当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > Windows Server 2003全接触(3)

Windows服务器
iis 添加新的.shtml的影射
不用防火墙自动对付CC攻击防范vbs
服务器 C盘 安全加强批处理(去除一些特殊软件的权限)
Windows SVN服务器搭建方法
IIS 配置PHP站点的说明
关闭网站的wscript.shell命令行执行
php Apache+phpMyAdmin配置方法
IIS 环境下配置PHP5+MySql+PHPMyAdmin
windows下使用cwRsync定期备份网站(服务器文件同步)
必须要懂的win2003服务器上的asp站点安全设置
IIS配置与错误提示 解决方法
你的服务器IIS最大并发数有多少?
跟后台打印程序系统服务通讯时出现错误的解决方法
Windows rsync服务器备份配置实例
win2003 服务器安全配置全套详解
Apache Wind2003 配置网站目录权限小结
Win2003+IIS 6.0下启用压缩技术精简网站体积的方法
windows服务器上的iis Gzip压缩功能启用
配置IIS服务器 支持sis下载等
原创]服务器遭受arp欺骗的解决方法

Windows服务器 中的 Windows Server 2003全接触(3)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-02   浏览: 69 ::
收藏到网摘: n/a

    六、安全性:
  我想我首先必须强调微软究竟想从Windows Server 2003上向世人证明什么。正如我们中有些人所知的那样,微软系统缺省状态以“充分开放”著称。我这么说是想表达什么意思呢?嗯,如果有人想要分析Windows 2000的话,他会发觉这个网络操作系统(NOS)在缺省状态下已安装了一些非必要但却很方便的特性。比如说,IIS、一个毫不安全的文件系统以及一个不安全的网页浏览器等等。

  进入到2002年1月份。大家请注意,比尔·盖茨说话了!他说了什么呢?请允许我归纳一下:我们的软件是不安全的。我们必须创建一种新的运算类型——让我们将它称之为“可信任计算”(Trustworthy Computing)。

  那么“可信任计算”确切指的什么呢?好吧,你可以简单地用微软提出的一个公式来理解:SD3+C。具体就是:设计成就安全(Secure by Design)、缺省巩固安全(Secure by Default)、部署实现安全(Secure in Deployment)和通信(Communication)。

  “设计成就安全”基本上可以这么理解:软件在发布之前力求不带有任何安全隐患。“缺省巩固安全”也就是说在产品发布时尽量减少许可权限。“部署实现安全”是当系统运行于公司网络期间采取一切有效的办法确保它的安全性。“通信”——实现网络间必要的数据通信。微软所说的通信是指关于补丁和安全漏洞的信息是如何发送给用户的以及修复行动的信息如何才能被更好地理解。

  让我们看一看2亿美元的投资给安全性能带来了什么样的改善!Windows 2003就是将会看到投资所带来的收获的第一个微软服务器产品。

  你可以从Windows 2003中看到众多十分超前的初步安全性。在使用这个网络操作系统的过程中,你经常会体会到微软今天的首要目标:安全。当你打开一些程序,比如IE浏览器时,你都会收到一些安全警告和建议:


  每当你安装一项新的服务时,系统会静待你运行一个向导来启用该功能。对!微软最终关闭了系统中的所有服务,你必须在需要时启动它。但别担心,它还不至于像Linux那样复杂。尽管每项功能都被关得死死的,但伴随新安全架构应运而生的新向导对用户十分有帮助,详细得可以明确地了解用户所需的操作。如此一来,在对系统进行安全设置时,你可以减少很多顾虑。我记得当年在操练Windows 2000新的安全特性时,要参考很多资料才下得了手。而Windows 2000已经算好了,Windows NT 4中的“信息VOID”更令人不敢恭维。但当你使用2003之后,你就轻松许多了!

  让我先来介绍一个简单而好用的新特性——有效权限(Effective Permission)。

  “有效权限”将总结出用户在某一对象上具有什么样的权限。该对象建立在所有和它的ACL(当用户及所有的用户组成员设置被应用时)相适应的安全设置的基础上。简单点说,当你进入2003中一个对象的的属性时,选择“安全”标签并点击“高级”按钮。你将会看到三个标签:权限(Permissions)、所有人(Owner)和“有效权限”。前两个是通用的,它们会被暂时选定。如果你进入“有效权限”标签,你可以对用户或组进行选择。当你选择了一个组或用户时,Windows将会分析对象可能被放置的所有次级组,并提供“有效权限”信息的一个精确摘要。

  信任机制(Trust):

  Windows Server 2003的“信任”同Windows 2000很相似。就如在Windows 2000中一样,2003中所有网域的信任具有传递性的特点。假如你的网络中有三个网域:网域A、B和C。如果A信任B,而B信任C,那么A也信任C。

  Windows Server 2003中新添加的功能有“Forest Trust”,它允许Forest与Forest之间的相互信任。这有什么作用呢?有了Forest Trust,你就再也不必在不同Forest的网域中建立信任,可以大大减少网络混乱以及人为错误所带来的潜在危险。另外,如果在网域的后端节点上添加一个网域时,该网域无需进一步设置就可以访问其他Forset中的资源。但Windows 2003中的Forest Trust在不同的Forest中并不具备传递性。

  Windows 2003同时还带有一个经过完全重新编写的IIS。IIS 6.0具有一系列全新特性,这将在本文的第七部分进行探讨。Windows 2003还建立了Common Language Runtime(CLR)。你可以要求CLR做什么呢?它可以核实软件是否可以在无错状态下运行,也可以核实是否具有适当的安全权限。“系统策略”(System Policies)也同样经过了重写,减少了Windows缺省安装下所运行的服务项目(共19个),同时还有多顶服务以更低的权限运行。
  “文件系统安全”(File System Security)被大幅度降低,用户再也不能向驱动器的根目录写入数据。微软还计划在今年底之前陆续发布几个新的公用程序,给管理员提供对其网络的更多控制权。比如,MACS。MACS是Microsoft Audit Collect