關於Windows服務器強化你懂多少?
日期:2017/2/8 10:21:35   編輯:關於服務器
如果參考行業推薦標准,你可能認為你的Windows系統是世界上最不安全的。不用太擔心這個。雖然網絡安全Windows基准中心以及美國國防部STIG有其重要性,但是嚴格按照書本上去做所有的事情並不總是那麼可行。你必須同時兼顧Windows安全和業務需求。
似乎每個人對Windows系統強化都有不同的看法。盡管如此,在系統的強化級別方面還是應該有一個共識。那麼你需要關注哪些東西呢?這很簡單,就查看那些檢查過的內容。你上一次安全評估的結果是什麼?你的審計人員在尋找什麼,反對什麼?它是內部政策嗎?也許它是一個規定或者標准?也許這就是其他人認為的最佳做法?
在你花費時間、金錢和精力強化系統之前,你需要知道你要滿足哪些要求。如果你不知道這些,舉個來說,如果你從來沒有進行過獨立的評估或者內部審計,那麼你就必須從某個地方開始,對不對?
在大多數情況下,許多人都怕麻煩,不願意強化他們的Windows服務器配置,直到發生事故。這就是說,你必須要現實一些,自覺地進行Windows強化工作。看看哪些東西比較重要。為SMB(服務器信息塊)通信進行數字簽名以及審計目標跟蹤和過程跟蹤真的會給你帶來好處嗎?特別是審計和評估就要開始時?應該不會。那麼重新命名管理員和客戶賬號並禁用某些不需要的服務呢?嗯,你可能會這樣做。這取決於哪些東西會影響你的業務。我見過有管理員在很小的事情浪費精力,有人把主要精力放在低級問題上,而很重要的事情往往被忽視。
下面是一些你現在就可以采取的Windows服務器強化措施,它們會給你帶來很多好處(免費的!):
-鎖定共享文件,確保適當的人訪問適當的信息。
-禁用SMB空對話連接,以防止有人到處刺探、收集系統配置信息。
-啟用Windows防火牆,或者使用第三方的替代產品(這會限制別人在服務器上或者對服務器做手腳,並且只會讓boot用戶使用空對話連接)。
-確保安裝了最新補丁。(這仍然是Windows服務器上的一個大問題。)
-運行殺毒軟件(不運行殺毒軟件是另一個常見的疏忽。)
-設置安全性高且合理的密碼。不要相信那些密碼神話。
-啟用賬戶登錄事件、賬戶管理和政策變化的成功審核功能。
-為暴露在外的系統使用磁盤加密技術(服務器會長腿哦)。
-確保你基本的活動目錄配置非常健全。
不管你用的是WindowsNT、2000、Server2003還是2008,抓住這些基本要領會給你的服務器安全狀態帶來奇跡。可能沒必要(至少目前還沒有)去收緊系統中的每個角落和縫隙。你利用上述標准確立強化基准之後,如果業務風險證明它是對的,那麼你可以進一步加強對最關鍵服務器的控制。