Windows Server 2012最大的安全障礙是什么?
你的Windows Server 2012和Windows Server 2012 R2系統(tǒng)正在遭受攻擊的危險(xiǎn)。被認(rèn)為微軟最安全的服務(wù)器操作系統(tǒng)在大多數(shù)網(wǎng)絡(luò)中只是甕中之鱉。這是為什么呢?
還記得幾十年前當(dāng)微軟為了確保其Windows服務(wù)器操作系統(tǒng)安全時(shí)所做出的一系列糟糕的決定么?開(kāi)始是LAN Manager,后來(lái)是Windows NT。緊隨Windows NT其后的是Windows 2000 Server的未加密的密碼存儲(chǔ)在SAM數(shù)據(jù)庫(kù)中,網(wǎng)絡(luò)共享開(kāi)放給Everyone Group,以及無(wú)法預(yù)測(cè)的安全熱補(bǔ)丁和修補(bǔ)程序。另外還有Windows注冊(cè)表架構(gòu)。
那些日子已經(jīng)一去不復(fù)返了,伙計(jì)。大多數(shù)嚴(yán)重的漏洞都消失了。微軟已不再是問(wèn)題。
我們對(duì)這個(gè)公司時(shí)不時(shí)地表現(xiàn)出愛(ài)與恨,但微軟的使命召喚已經(jīng)不僅僅是保護(hù)其最新的服務(wù)器操作系統(tǒng)的安全了。這不僅是由于其強(qiáng)化了服務(wù)器角色配置向?qū)В€因?yàn)槠涮峁┑目蛻?hù)和社區(qū)的整體資源。例如,Security Compliance Manager(SCM) 基于組織的特定需求進(jìn)一步鎖定操作系統(tǒng)。
在我寫(xiě)這篇文章時(shí),我正進(jìn)行Windows Server 2012全新安裝的漏洞掃描,所有的角色和功能都啟用了頂級(jí)商業(yè)漏洞掃描器Rapid7 Nexpose。掃描時(shí)有沒(méi)有認(rèn)證都可以——除了尚未調(diào)整的密碼策略,未啟用遞歸DNS查詢(xún)尚和補(bǔ)丁之外,并沒(méi)有主要的安全缺陷。使用QualysGuard、LanGuard或其他漏洞掃描器也得到了大致相同的結(jié)果。
所以,如何確保Windows Server 2012的安全呢?對(duì)Windows Server 2012和Windows Server 2012 R2安裝經(jīng)過(guò)了更大范圍的安全評(píng)估和滲透測(cè)試,為什么漏洞還會(huì)出現(xiàn)呢?為什么還會(huì)出現(xiàn)違反合規(guī)性的情況呢?實(shí)際上答案很簡(jiǎn)單,但修復(fù)過(guò)程是復(fù)雜的:這是個(gè)人的問(wèn)題。
人們一旦參與,就會(huì)有安全風(fēng)險(xiǎn)。Windows Server 2012的安全掌握在我們手中,這里有三個(gè)例子:
業(yè)務(wù)流程要求快捷的訪(fǎng)問(wèn)。不是由正確的人考介入,考慮工程師安全選項(xiàng)或?qū)嵤┍匾木徑饪刂疲闆r變成了“開(kāi)放訪(fǎng)問(wèn),然后再解決問(wèn)題”。
合規(guī)和后續(xù)審計(jì)使人緊張。我知道的大多數(shù)人喜歡在必要的時(shí)候做點(diǎn)什么來(lái)敷衍了事,比如想辦法讓一個(gè)高級(jí)別的清單通過(guò)審計(jì),而不是花時(shí)間去解決核心問(wèn)題。一些最常見(jiàn)的原因包括缺乏溝通以及預(yù)算緊張。
人們不愿意找麻煩。隨大流的做法是簡(jiǎn)單又安全的,因此人們不會(huì)選擇對(duì)Windows Server 2012做點(diǎn)什么。在出現(xiàn)安全風(fēng)險(xiǎn)的時(shí)候,人們會(huì)猶豫地執(zhí)行復(fù)雜的密碼或應(yīng)用補(bǔ)丁,因?yàn)樗麄兒芰?xí)慣由廠(chǎng)商或部門(mén)主管做出決定。人們也可能猶豫地關(guān)閉服務(wù)器共享來(lái)避免任何內(nèi)部錯(cuò)誤或確保必要的資源用于妥善管理審計(jì)日志和安全事件。
當(dāng)你把人們按照這個(gè)方程式進(jìn)行規(guī)定,微軟最具彈性的操作系統(tǒng)會(huì)和它的上一任一樣終結(jié)生命。它處于最糟糕的安全狀態(tài)。
退后一步,看看你的環(huán)境并考慮實(shí)際需要的是什么,這樣做可以增加你的安全。你的Windows Server 2012和Server 2012 R2系統(tǒng)曾經(jīng)是安全的服務(wù)器,但現(xiàn)在已經(jīng)不是了。問(wèn)問(wèn)自己哪些正在運(yùn)行。更好的是,請(qǐng)教別人你需要注意什么。鼓起勇氣使用保護(hù)Windows Server 2012安全的權(quán)利。不僅僅是安裝操作系統(tǒng)——這是從核心解決人們的問(wèn)題。
