用安全配置向導提高文件服務器安全性
安全配置向導是什么?有什么功能?如何安裝和使用呢?下文給出了利用安全配置向導提高文件服務器安全性的方法,具體內容如下所述。
安全配置向導功能(SecurityConfigurationWizard,SCW),WindowsServer2003ServicePack1和WindowsServer2003R2的一部分,是自動配置文件服務器安全策略的一種簡便方法。安全配置向導功能有效支持審核模式。首先它先檢測機器,報告機器的角色。接下來,你可以使用動態配置模式,只需要告訴向導你要為服務器配置什么角色。安全配置向導就會自動對服務器進行設定,按照需要對服務器和端口進行開關控制。
只有管理員才能安裝安全配置向導――要么是本地管理員,要么是域管理員。
安裝安全配置向導,按照以下步驟進行:
1.打開“控制面板”。
2.雙擊“添加/刪除程序”。
3.選擇“添加/刪除Windows組件”。
4.選擇“安全配置向導”框,點擊“下一步”。
5.按照提示,點擊“完成”。
應用安全配置向導中的設置:
1.打開安全配置向導。
2.選擇服務器屏出現,讓你選擇需要分析的服務器。選中要分析的機器后點擊“下一步”。
3.系統會一點點進行,之后,當程序完成后,會提醒你點擊“下一步”。
4.選擇服務器角色屏出現,如果文件服務器角色沒有被選中,點擊文件服務器角色,點擊“下一步”開始運行。
通過安全配置向導剩下的部分繼續運行,不過后邊的一些個人設置將根據服務器環境不同有所變化。
手動進行安全設置
如果你沒有運行WindowsServer2003ServicePack1,那么你將沒有選擇使用安全配置向導的機會。在這種情況下,按照以下設置選項你可以采用正確的方法,加強文件服務器的安全性。
使用NTFS(為“NewTechnologyFileSystem”縮寫,意思“新技術文件系統”)。在Windows中唯一經過認證的安全模式就是基于NTFS的卷標。
打開文件服務器上唯一需要得端口。為運行Windows2000和其它Windows操作系統的用戶進行基本文件共享,你將希望打開端口445;為運行Windows95,98,Me或NT4.0的用戶,你將希望打開端口137-139。如果你只有一個文件服務器,那么你不需要打開任何其它服務器端口――啟用這些端口很容易遭到攻擊。
啟用服務器信息塊(ServerMessageBlock,SMB)安全簽名,如果有必要就要求安全簽名。啟用這一選項,對所有文件和打印任務進行數字簽名是防止中間人攻擊(Man-in-the-middle-attacks,簡稱:MITM攻擊)的有用方法。你可以啟用簽名,WindowsServer2003會在通信中使用,但是如果WindowsServer2003在與老用戶(Windows2000之前的操作系統)進行通信那么默認情況下是無簽名通信。如果你的用戶運行Windows2000或以上的操作系統,你可以要求簽名,使Windows安全通信。這一選項可以通過一組注冊密碼,在以下地址進行操作:HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanManServerParameters.
考慮IPsec。IPsec可以管理網絡上計算機間的通信活動。如果你的文件服務器上有高靈敏度數據,那么就應該考慮使用IPsec,盡管它的管理費用驚人而且有較高的配置要求。
啟用目標利用審查和優先使用。使你清楚的了解誰在利用服務器上的什么資源,和當他們在服務器上使用了什么安全許可。這會產生追蹤報告,在特定情景中非常有用。在開始菜單,管理工具部分通過微軟管理控制臺的一部分――本地安全策略控制臺啟用審查策略。
創建一個安全模版
還是講以下如果你沒有ServicePack1,那么手動創建一個安全模板也是不錯的選擇,這樣你就可以對公司內多個文件服務器進行統一的安全配置。你可以創建一些安全模版,通過將它們添加到微軟管理控制臺窗口保存這些安全模版。
安全配置向導有一個選項,就是將所有安全設置輸出或通過一個向導做為.inf文件。這樣你可以通過安全配置向導或其它方法對公司內任何機器進行配置。這是對所有服務器,不僅是文件服務器實施統一安全策略的簡便、自動的方法。
總結:
希望本文介紹的利用安全配置向導提高文件服務器安全性的方法能夠對讀者有所幫助,更多有關操作系統的知識還有待于讀者去探索和學習。
【編輯推薦】
