隨著WindowsXP系統的發布,Win2K系統在企業網中的應用漸漸普及並趨於成熟。微軟的產品似乎有這樣的規律,新一代操作系統的發布,就意味前一代操作系統的瘋狂。因此,在這個時候全面討論Win2K系統的安全問題,尤為合適及合時。本文闡述的就是如何使用微軟公司提供的安全工具包(Security Toolkit)來全面加固Win2K系統。 一、安全工具包是什麼? 安全工具包就是各種軟件和策略文檔的集合,一般以CD介質存放,使用者可以向微軟公司申請獲得。目前,美國本土用戶還可以從微軟網站的下列地址免費下載: ?url=/technet/security/tools/stkintro.asp ·2006年100款最佳安全工具譜·黑客將對bot軟件加密方案 避免其被安·史上最全:Vista軟件兼容系列評測(安全·Linux系統下的安全工具詳細介紹·Vista軟件兼容系列評測(安全工具篇)·隱藏在Windows XP安裝盤上的安全工具·沙場點兵 Win XP安裝盤中隱藏的安全工·進階秘籍:菜鳥也來玩安全工具·最佳的75個安全工具(1)·10款Linux下常用安全工具詳細介紹
二、安全工具包的作用 微軟出品安全工具包的目的就是為了幫助其用戶更好地保護使用的系統,無論是遇到一般性錯誤還是嚴重事件,都可以有辦法盡快地診斷、解決。一句話,就是讓用戶沒有後顧之憂,放心使用Windows! 三、安全工具包的內容 安全工具包包含的內容主要涉及三個方面:安全向導、軟件更新、部署及管理工具。具體內容是: 1、安全向導部分 ▲安裝及更新安全向導:為安裝和更新Win2K系統提供一個安全策略。 ▲基准安全清單:為安裝後的Win2K操作系統及其附帶的Internet信息服務器提供一套安全配置的操作步驟。 ▲Win2K SP和Hotfix安裝及部署向導:描述在企業網中安裝Win2K SP和Hotfix的步驟及注意事項。 ▲如何使用SMS部署SP:描述如何使用系統管理服務器SMS(Systems Management Server)並借助分發軟件向導安裝SP。 ▲Internet Explorer部署向導:指導系統管理員如何使用Internet Explorer管理工具集IEAK(Internet Explorer Administration Kit)全面定制Internet Explorer的安裝信息。 2、軟件更新部分 ▲Win2K SP2:大家一定早就認識這個軟件是誰以及它能干什麼了,此處不再多言。 ▲IIS4.0累積安全補丁:這個程序包括了自WinNT4.0 SP5以後的所有關於IIS4.0安全漏洞的補丁。 ▲IIS5.0累積安全補丁:這個程序包括了所有關於IIS5.0安全漏洞的補丁。 ▲Windows NT 4.0 SP6a:即最近的WinNT之安全補丁 ▲Windows NT 4.0 累積安全補丁:包括了自WinNT SP6a後的安全漏洞之補丁程序,就是說,必須在安裝了WinNT4.0 SP6a之後,才能安裝這個軟件包。 ▲TSE SP6:即Windows NT 4.0 SP6 For Terminal Server Edition,它是基於WinNT4.0 SP6a的,另外包含了對於終端服務器的附加安全補丁。 ▲Internet Explorer 5.01 SP2和Internet Explorer 5.5 SP2:隨著尼母達等新型病毒的肆虐,我們現在都知道了不僅要為服務器操作系統軟件打補丁,還要為客戶端浏覽器、電子郵件程序打補丁。這2個程序就是針對微軟浏覽器IE的補丁,建議客戶端進行安裝。 ▲Internet Explorer 6.0:這是微軟最新的浏覽器版本,建議用戶進行升級工作。一來可以利用最新的技術、分享最新的成果,二來可以免去為舊版本浏覽器打補丁的任務。當然,關於IE6.0的補丁也會到來,到時候別忘記“打”噢! ▲安全告示系列MS01-xxx:即最近發布的安全告示及對策,對應的微軟網站地址是: 3、部署和管理工具 ▲Internet信息服務器Lockdown工具:Lockdown是快速實現IIS4.0或5.0安全配置的一款工具。它提供了兩種操作模式,快速模式適合於大多數Web服務器的基本安全配置,高級模式允許管理員根據服務器的具體應用技術定制安全配置。而且,Lockdown具備undo功能,允許回復到最近使用前的狀態。 ▲URLScan: URLScan用於過濾對IIS Web服務器的進站請求,只有那些匹配管理員事先設置規則的信息才可通過,這樣就顯著地改善了服務器的安全級別,讓Web服務器前又多了一道警衛!過濾規則涉及到信息長度、字符集和數據內容等等,默認提供的一套規則可以滿足大多數IIS Web服務器的需求。 ▲hfnetchk.exe:隨著紅色代碼、藍色代碼等病毒利用系統漏洞肆虐計算機網絡的案例不斷發生,系統管理者越來越認識到,要創建一個安全的計算機網絡應用環境,及時、全面地安裝系統安全補丁程序變得尤為重要。但有什麼工具可以全面掌握當前系統已經安裝了哪些補丁以及還沒有安裝哪些必須的補丁呢?HfNetChk將是最佳選擇! HfNetChk是一個命令行執行程序,它借助一個由微軟公司提供的不斷更新的XML數據庫,幫助管理員從一個中心位置了解當前網絡所有機器中Windows產品的補丁程序安裝情況。 ▲Windows 重要更新通知工具MWCUNT:隨著病毒以不斷變換的手段侵入計算機系統的慘案不斷發生,我們都意識到安裝反病毒實時監控軟件的重要性,同時,及時地為使用的操作系統打“補丁”,顯得更為關鍵!但是,,如何才能在第一時間得到“新補丁”的通知呢?MWCUNT就是這樣的工具。MWCUNT是Microsoft Windows Critical Update Notification tool的縮寫,即Windows 重要更新通知工具,安裝了它,即可以及時地得到重要更新補丁的通知,又可以方便地引導用戶訪問補丁頁面進行下載和安裝。一舉兩得,快快使用吧! ▲QChain.exe:通常,如果不借助其他工具,當對微軟系統安裝多個熱修復補丁程序,也就是hotfixes時,多個hotfixes的安裝必須要遵從一定的次序,而且在每個hotfixes安裝後,都必須重新啟動計算機。這無疑是非常費心費時的工作。但是使用Qchain,這些問題將迎刃而解,一切會變得輕松簡單,系統管理員“打”補丁的經常性工作將快捷而准確。
四、安全工具包應用實例 上面列舉了安全工具包的內容,應該說涉及面很廣、很全。為了更好地了解每一個方面的具體原理及操作步驟,下面選擇出一些重點項目及參考文檔,請管理員們擇情使用: 用Qchain為系統一次安裝多個熱修復補丁程序 五、結 語 以上論述的安全工具包是微軟公司自己的產品,從內容涵蓋方面看,應該說是一份很完整的安全配置體系方案了。凡是使用Windows產品的用戶,都應該根據自己網絡的實際情況,有針對性地選擇其中一個或多個項目充分展開,進行合理、全面地安全配置。並且,要清楚地認識到安全問題不是一蹴而就、一勞永逸的工作,要及時地跟蹤微軟公司發布的安全信息及產品,實現所管理的計算機網絡的動態安全。
