九种方式打造安全的Win Server 2008(打造安全稳定)

编辑：rootadmin

　　要创建一个强大并且安全的服务器必须从一开始安装的时候就注重每一个细节的安全性。新的服务器应该安装在一个孤立的网络中，杜绝一切可能造成攻击的渠道，直到操作系统的防御工作完成。

　　在开始安装的最初的一些步骤中，你将会被要求在FAT( 文件分配表)和NTFS(新技术文件系统)之间做出选择。这时，你务必为所有的磁盘驱动器选择NTFS格式。FAT是为早期的操作系统设计的比较原始的文件系统。NTFS是随着 NT的出现而出现的，它能够提供了一FAT不具备的安全功能，包括存取控制清单(Access Control Lists 、ACL)和文件系统日志(File System Journaling)，文件系统日志记录对于文件系统的任何改变。接下来，你需要安装最新的Service Pack ( SP2 )和任何可用的热门补丁程序。虽然Service Pack中的许多补丁程序相当老了，但是它们能够修复若干已知的能够造成威胁的漏洞，比如拒绝服务攻击、远程代码执行和跨站点脚本。

　　安装完系统之后，你就可以坐下来做一些更细致的安全工作。提高Windows Server 免疫力最最简单的方式就是利用服务器配置向导(Server Configuration Wizard 、SCW)，它可以指导你根据网络上服务器的角色创建一个安全的策略。

　　SCW与配置服务向导(Configure Your Server Wizard)是不同的。SCW不安装服务器组件，但监测端口和服务，并配置注册和审计设置。SCW并不是默认安装的，所以你必须通过控制面板的添加/删除程序窗口来添加它。选择“添加/删除Windows组件”按钮并选择“安全配置向导”，安装过程就自动开始了。一旦安装完毕，SCW就可以从“ 管理工具 ”中访问。

　　通过SCW创建的安全策略是XML文件格式的，可用于配置服务、网络安全、特定的注册表值、审计策略，甚至如果可能的话，还能配置 IIS。通过配置界面，可以创建新的安全策略，或者编辑现有策略，并将它们应用于网络上的其它服务器上。如果某个操作创建的策略造成了冲突或不稳定，那么你可以回滚该操作。

　　SCW涵盖了Windows Server 安全性的所有基本要素。运行该向导，首先出现的是安全配置数据库(Security Configuration Database)，其中包含所有的角色、客户端功能、管理选项、服务和端口等等信息。SCW还包含广泛的应用知识知识库。这意味着当一个选定的服务器角色需要某个应用时---客户端功能比如自动更新或管理应用比如备份--- Windows 防火墙就会自动打开所需要的端口。当应用程序关闭时，该端口就会自动被阻塞。

　　网络安全设置、注册表协议以及服务器消息块(Server Message Block、SMB)签名安全增加了关键服务器功能的安全性。对外身份验证(Outbound Authentication)设置决定了连接外部资源时所需要的验证级别。

　　SCW的最后一步与审计策略有关。默认情况下，Windows Server 只审计成功的活动，但是对于一个加强版的系统来说，成功和失败的活动都应该被审计并记入日志。一旦向导执行完成后，所创建的安全策略就保存在一个 XML中，并且立刻就能被服务器所使用，或者供日后使用，甚至还能被其它服务器使用。在服务器安装过程中没有进行第一步强化过程的服务器也能安装SCW。

　　从你按下服务器的电源按钮那一刻开始，直到操作启动并且所有服务都活跃之前，威胁系统的恶意行为依然有机会破坏系统。除了操作系统操作系统以外，一台健康的服务器开始启动时应该具备密码保护的BIOS /固件。此外，就BIOS而言，服务器的开机顺序应当被正确设定，以防从未经授权的其它介质启动。

　　在启动电脑后，立刻按下F2键，这样你就进入了进入BIOS设置页面。你可以使用Alt-P在BIOS的各个设置标签上来回移动。在启动顺序(Boot Order)标签页上，设置服务器启动首选项为内部硬盘(Internal HDD)。在系统安全(Boot Order)标签页上，硬盘密码有三种选项可供选择：Primary、Administrative 和Hard。

　　同样，自动运行外部介质的功能包括光碟、DVD和USB驱动器，应该被禁用。在注册表，进入路径 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCdrom(或其他设备名称)下，将 Autorun的值设置为0。自动运行功能有可能自动启动便携式介质携带的恶意应用程序。这是安装特洛伊木马(Trojan)、后门程序(Backdoor)、键盘记录程序(KeyLogger)、窃听器(Listener)等恶意软件的一种简单的方法(如图4所示) 。

　　下一道防线是有关用户如何登录到系统。虽然身份验证的替代技术，比如生物特征识别、令牌、智能卡和一次性密码，都是可以用于Windows Server 用来保护系统，但是很多系统管理员，无论是本地的还是远程的，都使用用户名和密码的组合作为登陆服务器的验证码。不过很多时候，他们都是使用缺省密码，这显然是自找麻烦。

推荐整理分享九种方式打造安全的Win Server 2008(打造安全稳定)，希望有所帮助，仅作参考，欢迎阅读内容。

文章相关热门搜索词:如何打造安全型员工,如何打造安全型班组,九种方式打造安全城市,九种方式打造安全空间,如何打造安全文化,打造安全,如何打造本质安全企业,九种方式打造安全空间,内容如对您有帮助，希望把文章链接给更多的朋友！

Windows Server 下的自助安全防御相信那些至今还没有接触过WindowsServer系统的朋友，多少会对该系统的新特性、新本领有点神往，不过要是与之亲密接触一段时间后，这些朋友也许会

Windows Server 之数据安全保护数据安全是任何数据服务解决方案中的一个关键要求，而WindowsServer和SQLServer结合起来，通过一个基于加密技术的强大集合提供了一个端对端数据

Windows Server 下利用Diskpart管理磁盘 WindowsServer的一个特性在于，操作系统的许多方面的功能都可以通过命令行方式进行管理。如果我们在一台带GUI界面的电脑上正好需要定义一个RAID阵