安全なWindows Server 2008を構築するための9つの方法

現在、多くの企業がMicrosoftのWindowsプラットフォームを優先プラットフォームとして使用しています。最近、Windows Server 2008のリリースに伴い、ますます多くの企業がこの新しいバージョンのサーバーオペレーティングシステムにアップグレードすることを計画しています。実際、業界コンサルタントのIDCの予測によると、今年の終わりまでに、世界中のWindows Server 2008のインストール数は350万以上に達するでしょう。

は、Windowsプラットフォーム依存の増加セキュリティを使用して、ビジネスクリティカルなアプリケーションを実行するために、企業としては、Windowsプラットフォームの可用性の重要性は自明です。結局、競争が激しくなる現在の状況では、システムクラッシュが企業に与える影響は壊滅的なものになる可能性があるため、Windowsサーバーを効率的に管理する方法は、企業のIT部門にとって非常に緊急の課題となりました。幸い、Windows Server 2008への移行を選択した場合でも、企業がWindows環境への投資を歓迎し、最大限に活用し、維持するためにサーバーを管理するのに役立つ、確立されたツールとサービスがいくつかあります。

のWindows Server 2008は、これまでで最も堅牢なWindows ServerのCaozuojitongであると言うことができ、そのすべての機能は、エンタープライズプラットフォームサービスとゴールの周りにこのような設計の用途のためのより強固な基盤を提供することです。 Windows Server 2008の新しい可用性、仮想化、セキュリティ、および管理機能は、情報技術（IT）の専門家がインフラストラクチャの管理と管理を最大限に活用するのに役立ちます。例えば

は、Windows Server 2008では、Windows PowerShellの技術を導入しています。 Windows PowerShellは、コマンドラインシェルおよびスクリプトシステム管理ツールです。 PowerShellは、既存のWMI、COM、ADO.NET、ADSI、およびその他のWindows管理モデルの両方をサポートする、.NET Framework上に構築されたオブジェクトベースのシェルです。さらに、130を超えるツールも含まれています。このような開発および管理環境により、IT部門は繰り返し行われるシステム管理タスクを簡単に制御および自動化できます。また

、Windows Server 2008の新しいサーバーマネージャ（サーバーマネージャ）は、管理者が簡単に、インストール、設定、およびサーバーを管理することができ、管理者のみに与えられる単一のコントロールパネルは、大きな利便性をもたらしたですWindows Server 2008の役割と機能

は、これらの改善のWindows Server 2008の、多くの企業は、より強力なビジネスプラットフォームに移行すること熱望しているので。このため、アップグレードされたWindows環境に提供される保護対策は、企業のIT部門にとって最も緊急の課題となっています。ビジネスの継続性を維持するために、IT部門はデータ、システム、およびアプリケーションを復元するだけでなく、Windows Server 2008の新機能をサポートし統合する効果的なソリューションを見つけることができなければなりません。

強力かつ安全なサーバーを作成するための

システムのインストールプロセス
1.セキュリティ設定は、インストールに時間の初めから細部に注意を払う必要がありますセキュリティ新しいサーバーは、オペレーティングシステムの防御が完了するまで、考えられるすべての攻撃チャネルを排除するために、独立したネットワークにインストールする必要があります。

インストール開始の最初のステップでは、FAT（ファイル割り当てテーブル）とNTFS（新技術ファイルシステム）のどちらかを選択するように求められます。この時点で、すべてのディスクドライブにNTFSフォーマットを選択する必要があります。 FATは、初期のオペレーティングシステム用に設計された比較的原始的なファイルシステムです。 NTFSは、アクセス制御リスト（ACL）やファイルシステムのジャーナリング、ファイルシステムのログ記録など、FATでは利用できないセキュリティ機能を提供するWindows NTの登場で登場しました。ファイルシステムへの変更。次に、最新のService Pack（SP2）と入手可能な一般的なパッチをインストールする必要があります。 Service Packのパッチの多くは非常に古いものですが、サービス拒否攻撃、リモートでのコード実行、クロスサイトスクリプティングなどの脅威を引き起こす可能性がある既知の脆弱性をいくつか修正することができます。

2.システムをインストール


セキュリティポリシーを設定した後、あなたは座って、いくつかのより詳細な安全性を行うことができます。 Windows Server 2003の耐性を向上させる最も簡単な方法は、ネットワーク上のサーバーの役割に基づいてセキュリティで保護されたポリシーを作成するプロセスを案内するサーバー構成ウィザード（SCW）を使用することです。 SCWは、サーバーの構成ウィザードとは異なります。 SCWはサーバーコンポーネントをインストールしませんが、ポートとサービスを監視し、登録と監査の設定を構成します。 SCWはデフォルトではインストールされないため、コントロールパネルの[プログラムの追加と削除]ウィンドウから追加する必要があります。 [Windowsコンポーネントの追加と削除]ボタンをクリックし、[セキュリティ設定ウィザード]を選択すると、インストールプロセスが自動的に始まります。 SCWにインストールしたら、管理ツールからアクセスできます。サービス、ネットワークセキュリティ、特定のレジストリ値、監査ポリシー、でも可能な場合は、構成することもできるIISを構成するために使用できるXMLファイル形式を作成することによって、

SCWセキュリティポリシー。設定インターフェイスを使用すると、新しいセキュリティポリシーを作成したり、既存のものを編集したりしてネットワーク上の他のサーバに適用することができます。操作によって作成されたポリシーによって競合または不安定性が発生した場合は、操作をロールバックできます。 SCWは、Windows Server 2003セキュリティのすべての基本をカバーしています。ウィザードを実行すると、最初に表示されるのはセキュリティ設定データベースです。これには、すべてのロール、クライアント機能、管理オプション、サービス、ポートなどが含まれています。 SCWには、アプリケーションの知識に関する幅広い知識ベースも含まれています。つまり、選択したサーバーの役割にアプリケーション（自動更新などのクライアント機能やバックアップなどの管理アプリケーション）が必要な場合、Windowsファイアウォールは必要なポートを自動的に開きます。アプリケーションが閉じられると、ポートは自動的にブロックされます。ネットワークセキュリティ設定、レジストリプロトコル、およびサーバーメッセージブロック（SMB）シグネチャセキュリティは、重要なサーバー機能のセキュリティを強化します。 Outbound Authentication設定は、外部リソースへの接続に必要な認証レベルを決定します。最終ステップ

SCWおよび関連する監査ポリシー。既定では、Windows Server 2003は成功したアクティビティのみを監査しますが、システムの拡張バージョンでは、成功したアクティビティと失敗したアクティビティの両方を監査してログに記録する必要があります。ウィザードが実行されると、作成されたセキュリティポリシーはXMLに格納され、後で使用するためにサーバーですぐに使用でき、さらに他のサーバーでも使用できます。サーバーのインストール中に強化処理の最初の手順を実行しないサーバーでもSCWをインストールできます。

3.物理マシンとロジックコンポーネントに適切なアクセス制御許可を設定します。


サーバーの電源ボタンを押してから操作が開始されるまですべてのサービスがアクティブになる前に、脅威システムの悪意のある行動が依然としてシステムに損傷を与える可能性があります。オペレーティングシステムのオペレーティングシステムに加えて、正常なサーバーはパスワードで保護されたBIOS /ファームウェアで起動する必要があります。さらに、BIOSに関しては、サーバーの電源投入シーケンスは、許可されていない他のメディアからの起動を防ぐために正しく設定する必要があります。

コンピュータを起動した直後にF2キーを押すと、BIOSセットアップページに移動します。 Alt-Pを使用してBIOSのさまざまな設定タブ間を行き来できます。 [起動順序]タブで、サーバーの起動設定を[内蔵HDD]に設定します。 [Boot Order]タブには、ハードディスクパスワードに[Primary]、[Administrative]、[Hard]の3つのオプションがあります。同様に、CD、DVD、USBドライブなどの外部メディアを自動的に実行する機能も無効にする必要があります。レジストリで、パスHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCdrom（または他のデバイス名）を入力し、Autorun値を0に設定します。自動実行機能には、ポータブルメディアで運ばれる悪意のあるアプリケーションを自動的に起動する可能性があります。これは、Trojan、Backdoor、KeyLogger、Listenerなどのマルウェアをインストールする簡単な方法です（図4を参照）。

次の防衛線は、ユーザーがシステムにログインする方法についてです。バイオメトリクス、トークン、スマートカード、ワンタイムパスワードなどの認証用の代替テクノロジを使用してWindows Server 2003のシステムを保護することはできますが、ローカルまたはリモートを問わず、多くのシステム管理者が使用します。ユーザー名とパスワードの組み合わせは、ログインサーバーの確認コードとして使用されます。しかし多くの場合、彼ら全員がデフォルトパスワードを使用しています。これは明らかにトラブルを求めています（実際の@ 55w0rdは使用しないでください）。

は、上記のこれらの点は非常に明白であることに注意してください。ただし、パスワードを使用する必要がある場合は、強力なパスワードポリシーを使用することをお勧めします。パスワードの長さは、英大文字、数字、および英数字以外の文字を含めて少なくとも8文字です。また、定期的にパスワードを変更し、特定の期間同じパスワードを使用しない方がよいでしょう。

強力なパスワードポリシーに加え、複数の認証（多要素認証が）、これはほんの始まりです。 NTFSが提供するACL機能のおかげで、各ユーザーにはサーバーのあらゆる側面への異なるアクセスレベルを割り当てることができます。ファイルアクセス制御印刷共有許可の設定は、全員ではなくグループに基づいている必要があります。これはサーバー上またはActive Directoryを介して実行できます。また、1人の正当な認証済みユーザーだけがレジストリにアクセスして編集できるようにすることも重要です。目標は、これらの重要なサービスやアプリケーションにアクセスするユーザー数を制限することです。

zh-CN"],null,[1],zh-TW"]]]