WinServer2003全接触(4)

　　每当你安装一项新的服务时，系统会静待你运行一个向导来启用该功能。对！微软最终关闭了系统中的所有服务，你必须在需要时启动它。但别担心，它还不至于像Linux那样复杂。尽管每项功能都被关得死死的，但伴随新安全架构应运而生的新向导对用户十分有帮助，详细得可以明确地了解用户所需的操作。如此一来，在对系统进行安全设置时，你可以减少很多顾虑。我记得当年在操练Windows 2000新的安全特性时，要参考很多资料才下得了手。而Windows 2000已经算好了，Windows NT 4中的“信息VOID”更令人不敢恭维。但当你使用2003之后，你就轻松许多了！
　　“文件系统安全”（File System Security）被大幅度降低，用户再也不能向驱动器的根目录写入数据。微软还计划在今年底之前陆续发布几个新的公用程序，给管理员提供对其网络的更多控制权。比如，MACS。MACS是Microsoft Audit Collection Services——“微软稽核集合服务”的简称。据我的了解，这个程序预计可以通过一些加密方法将“安全信息”导入一个SQL数据库中，信息也可以从多台服务器中被收集到该位置。

　　让我们来了解一下Windows Server 2003中在“稽核”所作的增强。首先来看一看基于作业的“稽核”。Windows Server 2003支持一种新稽核类型，它不只告知用户什么人访问了什么文件，同时还显示某人在访问文件时所作的操作。Windows Server 2003还可以对各个用户有选择性地进行稽核。用户可以稽核特定用户的行为，而不再是简单的系统级别的稽核。

　　接着来看看“文件加密”（File Encryption）。还记得人们对2000加密问题的抱怨吗？如果有一位用户试图加密2000中的一个文件，那么它就是可以访问该文件的唯一用户。现在，2003支持文件的多用户加密。同时，离线文件夹可以以离线状态加密。

　　微软在相关主题的白皮书中提到了一些策略改变。以下是一些摘要：
　　
　　1、改变策略以巩固默认安全性：

　　·创建安全根ACL：增强型的ACL防止对根目录（c:\）的访问；

　　·把默认的共享ACL从“Everyone:F”更改为“Everyone:R”；

　　·更改DLL搜索顺序：从系统文件夹开始；

　　·巩固Internet Explorer；

　　·增加对匿名用户的限制：匿名用户在缺省状态下不再是“Everyone”成员，禁用在服务器上生成匿名SID和名称；

　　·对空白密码进行限制：远程机器不能连接使用空白密码的本地账户；

　　·在服务器或目录服务中缺省设置LanManCompatibilityLevel=2：在默认情况下Windows Sever 2003将不会发出不安全的LanMan回应；

　　·需要SMB Packet登录目录服务：提供客户端DC SMB通信的自动检测；

　　·安全通道通：信必须经过签名或加密；

　　·修改LDAP签名；

　　·对象大小写不敏感：防止Canonicalization型攻击；

　　·不允许路径泄漏：消除透露和系统配置相关的多余信息；

　　·限制远程执行主控台程序——只有管理员有权限；

　　·增强网域控制器的稽核功能；

　　·增强转换情景。
2、缺省关闭的服务：

　　·不安装IIS；

　　·报警器（Alerter）；

　　·剪贴簿（Clipbook）；

　　·跟踪服务器链接；

　　·Human Interface设备访问；

　　·Imapi CDROM刻录服务；

　　·ICF\ICS；

　　·点间通信（Intersite Messenging）；

　　·许可日志记录（License Logging）；

　　·Messenger；

　　·NetMeeting远程桌共享；

　　·Network DDE；

　　·Network DDE DSDM；

　　·寻址和远程访问；

　　·Telnet；

　　·终端服务进程探索（Terminal Service Session Discovery）；

　　·主题；

　　·WebClient；

　　·Windows图象捕获（WIA）；

　　·Kerberos KDC缺省状态下禁用，在DCPromo自动启用。