图 配置安全Windows Server 2003( 三 )


6.“审核策略”设置
对一个合格的网络管理员来说,能够通过日志来分析服务器的运行状况是其基本的要求,所以适当的启用审核策略是极其重要的,所有的监视信息通过我们的审核策略产生监控日志 。审核策略确定日志记录的成功和失败事件,以及受审核的文件系统对象 。如图4所示 。
图4
以前,我们通过使用组策略编辑器(Gpedit.msc)来配置启用审核策略 。作为新提供的安全配置向导(SCW),也将此功能集成其中,我们可以在“安全配置向导”中的利用向导化提示,极其轻松地完成“审核策略”的配置 。
提示:审核文件系统对象会降低系统性能并可能导致生成大量事件,如果对服务器性能要求较高的话,请慎重选择(如只审核成功的或不审核) 。
7.Internet信息服务配置
IIS服务是网络中广泛应用的一种服务,也是容易受攻击的服务 。如何来保证IIS服务器的安全运行,免受安全和病毒的攻击?
微软曾为Windows 2000提供过一个工具,但使用起来非常麻烦,而且并不能完全解决问题 。虽然IIS 6的安全性相对于IIS 5来说有了很大的进步,但若想安全配置还需要网管人员大量的手动配置 。也可以通过其他网络安全公司的工具来优化设置,但有些工具虽然显示配置完成,但因为系统兼容性问题而无法达到预期目的 。
此次微软推出的“安全配置向导”可以使我们轻松地完成对Internet信息服务的安全设置,使IIS服务器运行更安全、更稳定 。如图5所示 。
图5
在“Internet信息服务”配置对话框中,我们在“选择动态内容Web服务扩展”中选择所需的服务,在“选择要保留的虚拟路径”中选择需要保留的虚拟目录,“组织匿名用户访问内容文件”增加了访问的安全性,避免匿名用户的写入(这可是安全常用的攻击方法) 。通过这样的配置,运行IIS服务器的安全性就大大提高了 。
提示:①IIS安装运行的磁盘分区必须是NTFS分区,才能保证“限制匿名用户访问内容”起作用 。
②如果服务器没有安装、运行IIS服务,则在SCW配置过程中不会出现Internet信息服务配置 。
8.保存安全策略
完成以上几步配置后,出现“安全策略文件名”页面 。在此我们为定制的“安全策略”起一个自己喜欢的名字,扩展名为.xml,默认的保存位置为“%Systemroot%/Security/Msscw /Policies/”,也可以选择合适的位置来保存,如图6所示 。
图6
然后在“应用安全策略”页面中选择“现在应用”选项,即可使配置的安全策略立即生效,也可以选择稍后应用,重新启动配置向导来加载或创建新的安全策略 。
【图 配置安全Windows Server 2003】利用“安全配置向导”可以非常简便地配置Windows Server 2003服务器,提高其安全性 。以前通过手动方法来处理的Windows服务器都可以通过向导一步一步完成,以前需要一个多小时的配置服务器时间缩短到只有五分钟即可完成 。

推荐阅读