Windows Server 2003安全特性.docVIP

Windows Server 2003安全特性 Windows Server 2003的安全特性 过去，微软一直以在操作系统上捆绑许多额外特性而著称，这些额外特性大多数是以默认的服务访问权限进行安装的。Windows Server 2003打破了这种传统的模式，使得在Windows 2000 Server默认情况下能够运行的二十多种服务被关闭或者使其以更低的权限运行。 在Windows 2003中，两个最重要的安全特性的革新在于直接处理IIS与Telnet服务器。IIS与Telnet在默认的情况下都没有安装，并且这两个服务是在两个新的账户下运行，新账户的权限比正常系统账户的权限要低。如果恶意的软件危及到这两个服务时，这种革新将直接改善服务器的安全性。 和IIS与Telnet上的服务账户改进一起，Windows 2003还包含了大量的新的安全特性，也许，这些新的安全特性将是你决定升级到Windows Server 2003的决定因素。 新的安全特性 1．Internet连接防火墙（ICF）ICF是一个软件防火墙，它为用户的网络服务器提供了基本的端口安全性。它和用户当前的安全设备一起工作，给用户的关键的基础设施增加了一层保护。 2．软件限制策略软件限制策略使用策略与强制执行机制，来限制系统上运行的未授权的可执行程序。这些限制是一些额外的手段，以防止用户执行那些不是该公司标准用户软件套件中的程序。 3．网页服务器的安全性当装载了IIS 6.0的默认安装时，网页服务器的安全性将达到最大化。新的IIS 6.0安全特性包括可选择的加密服务，高级的摘要认证以及可配置的过程访问控制。 4．新的摘要安全包新的摘要安全包支持在RFC 2617中定义的摘要认证协议。该包对IIS与活动目录（AD）提供了更高级的保护。 5．改善了以太局域网与无线局域网的安全性不论连接的介质是什么，基于IEEE 802.1X规范改进了以太局域网与无线局域网的安全性，促进了用户与计算机的安全认证与授权。这些改进也支持公钥证书与智能卡的自动注册，使得能够对传统的位于或者横跨公共场所的网络进行访问控制，例如大学校园的广域网（WAN）与横穿大城市的政府广域网（WAN）。 6．凭证管理器对于所有的用户凭证，包括口令密码与X.509证书，凭证管理器提供了一个安全的仓库。这个特性使得单一的签名特性可以获得多个领域的信任。 7．Internet认证服务器与远程认证拨号用户服务器（IAS/RADIUS）Internet认证服务器与远程认证拨号用户服务器（IAS/RADIUS）控制远程的用户认证与授权访问。对于不同的连接类型，例如拨号上网，虚拟专用网（VPNs）以及防火墙连接，该服务都是很实用的。 8．FIPS——广为认可的内核模式加密算法联邦信息处理标准（FIPS）算法支持SHA-1、DES、3DES与一个随机数发生器。这种政府级的加密模式用于加密通过VPN使用第二层隧道协议（L2TP）与IP安全（IPSec）建立的连接，这种连接或是从客户端到服务器，或是从服务器到服务器，或是从网关到网关。 9．改进的SSL客户端认证安全套接字层（SSL）客户端认证的改进使得会话速度可以提高35%，而且多个进程可以缓存与共享会话。这样可以减少用户对应用程序的认证，从而减少应用程序服务器上的网络通信量与CPU工作周期。 10．增强的EFS加密文件服务（EFS）的改进允许管理员与用户提供给多个用户访问多组加密文件的可能。它还提供了额外的文件存储保护与最大数量的用户容量。 除了这些新的安全特性之外，微软已经发行了一个安全配置管理器，用于将整个操作系统的安全选项集合成一个管理控制台。 安全配置规则 一、物理安全 服务器应当放置在安装了监视器的隔离房间内，并且监视器应当保留15天以内的录像记录。另外，机箱、键盘、抽屉等要上锁，以保证旁人即使在无人值守时也无法使用此计算机，钥匙要放在安全的地方。 二、停止Guest帐号 在[计算机管理]中将Guest帐号停止掉，任何时候不允许Guest帐号登录系统。为了保险起见，最好给Guest帐号加上一个复杂的密码，并且修改Guest帐号属性，设置拒绝远程访问。 三、限制用户数量 去掉所有的测试帐户、共享帐号与普通部门帐号，等等。用户组策略设置相应权限、并且经常检查系统的帐号，删除已经不适用的帐号。 很多帐号不利于管理员管理，而黑客在帐号多的系统中可利用的帐号也就更多，所以合理规划系统中的帐号分配。 四、多个管理员帐号 管理员不应该经常使用管理者帐号登录系统，这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到，应该为自己建立普通帐号来进行日常工作。 同时，为了防止管理员帐号一旦被入侵者得到，管理员拥有备份的管理员帐号还可以有机会得到系统管理员权限，不过因此也带来了多