要?jiǎng)?chuàng)建一個(gè)強(qiáng)大并且安全的 服務(wù)器必須從一開(kāi)始安裝的時(shí)候就注重每一個(gè)細(xì)節(jié)的安全性。新的 服務(wù)器應(yīng)該安裝在一個(gè)孤立的 網(wǎng)絡(luò)中，杜絕一切可能造成 攻擊的渠道，直到操作系統(tǒng)的防御工作完成。

　　在開(kāi)始安裝的最初的一些步驟中，你將會(huì)被要求在FAT( 文件分配表)和NTFS(新 技術(shù) 文件系統(tǒng))之間做出選擇。這時(shí)，你務(wù)必為所有的磁盤(pán)驅(qū)動(dòng)器選擇NTFS格式。FAT是為早期的操作系統(tǒng)設(shè)計(jì)的比較原始的 文件系統(tǒng)。NTFS是隨著 NT的出現(xiàn)而出現(xiàn)的，它能夠提供了一FAT不具備的安全 功能，包括存取控制清單(Access Control Lists 、ACL)和 文件系統(tǒng)日志(File System Journaling)， 文件系統(tǒng)日志記錄對(duì)于 文件系統(tǒng)的任何改變。接下來(lái)，你需要安裝最新的Service Pack ( SP2 )和任何可用的熱門(mén)補(bǔ)丁 程序。雖然Service Pack中的許多補(bǔ)丁 程序相當(dāng)老了，但是它們能夠修復(fù)若干已知的能夠造成威脅的 漏洞，比如拒絕服務(wù)攻擊、遠(yuǎn)程代碼執(zhí)行和跨站點(diǎn)腳本。

　　安裝完系統(tǒng)之后，你就可以坐下來(lái)做一些更細(xì)致的安全工作。提高Windows Server 2003免疫力最最簡(jiǎn)單的方式就是利用服務(wù)器配置向?qū)?Server Configuration Wizard 、SCW)，它可以指導(dǎo)你根據(jù)網(wǎng)絡(luò)上服務(wù)器的角色創(chuàng)建一個(gè)安全的策略。

　　SCW與配置服務(wù)向?qū)?Configure Your Server Wizard)是不同的。SCW不安裝服務(wù)器組件，但監(jiān)測(cè) 端口和服務(wù)，并配置注冊(cè)和審計(jì)設(shè)置。SCW并不是默認(rèn)安裝的，所以你必須通過(guò)控制面板的添加/刪除程序窗口來(lái)添加它。選擇“添加/刪除Windows組件”按鈕并選擇“安全配置向?qū)А?，安裝過(guò)程就 自動(dòng)開(kāi)始了。一旦安裝完畢，SCW就可以從“ 管理 工具 ”中訪(fǎng)問(wèn)。

　　通過(guò)SCW創(chuàng)建的安全策略是XML文件格式的，可用于配置服務(wù)、網(wǎng)絡(luò)安全、特定的 注冊(cè)表值、審計(jì)策略，甚至如果可能的話(huà)，還能配置 IIS。通過(guò)配置界面，可以創(chuàng)建新的安全策略，或者編輯現(xiàn)有策略，并將它們 應(yīng)用于網(wǎng)絡(luò)上的其它服務(wù)器上。如果某個(gè)操作創(chuàng)建的策略造成了沖突或不穩(wěn)定，那么你可以回滾該操作。

　　SCW涵蓋了Windows Server 2003安全性的所有基本要素。運(yùn)行該向?qū)В紫瘸霈F(xiàn)的是安全配置 數(shù)據(jù)庫(kù)(Security Configuration Database)，其中包含所有的角色、客戶(hù)端功能、管理選項(xiàng)、服務(wù)和端口等等信息。SCW還包含廣泛的應(yīng)用知識(shí)知識(shí)庫(kù)。這意味著當(dāng)一個(gè)選定的服務(wù)器角色需要某個(gè)應(yīng)用時(shí)---客戶(hù)端功能比如自動(dòng)更新或管理應(yīng)用比如備份--- Windows 防火墻就會(huì)自動(dòng)打開(kāi)所需要的端口。當(dāng)應(yīng)用程序關(guān)閉時(shí)，該端口就會(huì)自動(dòng)被阻塞。

　　網(wǎng)絡(luò)安全設(shè)置、注冊(cè)表協(xié)議以及服務(wù)器消息塊(Server Message Block、SMB)簽名安全增加了關(guān)鍵服務(wù)器功能的安全性。對(duì)外身份驗(yàn)證(Outbound Authentication)設(shè)置決定了連接外部 資源時(shí)所需要的驗(yàn)證級(jí)別。

　　SCW的最后一步與審計(jì)策略有關(guān)。默認(rèn)情況下，Windows Server 2003只審計(jì)成功的活動(dòng)，但是對(duì)于一個(gè)加強(qiáng)版的系統(tǒng)來(lái)說(shuō)，成功和失敗的活動(dòng)都應(yīng)該被審計(jì)并記入日志。一旦向?qū)?zhí)行完成后，所創(chuàng)建的安全策略就保存在一個(gè) XML中，并且立刻就能被服務(wù)器所使用，或者供日后使用，甚至還能被其它服務(wù)器使用。在服務(wù)器安裝過(guò)程中沒(méi)有進(jìn)行第一步強(qiáng)化過(guò)程的服務(wù)器也能安裝SCW。

　　從你按下服務(wù)器的電源按鈕那一刻開(kāi)始，直到操作啟動(dòng)并且所有服務(wù)都活躍之前，威脅系統(tǒng)的惡意行為依然有機(jī)會(huì)破壞系統(tǒng)。除了操作系統(tǒng)操作系統(tǒng)以外，一臺(tái)健康的服務(wù)器開(kāi)始啟動(dòng)時(shí)應(yīng)該具備 密碼保護(hù)的BIOS /固件。此外，就BIOS而言，服務(wù)器的開(kāi)機(jī)順序應(yīng)當(dāng)被正確設(shè)定，以防從未經(jīng)授權(quán)的其它介質(zhì)啟動(dòng)。

　　在啟動(dòng) 電腦后，立刻按下F2鍵，這樣你就進(jìn)入了進(jìn)入BIOS設(shè)置頁(yè)面。你可以使用Alt-P在BIOS的各個(gè)設(shè)置標(biāo)簽上來(lái)回移動(dòng)。在啟動(dòng)順序(Boot Order)標(biāo)簽頁(yè)上，設(shè)置服務(wù)器啟動(dòng)首選項(xiàng)為內(nèi)部 硬盤(pán)(Internal HDD)。在系統(tǒng)安全(Boot Order)標(biāo)簽頁(yè)上， 硬盤(pán)密碼有三種選項(xiàng)可供選擇：Primary、Administrative 和Hard。

　　同樣，自動(dòng)運(yùn)行外部介質(zhì)的功能包括光碟、DVD和USB驅(qū)動(dòng)器，應(yīng)該被禁用。在注冊(cè)表，進(jìn)入路徑 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom(或其他設(shè)備名稱(chēng))下，將 Autorun的值設(shè)置為0。自動(dòng)運(yùn)行功能有可能自動(dòng)啟動(dòng)便攜式介質(zhì)攜帶的惡意應(yīng)用程序。這是安裝特洛伊 木馬(Trojan)、 后門(mén)程序(Backdoor)、鍵盤(pán)記錄程序(KeyLogger)、竊聽(tīng)器(Listener)等惡意 軟件的一種簡(jiǎn)單的方法(如圖4所示) 。

　　下一道防線(xiàn)是有關(guān) 用戶(hù)如何登錄到系統(tǒng)。雖然身份驗(yàn)證的替代技術(shù)，比如生物特征識(shí)別、令牌、智能卡和一次性密碼，都是可以用于Windows Server 2003用來(lái)保護(hù)系統(tǒng)，但是很多系統(tǒng)管理員，無(wú)論是本地的還是遠(yuǎn)程的，都使用 用戶(hù)名和密碼的組合作為登陸服務(wù)器的驗(yàn)證碼。不過(guò)很多時(shí)候，他們都是使用缺省密碼，這顯然是自找麻煩 。