详述Windows Server 2008安全部署的六个方面
2009-04-22 13:06:30 来源:WEB开发网(2).关闭危险的端口
开放的端口是最大的潜在威胁,Windows Server 2008有65535个可用的端口,而我们的服务器并不需要所有这些端口。SPl中包含的防火墙允许管理员禁用不必要的TCP和UDP端口。所有的端口被划分为三个不同的范围:众所周知的端口(0~1023)、注册端口(1024~49151)、动态,私有端口(49152~65535)。众所周知的端口都被操作系统功能所占用;而注册端u则被某些服务或应用占用。动态/私有端门则是没有任何约束的。
如果能获得一个端口和所关联的服务和应用的映射清单,那么管理员就可以决定哪些端口是核心系统功能所需要的。举例来说,为了阻止任何Telnet或FTP传输路径,我们就可以禁用与这两个应用相关的通讯端口。同样地,知名软件和恶意软件使用那些端口都是大家所熟知的,这些端口可以被禁用以创造一个更加安全的服务器环境。最好的做法是关闭所有未用的端口。要找到服务器上的那些端口是开启状态、监听状态还是禁用状态,使用Nmap工具是一个比较简单高效的方式,默认情况下,SCW关闭所有的端口,当设定安装策略的时候再打开它们。
(3).管理好各种服务
增强服务器免疫力最有效的方法是不安装任何与业务不相关的应用程序,并且关闭不需要的服务。虽然在服务器上安装一个电子邮件客户端或管理工具可能会使管理员更方便,但是,
如果不直接涉及到服务器的功能,那么我们最好不要安装它们。在Windows Server2008上,有100多个服务可以被禁用。举例来说,最基础的安装包含DHCP服务。不过,如果我们不打算利用该系统作为一个DHCP服务器,禁用tcpsvcs.exe将阻止该服务的初始化和运行。希望大家记住,并非所有的服务都是可以禁用的。举例来说,虽然远端过程调用(Remote Procedure Call、RPC)服务可以被Blaster蠕虫所利用,进行系统攻击。不过它却不能被禁用,因为RPC允许其它系统过程在内部或在整个网络进行通讯。为了关闭不必要的服务,我们可以通过“控制面板”的“管理工具”打开“服务”管理工具进行管理。双击对于的服务,打开“属性”对话框,在“启动类型框”中选择“禁用”即可。
更多精彩
赞助商链接