禁用;
%26;#11749;%26;#64484;%26;#122855;%26;#84487;PO禁用IIS;
[color=#FFFFFF'][/color]
%26;#11749;%26;#57960;%26;#12644;%26;#103141;蝥%26;#16676;%26;#107433;%26;#82021;%26;#59047;%26;#44454;%26;#111;%26;#116476;/P%26gt;
%26;#11749;%26;#120019;erver2000进行升级时,IIS处于禁用状态,除非运行了IIS锁定程序或明确地输入了注册表项目。
[color=#FFFFFF'][/color]
每当我们想要锁定WindowsServer2000时,第一步是删除多余的IIS。Windows2000在缺省状态下是安装了IIS的。我们知道关闭服务器中的安全隐患的第一步是去除可能存在的缺陷,堵住其他漏洞。所以,如果你需要IIS,你现在再也无需去堵塞漏洞了,微软已帮你完成。为了给管理人员对他们的[wiki]计算机[/wiki]网络有一步的控制权,微软还为我们提供了另一个方便的特性:我们现在可以使用组策略删除IIS。
IIS还以两种方式将你的系统同微软的.NetPassportService集成起来。其中之一是将活动目录用户账户同.NetPassport捆绑在一起。你还可以在IIS6.0WebServer同.NetPassport认证服务上集成你的Web应用程序。
以前,通过IIS的认证几乎都是基于对象的。如果你想使你的站点上的每个页面都安全的话,你要使用NTFS权限。IIS6.0在认证方面作了些更改,现在是基于任务,而不是基于对象。
八、终端服务:
Windows2003中的终端服务也同样作了大幅度的改善。客户端具有2000中所没有的功能更强的选项。如果你使用过Windows[wiki]XP[/wiki]的“RemoteDesktop”,你将会觉得Windows2003Server的终端服务新客户端(称为RemoteDesktopClient)的一些特性似曾相识。
使用Windows2000的终端服务实作,你可以通过本地机访问的资源数目有所限制。在2003中,你将可以访问到更多,分列如下:
[color=#FFFFFF'][/color]
1、文件系统;
2、[wiki]端口[/wiki];
[color=#FFFFFF'][/color]
3、打印机;
4、音频;
5、智能卡账号;
6、WindowsKey;
7、时区;
8、虚拟通道。
[color=#FFFFFF'][/color]
“RemoteDesktopWebControl”是Windows2003另一个全新的特性。如果你拥有带有IIS的Windows2000,你可以登录微软[wiki]网站[/wiki]下载“终端服务高级客户端”(TerminalServicesAdvancedClient)。它同RemoteDesktopWebControl基本相同。RemoteDesktopWebControl是一个增强型的ActiveX控件/COM对象,它允许人们在没有安装客户端应用程序的客户端机器上通过一个[wiki]URL[/wiki]登录到终端服务。
在Windows2000中你可以选择“远程管理”或应用程序的模式安装终端服务。在2003中,每一个组件都是可以独立设置的,它们也被各自命名。一个叫做“RemoteDesktopforAdministration”,另一个就是“终端服务”。“RemoteDesktopforAdministration”可以通过访问控制面板中的“系统”图标来启用,“终端服务”可通过“添加\删除程序”进行安装。
为了允许某一用户访问终端服务,你可以将该用户或该用户所属的组添加到“RemoteDesktop用户组”中。连接到终端服务器经过了128位加密。
九、结论:
以下是对WindowsServer2003各个等级的评价:
[color=#FFFFFF'][/color]
1、安装:90%;2、界面:88%;3、特性:91%;4、性价比:90%;5、总体评价:89.75%。
