返回列表 回復 發帖

Windows伺服器強化

我們聽說過很多關於伺服器強化的事情,但究竟什麼樣的伺服器才算是強化的Windows伺服器呢?有些IT審計人員把它定義為一個系統,該系統要遵循普遍認可的強化內容列表。某些比較偏執的人則認為它是一個完全鎖定的伺服器,以至於沒人能夠連接到該伺服器。如果你問某些管理人員什麼是強化的伺服器,他們經常會繞圈子,然後反問你“強化是什麼意思?”

如果參考行業推薦標準,你可能認為你的Windows系統是世界上最不安全的。不用太擔心這個。雖然網路安全Windows基準中心以及美國國防部STIG有其重要性,但是嚴格按照書本上去做所有的事情並不總是那麼可行。你必須同時兼顧Windows安全和業務需求。

似乎每個人對Windows系統強化都有不同的看法。儘管如此,在系統的強化級別方面還是應該有一個共識。那麼你需要關注哪些東西呢?這很簡單,就查看那些檢查過的內容。你上一次安全評估的結果是什麼?你的審計人員在尋找什麼,反對什麼?它是內部政策嗎?也許它是一個規定或者標準?也許這就是其他人認為的最佳做法?

在你花費時間、金錢和精力強化系統之前,你需要知道你要滿足哪些要求。如果你不知道這些,舉個來說,如果你從來沒有進行過獨立的評估或者內部審計,那麼你就必須從某個地方開始,對不對?

在大多數情況下,許多人都怕麻煩,不願意強化他們的Windows伺服器配置,直到發生事故。這就是說,你必須要現實一些,自覺地進行 Windows強化工作。看看哪些東西比較重要。為SMB(伺服器資訊塊)通信進行數字簽名以及審計目標跟蹤和過程跟蹤真的會給你帶來好處嗎?特別是審計和評估就要開始時?應該不會。那麼重新命名管理員和客戶帳號並禁用某些不需要的服務呢?嗯,你可能會這樣做。這取決於哪些東西會影響你的業務。我見過有管理員在很小的事情浪費精力,有人把主要精力放在低級問題上,而很重要的事情往往被忽視。

下麵是一些你現在就可以採取的Windows伺服器強化措施,它們會給你帶來很多好處(免費的!):

-鎖定共用檔,確保適當的人訪問適當的資訊。

-禁用SMB空對話連接,以防止有人到處刺探、收集系統配置資訊。

-啟用Windows防火牆,或者使用第三方的替代產品(這會限制別人在伺服器上或者對伺服器做手腳,並且只會讓boot用戶使用空對話連接)。

-確保安裝了最新補丁。(這仍然是Windows伺服器上的一個大問題。)

-運行殺毒軟體(不運行殺毒軟體是另一個常見的疏忽。)

-設置安全性高且合理的密碼。不要相信那些密碼神話。

-啟用帳戶登錄事件、帳戶管理和政策變化的成功審核功能。

-為暴露在外的系統使用磁片加密技術(伺服器會長腿哦)。

-確保你基本的活動目錄配置非常健全。

不管你用的是WindowsNT、2000、Server2003還是2008,抓住這些基本要領會給你的伺服器安全狀態帶來奇跡。可能沒必要(至少目前還沒有)去收緊系統中的每個角落和縫隙。你利用上述標準確立強化基準之後,如果業務風險證明它是對的,那麼你可以進一步加強對最關鍵伺服器的控制。
返回列表