准備好為Windows Server 2003安裝2005年的第一個服務包。 你們當中的很多人可能還在為了桌面電腦上的Windows XP Service Pack 2感到頭暈目眩。現在,Windows Server 2003在2005年發布了第一個服務包,准備好了接受類似的頭暈目眩吧。當你采用SP1之前,必須要充分理解它對 於服務器端的重大影響。 給現有系統帶來的主要改變除了增加了很多將在本文後面出現的新功能之外,Windows Server 2003 service pack 1給Windows Server 2003 服務 帶來了很大的改變。如果你對於Windows XP SP2很熟悉,你就已經體會過了那種變化所帶來的感覺,WS2K3 SP1 也將給你帶來同樣的感覺。 更重要的是,SP1極大的增強了IE的安全性,此前IE一直是很多攻擊的目標,尤其是那些基於ActiveX的惡意代碼 。SP1讓ActiveX更難在沒有得到用戶許可的情況下生效。而且,SP1讓網站更難自動重新定義IE窗口的尺寸以隱 藏正在運行的惡意代碼。這類程序包括鍵盤操作記錄器和其他的可能危及系統安全的軟件。 除了這些,SP1對於一些容易受到攻擊的服務,比如RPC和DCOM這兩個黑客最喜歡的服務,加強了安全限制。 SP1的RPC和DCOM服務在使用前需要更高級別的客戶服務授權,這樣就降低了它們受到攻擊的危險。 微軟還對於Outlook Express電子郵件軟件進行了加強,它為Outlook Express提供了文本郵件和HTML郵件。對於安 全非常重視的用戶可以不使用HTML電子郵件,因為HTML郵件經常同電子郵件攻擊有關。Outlook Express還能夠 只顯示HTML郵件的文本部分,這同Outlook 2003的功能類似。在這種情況下,外部Web服務器並不下載HTML內容 ,這也能夠保護用戶,防止用戶的電子郵件地址被當作垃圾郵件發送者。 有些人並不把IE和Outlook Express 看作服務器端必須的應用。畢竟你可以永遠禁止他們使用。但是要記住在使用 Windows Server 2003的Terminal Services 組件的環境中,IE和Outlook Express是很重要的軟件。而且SP1中還有 Windows Media Player 10,Windows Media Player 10中增加了很多新功能(不幸的是,包括了數碼版權管理軟件) ,但是確實解決了可能發生的問題。 如同微軟在它的文件中指出的一樣,SP1“減少了Windows Server 2003受到攻擊的可能”。請注意它說的不是“消除” 而是“減少”,但是這些變化最終提高了Windows系統的安全性。SP1帶來了一些高級別的重要變化。在這種情況下 ,有很多具體的變化能夠解決大量的安全問題。你可以從微軟的網站上找到關於SP1的詳細說明文檔,並從中了 解更多的詳細信息。 新功能 SP1為Windows Server 2003增加了一系列新功能。絕大部分新功能都是增強操作系統安全性和穩定性的。 同Windows XP SP2一樣,Windows Server 2003的SP1用一個名為Windows Firewall的簡單穩定的防火牆代替了Internet Connection Firewall。但是,同XP SP2不一樣的是,WS2K3 SP1的防火牆並不是默認激活的。在SP1安裝過程中, 它是關閉的,只有在Post-Setup Security Update打開了之後它才被激活,這將在後面討論到。當然,你可以選擇打 開Windows Firewall來保護你的服務器,但是為了確保你的軟件還能夠同客戶端進行通信,你需要進行一些管理調 整。 Post-Setup 安全更新(Post-Setup Security Updates,PSSU)是一項從來沒有出現在Windows系統中的嶄新功能, 它能夠保護你的服務器安全度過干淨的安裝和安裝重要安全升級之間的危險時光。原先,服務器在沒有安裝新的 補丁程序之前,對於攻擊是毫無防范的能力。PSSU使用新的Windows Firewall來阻止所有通往服務器的通信,直 到進行了新的安全升級。PSSU還能夠幫助管理員配置服務器的自動更新。就我個人的觀點,我並不喜歡沒有管 理員干涉的自動升級,尤其是那些改變了軟件行為的升級。 SP1中還包含了RQS和RQC應用,這幫助負責遠程桌面電腦管理員保障桌面電腦的安全。 RQS和RQC包含了網絡 訪問隔離控制(Network Access Quarantine Control)功能(也被稱為VPN隔離)它能夠阻止計算機對於專有網絡訪 問,直到系統管理員確認腳本對於系統是安全的。重要的是要記住SP1中的網絡訪問隔離控制只用於遠程訪問連 接。下一個Windows版本中將包括一個名為網絡訪問保護(Network Access Protection)的全功能服務,它把遠程 訪問擴展到DHCP和IPSec通信上。 除了增加軟件來幫助提高Windows服務器的安全性和可靠性之外,,SP1還支持Intel和AMD的一些硬件技術以保護系 統。稱為“不執行”或者“數據執行保護”,SP1支持處理器限制軟件訪問它們不應該訪問的RAM區域。 SP1 發布RC安裝版本首先,你必須接受一份棄權聲明:不把SP1 RC安裝在用於商業的服務器上。你可能對此感到不滿,但是你永遠 也不會知道最初的RC和最後的SP1會有多大的差別。 完成了這一步驟之後,我將會展示一下SP1 RC的示范安裝過程,這樣你就能夠了解安裝的過程。我還會給出一 些安裝後截圖,這樣你就能知道系統發生了哪些改變。 安裝的第一個步驟你可能已經想到了,是從微軟的網站上為SP1下載RC。 下載完成後,你需要大約400MB的磁盤空間來安裝下載的內容。為了解壓縮文件並且開始安裝SP1,你只需雙擊 你所下載的文件的圖標。 圖A是安裝程序的開始,只是給你一個簡單的概述,告訴你在安裝SP1 RC之前應該做哪些准備。這都是些標准內 容,但是我還是把它截取下來,以防遺漏。 圖A:在安裝SP1之前備份你的服務器 接下來,你需要決定把原來的系統文件備份到哪裡,以便在SP1出問題的時候使用(圖B)。如果你在安裝過程 中遇到了問題,這些文件能夠幫助你把系統恢復到SP1安裝之前的狀態。
圖B:確定存放卸載信息的路徑 前一個步驟完成後,安裝程序確認你有足夠的磁盤空間進行安裝,它就會開始安裝。由於SP1在你的系統內牽涉 面很寬,所以安裝過程需要一點時間。我為了寫本篇文章所進行的測試安裝花了大概半個小時才完成。安裝完成 後系統需要進行一次重啟動。重啟動之後,屏幕上會出現類似圖C的窗口,對系統進行快速檢測。 圖C:Service Pack 1在服務器上運行 變化的例子你已經知道SP1帶來了一系列變化,如果你對XP SP2很熟悉,你應該對其中的一些功能有一些了解了。比如,圖 D就是防火牆配置窗口(“開始”菜單—>控制面板—> Windows防火牆) 圖D:Windows Firewall 替代了互聯網連接防火牆 在WS2K3 SP1和XP SP2之前,Outlook Express是主要的安全風險來源,因為它容易受到HTML郵件攻擊。現在,由 於阻止特定的外部內容,閱讀郵件已經變得安全了很多。你可以在“工具”菜單中選擇“選項”,選擇Outlook Express 選項,如圖E所示。 圖E:在Outlook Express中阻止外部內容 除了在這裡顯示的幾個截圖外,SP1解決了現有軟件中可能引起的問題,所以需要進行充分的測試。我們應該為 Windows Server 2003 R2做好准備,它將在SP1之後發布。R2將把所有的升級和服務包整合到一起,為WS2K3提供 整體升級。