Windows Server 2008感觸
我不這樣認為,我認為一個操作系統的安全是要從多方面去衡量的,而不是單純的去比較某一個特性,我并不否認Linux有其優勢,但整體上來講,Windows還是占有非常明顯的優勢的。讓我們來看看Windows與Linux的安全性對比
一、軟件源代碼
Linux粉絲叫囂的最厲害的是“我們的軟件是開源的,你可以清楚的看到系統的構成,你可以根據自己的需要去定制……”,對,確實是這樣,Linux可以根據你的需求去定制,這個是它的優勢,但是,我們不得不面對的問題:
1、定制的技術難度;
2、定制的成本;
3、穩定性;
4、對于操作系統定制的必要性。我想,絕大多數的企業似乎沒有定制操作系統的需求,企業更多的會關注可用性、安全性、兼容性、可擴展性、投入產出比等問題,需要的是能夠為企業提出整體解決方案的軟件,而不是一個單純的操作系統,一個操作系統的功能是有限的,更多的是需要這個平臺上的應用程序。操作系統是否開源對于大多數企業而言不是太重要,難道我們會將操作系統的每一行代碼都查看一遍?既然不會,那誰又敢保證Linux就沒有后門、沒有漏洞呢?
而微軟做為軟件行業的老大,我認為是值得信任的。看看周圍的IT產品,有多少我們是擁有自主產權的?這些不是我們今天要討論的問題。如果非要說原代碼的事情,我承認,Linux勝出。但你要知道,即使有一天Windows開源了,我敢肯定的說99.99%d的用戶都不會去看源代碼。
二、成本和平臺
很多人攻擊說是用付費軟件的成本高,事實真是如此嗎?以操作系統為例,Linux免費,Windows不算貴,表面上看上去Linux占優勢,但是,有沒有考慮到后期運維成本呢?首先,Windows平臺的問題有大量的技術資料和技術人員去解決,而且,購買了正版的操作系統微軟是免費提供技術服務的,而Linux呢?盡管操作系統是免費的,但是,服務是要收費的,很多用戶都說Linux的服務可不便宜。我認為,這僅僅是兩種不同的市場策略而已,操作系統平臺是一個是付費的軟件免費的服務,一個是免費的軟件付費的服務,半斤對八兩。
但是,基于Windows平臺上的服務器軟件多,為企業提供整體解決方案時優勢就體現出來了,比Linux平臺的動不動就要開發,或者使用其他廠商的解決方案而言強多了。比如:Windows平臺構建AD、郵件系統、即時通訊系統、數據庫服務器、防火墻、終端服務、虛擬化等等,微軟可以提供整體解決方案,所有軟件來自于一家廠商可以緊密集成,并且不用考慮兼容性問題。試問,哪個Linux廠商能夠從服務器操作系統到客戶端操作系統,再到桌面應用程序,再到郵件,再到數據庫,再到即時通訊,再到安全產品,再到管理軟件,再到…………,提出全套解決方案的呢?沒有。今天,做OCS售前的時候,客戶說:“不用為我們省錢,我們不缺錢,我們需要的是一套穩定的、適合我們企業業務需求的、能和現有系統集成的產品。”多么有氣魄啊,“我們不缺錢”!!!!
在面對自己需求的時候,很多企業是不考慮錢的,或者是把錢放在一個次要的位置。即使要考慮成本,Windows平臺也是占優勢的,至于中小公司的LAMP的架構應用范圍有限,不在討論之列。此回合Windows勝出。
三、廠商技術支持
這個就不用說了,先弱弱的問一下,“Linux到底有多少個發行版本???”誰能給出一個準確的數字啊?廠商的技術支持??當然有,不過,你需要先付費。我最反感的一幅漫畫就是比爾蓋茨穿著一件打滿補丁的西服和別人握手,很多人嘲笑微軟的補丁更新。其實,這個恰恰說明了微軟對于客戶的重視,在最短的時間內修復軟件的漏洞,而不像Linux平臺,出現漏洞后,官方響應的速度慢得像烏龜,還說快了,準確的說應該是像蝸牛。軟件出現漏洞是難免的,不能把一個廠商的軟件更新看成是產品的缺陷,更多的應該看到的是對用戶的負責任的態度。關于補丁更新的問題,我認為從兩個方面來看待,第一,響應的速度;第二,補丁的數量。
響應速度不用說,微軟絕對NO.1,數量,很多人會說,微軟也可以說是NO.1。錯!!!單從數量上看是片面的,微軟的補丁不僅僅是針對Windows的,有很多是Office、IE、等等產品的,如果單從操作系統作比較,似乎數量也不見得會比Linux(如:Redhat)多。因此,從廠商的技術支持,也就是售后角度去比較,Windows勝出。
四、性能
沒有圖形化界面能不快嗎?Linux的性能是建立在犧牲了易用性之上的。看看Windows Server 2008的Server Core,似乎不比Linux性能差。而且,大部分服務器的性能都是出于空置狀態,大部分應用都是硬件的發展遠遠超過了軟件的發展。還有,各位不要忘記,服務器是有自己的壽命周期的,一般是3-5年,把現在操作系統安裝在十年前的服務器上去看看是否能夠流暢運行是沒有意義的。而且平臺不同、應用不同沒有可比性,此回合平手。
五、安全性和口碑
安全這個話題太廣,微軟很重視安全,尤其在Windows Server 2008上加入了更多的安全元素。但是,似乎Windows在安全方面的口碑一直不大好。首先,請看看周圍50歲左右的叔叔阿姨們有多少在用電腦的?他們有多少用Linux?有多少用Windows?用戶群體不同,使用Linux的基本上都是專業用戶,具備有相當的計算機安全知識,而Windows用戶中有專業用戶,更多的是大量的毫無安全意識的終端用戶。
從用戶數量來比較,我認為在國內是100:1這個比例吧,想想看,1000個用戶中100人說Windows不好,和10個用戶中2個說Linux不好,哪個帶來的負面影響大?但是看比例呢?只有十分之一的說Windows不好,而有十分之二的說Linux不好。這樣分析就不難理解了。
上面寫了很多,主要是把個人的一些看法描述出來,相信很多朋友都知道Windows Server 2008的安全功能非常強大,如新加入的Server Core,最小化攻擊面,而且還提升了性能;NPS定制各種網絡策略,真正實現VPN、DHCP、IPSec、802.1x安全;
高級Windows防火墻保護系統安全;Windows Server Backup提供系統備份還原解決方案;遠程桌面服務(RDS);活動目錄權限管理管理文檔安全……,非常多,非常棒的功能,要詳細了解這些內容請訪問:www.microsoft.com/china/techent,或參加我專業課程(MCITP:Server Administrator和MCITP:Enterprise Administrator)的培訓,在這里,列出幾個小的安全應用,給各位參考:
1、限制使用迅雷進行惡意下載
在多人共同使用相同的一臺計算機進行工作時,我們肯定不希望普通用戶隨意使用迅雷工具進行惡意下載,這樣不但容易浪費本地系統的磁盤空間資源,而且也會大大消耗本地系統的上網帶寬資源。而在Windows Server 2008系統環境下,限制普通用戶隨意使用迅雷工具進行惡意下載的方法有很多,例如可以利用Windows Server 2008系統新增加的高級安全防火墻功能,或者通過限制下載端口等方法來實現上述控制目的,其實除了這些方法外,我們還可以巧妙地利用該系統的軟件限制策略來達到這一 目的,下面就是該方法的具體實現步驟:
首先以系統管理員權限登錄進入Windows Server 2008系統,打開該系統的“開始”菜單,從中點選“運行”命令,在彈出的系統運行文本框中,輸入“gpedit.msc”字符串命令,進入對應系統的組策略控制臺窗口;
其次在該控制臺窗口的左側位置處,依次選中“計算機配置”/“Windows設置”/“安全設置”/“軟件限制策略”選項,同時用鼠標右鍵單擊該選項,并執行快捷菜單中的“創建軟件限制策略”命令;
接著在對應“軟件限制策略”選項的右側顯示區域,用鼠標雙擊“強制”組策略項目,打開如圖1所示的設置對話框,選中其中的“除本地管理員以外的所有用戶”選項,其余參數都保持默認設置,再單擊“確定”按鈕結束上述設置操作;
下面選中“軟件限制策略”節點下面的“其他規則”選項,再用鼠標右鍵單擊該組策略選項,從彈出的快捷菜單中點選“新建路徑規則”命令,在其后出現的設置對話框中,單擊“瀏覽”按鈕選中迅雷下載程序,同時將對應該應用程序的“安全級別”參數設置為“不允許”,最后單擊“確定”按鈕執行參數設置保存操作;
重新啟動一下Windows Server 2008系統,當用戶以普通權限賬號登錄進入該系統后,普通用戶就不能正常使用迅雷程序進行惡意下載了,不過當我們以系統管理員權限進入本地計算機系統時,仍然可以正常運行迅雷程序進行隨意下載。
2、拒絕網絡病毒藏于臨時文件
現在Internet網絡上的病毒瘋狂肆虐,一些“狡猾”的網絡病毒為了躲避殺毒軟件的追殺,往往會想方設法地將自己隱藏于系統臨時文件夾,那樣一來殺毒軟件即使找到了網絡病毒,也對它無可奈何,因為殺毒軟件對系統臨時文件夾根本無權“指手劃腳”。為了防止網絡病毒隱藏在系統臨時文件夾中,我們可以按照下面的操作設置Windows Server 2008系統的軟件限制策略:
首先打開Windows Server 2008系統的“開始”菜單,從中點選“運行”命令,在彈出的系統運行對話框中,輸入組策略編輯命令“gpedit.msc”,單擊“確定”按鈕后,進入對應系統的組策略控制臺窗口;
其次在該控制臺窗口的左側位置處,依次選中“計算機配置”/“Windows設置”/“安全設置”/“軟件限制策略”/“其他規則”選項,同時用鼠標右鍵單擊該選項,并執行快捷菜單中的“新建路徑規則”命令,打開如圖2所示的設置對話框;單擊其中的“瀏覽”按鈕,從彈出的文件選擇對話框中,選中并導入Windows Server 2008系統的臨時文件夾,同時再將“安全級別”參數設置為“不允許”,最后單擊“確定”按鈕保存好上述設置操作,這樣一來網絡病毒日后就不能躲藏到系統的臨時文件夾中了。
3、禁止來自外網的非法ping攻擊
我們知道,巧妙地利用Windows系統自帶的ping命令,可以快速判斷局域網中某臺重要計算機的網絡連通性;可是,ping命令在給我們帶來實用的同時,也容易被一些惡意用戶所利用,例如惡意用戶要是借助專業工具不停地向重要計算機發送ping命令測試包時,重要計算機系統由于無法對所有測試包進行應答,從而容易出現癱瘓現象。為了保證Windows Server 2008服務器系統的運行穩定性,我們可以修改該系統的組策略參數,來禁止來自外網的非法ping攻擊:
首先以特權身份登錄進入Windows Server 2008服務器系統,依次點選該系統桌面上的“開始”/“運行”命令,在彈出的系統運行對話框中,輸入字符串命令“gpedit.msc”,單擊回車鍵后,進入對應系統的控制臺窗口;
其次選中該控制臺左側列表中的“計算機配置”節點選項,并從目標節點下面逐一點選“Windows設置”、“安全設置”、“高級安全Windows防火墻”、“高級安全Windows防火墻——本地組策略對象”選項,再用鼠標選中目標選項下面的“入站規則”項目;
接著在對應“入站規則”項目右側的“操作”列表中,點選“新規則”選項,此時系統屏幕會自動彈出新建入站規則向導對話框,依照向導屏幕的提示,先將“自定義”選項選中,再將“所有程序”項目選中,之后從協議類型列表中選中“ICMPv4”。
向導屏幕會提示我們選擇什么類型的連接條件時,我們可以選中“阻止連接”選項,同時依照實際情況設置好對應入站規則的應用環境,最后為當前創建的入站規則設置一個適當的名稱。完成上面的設置任務后,將Windows Server 2008服務器系統重新啟動一下,這么一來Windows Server 2008服務器系統日后就不會輕易受到來自外網的非法ping測試攻擊了。
小提示:盡管通過Windows Server 2008服務器系統自帶的高級安全防火墻功能,可以實現很多安全防范目的,不過稍微懂得一點技術的非法攻擊者,可以想辦法修改防火墻的安全規則,那樣一來我們自行定義的各種安全規則可能會發揮不了任何作用。為了阻止非法攻擊者隨意修改Windows Server 2008服務器系統的防火墻安全規則,我們可以進行下面的設置操作:
首先打開Windows Server 2008服務器系統的“開始”菜單,點選“運行”命令,在彈出的系統運行文本框中執行“regedit”字符串命令,打開系統注冊表控制臺窗口;選中該窗口左側顯示區域處的HKEY_LOCAL_MACHINE節點選項,同時從目標分支下面選中SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules注冊表子項,該子項下面保存有很多安全規則;
其次打開注冊表控制臺窗口中的“編輯”下拉菜單,從中點選“權限”選項,打開權限設置對話框,單擊該對話框中的“添加”按鈕,從其后出現的帳號選擇框中選中“Everyone”帳號,同時將其導入進來;再將對應該帳號的“完全控制”權限調整為“拒絕”,最后點擊“確定”按鈕執行設置保存操作,如此一來非法用戶日后就不能隨意修改Windows Server 2008服務器系統的各種安全控制規則了。
4、禁止普通用戶隨意上網訪問
通常Windows Server 2008系統都被安裝到重要的計算機中,為了防止該計算機系統受到安全威脅,我們往往需要想辦法限制普通用戶在該系統中隨意上網訪問;但是如果簡單關閉該系統的上網訪問權限,又會影響特權用戶正常上網,那么我們如何才能限制普通用戶上網,而又不影響特權用戶進行上網訪問呢?其實很簡單,我們可以按照下面的操作來修改Windows Server 2008系統的組策略參數:
首先以普通權限的帳號登錄Windows Server 2008系統,打開對應系統中的IE瀏覽器窗口,單擊其中的“工具”菜單項,從下拉菜單中點選“Internet選項”命令,彈出Internet選項設置窗口;
其次點選Internet選項設置窗口中的“連接”選項卡,進入連接選項設置頁面,單擊該設置頁面中的“局域網設置”按鈕,選中其后設置頁面中的“為LAN使用代理服務器”選項,再任意輸入一個代理服務器的主機地址以及端口號碼,再單擊“確定”按鈕執行參數設置保存操作;
之后注銷Windows Server 2008系統,換用具有特殊權限的用戶帳號重新登錄進入Windows Server 2008系統,依次點選“開始”、“運行”命令,在其后出現的系統運行框中輸入“gpedit.msc”命令,單擊“確定”按鈕后,進入對應系統的組策略控制臺窗口;
選中該控制臺窗口左側位置處的“計算機配置”節點選項,再從目標節點下面依次展開“管理模板”、“Windows組件”、“Internet Explorer”、“Internet控制面板”子項,再用鼠標雙擊目標子項下面的“禁用連接頁”組策略項目,此時系統屏幕上會彈出如圖4所示的目標組策略屬性設置對話框,選中“已啟用”選項,再單擊“確定”按鈕執行設置保存操作,這么一來,普通權限的用戶日后在Windows Server 2008系統中嘗試訪問網絡時,IE瀏覽器會自動連接一個失效的代理服務器,那么IE瀏覽器自然也就不能正常顯示網絡頁面內容了;而具有特殊權限的用戶在Windows Server 2008系統中嘗試進行網絡訪問時,IE瀏覽器會直接顯示出目標站點的內容,不需要通過代理服務器進行中轉。
5、斷開遠程連接恢復系統狀態
很多時候,一些不懷好意的用戶往往會同時建立多個遠程連接,來消耗Windows Server 2008服務器系統的寶貴資源,最終達到搞垮服務器系統的目的;為此,在實際管理Windows Server 2008服務器系統的過程中,一旦我們發現服務器系統運行狀態突然不正常時,可以按照下面的辦法強行斷開所有與Windows Server 2008服務器系統建立連接的各個遠程連接,以便及時將服務器系統的工作狀態恢復正常:
首先在Windows Server 2008服務器系統桌面中依次點選“開始”、“運行”選項,在彈出的系統運行對話框中,輸入“gpedit.msc”命令,單擊回車鍵后,進入目標服務器系統的組策略控制臺窗口;
其次選中組策略控制臺窗口左側位置處的“用戶配置”節點分支,并用鼠標逐一點選目標節點分支下面的“管理模板”/“網絡”/“網絡連接”組策略選項,之后雙擊“網絡連接”分支下面的“刪除所有用戶遠程訪問連接”選項,在彈出的如圖5所示的選項設置對話框中,選中“已啟用”選項,再單擊“確定”按鈕保存好上述設置,這樣一來Windows Server 2008服務器系統中的的各個遠程連接都會被自動斷開,此時對應系統的工作狀態可能會立即恢復正常。
【編輯推薦】
