Windows2003 SP1带来更强安全性(组图)

　　准备好为Windows Server 2003安装2005年的第一个服务包。　　　　你们当中的很多人可能还在为了桌面电脑上的Windows XP Service Pack 2感到头晕目眩。现在，Windows Server 2003在2005年发布了第一个服务包，准备好了接受类似的头晕目眩吧。当你采用SP1之前，必须要充分理解它对 于服务器端的重大影响。　　　　给现有系统带来的主要改变除了增加了很多将在本文后面出现的新功能之外，Windows Server 2003 service pack 1给Windows Server 2003 服务 带来了很大的改变。如果你对于Windows XP SP2很熟悉，你就已经体会过了那种变化所带来的感觉，WS2K3 SP1 也将给你带来同样的感觉。　　　　更重要的是，SP1极大的增强了IE的安全性，此前IE一直是很多攻击的目标，尤其是那些基于ActiveX的恶意代码 。SP1让ActiveX更难在没有得到用户许可的情况下生效。而且，SP1让网站更难自动重新定义IE窗口的尺寸以隐 藏正在运行的恶意代码。这类程序包括键盘操作记录器和其他的可能危及系统安全的软件。　　　　除了这些，SP1对于一些容易受到攻击的服务，比如RPC和DCOM这两个黑客最喜欢的服务，加强了安全限制。 SP1的RPC和DCOM服务在使用前需要更高级别的客户服务授权，这样就降低了它们受到攻击的危险。　　　　微软还对于Outlook Express电子邮件软件进行了加强，它为Outlook Express提供了文本邮件和HTML邮件。对于安 全非常重视的用户可以不使用HTML电子邮件，因为HTML邮件经常同电子邮件攻击有关。Outlook Express还能够 只显示HTML邮件的文本部分，这同Outlook 2003的功能类似。在这种情况下，外部Web服务器并不下载HTML内容 ，这也能够保护用户，防止用户的电子邮件地址被当作垃圾邮件发送者。　　　　有些人并不把IE和Outlook Express 看作服务器端必须的应用。毕竟你可以永远禁止他们使用。但是要记住在使用 Windows Server 2003的Terminal Services 组件的环境中，IE和Outlook Express是很重要的软件。而且SP1中还有 Windows Media Player 10，Windows Media Player 10中增加了很多新功能（不幸的是，包括了数码版权管理软件） ，但是确实解决了可能发生的问题。　　　　如同微软在它的文件中指出的一样，SP1“减少了Windows Server 2003受到攻击的可能”。请注意它说的不是“消除” 而是“减少”，但是这些变化最终提高了Windows系统的安全性。SP1带来了一些高级别的重要变化。在这种情况下 ，有很多具体的变化能够解决大量的安全问题。你可以从微软的网站上找到关于SP1的详细说明文档，并从中了 解更多的详细信息。　　　　新功能　　　　SP1为Windows Server 2003增加了一系列新功能。绝大部分新功能都是增强操作系统安全性和稳定性的。　　　　同Windows XP SP2一样，Windows Server 2003的SP1用一个名为Windows Firewall的简单稳定的防火墙代替了Internet Connection Firewall。但是，同XP SP2不一样的是，WS2K3 SP1的防火墙并不是默认激活的。在SP1安装过程中， 它是关闭的，只有在Post-Setup Security Update打开了之后它才被激活，这将在后面讨论到。当然，你可以选择打 开Windows Firewall来保护你的服务器，但是为了确保你的软件还能够同客户端进行通信，你需要进行一些管理调 整。　　　　Post-Setup 安全更新（Post-Setup Security Updates，PSSU）是一项从来没有出现在Windows系统中的崭新功能， 它能够保护你的服务器安全度过干净的安装和安装重要安全升级之间的危险时光。原先，服务器在没有安装新的 补丁程序之前，对于攻击是毫无防范的能力。PSSU使用新的Windows Firewall来阻止所有通往服务器的通信，直 到进行了新的安全升级。PSSU还能够帮助管理员配置服务器的自动更新。就我个人的观点，我并不喜欢没有管 理员干涉的自动升级，尤其是那些改变了软件行为的升级。　　　　SP1中还包含了RQS和RQC应用，这帮助负责远程桌面电脑管理员保障桌面电脑的安全。 RQS和RQC包含了网络 访问隔离控制（Network Access Quarantine Control）功能（也被称为VPN隔离）它能够阻止计算机对于专有网络访 问，直到系统管理员确认脚本对于系统是安全的。重要的是要记住SP1中的网络访问隔离控制只用于远程访问连 接。下一个Windows版本中将包括一个名为网络访问保护（Network Access Protection）的全功能服务，它把远程 访问扩展到DHCP和IPSec通信上。　　　　除了增加软件来帮助提高Windows服务器的安全性和可靠性之外，SP1还支持Intel和AMD的一些硬件技术以保护系 统。称为“不执行”或者“数据执行保护”，SP1支持处理器限制软件访问它们不应该访问的RAM区域。 SP1 发布RC安装版本首先，你必须接受一份弃权声明：不把SP1 RC安装在用于商业的服务器上。你可能对此感到不满，但是你永远 也不会知道最初的RC和最后的SP1会有多大的差别。　　　　完成了这一步骤之后，我将会展示一下SP1 RC的示范安装过程，这样你就能够了解安装的过程。我还会给出一 些安装后截图，这样你就能知道系统发生了哪些改变。　　　　安装的第一个步骤你可能已经想到了，是从微软的网站上为SP1下载RC。　　　　下载完成后，你需要大约400MB的磁盘空间来安装下载的内容。为了解压缩文件并且开始安装SP1，你只需双击 你所下载的文件的图标。　　　　图A是安装程序的开始，只是给你一个简单的概述，告诉你在安装SP1 RC之前应该做哪些准备。这都是些标准内 容，但是我还是把它截取下来，以防遗漏。　　　　　图A：在安装SP1之前备份你的服务器　　　　接下来，你需要决定把原来的系统文件备份到哪里，以便在SP1出问题的时候使用（图B）。如果你在安装过程 中遇到了问题，这些文件能够帮助你把系统恢复到SP1安装之前的状态。　　　　　 图B：确定存放卸载信息的路径　　　　前一个步骤完成后，安装程序确认你有足够的磁盘空间进行安装，它就会开始安装。由于SP1在你的系统内牵涉 面很宽，所以安装过程需要一点时间。我为了写本篇文章所进行的测试安装花了大概半个小时才完成。安装完成 后系统需要进行一次重启动。重启动之后，屏幕上会出现类似图C的窗口，对系统进行快速检测。　　　　　图C：Service Pack 1在服务器上运行　　　　变化的例子你已经知道SP1带来了一系列变化，如果你对XP SP2很熟悉，你应该对其中的一些功能有一些了解了。比如，图 D就是防火墙配置窗口（“开始”菜单—>控制面板—> Windows防火墙）　　　　　图D：Windows Firewall 替代了互联网连接防火墙　　　　在WS2K3 SP1和XP SP2之前，Outlook Express是主要的安全风险来源，因为它容易受到HTML邮件攻击。现在，由 于阻止特定的外部内容，阅读邮件已经变得安全了很多。你可以在“工具”菜单中选择“选项”，选择Outlook Express 选项，如图E所示。　　 　　图E：在Outlook Express中阻止外部内容　　　　除了在这里显示的几个截图外，SP1解决了现有软件中可能引起的问题，所以需要进行充分的测试。我们应该为 Windows Server 2003 R2做好准备，它将在SP1之后发布。R2将把所有的升级和服务包整合到一起，为WS2K3提供 整体升级。