微软软件保护服务器,微软 Windows Server 2008 R2：保护您的 Windows 服务器 | Microsoft Docs...

微软 Windows Server 2008 R2：保护 Windows Server 的安全

08/17/2016

本文内容

面对众多选项，为 Microsoft Windows Server 基础结构确定适当的安全功能和设置颇具挑战性。

Brien M。 Posey

Microsoft 提供了大量的 Windows Server 2008 R2 的安全机制。 有这么多的选择，它可以很难知道哪些个人安全机制和应使用来充分地保护您的服务器的安全的设置。

有很多技术获取 Windows Server 2008 R2 的各种安全功能。 没有任何单一的文章可以涵盖所有 Windows Server 2008 R2 的安全功能的方法 — — 这就需要一本大型的书。 所以这篇文章，我想强调的一些可能会对大部分的你最有利的技术和安全功能。

当在 Windows Server 2008 R2 保护时，有两个阶段，您需要考虑：部署前和部署后的安全。 你最好能想到的部署前安全作为安全规划。 如果你要设置的新服务器，有某些甚至开始安装过程之前应考虑的安全注意事项。

服务器角色分离

在部署前安全规划中所涉及的主要任务之一采取措施减少您的服务器的受攻击面。 攻击表面减少基于概念更多的代码正在运行的系统上，更大可能性该代码包含一个可以利用的漏洞。 为了减少您的服务器的攻击面，您需要确保这些服务器未运行任何不必要的代码。

建议您采取算一步进一步，不过，你的安全态势的效率最大化。 作为一般的最佳做法，您应该配置每个服务器执行一项特定任务。 例如，服务器已配置为充当文件服务器上运行 DNS 服务和动态主机配置协议 (DHCP) 服务，而不是从安全的角度看，在专用的服务器上运行的每个角色更好。 不只这不会帮助减少攻击面，它也会使任何所需疑难解答变得更容易，因为每个服务器正在运行一个不那么复杂的配置。

这是可以理解的有时使用单独的服务器，每个角色不实际，因为成本或因功能的需求。 即便如此，它是一个好主意，每当您可以隔离服务器角色。

服务器虚拟化可以帮助进一步降低成本。 例如，Windows Server 2008 R2 企业版许可使用最多四个虚拟机 (Vm) 内，只要基础物理服务器正在运行 HYPER-V 和没有别的。

使用服务器核心

降低服务器的攻击面另一种策略是将其配置为运行服务器核心。 服务器核心是基本的 Windows Server 2008 R2 安装不包含完整的图形化用户界面。

服务器核心部署运行的系统服务的最小集，因为他们有比传统的 Windows 服务器部署的很多较小的攻击面。 服务器核心安装也往往比完全 Windows 服务器安装更好地执行。 服务器有处理系统开销较小，这使得 Vm 内使用的理想选择。

不幸的是，不能使用服务器核心对于所有 Windows Server 2008 R2 部署，因为只有某些系统服务和相对较少的服务器应用程序可以在服务器核心部署运行。 为此，这是最好地部署服务器核心，但要接受这个事实，你不能在所有的服务器上使用它 — — 至少现在。

组策略规划

规划部署前的安全是重要的但事情一旦启动并运行，您的安全最佳做法应包括正在进行的组策略管理和规划。 它是明智的组策略设置在 Windows 部署之前考虑到。 您还需要调整策略设置随着时间的推移，随着您的安全需求的发展。

虽然您可以充分管理组策略设置，使用 Windows Server 2008 R2 附带的工具，Microsoft 提供了被称为安全法规遵从性管理器 (SCM)，可以简化过程的免费工具。 供应链管理下载这里。 安装过程很简单，并使用一个简单的向导。 只需确保您选择了告诉安装向导检查更新复选框。

一旦安装在供应链管理，您可以通过服务器的开始菜单启动它。 当您第一次运行它时，软件要导入多个不同的安全基线软件包。 此过程可能需要几分钟才能完成。

一旦您已经导入安全基线，您将看到一个基线控制台树中的类别列表。 展开以查看可用的 Windows Server 2008 R2 基线的 Windows Server 2008 R2 SP1 容器。 Microsoft 提供的多个不同的服务器角色的安全基线 (请参见图 1)。

图 1 安全法规遵从性管理器提供了 Windows Server 2008 R2 数量的不同安全基线。

Microsoft 提供的每个基线代表认为该单个服务器角色的最佳的组策略设置的集合。 虽然微软的安全最佳做法，坚持基线，盲目接受安全基准被不坏的实践。 您的组织将有它自己独特的安全需求。 通常，Microsoft 建议您除了默认安全基线以满足这些需要。

所以做的第一步是选择匹配您要配置的服务器角色的安全基准。 下一步，单击操作窗格中找到的重复链接。 这允许您创建安全基准的副本。 这种方式，您可以修改该副本，而无需担心如何不可逆更改原始安全基准。

出现提示时，输入您的自定义安全基线的名称，然后单击保存。 操作时，您将看到显示在顶部的控制台树中的自定义基线部分你新创建的安全基准。

选择您的自定义安全基准时，您将看到显示在控制台的中心列中的所有安全设置。 控制台列出的默认设置，微软的推荐设置和自定义设置 (请参见图 2)。 最初，自定义的设置将与微软设置匹配。 为您进行修改，那些将反映在自定义列中。

图 2 选择一个自定义的基线，您将看到其所有设置。

您可以通过双击一个设置，然后选择一个新值，修改单独的策略设置 (请参见图 3)。 修改后的任何设置，请单击崩溃链接以保存您的更改。 操作时，将显示策略设置，以加粗的字体，以指示已修改设置控制台内。

图 3 你可以双击修改其属性的安全策略设置。

当您完成检讨各种设置和进行任何必要的修改安全基准时，导出您安全基准。 操作窗格包含许多不同的导出选项。

最初，应将安全基准导出到 Excel 电子表格中。 这样，您可以存储您的安全基准设置独立的供应链管理的记录的副本。 您还应导出到组策略对象 (GPO) 备份设置。 导入安全基准设置到组策略编辑器中，可以使用 GPO 备份。

您可以导入一个基线到组策略编辑器中打开您要修改的安全策略安全设置容器上右键单击并选择导入策略选项 (请参见图 4)。

图 4 您可以导入您的安全设置到组策略编辑器。

安全配置向导

安全配置向导是同样得心应手的工具，您可以使用来保护您的 Windows 2008 R2 服务器。 这安装在 Windows Server 2008 R2，默认情况下，可以通过服务器的管理工具菜单访问。 像设计来帮助您创建特定于服务器的角色的安全策略的供应链管理、 安全配置向导您可以导出您的网络上的服务器。

当您启动向导时，您将看到一个介绍性的屏幕。 单击下一步以清除此屏幕，你就会询问您要执行的操作的屏幕。 您可以创建、 编辑或应用的安全策略中，或者您可以回滚的最新的安全策略。

假设您要创建一个新的政策决定，安全配置向导将提示您提供的名称或使用作为安全基准的服务器的 IP 地址。 这应该是一个服务器后，要将模型，您将要创建的政策。

单击下一步两次，和你能来询问您的服务器将执行哪些角色的屏幕 (见图 5)。 角色列表中的会自动填充基于从其正在建模的新策略在服务器上安装的角色。 然后您可以手动修改角色的列表。

它是重要的角色列表中，以准确地反映您计划在接收到策略的服务器上安装的角色。 组策略设置、 注册表设置和防火墙配置将所有基于您所选择的角色。

图 5 选择将安装在目标服务器的角色。

单击下一步，，你会看到一个类似的列表，指的您将在服务器上安装的功能。 再一次，是重要的准确的功能列表。 此外值得注意的是安全配置向导并不实际安装角色和功能。 它只会基于角色的策略和安装的功能，您可以指示。

下面的两个屏幕遵循相同的基本格式的角色和功能的屏幕。 一个屏幕会询问您安装选项。 这些是一样的东西，如远程桌面或远程卷管理。 下一屏幕会询问您任何其他已安装的服务，例如，磁盘碎片整理程序或 Adobe Acrobat 更新服务。 您可能会看到一些非 Microsoft 服务显示在此列表中，取决于模型的服务器上安装了哪些软件上。

下一屏幕会要求您在启动时遇到一个未指定的服务时，应发生什么情况。 你可以离开服务的启动类型不变，或您可以阻止该服务。 在下一个屏幕上，您将看到其启动类型将被更改，因此您可以确保你不是要禁用一些关键的服务的列表。

向导现在将您带到网络安全部分。 如果您愿意，可以跳过本部分中。 它旨在将基于您将如何使用服务器的 Windows 防火墙配置。 这一节可以检讨现有的防火墙规则和添加或删除规则基于您的需要。

下一步是注册表部分。 向导的注册表部分询问，是否将连接到服务器的所有计算机都满足某些操作系统的最低要求。 它还能验证服务器有剩余处理能力。 这些配置设置确定启用服务器消息块安全签名。

其它屏幕要求您有关您使用的帐户类型和类型的域控制器上您的网络。 一旦您完成向导的回答后，它会显示您所有的注册表修改它是关于使。

你可能会遇到你被要求保存您的安全策略之前的最后一节是审核策略部分。 这一节询问有关你一般的审计哲学的一个问题。 本质上，它想知道是否要在所有审核成功的事件、 成功和失败的事件，或没有什么。 审核策略设置将基于您的选择。

当你达到向导结束时，你要将新策略保存为 XML 文件。 然后，您可以应用新的安全策略，现在还是以后的选择。 如果您选择要应用的安全设置后，您可以通过重新运行安全配置向导，然后选择一个现有的安全策略设置的应用 (请参见图 6)。

图 6 您可以应用安全配置向导通过以前创建的安全策略。

有太多 Windows 服务器的安全功能，在单个项目，项目内讨论，但这些是一些亮点。 安全配置向导和安全法规遵从性管理器主要工具可以帮助您保护您的服务器，而不必分别设置每个安全配置。

**Brien M。 Posey**MVP，是兼职的技术作家，与成千上万的文章和书给他的信用数十个。 您可以访问 Posey 的网站，网址是 brienposey.com。

相关内容