【ChinaBeta.Cn 操作系统中心】
这篇文章基于 Windows Server 2008 的预发布版。文中的所有信息均可能发生变更。
在 2005 年,Microsoft 发布了 Windows Server 2003 SP1。该 service pack 在 Windows 中引入了第一款基于角色的安全管理工具:安全配置向导 (SCW)。Microsoft 首先希望将 SCW 设计成为一款能够减少受攻击面的工具。其目的是分析
您在用计算机实际做些什么,然后自动配置计算机来支持您需要的角色,同时禁用那些没有用到的角色和服务。
Windows Server® 2008 保留了 SCW,其中使用新角色进行了更新并集成了新的 Windows® 防火墙。但是,它仍像过去一样,是一款高级的管理工具。
Windows Server 2008 还包括新的基于角色的“ 服务器管理器”工具及其系列:“添加角色”和“添加功能向导”。在 Windows Server 2008 中,不是采用老式的“添加/删除 Windows 组件”控制面板来添加单个组件,现在您可以使用角色管理工具来配置 服务器。Byron Hynes 在“使用 服务器管理器配置角色”一文中介绍了这些工具,该文章也可在本期 《TechNet 杂志》中找到。 “添加角色”和“添加功能向导”被设计用来使用正确的组件配置 服务器,以支持所选择的角色。这同时也会对内置的防火墙进行配置,以确保这些角色正常工作。有鉴于此,您可能想知道是否仍有必要使用 SCW。当然,许多管理员将不再需要 SCW。但是,仍有两个群体将 SCW 视为无法替代的工具。第一个群体是偏执的安全人员。他们很欣赏 SCW 能够将安全性提高到一个新水平。 您可以把“添加角色”和“添加功能向导”看作是能够选择默认 服务器并加以配置以可靠支持所需角色和功能的工具。另一方面,SCW 也是对您的 服务器加以配置以仅支持所需角色和功能的工具。SCW 还具有教学效果,可帮助您了解有关如何配置 服务器的更多信息。因此,我强烈建议您在使用 服务器的补充角色和功能对 服务器进行配置后运行 SCW。 第二个群体由那些希望了解各种组件之间关系的用户组成。SCW 包含一组 XML 文件,其中记录了角色和功能、服务以及网络端口之间的关系。如果您想了解各种组件的需要,则 SCW 是一个非常有价值的工具。
在本专栏中,我将介绍 SCW 的工作原理以及如何用它来保护您的 服务器。此外,我还会对 SCW 和“ 服务器管理器”工具进行比较。请注意,本专栏系根据我的 Windows Server 2008 Security Resource Kit (Microsoft Press ®, 2008) 一书改编而成。
安全配置向导概述
为了设置此阶段,我想展示一些有关 Windows Server 2008 攻击面的统计信息。在通过添加角色和功能的个人选择来配置 服务器之前,它仍具有相当重要的服务空间。默认情况下,Windows Server 2008 有 105 个服务,其中 42 个设置为自动启动、55 个设置为手动启动、8 个被禁用。而在全新安装的 Windows Server 2003 R2 SP2 中,默认情况下会安装 86 个服务,其中 34 个设置为自动启动、32 个设置为按需启动、20 个被禁用。 即使在角色隐喻和支持的默认角色减少的情况下,Windows Server 2008 仍有较大的空间,并需要您在强化 服务器时特别加以注意。利用 SCW,您可以逐步为特定 服务器创建自定义的安全配置。 SCW 采用与现有工具完全不同的方法来对 服务器进行强化。它通过角色隐喻来配置 系统以支持那些角色和少量其他项(如果有的话)。虽然 SCW 可帮助配置防火墙(类似于“添加角色”和“添加功能向导”),但是 SCW 同时还会禁用不必要的服务并配置一些附加的安全设置。最后,“添加角色”和“添加功能向导”只能安装和配置 Windows 中内置的角色,但 SCW 却是可扩展的。开发人员或管理员可编写自定义的角色或功能配置文件,然后使用 SCW 来配置任何产品。 SCW 设计用于在安装了 服务器中应具有的所有角色和功能后使用。如果 服务器中还有第三方应用程序,则也应该在运行 SCW 前安装它们。 为了演示它的工作原理,我已经配置了一个具有三个角色(应用程序 服务器、DNS 服务器和 Web 服务器)和两个功能(Microsoft ® .NET Framework 3.0 功能和 Windows Process Activation Service)的 服务器。这不是一组特别符合逻辑的角色和功能,但却是用来说明本讨论的一个非常好的示例。 要启动 SCW,请从“Administrative Tools”(管理工具)菜单中运行 SCW。您将看到如图 1 所示的对话框。
图 1 SCW 首先会询问您要执行什么操作 (单击该图像获得较大视图) 第一步要选择是创建一个新的安全策略、编辑或应用现有策略还是回滚策略以使 系统恢复到原始设置。各个选择项都非常容易理解。 如果选择创建新安全策略,SCW 会创建一个新策略(使用某个计算机作为策略必须支持的模板)。它分析计算机并确定所支持的角色和功能,还会确保它们能够工作但不启用许多不必要的功能。
SCW 在原型模型上运行。它使用 XML 文件指定角色和功能的外观,包括安装了哪些文件、配置了哪些服务等。这就是需要在要制定策略的计算机上安装所有程序的原因。如果有第三方程序在安装时安装了 SCW 定义,则它们将被无缝集成。但是,如果第三方程序没有安装 SCW 定义,则需要手动配置它们。
正如您所见,您可以在一个 系统上创建一个策略,然后将其应用到许多 系统。如果您正在构建具有许多 系统的网络,应首先定义全部单独配置的主机类。然后可使用其中一个作为原型来创建策略,接下来可以很容易地将策略应用到所有其他 系统,只需进行少量修改甚至不必进行任何修改。 单击“Next”(下一步)时(在图 1 所示的对话框中),向导会询问您要使用哪个计算机作为新策略的基准(或原型)。通常选择本地计算机,但也可选择使用远程计算机作为原型。
指定要使用的 系统后,即进入分析阶段。此时,SCW 将枚举您已安装的角色和功能,并将其与角色和功能数据库相匹配。数据库包含的信息包括每个角色和功能使用了哪些服务、它们需要哪些网络端口以及其他一些重要信息。分析完成后,可单击“View Configuration Database”(查看配置数据库)来查看“Security Configuration Wizard”(安全配置向导)找到的内容。请注意,这是一个只读视图,它显示了有关计算机配置的全面信息。实际上,如果您想真正了解计算机中的内容,则可以花费足够的时间来研究此信息。 [1] [2] [3] 下一页
(责任编辑:hahack)
|
[
[