企業組織通常依賴組策略設置來保護及配置新的服務器。即便如此,為每個服務器配置本地安全策略也是同樣重要的。
Windows Server本地安全策略與Active Directory組策略有些相似,但是,前者可以在不依賴Active Directory前提下依舊提供保護功能。如果有人想要將服務器從域中分離出來,亦或者使用本地賬戶進入服務器中,服務器本地安全策略便可以起到保護作用。本地安全策略的優點在于,策略設置通常與策略設置樹在同一個位置,形成策略組合。這樣解釋很籠統,因此本文將列舉一些本地服務器級別的配置項目清單。
防火墻
需要配置及啟動服務器防火墻。當我們使用第三方防火墻時,應該按照供應商提供的說明進行操作。可以通過本地安全策略來配置Windows防火墻:Security Settings Windows Firewall with Advanced Security Windows Firewall with Advanced Security – Local Group Policy Object,詳細操作如圖1所示。
圖1. 通過本地安全策略配置Windows防火墻
系統服務
另外一種不錯的方法是,停用所有不必要的系統服務。這樣做可以提高服務器性能和安全性。不同的組織環境對應不同的服務禁用情況,但是管理人員應該停用服務器上一切沒有價值的服務。例如,許多公司已經不再使用Windows搜索服務。
一般使用了Service Control Manager,我們就不再會使用系統服務,但是根據Windows不同的版本,管理人員或許也會通過本地安全策略來控制系統服務。如果可行,可以進行以下設置:Computer Configuration Windows Settings Security Settings System Services。
設置補丁管理
即便我們通過Windows服務器更新服務或者第三方補丁管理方案也可以解決域級別的補丁管理問題,但是仍建議將其配置在本地安全策略中。即使服務器有可能與域分離,但是這樣做卻可以保證服務器可以繼續接受補丁信息。補丁管理具體設置如下:Computer Configuration Administrative Templates Windows Components Windows Update。
遠程桌面服務
本地安全策略的另外一項配置是遠程桌面服務。遠程桌面服務可以通過一種遠程管理會話來管理服務器。通過在本地安全策略級別中配置遠程服務管理,即使當域連接失敗時,管理人員也可以進行遠程管理操作。本地安全策略設置通過如下操作控制遠程桌面服務:Computer Configuration Administrative Templates Windows Components Remote Desktop Services。
設置審核策略
同樣地,在本地計算機中也應該配置審核策略,這樣就可以審核非域登陸、特權使用以及系統事件。要根據每個組織實際情況來選擇最適合的審核配置,建議按照以下每步操作來配置審核日志:
登陸賬戶
管理賬戶
變更策略
使用特權
系統事件
本地安全策略的審核設置步驟如下:Security Settings Local Policies Audit Policy,具體操作如圖2所示。
圖2. 本地安全策略內的審核設置
登錄橫幅
另外還有一個不錯的創意,那就是利用本地安全策略在服務器中設置一個登錄橫幅。這種橫幅可以顯示登錄提示或者未授權禁止訪問警告。在本地安全策略中設置登錄橫幅具體操作如下:Computer Configuration Windows Settings Security Settings Local Policy Security Options。控制登錄橫幅的策略設置是Interactive Logon: Message Text for Users Attempting to Log On和Interactive Logon: Message Title for Users Attempting to Log On。
記住,當部署新型服務器時,管理人員并非僅能依靠本地安全策略。還有許多其他適用于操作系統的配置任務同樣可以在新型服務器上運行。其中一些任務或許還可以包含安裝驅動或者超級監控服務,對反惡意軟件起到保護作用,同時也可以部署備份代理。
京公網安備 11010502049343號