的服务器并不需要所有这些端口。SPl中包含的防火墙允许管理员禁用不必要的TCP和UDP端口。所有的端口被划分为三个不同的范围:众所周知的端口(0~1023)、注册端口(1024~49151)、动态,私有端口(49152~65535)。众所周知的端口都被操作系统功能所占用;而注册端u则被某些服务或应用占用。动态/私有端门则是没有任何约束的。
如果能获得一个端口和所关联的服务和应用的映射清单,那么管理员就可以决定哪些端口是核心系统功能所需要的。举例来说,为了阻止任何Telnet或FTP传输路径,我们就可以禁用与这两个应用相关的通讯端口。同样地,知名软件和恶意软件使用那些端口都是大家所熟知的,这些端口可以被禁用以创造一个更加安全的服务器环境。最好的做法是关闭所有未用的端口。要找到服务器上的那些端口是开启状态、监听状态还是禁用状态,使用Nmap工具是一个比较简单高效的方式,默认情况下,SCW关闭所有的端口,当设定安装策略的时候再打开它们。
(3).管理好各种服务
增强服务器免疫力最有效的方法是不安装任何与业务不相关的应用程序,并且关闭不需要的服务。虽然在服务器上安装一个电子邮件客户端或管理工具可能会使管理员更方便,但是,
如果不直接涉及到服务器的功能,那么我们最好不要安装它们。在Windows Server2008上,有100多个服务可以被禁用。举例来说,最基础的安装包含DHCP服务。不过,如果我们不打算利用该系统作为一个DHCP服务器,禁用tcpsvcs.exe将阻止该服务的初始化和运行。希望大家记住,并非所有的服务都是可以禁用的。举例来说,虽然远端过程调用(Remote Procedure Call、RPC)服务可以被Blaster蠕虫所利用,进行系统攻击。不过它却不能被禁用,因为RPC允许其它系统过程在内部或在整个网络进行通讯。为了关闭不必要的服务,我们可以通过“控制面板”的“管理工具”打开“服务”管理工具进行管理。双击对于的服务,打开“属性”对话框,在“启动类型框”中选择“禁用”即可。
阻止服务器执行有害的或者无意识的操作,是强化服务器的首要的目标。为了确保所执行的操作是都是正确的并且合法的。那么就得创建全面的事件日志和健壮的审计策略。通过一致性的约束,强大的审计策略应该是健壮的Windows Server 2008服务器的一个重要组成部分。成功和失败的帐户登录和管理尝试,连同特权使用和策略变化应该被审核的记录。
在Windows Server2008中。创建的日志类型有:应用日志、安全日志、目录服务日志、文件复制服务(File Replication Service)日志和DNS服务器日志。这些日志都可以通过事件查看器(Event Viewer)临测。同时事件查看器还提供广泛的有关硬件、软件和系统问题的信息。在每个日志条目里,事件查看器显示五种类型的事件:错误、警告、信息、成功审计和失败审计。
6、其他安全部署措施
(1).未雨绸缪,进行基线备份
在我们花费了大量时间和精力强化你的Windows Server 2008服务器时,大家所要做的最后一步是创建一个0/full级别的机器和系统状态备份。一定要对系统定期进行基线备份,这样当有安全事故发生时,我们就能根据基线备份对服务器进行恢复。可以说,基线备份就是服务器的”还魂丹”。在对Windows Server 2008服务器的主要软件和操作系统进行升级后,务必要对系统进行基线备份。
(2).密切关注用户帐户
为了确保服务器的安全性,还需要密切注意用户帐户的状态。不过,管理帐户是一个持续的过程。用户帐户应该被定期检查,并且任何非活跃的、进行复制、共享的一般或测试账户都应该被删除。
(3).确保及时打上最新的系统补丁
强化服务器补丁是一个持续的过程,并不会因为安装了Windows Server 2008 SP2而结束。为了第一时间安装服务期升级/补丁软件,我们可以通过“系统菜单”中的“控制面板”启用“自动更新功能”。在“自动更新”选项卡上,选择“自动下载更新”。因为关键的更新通常要求服务器重新启动,大家可以给服务器设定一个安装这些软件的计划任务,从而尽可能小地影响服务器的正常运行。
总结:以上六个方面是笔者在Windows Server 2008学习以及实战部署中总结的一些经验,希望能够帮助到你们。
9 7 3 1 2 3 4 8 :
本文来源:不详 作者:佚名