Windows Server 2003作为Microsoft 最新推出的服务器操作系统,不仅继承了Windows 2000/XP的易用性和稳定性,而且还提供了更高的硬件支持和更加强大的安全功能,无疑是中小型网络应用服务器的当然之选。本文就Windows 2003在企业网络应用中企业帐户和系统监控方面的安全策略制定作出一些说明,希望能对大家起到抛砖引玉的效果,最终的目标是确保我们的网络服务器的正常运行。
在Windows系统中可以通过一系列的安全设置,并同时制定相应的安全策略来实现。在Windows Server 2003系统中,可以通过在安全策略中设定“密码策略”来进行。Window Server 2003系统的安全策略可以根据网络的情况,针对不同的场合和范围进行有针对性地设定。例如可以针对本地计算机、域及相应的组织单元来进行设定,这将取决于该策略要影响的范围。
对于基于Windows Server 2003的远程访问服务器来说,默认情况下将允许具有拨入权限的所有用户建立连接。因此,安全防范的第一步就是合理地、严格地设置用户账户的拨入权限,严格限制拨入权限的分配范围,只要不是必要的就不给予此权限。对于网络中的一些特殊用户和固定的分支机构的用户来说,可通过回拨技术来提高网络安全性。这里所谓的回拨,是指在主叫方通过验证后立即挂断线路,然后再回拨到主叫方的电话上。这样,即使帐户及其密码被破解,也不必有任何担心。需要注意的是,这里需要开通来电显示业务。
在Windows Server 2003网络中,如果活动目录工作在Native-mode(本机模式)下,这时就可以通过存储在访问服务器上或Internet验证服务器上的远程访问策略来管理。针对各种应用场景的不同,可以设置多种不同的策略。具体的管理比较复杂,由于篇幅有限,大家可参考相关资料,这里就不再作详细介绍。
5、限制特权组成员 在Windows Server 2003网络中,还有一种非常有效的防范黑客入侵和管理疏忽的辅助手段,这就是利用“受限制的组”安全策略。该策略可保证组成员的组成固定。在域安全策略的管理工具中添加要限制的组,在“组”对话框中键入或查找要添加的组。一般要对管理员组等特权组的成员加以限制。下一步就是要配置这个受限制的组的成员。在这里选择受限制的组的“安全性(S)”选项。然后,就可以管理这个组的成员组成,可以添加或删除成员, 当安全策略生效后,可防止黑客将后门账户添加到该组中。
由于历史原因,基于IP的网络通信技术没有内建的安全机制。随着互联网的发展,安全问题逐渐暴露出来。现在经过各个方面的努力,标准的安全架构也已经基本形成。那就是IPSec机制,并且它将作为下一代IP网络标准IPv6的重要组成。IPSec机制在新一代的操作系统中已经得到了很好的支持。在Windows Server 2003系统中,其服务器产品和客户端产品都提供了对IPSec的支持。从而增强了安全性、可伸缩性以及可用性,同时使部署和管理更加方便。
在Windows Server 2003系统的安全策略相关的管理工具集(例如本地安全策略、域安全策略、组策略等)中,都集成了相关的管理工具。为清楚起见,通过Microsoft管理控制台MMC定制的管理工具来了解一下。
对Windows Server 2003的服务器和工作站系统来说,为了不影响系统性能,默认的安全策略并不对安全事件进行审核。从“安全配置和分析”工具用SecEdit安全模板进行的分析结果可知,这些有红色标记的审核策略应该已经启用,这可用来发现来自外部和内部的黑客的入侵行为。对于关键的应用服务器和文件服务器来说,应同时启用剩下的安全策略。
监测本机的共享连接具体方法如下:在Windows Server 2003的计算机中,打开“计算机管理”工具,并展开“共享文件夹”选项。单击其中的“共享”选项,就可以查看其右面窗口,以检查是否有新的可疑共享,如果有可疑共享,就应该立即删除。另外还可以通过选择“会话”选项,来查看连接到机器所有共享的会话。Windows NT/2000的IPC$共享漏洞是目前危害最广的漏洞之一。黑客即使没有马上破解密码,也仍然可以通过“空连接”来连接到系统上,再进行其他的尝试。
Windows Server 2003作为Microsoft 最新推出的服务器操作系统,不仅继承了Windows 2000/XP的易用性和稳定性,而且还提供了更高的硬件支持和更加强大的安全功能,无疑是中小型网络应用服务器的当然之选。本文就Windows 2003在企业网络应用中企业帐户和系统监控方面的安全策略制定作出一些说明,希望能对大家起到抛砖引玉的效果,最终的目标是确保我们的网络服务器的正