科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道基础软件Windows Server 2008感触

Windows Server 2008感触

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

全是个永恒不变的话题,在微软的产品上尤为突出。前段时间一位朋友在我面前挑衅的说Linux如何如何安全,面对这位朋友的挑衅,我只是微笑着摇摇头。Linux难道真的比Windows安全吗?我不这样认为,我认为一个操作系统的安全是要从多方面去衡量的

来源:zdnet软件频道【原创】 2010年6月3日

关键字: Windows Server

  • 评论
  • 分享微博
  • 分享邮件
安全是个永恒不变的话题,在微软的产品上尤为突出。前段时间一位朋友在我面前挑衅的说Linux如何如何安全,面对这位朋友的挑衅,我只是微笑着摇摇头。Linux难道真的比Windows安全吗?我不这样认为,我认为一个操作系统的安全是要从多方面去衡量的,而不是单纯的去比较某一个特性,我并不否认Linux有其优势,但整体上来讲,Windows还是占有非常明显的优势的。让我们来看看Windows与Linux的安全性对比
一、软件源代码
Linux粉丝叫嚣的最厉害的是“我们的软件是开源的,你可以清楚的看到系统的构成,你可以根据自己的需要去定制……”,对,确实是这样,Linux可以根据你的需求去定制,这个是它的优势,但是,我们不得不面对的问题:1、定制的技术难度;2、定制的成本;3、稳定性;4、对于操作系统定制的必要性。我想,绝大多数的企业似乎没有定制操作系统的需求,企业更多的会关注可用性、安全性、兼容性、可扩展性、投入产出比等问题,需要的是能够为企业提出整体解决方案的软件,而不是一个单纯的操作系统,一个操作系统的功能是有限的,更多的是需要这个平台上的应用程序。操作系统是否开源对于大多数企业而言不是太重要,难道我们会将操作系统的每一行代码都查看一遍?既然不会,那谁又敢保证Linux就没有后门、没有漏洞呢?而微软做为软件行业的老大,我认为是值得信任的。看看周围的IT产品,有多少我们是拥有自主产权的?这些不是我们今天要讨论的问题。如果非要说原代码的事情,我承认,Linux胜出。但你要知道,即使有一天Windows开源了,我敢肯定的说99.99%d的用户都不会去看源代码。
二、成本和平台
很多人攻击说是用付费软件的成本高,事实真是如此吗?以操作系统为例,Linux免费,Windows不算贵,表面上看上去Linux占优势,但是,有没有考虑到后期运维成本呢?首先,Windows平台的问题有大量的技术资料和技术人员去解决,而且,购买了正版的操作系统微软是免费提供技术服务的,而Linux呢?尽管操作系统是免费的,但是,服务是要收费的,很多用户都说Linux的服务可不便宜。我认为,这仅仅是两种不同的市场策略而已,操作系统平台是一个是付费的软件免费的服务,一个是免费的软件付费的服务,半斤对八两。但是,基于Windows平台上的服务器软件多,为企业提供整体解决方案时优势就体现出来了,比Linux平台的动不动就要开发,或者使用其他厂商的解决方案而言强多了。比如:Windows平台构建AD、邮件系统、即时通讯系统、数据库服务器、防火墙、终端服务、虚拟化等等,微软可以提供整体解决方案,所有软件来自于一家厂商可以紧密集成,并且不用考虑兼容性问题。试问,哪个Linux厂商能够从服务器操作系统到客户端操作系统,再到桌面应用程序,再到邮件,再到数据库,再到即时通讯,再到安全产品,再到管理软件,再到…………,提出全套解决方案的呢?没有。今天,做OCS售前的时候,客户说:“不用为我们省钱,我们不缺钱,我们需要的是一套稳定的、适合我们企业业务需求的、能和现有系统集成的产品。”多么有气魄啊,“我们不缺钱”!!!!在面对自己需求的时候,很多企业是不考虑钱的,或者是把钱放在一个次要的位置。即使要考虑成本,Windows平台也是占优势的,至于中小公司的LAMP的架构应用范围有限,不在讨论之列。此回合Windows胜出。
三、厂商技术支持
这个就不用说了,先弱弱的问一下,“Linux到底有多少个发行版本???”谁能给出一个准确的数字啊?厂商的技术支持??当然有,不过,你需要先付费。我最反感的一幅漫画就是比尔盖茨穿着一件打满补丁的西服和别人握手,很多人嘲笑微软的补丁更新。其实,这个恰恰说明了微软对于客户的重视,在最短的时间内修复软件的漏洞,而不像Linux平台,出现漏洞后,官方响应的速度慢得像乌龟,还说快了,准确的说应该是像蜗牛。软件出现漏洞是难免的,不能把一个厂商的软件更新看成是产品的缺陷,更多的应该看到的是对用户的负责任的态度。关于补丁更新的问题,我认为从两个方面来看待,第一,响应的速度;第二,补丁的数量。响应速度不用说,微软绝对NO.1,数量,很多人会说,微软也可以说是NO.1。错!!!单从数量上看是片面的,微软的补丁不仅仅是针对Windows的,有很多是Office、IE、等等产品的,如果单从操作系统作比较,似乎数量也不见得会比Linux(如:Redhat)多。因此,从厂商的技术支持,也就是售后角度去比较,Windows胜出。
四、性能
没有图形化界面能不快吗?Linux的性能是建立在牺牲了易用性之上的。看看Windows Server 2008的Server Core,似乎不比Linux性能差。而且,大部分服务器的性能都是出于空置状态,大部分应用都是硬件的发展远远超过了软件的发展。还有,各位不要忘记,服务器是有自己的寿命周期的,一般是3-5年,把现在操作系统安装在十年前的服务器上去看看是否能够流畅运行是没有意义的。而且平台不同、应用不同没有可比性,此回合平手。
五、安全性和口碑
安全这个话题太广,微软很重视安全,尤其在Windows Server 2008上加入了更多的安全元素。但是,似乎Windows在安全方面的口碑一直不大好。首先,请看看周围50岁左右的叔叔阿姨们有多少在用电脑的?他们有多少用Linux?有多少用Windows?用户群体不同,使用Linux的基本上都是专业用户,具备有相当的计算机安全知识,而Windows用户中有专业用户,更多的是大量的毫无安全意识的终端用户。从用户数量来比较,我认为在国内是100:1这个比例吧,想想看,1000个用户中100人说Windows不好,和10个用户中2个说Linux不好,哪个带来的负面影响大?但是看比例呢?只有十分之一的说Windows不好,而有十分之二的说Linux不好。这样分析就不难理解了。
上面写了很多,主要是把个人的一些看法描述出来,相信很多朋友都知道Windows Server 2008的安全功能非常强大,如新加入的Server Core,最小化攻击面,而且还提升了性能;NPS定制各种网络策略,真正实现VPN、DHCP、IPSec、802.1x安全;高级Windows防火墙保护系统安全;Windows Server Backup提供系统备份还原解决方案;远程桌面服务(RDS);活动目录权限管理管理文档安全……,非常多,非常棒的功能,要详细了解这些内容请访问:www.microsoft.com/china/techent,或参加我专业课程(MCITP:Server Administrator和MCITP:Enterprise Administrator)的培训,在这里,列出几个小的安全应用,给各位参考:
 1、限制使用迅雷进行恶意下载
在多人共同使用相同的一台计算机进行工作时,我们肯定不希望普通用户随意使用迅雷工具进行恶意下载,这样不但容易浪费本地系统的磁盘空间资源,而且也会大大消耗本地系统的上网带宽资源。而在Windows Server 2008系统环境下,限制普通用户随意使用迅雷工具进行恶意下载的方法有很多,例如可以利用Windows Server 2008系统新增加的高级安全防火墙功能,或者通过限制下载端口等方法来实现上述控制目的,其实除了这些方法外,我们还可以巧妙地利用该系统的软件限制策略来达到这一 目的,下面就是该方法的具体实现步骤:
首先以系统管理员权限登录进入Windows Server 2008系统,打开该系统的“开始”菜单,从中点选“运行”命令,在弹出的系统运行文本框中,输入“gpedit.msc”字符串命令,进入对应系统的组策略控制台窗口;
其次在该控制台窗口的左侧位置处,依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”选项,同时用鼠标右键单击该选项,并执行快捷菜单中的“创建软件限制策略”命令;
接着在对应“软件限制策略”选项的右侧显示区域,用鼠标双击“强制”组策略项目,打开如图1所示的设置对话框,选中其中的“除本地管理员以外的所有用户”选项,其余参数都保持默认设置,再单击“确定”按钮结束上述设置操作;
下面选中“软件限制策略”节点下面的“其他规则”选项,再用鼠标右键单击该组策略选项,从弹出的快捷菜单中点选“新建路径规则”命令,在其后出现的设置对话框中,单击“浏览”按钮选中迅雷下载程序,同时将对应该应用程序的“安全级别”参数设置为“不允许”,最后单击“确定”按钮执行参数设置保存操作;
重新启动一下Windows Server 2008系统,当用户以普通权限账号登录进入该系统后,普通用户就不能正常使用迅雷程序进行恶意下载了,不过当我们以系统管理员权限进入本地计算机系统时,仍然可以正常运行迅雷程序进行随意下载。
2、拒绝网络病毒藏于临时文件
现在Internet网络上的病毒疯狂肆虐,一些“狡猾”的网络病毒为了躲避杀毒软件的追杀,往往会想方设法地将自己隐藏于系统临时文件夹,那样一来杀毒软件即使找到了网络病毒,也对它无可奈何,因为杀毒软件对系统临时文件夹根本无权“指手划脚”。为了防止网络病毒隐藏在系统临时文件夹中,我们可以按照下面的操作设置Windows Server 2008系统的软件限制策略:
首先打开Windows Server 2008系统的“开始”菜单,从中点选“运行”命令,在弹出的系统运行对话框中,输入组策略编辑命令“gpedit.msc”,单击“确定”按钮后,进入对应系统的组策略控制台窗口;
其次在该控制台窗口的左侧位置处,依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”/“其他规则”选项,同时用鼠标右键单击该选项,并执行快捷菜单中的“新建路径规则”命令,打开如图2所示的设置对话框;单击其中的“浏览”按钮,从弹出的文件选择对话框中,选中并导入Windows Server 2008系统的临时文件夹,同时再将“安全级别”参数设置为“不允许”,最后单击“确定”按钮保存好上述设置操作,这样一来网络病毒日后就不能躲藏到系统的临时文件夹中了。
3、禁止来自外网的非法ping攻击
我们知道,巧妙地利用Windows系统自带的ping命令,可以快速判断局域网中某台重要计算机的网络连通性;可是,ping命令在给我们带来实用的同时,也容易被一些恶意用户所利用,例如恶意用户要是借助专业工具不停地向重要计算机发送ping命令测试包时,重要计算机系统由于无法对所有测试包进行应答,从而容易出现瘫痪现象。为了保证Windows Server 2008服务器系统的运行稳定性,我们可以修改该系统的组策略参数,来禁止来自外网的非法ping攻击:
首先以特权身份登录进入Windows Server 2008服务器系统,依次点选该系统桌面上的“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击回车键后,进入对应系统的控制台窗口;
其次选中该控制台左侧列表中的“计算机配置”节点选项,并从目标节点下面逐一点选“Windows设置”、“安全设置”、“高级安全Windows防火墙”、“高级安全Windows防火墙——本地组策略对象”选项,再用鼠标选中目标选项下面的“入站规则”项目;
接着在对应“入站规则”项目右侧的“操作”列表中,点选“新规则”选项,此时系统屏幕会自动弹出新建入站规则向导对话框,依照向导屏幕的提示,先将“自定义”选项选中,再将“所有程序”项目选中,之后从协议类型列表中选中“ICMPv4”。
向导屏幕会提示我们选择什么类型的连接条件时,我们可以选中“阻止连接”选项,同时依照实际情况设置好对应入站规则的应用环境,最后为当前创建的入站规则设置一个适当的名称。完成上面的设置任务后,将Windows Server 2008服务器系统重新启动一下,这么一来Windows Server 2008服务器系统日后就不会轻易受到来自外网的非法ping测试攻击了。
小提示:尽管通过Windows Server 2008服务器系统自带的高级安全防火墙功能,可以实现很多安全防范目的,不过稍微懂得一点技术的非法攻击者,可以想办法修改防火墙的安全规则,那样一来我们自行定义的各种安全规则可能会发挥不了任何作用。为了阻止非法攻击者随意修改Windows Server 2008服务器系统的防火墙安全规则,我们可以进行下面的设置操作:
首先打开Windows Server 2008服务器系统的“开始”菜单,点选“运行”命令,在弹出的系统运行文本框中执行“regedit”字符串命令,打开系统注册表控制台窗口;选中该窗口左侧显示区域处的HKEY_LOCAL_MACHINE节点选项,同时从目标分支下面选中SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules注册表子项,该子项下面保存有很多安全规则;
其次打开注册表控制台窗口中的“编辑”下拉菜单,从中点选“权限”选项,打开权限设置对话框,单击该对话框中的“添加”按钮,从其后出现的帐号选择框中选中“Everyone”帐号,同时将其导入进来;再将对应该帐号的“完全控制”权限调整为“拒绝”,最后点击“确定”按钮执行设置保存操作,如此一来非法用户日后就不能随意修改Windows Server 2008服务器系统的各种安全控制规则了。
4、禁止普通用户随意上网访问
通常Windows Server 2008系统都被安装到重要的计算机中,为了防止该计算机系统受到安全威胁,我们往往需要想办法限制普通用户在该系统中随意上网访问;但是如果简单关闭该系统的上网访问权限,又会影响特权用户正常上网,那么我们如何才能限制普通用户上网,而又不影响特权用户进行上网访问呢?其实很简单,我们可以按照下面的操作来修改Windows Server 2008系统的组策略参数:
首先以普通权限的帐号登录Windows Server 2008系统,打开对应系统中的IE浏览器窗口,单击其中的“工具”菜单项,从下拉菜单中点选“Internet选项”命令,弹出Internet选项设置窗口;
其次点选Internet选项设置窗口中的“连接”选项卡,进入连接选项设置页面,单击该设置页面中的“局域网设置”按钮,选中其后设置页面中的“为LAN使用代理服务器”选项,再任意输入一个代理服务器的主机地址以及端口号码,再单击“确定”按钮执行参数设置保存操作;
    之后注销Windows Server 2008系统,换用具有特殊权限的用户帐号重新登录进入Windows Server 2008系统,依次点选“开始”、“运行”命令,在其后出现的系统运行框中输入“gpedit.msc”命令,单击“确定”按钮后,进入对应系统的组策略控制台窗口;
选中该控制台窗口左侧位置处的“计算机配置”节点选项,再从目标节点下面依次展开“管理模板”、“Windows组件”、“Internet Explorer”、“Internet控制面板”子项,再用鼠标双击目标子项下面的“禁用连接页”组策略项目,此时系统屏幕上会弹出如图4所示的目标组策略属性设置对话框,选中“已启用”选项,再单击“确定”按钮执行设置保存操作,这么一来,普通权限的用户日后在Windows Server 2008系统中尝试访问网络时,IE浏览器会自动连接一个失效的代理服务器,那么IE浏览器自然也就不能正常显示网络页面内容了;而具有特殊权限的用户在Windows Server 2008系统中尝试进行网络访问时,IE浏览器会直接显示出目标站点的内容,不需要通过代理服务器进行中转。
5、断开远程连接恢复系统状态
很多时候,一些不怀好意的用户往往会同时建立多个远程连接,来消耗Windows Server 2008服务器系统的宝贵资源,最终达到搞垮服务器系统的目的;为此,在实际管理Windows Server 2008服务器系统的过程中,一旦我们发现服务器系统运行状态突然不正常时,可以按照下面的办法强行断开所有与Windows Server 2008服务器系统建立连接的各个远程连接,以便及时将服务器系统的工作状态恢复正常:
首先在Windows Server 2008服务器系统桌面中依次点选“开始”、“运行”选项,在弹出的系统运行对话框中,输入“gpedit.msc”命令,单击回车键后,进入目标服务器系统的组策略控制台窗口;
其次选中组策略控制台窗口左侧位置处的“用户配置”节点分支,并用鼠标逐一点选目标节点分支下面的“管理模板”/“网络”/“网络连接”组策略选项,之后双击“网络连接”分支下面的“删除所有用户远程访问连接”选项,在弹出的如图5所示的选项设置对话框中,选中“已启用”选项,再单击“确定”按钮保存好上述设置,这样一来Windows Server 2008服务器系统中的的各个远程连接都会被自动断开,此时对应系统的工作状态可能会立即恢复正常。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章