六、安全性:
我想我首先必须强调微软究竟想从Windows Server 2003上向世人证明什么。正如我们中有些人所知的那样,微软系统缺省状态以“充分开放”著称。我这么说是想表达什么意思呢?嗯,如果有人想要分析Windows 2000的话,他会发觉这个网络操作系统(NOS)在缺省状态下已安装了一些非必要但却很方便的特性。比如说,IIS、一个毫不安全的文件系统以及一个不安全的网页浏览器等等。
进入到2002年1月份。大家请注意,比尔·盖茨说话了!他说了什么呢?请允许我归纳一下:我们的软件是不安全的。我们必须创建一种新的运算类型——让我们将它称之为“可信任计算”(Trustworthy Computing)。
那么“可信任计算”确切指的什么呢?好吧,你可以简单地用微软提出的一个公式来理解:SD3+C。具体就是:设计成就安全(Secure by Design)、缺省巩固安全(Secure by Default)、部署实现安全(Secure in Deployment)和通信(Communication)。
“设计成就安全”基本上可以这么理解:软件在发布之前力求不带有任何安全隐患。“缺省巩固安全”也就是说在产品发布时尽量减少许可权限。“部署实现安全”是当系统运行于公司网络期间采取一切有效的办法确保它的安全性。“通信”——实现网络间必要的数据通信。微软所说的通信是指关于补丁和安全漏洞的信息是如何发送给用户的以及修复行动的信息如何才能被更好地理解。
让我们看一看2亿美元的投资给安全性能带来了什么样的改善!Windows 2003就是将会看到投资所带来的收获的第一个微软服务器产品。
你可以从Windows 2003中看到众多十分超前的初步安全性。在使用这个网络操作系统的过程中,你经常会体会到微软今天的首要目标:安全。当你打开一些程序,比如IE浏览器时,你都会收到一些安全警告和建议:
每当你安装一项新的服务时,系统会静待你运行一个向导来启用该功能。对!微软最终关闭了系统中的所有服务,你必须在需要时启动它。但别担心,它还不至于像linux那样复杂。尽管每项功能都被关得死死的,但伴随新安全架构应运而生的新向导对用户十分有帮助,详细得可以明确地了解用户所需的操作。如此一来,在对系统进行安全设置时,你可以减少很多顾虑。我记得当年在操练Windows 2000新的安全特性时,要参考很多资料才下得了手。而Windows 2000已经算好了,Windows NT 4中的“信息VOID”更令人不敢恭维。但当你使用2003之后,你就轻松许多了!
让我先来介绍一个简单而好用的新特性——有效权限(Effective Permission)。
“有效权限”将总结出用户在某一对象上具有什么样的权限。该对象建立在所有和它的ACL(当用户及所有的用户组成员设置被应用时)相适应的安全设置的基础上。简单点说,当你进入2003中一个对象的的属性时,选择“安全”标签并点击“高级”按钮。你将会看到三个标签:权限(Permissions)、所有人(Owner)和“有效权限”。前两个是通用的,它们会被暂时选定。如果你进入“有效权限”标签,你可以对用户或组进行选择。当你选择了一个组或用户时,Windows将会分析对象可能被放置的所有次级组,并提供“有效权限”信息的一个精确摘要。
信任机制(Trust):
Windows Server 2003的“信任”同Windows 2000很相似。就如在Windows 2000中一样,2003中所有网域的信任具有传递性的特点。假如你的网络中有三个网域:网域A、B和C。如果A信任B,而B信任C,那么A也信任C。
Windows Server 2003中新添加的功能有“Forest Trust”,它允许Forest与Forest之间的相互信任。这有什么作用呢?有了Forest Trust,你就再也不必在不同Forest的网域中建立信任,可以大大减少网络混乱以及人为错误所带来的潜在危险。另外,如果在网域的后端节点上添加一个网域时,该网域无需进一步设置就可以访问其他Forset中的资源。但Windows 2003中的Forest Trust在不同的Forest中并不具备传递性。
Windows 2003同时还带有一个经过完全重新编写的IIS。IIS 6.0具有一系列全新特性,这将在本文的第七部分进行探讨。Windows 2003还建立了Common Language Runtime(CLR)。你可以要求CLR做什么呢?它可以核实软件是否可以在无错状态下运行,也可以核实是否具有适当的安全权限。“系统策略”(System Policies)也同样经过了重写,减少了Windows缺省安装下所运行的服务项目(共19个),同时还有多顶服务以更低的权限运行。
“文件系统安全”(File System Security)被大幅度降低,用户再也不能向驱动器的根目录写入数据。微软还计划在今年底之前陆续发布几个新的公用程序,给管理员提供对其网络的更多控制权。比如,MACS。MACS是Microsoft Audit Collection Services——“微软稽核集合服务”的简称。据我的了解,这个程序预计可以通过一些加密方法将“安全信息”导入一个SQL数据库中,信息也可以从多台服务器中被收集到该位置。
让我们来了解一下Windows Server 2003中在“稽核”所作的增强。首先来看一看基于作业的“稽核”。Windows Server 2003支持一种新稽核类型,它不只告知用户什么人访问了什么文件,同时还显示某人在访问文件时所作的操作。Windows Server 2003还可以对各个用户有选择性地进行稽核。用户可以稽核特定用户的行为,而不再是简单的系统级别的稽核。
接着来看看“文件加密”(File Encryption)。还记得人们对2000加密问题的抱怨吗?如果有一位用户试图加密2000中的一个文件,那么它就是可以访问该文件的唯一用户。现在,2003支持文件的多用户加密。同时,离线文件夹可以以离线状态加密。
微软在相关主题的白皮书中提到了一些策略改变。以下是一些摘要:
1、改变策略以巩固默认安全性:
·创建安全根ACL:增强型的ACL防止对根目录(c:\)的访问;
·把默认的共享ACL从“Everyone:F”更改为“Everyone:R”;
·更改DLL搜索顺序:从系统文件夹开始;
·巩固Internet Explorer;
·增加对匿名用户的限制:匿名用户在缺省状态下不再是“Everyone”成员,禁用在服务器上生成匿名SID和名称;
·对空白密码进行限制:远程机器不能连接使用空白密码的本地账户;
·在服务器或目录服务中缺省设置LanManCompatibilityLevel=2:在默认情况下Windows Sever 2003将不会发出不安全的LanMan回应;
·需要SMB Packet登录目录服务:提供客户端DC SMB通信的自动检测;
·安全通道通:信必须经过签名或加密;
·修改LDAP签名;
·对象大小写不敏感:防止Canonicalization型攻击;
·不允许路径泄漏:消除透露和系统配置相关的多余信息;
·限制远程执行主控台程序——只有管理员有权限;
·增强网域控制器的稽核功能;
·增强转换情景。
2、缺省关闭的服务:
·不安装IIS;
·报警器(Alerter);
·剪贴簿(Clipbook);
·跟踪服务器链接;
·Human Interface设备访问;
·Imapi CDROM刻录服务;
·ICF\ICS;
·点间通信(Intersite Messenging);
·许可日志记录(License Logging);
·Messenger;
·NetMeeting远程桌共享;
·Network DDE;
·Network DDE DSDM;
·寻址和远程访问;
·Telnet;
·终端服务进程探索(Terminal Service session Discovery);
·主题;
·WebClient;
·Windows图象捕获(WIA);
·Kerberos KDC缺省状态下禁用,在DCPRomo自动启用。
七、IIS 6(Internet Information Server):
IIS 6.0多个最优的增强都包含在Windows Server 2003之中。它已经过了完全的重新设计,不仅适应了微软的新安全策略,也具有了真正的基于Web应用程序服务器的功能。
工作进程隔离(Worker Process Isolation):
“工作进程隔离”是Windows Server 2003的IIS所带有的一个新特性,它可以将各个服务器程序隔离开来使它们不致相互干扰。协助IIS 5.0的有两个进程:InetInfo.exe和DLLHost.exe。IIS 6.0则使用了HTTP.sys、WWW服务管理及监视组件。这两个应用程序都不会直接同安装在Web服务器上的任何Web服务器程序结合起来,但可以简单地连线和分析任何请求。“Processor Affinity”是IIS 6.0的另一个新特性,它使IIS的性能得到了另一个实质性的增强!
安全性能是IIS另一方面的增强。在我看来,IIS 6.0之所以比其他版本的IIS在安全性上有所增强,主要原因有以下四个:
·IIS缺省禁用;
·可使用GPO禁用IIS;
·安装之初处于锁定状态;
·当Server 2000进行升级时,IIS处于禁用状态,除非运行了IIS锁定程序或明确地输入了注册表项目。
每当我们想要锁定Windows Server 2000时,第一步是删除多余的IIS。Windows 2000在缺省状态下是安装了IIS的。我们知道关闭服务器中的安全隐患的第一步是去除可能存在的缺陷,堵住其他漏洞。所以,如果你需要IIS,你现在再也无需去堵塞漏洞了,微软已帮你完成。为了给管理人员对他们的计算机网络有一步的控制权,微软还为我们提供了另一个方便的特性:我们现在可以使用组策略删除IIS。
IIS还以两种方式将你的系统同微软的.Net Passport Service集成起来。其中之一是将活动目录用户账户同.Net Passport捆绑在一起。你还可以在IIS 6.0 Web Server同.Net Passport认证服务上集成你的Web应用程序。
以前,通过IIS的认证几乎都是基于对象的。如果你想使你的站点上的每个页面都安全的话,你要使用NTFS权限。IIS 6.0在认证方面作了些更改,现在是基于任务,而不是基于对象。
八、终端服务:
Windows 2003中的终端服务也同样作了大幅度的改善。客户端具有2000中所没有的功能更强的选项。如果你使用过Windows xp的“Remote Desktop”,你将会觉得Windows 2003 Server的终端服务新客户端(称为Remote Desktop Client)的一些特性似曾相识。
使用Windows 2000的终端服务实作,你可以通过本地机访问的资源数目有所限制。在2003中,你将可以访问到更多,分列如下:
1、文件系统;
2、端口;
3、打印机;
4、音频;
5、智能卡账号;
6、Windows Key;
7、时区;
8、虚拟通道。
“Remote Desktop Web Control”是Windows 2003另一个全新的特性。如果你拥有带有IIS的Windows 2000,你可以登录微软网站下载“终端服务高级客户端”(Terminal Services Advanced Client)。它同Remote Desktop Web Control基本相同。Remote Desktop Web Control是一个增强型的ActiveX控件/COM对象,它允许人们在没有安装客户端应用程序的客户端机器上通过一个URL登录到终端服务。
在Windows 2000中你可以选择“远程管理”或应用程序的模式安装终端服务。在2003中,每一个组件都是可以独立设置的,它们也被各自命名。一个叫做“Remote Desktop for Administration”,另一个就是“终端服务”。“Remote Desktop for Administration”可以通过访问控制面板中的“系统”图标来启用,“终端服务” 可通过“添加\删除程序”进行安装。
为了允许某一用户访问终端服务,你可以将该用户或该用户所属的组添加到“Remote Desktop用户组”中。连接到终端服务器经过了128位加密。
九、结论:
以下是对Windows Server 2003各个等级的评价:
1、安装:90%;2、界面:88%;3、特性:91%;4、性价比:90%;5、总体评价:89.75%。
