为Win2003服务器打造铜墙铁壁的方法步骤

Windows Server 2003是大家最常用的服务器操作系统之一。虽然它提供了强大的网络服务功能,并且简单易用,但它的安全性一直困扰着众多网管,如何在充分利用Windows Server 2003提供的各种服务的同时,保证服务器的安全稳定运行,最大限度地抵御病毒和黑客的入侵。Windows Server 2003 SP1中文版补丁包的发布,恰好解决这个问题,它不但提供了对系统漏洞的修复,还新增了很多易用的安全功能,如安全配置向导(SCW)功能。利用SCW功能的“安全策略”可以最大限度增强服务器的安全,并且配置过程非常简单,下面就一起来看吧!

  厉兵秣马 先装“SCW”

  大家都很清楚,Windows Server 2003系统为增强其安全性,默认情况下,很多服务组件是不被安装的,要想使用,必须手工安装。“SCW”功能也是一样,虽然你已经成功安装了补丁包SP1,但也需要手工安装“安全配置向导(SCW)”组件。

  进入“控制面板”后,运行“添加或删除程序”,然后切换到“添加/删除Windows组件”页。下面在“Windows组件向导”对话框中选中“安全配置向导”选项,最后点击“下一步”按钮后,就能轻松完成“SCW”组件的安装。

  安装过程就这么简单,接下来就能根据自身需要,利用“SCW”配置安全策略,增强Windows Server 2003服务器安全。

  配置“安全策略” 原来如此“简单”

  在Windows Server 2003服务器中,点击“开始→运行”后,在运行对话框中执行“SCW.exe”命令,就会弹出“安全配置向导”对话框,开始你的安全策略配置过程。当然你也可以进入“控制面板→管理工具”窗口后,执行“安全配置向导”快捷方式来启用“SCW”。

  1.新建第一个“安全策略”

  如果你是第一次使用“SCW”功能,首先要为Windows Server 2003服务器新建一个安全策略,安全策略信息是被保存在格式为XML 的文件中的,并且它的默认存储位置是“C:\WINDOWS\security\msscw\Policies”。因此一个Windows Server 2003系统可以根据不同需要,创建多个“安全策略”文件,并且还可以对安全策略文件进行修改,但一次只能应用其中一个安全策略。

  在“欢迎使用安全配置向导”对话框中点击“下一步”按钮,进入到“配置操作”对话框,因为是第一次使用“SCW”,这里要选择“创建新的安全策略”单选项,点击“下一步”按钮,就开始配置安全策略。

  2.轻松配置“角色”

  首先进入“选择服务器”对话框,在“服务器”栏中输入要进行安全配置的Windows Server 2003服务器的机器名或IP地址,点击“下一步”按钮后,“安全配置向导”会处理安全配置数据库。

  接着就进入到“基于角色的服务配置”对话框。在基于角色的服务配置中,可以对Windows Server 2003服务器角色、客户端角色、系统服务、应用程序,以及管理选项等内容进行配置。

  所谓服务器“角色”,其实就是提供各种服务的Windows Server 2003服务器,如文件服务器、打印服务器、DNS服务器和DHCP服务器等 , 一个Windows Server 2003服务器可以只提供一种服务器“角色”,也可以扮演多种服务器角色。点击“下一步”按钮后,就进入到“选择服务器角色”配置对话框,这时需要在“服务器角色列表框”中勾选你的Windows Server 2003服务器所扮演的角色。

  注意:为了保证服务器的安全,只勾选你所需要的服务器角色即可,选择多余的服务器角色选项,会增加Windows Server 2003系统的安全隐患。如笔者的Windows Server 2003服务器只是作为文件服务器使用,这时只要选择“文件服务器”选项即可。

  进入“选择客户端功能”标签页,来配置Windows Server 2003服务器支持的“客户端功能”,其实Windows Server 2003服务器的客户端功能也很好理解,服务器在提供各种网络服务的同时,也需要一些客户端功能的支持才行,如Microsoft网络客户端、DHCP客户端和FTP客户端等。根据需要,在列表框中勾选你所需的客户端功能即可,同样,对于不需要的客户端功能选项,建议你一定要取消对它的选择。

  接下来进入到“选择管理和其它选项”对话框,在这里选择你需要的一些Windows Server 2003系统提供的管理和服务功能,操作方法是一样的,只要在列表框中勾选你需要的管理选项即可。点击“下一步”后,还要配置一些Windows Server 2003系统的额外服务,这些额外服务一般都是第三方软件提供的服务。

  然后进入到“处理未指定的服务”对话框,这里“未指定服务”是指,如果此安全策略文件被应用到其它Windows Server 2003服务器中,而这个服务器中提供的一些服务没有在安全配置数据库中列出,那么这些没被列出的服务该在什么状态下运行呢?在这里就可以指定它们的运行状态,建议大家选中“不更改此服务的启用模式”单选项。最后进入到“确认服务更改”对话框,对你的配置进行最终确认后,就完成了基于角色的服务配置。

  3.配置网络安全

  以上完成了基于角色的服务配置。但Windows Server 2003服务器包含的各种服务,都是通过某个或某些端口来提供服务内容的,为了保证服务器的安全,Windows防火墙默认是不会开放这些服务端口的。下面就可以通过“网络安全”配置向导开放各项服务所需的端口,这种向导化配置过程与手工配置Windows防火墙相比,更加简单、方便和安全。

  在“网络安全”对话框中,要开放选中的服务器角色,Windows Server 2003系统提供的管理功能以及第三方软件提供的服务所使用的端口。点击“下一步”按钮后,在“打开端口并允许应用程序”对话框中开放所需的端口,如FTP服务器所需的“20和21”端口,IIS服务所需的“80”端口等,这里要切记“最小化”原则,只要在列表框中选择要必须开放的端口选项即可,最后确认端口配置,这里要注意:其它不需要使用的端口,建议大家不要开放,以免给Windows Server 2003服务器造成安全隐患。 
4.注册表设置

  Windows Server 2003服务器在网络中为用户提供各种服务,但用户与服务器的通信中很有可能包含“不怀好意”的访问,如黑客和病毒攻击。如何保证服务器的安全,最大限度地限制非法用户访问,通过“注册表设置”向导就能轻松实现。

  利用注册表设置向导,修改Windows Server 2003服务器注册表中某些特殊的键值,来严格限制用户的访问权限。用户只要根据设置向导提示,以及服务器的服务需要,分别对“要求SMB安全签名”、“出站身份验证方法”、“入站身份验证方法”进行严格设置,就能最大限度保证Windows Server 2003服务器的安全运行,并且免去手工修改注册表的麻烦。

  5.启用“审核策略”

  聪明的网管会利用日志功能来分析服务器的运行状况,因此适当的启用审核策略是非常重要的。SCW功能也充分的考虑到这些,利用向导化的操作就能轻松启用审核策略。

  在“系统审核策略”配置对话框中要合理选择审核目标,毕竟日志记录过多的事件会影响服务器的性能,因此建议用户选择“审核成功的操作”选项。当然如果有特殊需要,也可以选择其它选项。如“不审核”或“审核成功或不成功的操作”选项。

  6.增强IIS安全

  IIS服务器是网络中最为广泛应用的一种服务,也是Windows系统中最易受攻击的服务。如何来保证IIS服务器的安全运行,最大限度免受黑客和病毒的攻击,这也是SCW功能要解决的一个问题。利用“安全配置向导”可以轻松的增强IIS服务器的安全,保证其稳定、安全运行。

  在“Internet信息服务”配置对话框中,通过配置向导,来选择你要启用的Web服务扩展、要保持的虚拟目录,以及设置匿名用户对内容文件的写权限。这样IIS服务器的安全性就大大增强。

  小提示:如果你的Windows Server 2003服务器没有安装、运行IIS服务,则在SCW配置过程中不会出现IIS安全配置部分。

  完成以上几步配置后,进入到保存安全策略对话框,首先在“安全策略文件名”对话框中为你配置的安全策略起个名字,最后在“应用安全策略”对话框中选择“现在应用”选项,使配置的安全策略立即生效。

  利用SCW增强Windows Server 2003服务器的安全性能就这么简单,所有的参数配置都是通过向导化对话框完成的,免去了手工繁琐的配置过程,SCW功能的确是安全性和易用性有效的结合点。如果你的Windows Server 2003系统已经安装了SP1补丁包,不妨试试SCW吧!

(0)

相关推荐

  • 为Win2003服务器打造铜墙铁壁的方法步骤

    Windows Server 2003是大家最常用的服务器操作系统之一.虽然它提供了强大的网络服务功能,并且简单易用,但它的安全性一直困扰着众多网管,如何在充分利用Windows Server 2003提供的各种服务的同时,保证服务器的安全稳定运行,最大限度地抵御病毒和黑客的入侵.Windows Server 2003 SP1中文版补丁包的发布,恰好解决这个问题,它不但提供了对系统漏洞的修复,还新增了很多易用的安全功能,如安全配置向导(SCW)功能.利用SCW功能的"安全策略"可以最大

  • win2003服务器删除服务的方法

    删除服务一般有两个办法: 办法一: 用sc.exe这个Windows命令 开始--运行--cmd.exe,然后输入sc就可以看到了.使用办法很简单: sc delete "服务名" (如果服务名中间有空格,就需要前后加引号) 如针对上面的: sc delete mysql 办法二:直接进行注册表编辑 打开注册表编辑器,找到下面的键值: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 一般服务会以相同的名字在这里显示一个主健,直接

  • 同一台服务器(电脑)运行多个Tomcat的设置方法步骤

    大多人在Windows平台用的Tomcat都是免安装版本的,很自然想到复制几份目录,就是在同一个电脑上跑多个Tomcat服务了.实际上是不可以的.经过如下方法就可以实现统一台服务器(电脑)上运行多个Tomcat的目的了. 1.配置电脑"环境变量" 单个Tomcat的配置步骤不再重述,直接从配置第二个Tomcat开始.对电脑"环境变量"做调整,增加环境变量CATALINA_HOMEB,值为新的tomcat的地址. 2.更改Tomcat的 catalina.bat.st

  • Linux下批量修改服务器用户密码方法步骤

    密码快要过期.由于机器数量众多,因此采用批量修改密码的方式来进行处理. 下面是具体步骤: 1.配置ssh免key # ssh-keygen -t rsa -P '' -f ~/.ssh/id_rsa # ssh-copy-id 10.230.86.64 (由于只是需要单向的copy文件,因此我们配置63与64到91的boco用户免key即可) 2.测试免key是否配置成功 3.编写密码文件 将所有需要修改的用户与密码按下面格式写到文件里,注意中间不要有空行 vi userpasswdfile.t

  • 云服务器部署Node.js项目的方法步骤(小白系列)

    以aliyun为例,选购服务器建议选择CentOS, 配置按照自己的需求选择,付款成功后进入控制台页面,重置root密码即可远程登录服务器.可在控制台点击远程登录,也可在安装了ssh的主机上登录 # 查看公网ip # 以下为示例公网ip ssh root@150.77.1.85 环境安装 安装node.js # As root curl -sL https://rpm.nodesource.com/setup_12.x | bash - # No root privileges curl -sL

  • 从0开始简单部署腾讯云服务器的方法步骤

    由于是第一次发帖,如有写得不好,不对的地方希望大家在评论里指出,以后改进.谢谢!!!. 下面开始: 一:购买腾讯云: 首先进入腾讯云的官网:https://cloud.tencent.com/?fromSource=gwzcw.150044.150044.150044  注册后进行认证. 认证完了后选择 产品 - 云服务器 .如下图: 大家可按照自己的需要进行选择.我这里的话选择的是Windows 2008 便于操作. 如果大家只是想着弄来玩两天的话,腾讯有一个新用户15天的服务器体验活动,只需

  • 利用nginx搭建静态资源服务器的方法步骤

    以windows为例,linux其实一样: 搭建静态资源服务器 我电脑上的work文件夹下面有很多图片,我想通过nginx搭建静态资源服务器,通过在地址栏输入ip+port的方式完成目录的映射 找到nginx安装目录,打开/conf/nginx.conf配置文件,添加一个虚拟主机 添加监听端口.访问域名 重点是添加location, 映射-URL:/work/; 注意:如果当前server模块中已有一个location且URL为"/",那么新建的location的url应为匹配路径,不

  • 阿里云服务器购买搭建过程的方法步骤

    1.购买服务器 在示例中购买的为阿里云服务器,在校大学生可以购买阿里云的学生认证特权服务器 (云翼计划)网址:https://promotion.aliyun.com/ntms/act/campus2018.html 购买云服务器ECS 价钱比较便宜,一年的费用也就一百多块钱,这款服务器需要进行学生学信网认证,按照要求认证就行(此服务器比较抢手,会有一些服务器贩子天天抢,你不一定能抢上). 注意: 1.购买服务器的预装环境选择你自己电脑对应的系统 2.地域选择你相对应的地区 比如: 2.阿里云配

  • 使用TS来编写express服务器的方法步骤

    1. 前言 作为前端开发人员而言,ts已经成为了一项必不可少的技能,类型检查可以帮助我们再开发时避免一些不必要的bug,而且ts支持的类和装饰器等语法也更逼近后端语言,更适合服务器的开发. 本文将从零开始,搭建一个集成ts和eslint语法检查的express服务器. 2. 初始化express框架 我们可以使用官方提供的express生成器来快速生成express框架. 当然,express的初始化内容并不复杂,你也可以从一个app.js开始搭建自己喜欢的框架模式. # 使用express生成

  • Pycharm同步远程服务器调试的方法步骤

    1.需要准备工具 xftp:上传项目文件 本地下载地址:https://www.jb51.net/softs/81853.html xshell:连接Linux系统调试,执行命令 本地下载地址:https://www.jb51.net/softs/260508.html PyCharm:调试python代码 这些软件可以自行网上搜索下载 2.准备一个小项目 比如我的图书管理系统项目 3.服务器虚拟环境 可以在xshell中使用以下命令创建: python3 -m venv new_book ne

随机推荐