用安全配置向导提高文件服务器安全性
只有管理员才能安装安全配置向导――要么是本地管理员,要么是域管理员。
安装安全配置向导,按照以下步骤进行:
应用安全配置向导中的设置:
通过安全配置向导剩下的部分继续运行,不过后边的一些个人设置将根据服务器环境不同有所变化。
手动进行安全设置
如果你没有运行Windows Server 2003 Service Pack 1,那么你将没有选择使用安全配置向导的机会。在这种情况下,按照以下设置选项你可以采用正确的方法,加强文件服务器的安全性。
使用NTFS(为“New Technology File System”缩写,意思“新技术文件系统”)。在Windows中唯一经过认证的安全模式就是基于NTFS的卷标。
打开文件服务器上唯一需要得端口。为运行Windows 2000和其它Windows操作系统的用户进行基本文件共享,你将希望打开端口445;为运行Windows 95, 98, Me或 NT 4.0的用户,你将希望打开端口137-139 。如果你只有一个文件服务器,那么你不需要打开任何其它服务器端口――启用这些端口很容易遭到攻击。
启用服务器信息块(Server Message Block, SMB)安全签名,如果有必要就要求安全签名。启用这一选项,对所有文件和打印任务进行数字签名是防止中间人攻击(Man-in-the-middle-attacks,简称:MITM攻击)的有用方法。你可以启用签名,Windows Server 2003会在通信中使用,但是如果Windows Server 2003在与老用户(Windows 2000之前的操作系统)进行通信那么默认情况下是无签名通信。如果你的用户运行Windows 2000或以上的操作系统,你可以要求签名,使Windows 安全通信。这一选项可以通过一组注册密码,在以下地址进行操作:HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanManServerParameters.
考虑IPsec。IPsec可以管理网络上计算机间的通信活动。如果你的文件服务器上有高灵敏度数据,那么就应该考虑使用IPsec,尽管它的管理费用惊人而且有较高的配置要求。
启用目标利用审查和优先使用。使你清楚的了解谁在利用服务器上的什么资源,和当他们在服务器上使用了什么安全许可。这会产生追踪报告,在特定情景中非常有用。在开始菜单,管理工具部分通过微软管理控制台的一部分――本地安全策略控制台启用审查策略。
创建一个安全模版
还是讲以下如果你没有Service Pack 1,那么手动创建一个安全模板也是不错的选择,这样你就可以对公司内多个文件服务器进行统一的安全配置。你可以创建一些安全模版,通过将它们添加到微软管理控制台窗口保存这些安全模版。
安全配置向导有一个选项,就是将所有安全设置输出或通过一个向导做为.inf文件。这样你可以通过安全配置向导或其它方法对公司内任何机器进行配置。这是对所有服务器,不仅是文件服务器实施统一安全策略的简便、自动的方法。