单击复选框和服务名之间的三角形,可获得有关该服务的详细信息 。正如在前面所接触到的那样,我们检查每个其他服务并确定是否需要运行该服务,才能使选定服务器(或打算应用该策略的其他服务器)像期望的那样工作 。
如果服务不是必需的,就要确保清除其复选框;如果服务是必需的,请选中其复选框,然后单击“下一步” 。
(4)处理未指定的服务
未指定的服务是指不出现在安全配置数据库中且当前未安装在选定服务器上,但是可能已安装在要应用安全策略的其他服务器上的服务 。或者在将来的某个时间,也可能在选定服务器上安装这些服务 。
在此配置页面中有两个选项,“保持服务的当前启动模式”和“禁用服务” 。
如果我们想将安全策略应用于选定服务器之外的服务器或在选定服务器的配置发生改变(例如安装了新软件)后,将安全策略应用于选定服务器,建议配置此服务 。
最后进入到“确认服务更改”页面,我们在此对配置进行最终确认后,单击下一步就完成了“基于角色的服务配置” 。
提示:①“安全配置向导”(SCW)启用选定服务器,执行我们在此配置页上所选择的服务器角色是必需的服务,并禁用任何角色不需要的服务 。
②通过选择某个角色,可以自动选择它的所有相关角色,在整个SCW中都可以使用“上一步”和“下一步”按钮前进或后退以及更改设置 。
③如果没有安装所需的角色,而且该角色不在安全配置数据库中,则它不会出现在“所有角色”视图或任何其他视图中 。
4.“网络安全”配置
在完成基于角色服务器配置后,我们的Windows Server 2003服务器包含的各种服务,都是通过某个或某些端口来提供服务内容的 。为了保证服务器的安全,Windows防火墙默认是不会开放这些服务端口的 。下面就可以通过“网络安全”配置向导开放各项服务所需的端口,这种向导化配置过程与手工配置Windows防火墙相比,更加简单、方便和安全 。
此“网络安全”配置是基于角色服务器选定的角色和管理选项使用Windows防火墙的入站端口 。此外,我们还可以限制访问端口并使用Internet协议安全(IPSec)指明端口通讯是否经过签名或加密 。
在“打开端口并允许应用程序”页面中可以自行添加、删除通信端口,可以根据Windows服务或第三方程序(服务)要求情况打开或关闭端口,并且每个端口在高级选项中可以进行“远程地址限制”和“本地接口限制”配置 。如图2所示 。
图2
由于此配置是基于Windows底层控制,可以更好地控制端口及程序访问 。
我们在这里选择需要的服务端口,如FTP用的20和21端口,IIS使用的80或8088端口,HTTPS使用的443端口等,为了服务器的安全,不需要的端口请尽量关闭 。
5.“注册表”设置
由于早期通讯协议的缺陷,造成安全可以通过更改数据包来欺骗服务器的验证 。此“注册表”设置可以限定连接到此服务器最低安全要求及使用安全签名,对出、入站用户身份进行验证 。
运行Windows Server 2003服务器在网络中为网络用户提供相应的服务,但个别别有用心的用户试图通过远程访问来达到控制服务器的野心,如安全,会通过远程更改服务器的注册表来加载恶意程序,或修改访问数据包来对服务器进行攻击 。如何更好地保护服务器,这是每个网管工作的重要内容 。在保证服务器正常运行的前提下,最大限度地限制用户的非授权访问,我们可以通过“注册表设置”向导轻松实现 。如图3所示 。
图3
利用“注册表设置”向导,添加或修改Windows Server 2003服务器注册表中特殊的键值,来限制用户的访问权限 。我们只要根据设置向导提示和服务器服务需求,依次在“要求SMB安全签名”、“出站身份验证方法”、“入站身份验证方法”中进行必要设置,即可保证Windows Server 2003服务器的安全运行 。以前这些设置都是通过手动在注册表中更改,不但麻烦,有时设置还不完全,甚至产生冲突影响其效果 。
推荐阅读
- 芝麻如何做花肥
- 股票买入卖出技巧有哪些
- 怎样裁剪女士西装
- 园林局和林业局的区别
- 图 部署基于Windows 2008防火墙策略提升域安全
- 花生产地主要在哪个省
- 安徽中考总分多少2020
- 清洁区指的什么区域
- 微信状态怎么删除
- autocad导入草图大师里操作步骤