Windows2003安全指南之创建成员服务器基线..doc

Windows?2003安全指南之创建成员服务器基线/server/38769.html 概述 本章描述了针对所有运行Microsoft? Windows Server? 2003的服务器管理基线安全模板所需的配置需求。此外，本章还将提供在三种企业级运行环境中建立并配置安全可靠的Windows Server 2003系统所需的管理指导。本章所包含的配置需求为本指南后续章节中所有其它应用特定服务器角色的复杂处理过程提供了基准。 本章提供的建议设置方案为企业级运行环境中的商务应用服务器构建了一种坚实基础。然而，如需在生产环境中实施这些安全配置，您必须首先就其与自身组织机构的商务应用共存情况进行全面测试。 本章提供的建议设置方案适用于绝大多数企业，并且可以在运行Windows Server 2003的现有系统或新增系统上加以部署。这些建议设置方案已针对Windows Server 2003中的缺省安全配置方案进行了必要的研究、审核与测试。如需获取所有缺省设置信息以及本章所讨论之设置的详细解释内容，请查看参考指南《威胁与对策：Windows Server 2003与Windows XP中的安全设置》，该书可通过网址/fwlink/?LinkId=15159获得。尽管如此，我们还是建议您在高于缺省设置的安全级别上部署绝大多数建议配置方案。 本章所讨论的针对企业级运行环境中所有Windows Server 2003系统的基准安全设置均与以下所定义的三种运行环境相关联。这三种环境分别是： 旧有客户机——提供不会束缚混合状态运行环境的足够安全性。这种旧有客户机级别专门面向于使用旧有客户机的运行环境。这种运行环境处于本指南所定义的最低锁定级别。为进一步确保运行环境安全性，组织机构可以选择移植到下一个锁定级别——即企业客户机级别，或者，如果无需确保旧有客户机安全性，则应直接从企业客户机级别开始。这种商务运行环境包括运行Microsoft Windows? 98、Microsoft Windows NT? 4.0 Workstation、Windows 2000 Professional和Windows XP Professional的工作站系统，并且只包含Windows 2000或更高版本的域控制器。这种运行环境中无法使用Windows NT 4.0域控制器，但却可以存在Windows NT成员服务器。 企业客户机——提供专为新型系统运行环境而设计的牢固安全性。这种商务运行环境包含运行Windows 2000 Professional和Windows XP Professional的客户端。从旧版运行环境移植到企业级运行环境所需完成的工作主要是对旧有客户机进行升级，例如将Windows 98和Windows NT 4.0 Workstation升级为Windows 2000或Windows XP。这种运行环境中的所有域控制器均为Windows 2000 Server或更高版本产品。同时，这种运行环境中的成员服务器也必须使用Windows 2000 Server或更高版本操作系统。 高安全性 ——提供在企业客户机级别基础上进一步增强的安全性标准。从企业级运行环境移植到高安全性运行环境需要确保客户端及服务器均能符合严格的安全策略。这种运行环境包含运行Windows 2000 Professional和Windows XP Professional操作系统的客户端，以及运行Windows 2000 Server或更高版本操作系统的域控制器。在高安全性运行环境中，对安全性的关注首当其冲，以至于为实现高安全性，可以将损失显著功能性与易管理性作为交换。这种运行环境中的成员服务器必须使用Windows 2000 Server或更高版本操作系统。 以下插图显示了这三种安全性层次以及每种层次所支持的客户端类型。 图 3.1 现有及规划锁定级别 那些希望采取阶段性方式确保运行环境安全性的组织机构可以选择从旧有客户机运行环境开始，并伴随应用程序与客户端计算机陆续升级且通过严格安全设置测试，逐步向更高安全性级别进行移植。 以下插图显示了如何将.inf文件安全模板作为企业客户机——成员服务器基线策略（MSBP）的基础使用。此外，这张插图还显示了针对组织机构中所有服务器应用成员服务器基线策略的一种可能连接方式。 Windows Server 2003本身具备一套能够实现安全可靠状态的缺省设置。在许多实例中，本章内容指定了缺省设置以外的其它设置，并且针对本指南中定义的三种运行环境加强了缺省设置方式。如需获取有关所有缺省设置的信息，请查看参考指南《威胁与对策：Windows Server 2003与Windows XP中的安全设置》，该书可通过网址/fwlink/