每当你安装一项新的服务时,系统会静待你运行一个向导来启用该功能。对!微软最终关闭了系统中的所有服务,你必须在需要时启动它。但别担心,它还不至于像Linux那样复杂。尽管每项功能都被关得死死的,但伴随新安全架构应运而生的新向导对用户十分有帮助,详细得可以明确地了解用户所需的操作。如此一来,在对系统进行安全设置时,你可以减少很多顾虑。我记得当年在操练Windows 2000新的安全特性时,要参考很多资料才下得了手。而Windows 2000已经算好了,Windows NT 4中的“信息VOID”更令人不敢恭维。但当你使用2003之后,你就轻松许多了!
“文件系统安全”(File System Security)被大幅度降低,用户再也不能向驱动器的根目录写入数据。微软还计划在今年底之前陆续发布几个新的公用程序,给管理员提供对其网络的更多控制权。比如,MACS。MACS是Microsoft Audit Collection Services——“微软稽核集合服务”的简称。据我的了解,这个程序预计可以通过一些加密方法将“安全信息”导入一个SQL数据库中,信息也可以从多台服务器中被收集到该位置。
让我们来了解一下Windows Server 2003中在“稽核”所作的增强。首先来看一看基于作业的“稽核”。Windows Server 2003支持一种新稽核类型,它不只告知用户什么人访问了什么文件,同时还显示某人在访问文件时所作的操作。Windows Server 2003还可以对各个用户有选择性地进行稽核。用户可以稽核特定用户的行为,而不再是简单的系统级别的稽核。
接着来看看“文件加密”(File Encryption)。还记得人们对2000加密问题的抱怨吗?如果有一位用户试图加密2000中的一个文件,那么它就是可以访问该文件的唯一用户。现在,2003支持文件的多用户加密。同时,离线文件夹可以以离线状态加密。
微软在相关主题的白皮书中提到了一些策略改变。以下是一些摘要:
1、改变策略以巩固默认安全性:
·创建安全根ACL:增强型的ACL防止对根目录(c:\)的访问;
·把默认的共享ACL从“Everyone:F”更改为“Everyone:R”;
·更改DLL搜索顺序:从系统文件夹开始;
·巩固Internet Explorer;
·增加对匿名用户的限制:匿名用户在缺省状态下不再是“Everyone”成员,禁用在服务器上生成匿名SID和名称;
·对空白密码进行限制:远程机器不能连接使用空白密码的本地账户;
·在服务器或目录服务中缺省设置LanManCompatibilityLevel=2:在默认情况下Windows Sever 2003将不会发出不安全的LanMan回应;
·需要SMB Packet登录目录服务:提供客户端DC SMB通信的自动检测;
·安全通道通:信必须经过签名或加密;
·修改LDAP签名;
·对象大小写不敏感:防止Canonicalization型攻击;
·不允许路径泄漏:消除透露和系统配置相关的多余信息;
·限制远程执行主控台程序——只有管理员有权限;
·增强网域控制器的稽核功能;
·增强转换情景。
2、缺省关闭的服务:
·不安装IIS;
·报警器(Alerter);
·剪贴簿(Clipbook);
·跟踪服务器链接;
·Human Interface设备访问;
·Imapi CDROM刻录服务;
·ICF\ICS;
·点间通信(Intersite Messenging);
·许可日志记录(License Logging);
·Messenger;
·NetMeeting远程桌共享;
·Network DDE;
·Network DDE DSDM;
·寻址和远程访问;
·Telnet;
·终端服务进程探索(Terminal Service Session Discovery);
·主题;
·WebClient;
·Windows图象捕获(WIA);
·Kerberos KDC缺省状态下禁用,在DCPromo自动启用。
