Windows服务器是Microsoft Windows Server System(
WSS)的核心,Windows 的
服务器操作系统。
五大热点
小心免费的Windows服务器
微软Windows服务器Hyper-V Server 2012 R2在2012年早些时刻提供免费下载,但Windows服务器也有很多局限性。免费的Windows服务器-V服务器不仅缺少GUI,而且Windows服务器容错能力小。虽然Windows服务器产品本身没有任何成本,但是当Windows服务器出现中断或其他问题时,Windows服务器企业用户仍然需要购买昂贵的软件来确保工作负载正常运行。
Windows服务器 2016中的Hyper-V功能预览
Windows服务器 2016中的Hyper-V新版本可能没有与Windows服务器以前的版本一样多的新功能,但Windows服务器其中几项值得引起Windows服务器管理员的关注。Windows服务器检查点——以前称为Windows服务器快照,运行Windows服务器管理员将虚拟机滚回以前某个Windows服务器时间点,另外,PowerShell Direct允许Windows服务器管理员在断网情况下将文件复制到虚拟机。
Windows服务器管理员职位面试系列
Windows服务器管理员想要在重要的新Windows服务器工作面试中表现的游刃有余,提前做好充分的准备是关键。不仅要花时间检查你将面临的Windows服务器日常职责管理,同时也要考虑自己的Windows服务器能力和Windows服务器专业知识,这些Windows服务器知识将帮助你一步领先于其他Windows服务器管理员候选人。我们的专家提供了一个Windows服务器问题列表,可以帮助未来的Windows服务器管理员在面试时全力以赴并且掌控这一新Windows服务器的职业。
五个Windows服务器管理员必读书籍
数以百计的书籍都与Windows服务器有关,但是Windows服务器管理员如何选择最有价值的阅读?缩小阅读列表是首选。我们的专家列出了所有Windows服务器管理员应该读的五本书。
Windows服务器 PowerShell 5.0大作用
Windows服务器 2016中的PowerShell 5.0中添加了几个新的特性和功能。Windows服务器新版本允许远程文件编辑,这样可以建立Windows服务器远程会话并对远程计算机上的文件进行编辑。微软Windows服务器通过添加一个新参数改进了Windows服务器 PowerShell 5.0中的期望状态配置,允许Windows服务器管理员限制并发期望状态配置的操作数量,从而减少Windows服务器系统资源消耗。
产品漏洞
我可以有把握地说,对于Windows服务器管理员来说普遍的目标是拥有适当弹性的系统。世界上有很多Windows服务器网络安全威胁,你最不希望发生的是在世界的另一头,或者在你的组织内部有人利用了IIS或者Windows服务器的漏洞,而这一切都是本来可以避免的。
你可能无法触及Windows服务器应用层面的漏洞,但是在Windows服务器层面你有很多事情可以做到使基于IIS的系统更加安全。通过回顾我多年的Windows服务器网站安全评估项目,可以指出以下最影响Windows服务器的IIS漏洞。
Windows服务器未处理异常的产生
这会泄露Windows服务器敏感的配置信息和促进SQL注入攻击。在Windows服务器方面的解决方法是在以下Windows服务器的web.conf文件中取消详细的错误信息。
Windows服务器视图状态加密和MAC被禁用
这会导致Windows服务器攻击者篡改敏感参数从而获得非授权访问。在Windows服务器方面的解决方法是在以下Windows服务器的web.conf文件中对所有的应用页面启用视图状态哈希和MAC。
Windows服务器非加密的HTTP连接被允许
这会导致Windows服务器登录信息和其他敏感信息的暴露,因为任何与Windows服务器来往的信息都会以明文方式传输。在Windows服务器方面的解决方法是使其需要TLS版本1.1以及对整个网页/应用都进行加密。
Windows服务器SSL版本2和3以及弱加密算法被启用
这可以促进
中间人攻击以及导致敏感信息泄露。Windows服务器端解决的方法是使其需要TLS版本1.1和取消弱密码算法例如RC4。
Windows服务器跨框架脚本成为可能
这可以促进Windows服务器点击挟持和误导用户点击一些不同于他们认为正在点击的内容。Windows服务器端的解决方法是根据你的具体需求设置X-Frame-Options头部为DENY,SAMEORIGIN 或 ALLOW-FROM。
敏感的Windows服务器目录和文件是公众可以访问的
这可以暴露Windows服务器系统配置信息,代码和敏感信息。Windows服务器的解决方法对于公众用户只开放必要的权限。
没有打Windows服务器补丁
这可能导致Windows服务器任何攻击,小至Windows服务器拒绝服务攻击,大至Windows服务器使用例如Metasploit工具得到Web服务器的完整远程权限。Windows服务器方面的解决方法是给你的Windows服务器打补丁,Windows服务器的这个操作很简单。即使你打算将来这个Windows服务器需要从生产环境中下线,你也需要始终全盘的为Windows服务器打补丁,这样才能打造一个安全的Windows服务器环境。
大多数的Windows服务器漏洞可能不会被认为是“关键的”,但是Windows服务器一定是长期会有问题的。如你所见,Windows服务器漏洞解决起来是相对简单的。事实上,解决Windows服务器漏洞唯一的消耗只是你的时间而已。找到并且解决这些Windows服务器问题,Windows服务器业务的安全会取得成功,并且会有助于Windows服务器漏洞扫描和安全评估报告看上去很干净。
一旦你处理完网页Windows服务器基本面的安全之后,你可以为你的Windows服务器应用向更大——一般也更复杂——的安全缺陷考虑。这包括了Windows服务器跨站脚本(一种最常见的漏洞)、Windows服务器繁荣SQL注入(一种没那么常见但很致命的漏洞)、Windows服务器弱用户认证和会话管理。
安全保障
Windows服务器容器技术凭借着其轻量级的资源需求、快速部署和巨大的可扩展性优势吸引IT行业的重大关注。不过Windows服务器其中一种最流行的容器引擎是基于Linux平台的Docker,Windows服务器正努力去解决一些重要的安全问题。
Windows服务器的Docker的安全问题起源于容器实例之间隔离的缺失。从最简单的角度来看,每一个Windows服务器容器都共享同一个宿主OS内核,函数库和文件。如果一个Windows服务器恶意程序或者其他安全事故突破了其中一个容器而且访问到根OS,那么这个OS下面运行的所有容器都有可能受到危害。一个Windows服务器容器在运行的时候可以直接和宿主内核进行通信,而且Linux也不会对Windows服务器主要内核进行拆分子系统或者子设备,也不会去保护Windows服务器。这意味着如果你可以和内核或者设备进行通信的话,你就有可能危害整个Windows服务器系统。
尽管Docker承诺了未来会发布Windows服务器安全方面的改善,下面还是给大家介绍一些保护Windows服务器的Hyper-V容器的策略。
1. 限制Windows服务器容器使用你了解和信任的Windows服务器机构的工具,避免使用任何你在Internet上找到的有趣的Windows服务器工具或者其他的东西。
2. 勤奋地测试和应用Linux补丁和安全更新。相信OS支持,就像Red Hat Enterprise Linux可以帮助你找到和修复Windows服务器漏洞一样。
3. 有可能地使用非root的身份来运行Windows服务器容器,而且一旦可以的话就去除root权限。不管怎样,都要想象Windows服务器容器中的root权限是和Windows服务器容器外的root权限是一样的。
Windows服务器中的Hyper-V容器使用了Hyper-V来首先创建一个VM作为Windows服务器隔离。一旦VM建立好了,可以安装Linux OS和Docker引擎来支持Windows服务器容器运行。这是一种Windows服务器嵌套虚拟化的方式。如果Windows服务器容器和之上的Linux OS受到危害,那么整个Windows服务器安全问题只会影响到Hyper-V VM内部。
虽然Windows服务器容器这个概念已经存在很多年了,但是Docker引擎引起了人们对这项Windows服务器技术的新的兴趣。微软希望它的Windows服务器使用原生的容器和Windows服务器嵌套虚拟化,把Windows服务器容器从Linux部署环境迁移到Windows服务器的环境中。
Windows服务器也承诺引入合理化管理和改进Windows服务器容器实例间的隔离,帮助组织拥抱和扩张Windows服务器容器的部署。IT员工应该很快就可以在技术预览版本尝试Hyper-V容器,并且为采用Windows服务器和Docker容器做好计划。
用户策略
虽然在Windows服务器系统中,微软官方发布了许多新的功能和特性,但是在Windows服务器用户组策略功能上却与以前的系统版本没有大的变化。尽管微软公司有可能在Windows服务器和Windows 10中引入一些特殊的组策略功能,但是整个Windows服务器组策略架构仍没有改变。
在Windows服务器系统中,系统用户和用户组策略,Windows服务器管理功能仍然存在(见图 1)。这些Windows服务器组策略设置权限可以在域、用户组织单位OU、站点或本地计算机权限层级上申请。
图 1. Windows服务器预览版2中的组策略编辑器
与之前的Windows服务器版本相比,Windows服务器系统在组策略配置方式上发生改变。在Windows服务器系统中,微软鼓励用户使用最简便的方式配置服务器操作系统。Windows服务器使用图形化进行配置管理并不是最优的方式(见图2)。Windows服务器在操作系统安装选项下的描述中就解释到:如需考虑需要与以后的Windows服务器系统版本兼容的情况,推荐用户在安装Windows服务器操作系统的同时,选择安装本地管理工具。
图2. 安装Windows服务器系统时,微软推荐不要安装本地管理工具
这种安装方式随之带来的问题是:怎样访问组策略编译器。对于不同的安装式,你需要使用不同的方法。因为本文测试环境使用的是Windows服务器预览版,所以现在文中用到的方法以后也可能会发生变化。但是如果你已经安装好了本地管理工具软件,那么访问用户组策略的方式与Windows服务器系统下使用的方式相似。
现在,甚至对于已安装本地管理工具软件的Windows服务器系统来说,系统管理仍不方便。使用者除了通过命令提示窗口和
服务管理器的接口外,已没有其它方式,因为没有系统桌面,没有开始菜单(见图3):
图3. 这就是Windows服务器 预览版2中的系统管理界面
图4. 你可以在命令提示界面中使用GPEDIT.MSC命令,以加载Windows服务器用户策略编辑器。
对于没有安装本地管理工具的Windows服务器操作系统来说,你只有选择使用Windows服务器远程终端管理用户组策略或使用PowerShell命令。如果你想通过Windows服务器远程终端管理用户组策略,你至少需要一个已装安装好Windows服务器本地管理工具的终端。在Windows服务器终端操作系统的命令提示符中,键入MMC命令。加载完成管理界面后,从文件菜单中选择“添加/删除”组件。当你完成相应选择后,Windows服务器系统将给你一列组件清单。从组件清单中,选择“组策略对象编辑器”,并点击“增加”按钮。然后系统会提示你,需要选择管理哪台Windows服务器系统的组策略。点击“浏览”按钮,并选中需要远程管理Windows服务器用户组策略的系统(见图5):
图5. 点击浏览按钮,然后选择你想编辑的Windows服务器组策略
另外一种方法是通过PowerShell命令来编辑管理用户组策略。在Windows服务器中,提供了一个完整的PowerShell软件模块用于Windows服务器用户组策略的管理。但是PowerShell用户组策略模块不会被默认安装,除非Windows服务器系统被配置为域控制器或Windows服务器系统中已经安装用户组策略管理终端软件。微软现在仍没有发布官方文档,说明在Windows服务器系统中哪些条件下,PowerShell用户组策略功能模块可用。
当Windows服务器系统开始正始发布时,大部份公司很有可能选择Windows服务器远程管理用户组策略的方式,而不是选择安装本地管理工具包。虽然PowerShell也是一种可行的方案,但是在小规模的IT环境中,Windows服务器图形化管理方式明显更有效率。
存储功能
对于即将到来的Windows服务器版本,最值得期待的Windows服务器新功能就是存储复制。这个功能基于SMB 3.0且支持块级数据复制。然而,Windows服务器存储复制的技术预览不是默认可用的,接下来我们讨论如何开启Windows服务器这个功能。
如果你想使用Windows服务器存储复制功能,必须要安装Windows Volume Replication功能(图1)。在源和目标服务器上,必须要同时安装Windows Volume Replication、Failover Clustering、File Server角色。
图1. 你必须要安装Windows Volume Replication功能
为了使Windows服务器存储复制正常运行, 你需要4块单独的集群硬盘。两块Windows服务器硬盘分配给源服务器(一个本地集群节点),其他两块硬盘分配给目标Windows服务器(一个远程集群节点)。源Windows服务器硬盘上的数据将会复制到目标Windows服务器硬盘上。
四块Windows服务器硬盘都必须在集群存储上开放,并且Windows服务器硬盘是以两组形式工作,分别分配为一个源Windows服务器数据硬盘,一个源日志硬盘,一个目标数据硬盘和一个目标日志硬盘。源和目标数据硬盘大小必须是相同的,且Windows服务器日志硬盘的运行机制也必须相同。这就是微软基于性能因素推荐SSD作为日志源磁盘的原因。
如果你已经创建了故障转移集群,并且添加了Windows服务器集群磁盘,那你就需要创建Windows服务器集群角色。在这个案列里,我们需要文件服务器角色(图2)。
图2. 你需要在高可用安装向导里面选择文件Windows服务器选项
大部分Windows服务器高可用安装向导的提示都是不需要加以说明的。尽管如此,当你进入到选择Windows服务器存储的向导界面时,有必须要选择非本地的数据磁盘。
完成向导安装之后,打开故障转移集群的Windows服务器存储磁盘窗口。右击数据磁盘,并且通过Windows服务器快捷按钮选择Replication Enable命令(图3),之后会弹出Configure Storage Replication 向导窗口。
图3. 你需要开启Windows服务器复制功能
点击下一步跳过向导欢迎界面,这个Windows服务器窗口会咨询你指定源硬盘。只要在文件Windows服务器角色里还没有包含日志源磁盘,你就会在向导中看到磁盘列表(图4)。
图4. 选择你的Windows服务器日志源磁盘
选中日志源磁盘,下一步你需要选择目标Windows服务器数据卷,这里有时会由于一个小问题导致可用Windows服务器存储列表显示为空,这是由于远程集群节点目前还没有自己的Windows服务器磁盘。你可以返回到故障转移集群管理的Windows服务器磁盘列表界面,选择远程磁盘,然后使用可用移动磁盘选项来修复这个问题。
下一步,这里会提示你选择指定目标Windows服务器日志磁盘。你可以看到一个提示询问目Windows服务器标磁盘是否已经被种子化,也就是说,系统想知道目标磁盘是否已经包括部分Windows服务器数据的副本。大多数情况下你应该选择“This is not a seeded disk”选项(图5)。
图5. 你需要选择Windows服务器目标磁盘是否已经被种子化
现在,你需要做的就是点击几次Next,复制进程将自动开始。根据微软所诉,你最终将能够以灾难恢复或者高可用模式执行Windows服务器之间的同步复制(扩展集群的一部分)。然而,根据目前的状况来看,存储复制似乎只能通过Windows服务器故障转移集群管理来运行。下一个版本的Windows服务器仍然在技术预览版阶段,所以有很多东西在发布之前可能会做一些更改。
服务器功能
Windows服务器进行渗透测试
Metasploit是一款用于Windows服务器执行渗透测试的软件,Windows服务器试图攻击你的系统以识别可以被黑客利用的漏洞。Windows服务器通过
Metasploit,你可以利用大型的数据库中已知的安全漏洞以编程方式,Windows服务器通过系统中已确认的安全漏洞来攻击网络和服务器,Windows服务器业务应用和使用程序等等。
开始使用
Metasploit时是免费的,公司提供了一个有附加功能的专业版。如果
Metasploit不适合你,
Netcat也是一款强大的软件,许多专业渗透测试人员使用它来进行白帽攻击。Windows服务器不管是什么情况,务必开始学习Windows服务器对网络进行渗透测试,我怀疑你会发现当前的安全状况十分不利。
Windows服务器安全性加强策略
除了Windows服务器渗透测试,这里有一些需要弄清楚的Windows服务器问题以便加强安全防卫,尤其是面对Windows服务器时。
Windows服务器是启用和配置审计策略吗?
Windows服务器合理的密码策略包括长度和复杂性的要求吗?
Windows服务器远程桌面协议加密设置是否过高?
Windows服务器机器
除了Windows服务器补丁和防火墙,还有很多方法来确保Windows服务器安全性和弹性。接触到Windows服务器网络的所有部门和所有员工都需要有一个安全的思维。
为了Windows服务器保持弹性,组织需要:
Windows服务器制定考虑周全的安全策略并经常更新,Windows服务器以便囊括了新的应用程序,新的业务以及环境中的改变等等。这个安全政策的主要目标是保护五到十最重要的业务资产。
Windows服务器管理预期违约和响应,Windows服务器承认在某种程度上你可能会被黑客入侵,因此制定如何应对这样的漏洞和管理其后果的措施。要提前进行这些讨论。