加强Windows Server 2003的安全性

防御的下一步是关于用户如何登录到系统中的。尽管认证有许多相关技术，比如生物认证、令牌、智能卡和单用密码，这些选项都可以保护Windows Server 2003的安全，大多数管理员同时使用用户名和密码，从本地或者远程登录到服务器上。通常都是默认的密码，这样就会带来麻烦（而且，请不要将默认选项中的old替换为@55w0rd！）。

虽然这应该是不言而喻的，但是如果你使用的是密码，那么就应该使用一个功能强大的策略：最少8个字母，包括大写字母、数字、以及非文字字符的组合，每隔一定时间进行更改，在特定的时间段内不要使用相同的密码。

一个强大的密码策略，加上多因素认证，这仅仅是开始。幸亏NTFS提供了 ACLs，可以给每个用户分配不同等级的多方面使用服务器的权力。文件访问控制和打印共享许可的合理设置应该是基于组群配置的，而不是基于“每个人”。这可以在服务器上操作，或者通过活动目录实现。

同样重要的是确保仅经过合理认证的用户才允许访问并编辑注册表。底线是要限制用户仅可以访问要求的服务和应用程序。

5. 你的工作尚未完成

保护你的主要服务器是一个持续不断的过程。千万不要认为，只要已经将服务器强化的像坚果一样强硬，无法破碎时，你的工作就完成了。

按照下面的步骤进行，确保你的所有工作不会化为乌有：

制定功能强大的审计和日志策略。虽然预防服务器中不必要的或者非故意的行为是强化服务器的主要目的，但是为了确保所采取的行动能够胜任任务，就要建立综合的事件日志和功能强大的审计策略。

随着遵守规则的出现，一个功能强大的审计策略应当是强化的Windows Server 2003的一部分。成功和失败的帐户登录与管理企图，以及权限的使用和策略的改变都应该初始化。

Windows Server 2003创建了如下类型的日志：应用程序、安全、目录服务、文件复制服务和DNS服务器。事件阅览器可以监测到所有这些日志，也能提供硬件、软件、和系统问题方面的详细信息。每个日志记录中，事件阅览器列出了五种事件：错误、警告、信息、成功的审计、以及失败的审计。

创建一个基线备份。你已经采取了初步和定期的措施，来强化Windows Server 2003，之后，最后一步是创建一个关于计算机和系统状态的“0/完全”级别的备份。计划保存这个备份，因为当安全事件发生以时，鉴别基线是与服务器的状态有关系的。在主要软件升级和操作系统更新以后，也要确保保存服务器的基线备份。

密切关注帐户。为了服务器的安全，管理帐户是一个不断进行的过程。用户帐户应当定期核查，并且任何不起作用的、完全相同的、共享的、普通的或者测试帐户，都应当删除。

保证补丁是最新的。强化服务器是一个持续的过程，并没有随着SP2 而结束。为了保证补丁是最新的，通过控制面板中的“系统”菜单，激活“自动更新”。在“自动更新”框中，选择“自动下载和更新”，此外，设置服务器在不干扰服务器的功能时 安装这些补丁，这是因为大多数主要的更新要求服务器重新启动。

（编辑：佛山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!