每次windows发布大规模补丁包都会得到很多用户的关注,在2005年4月27日零点千呼万唤的windows2003 sp1中文版终于隆重登场了,笔者在第一时间下载了该补丁并进行了安装,在此将windows2003 sp1的一些新特性新功能为大家介绍一下。 win2003 sp1小档案: 补丁文件名:windowsserver2003-kb889101-sp1-x86-chs.exe 补丁大小:331254 kb 下载>>> 一、service pack 1整体一览 microsoft windows server 2003 service pack 1 (sp1)的中文版本补丁包不但提供客户更好的安全性,在可靠性及性能方面也有所改善。service pack 1汇集了完整的安全更新,并根据这些安全更新降低了可能的攻击面,提升系统的防御,同时也提供了更健全的默认值与使用者权限控管,使系统服务受到更好的保护。 这次service pack的功能非常重要,能够协助企业防止某些恶意的攻击;windows server 2003 service pack 1提供的新功能可以防范一般的安全性弱点,这些新技术包括: (1)安全性设定向导:有了这个功能,客户可以更轻易地缩小可能遭受的攻击面。此工具根据服务器的角色自动阻挡执行这些服务器角色时所不必要的服务和连接,达到缩小攻击面的效果。 (2)windows防火墙:在服务器上使用新的windows防火墙可让客户通过群组原则执行网络控制,进而提升系统的安全性。此外,此防火墙可搭配windows xp service pack 2,做为客户企业网络内每一台服务器及客户端电脑的本机软件防火墙。 (3)安装后安全性更新(pssu):服务器在安装后到更新安全修补程序之间的这段期间最为脆弱。所以在服务器安装系统后至windows update传送最新的安全性更新到电脑的这段期间,windows server 2003 service pack 1会封锁服务器所有的外来联机请求。 (4)其他新功能:包括internet information services (iis) 6.0 metabase auditing,该功能让管理员能在文件破坏时辨识出恶意的使用者;提供性能更佳的默认值和有限的权限存取权,以建立应用程序的基本安全性标准;以及 network access quarantine control组件让管理员能隔离过期的虚拟私人网路(vpn)装置。 二、service pack 1的安装 首先从微软主页下载sp1补丁程序,文件名为windowsserver2003-kb889101-sp1-x86-chs.exe。在安装前我们要做好充足的准备工作,具体要求如图所示。 图1 在此图中“运行空间”项目是仅在安装过程中使用的文件所需要的硬盘空间。运行空间要求是临时的,并不算在总硬盘空间要求内。具体安装步骤如下: 第一步:双击windowsserver2003-kb889101-sp1-x86-chs.exe程序启动sp1安装工作,补丁将自行解压缩。 图2 第二步:解压缩完毕后会自动调用windows installer程序开始安装sp1。 图3 第三步:选择同意许可协议后按“下一步”按钮 图4 将出现设置卸载与备份补丁目录窗口,如果c盘容量不足我们可以通过“浏览”按钮选择其他分区或其他目录。 图5 第四步:补丁将收集系统信息,验证磁盘空间和操作系统的有效性。接着将复制补丁文件到本地计算机中。安装时间会比较长,当所有工作都完成后会提示要求重新启动计算机。 图6 我们重新启动计算机后就完成了sp1补丁的安装工作。 三、service pack 1新功能新特性 安装完sp1后会从三个地方显示出来,第一就是在“我的电脑”的属性中的“常规”标签。 图7 第二是在控制面板的“添加/删除程序”中可以看出windows server 2003 service pack 1的存在。 图8 另外通过windows update我们会发现系统已经安装了很多更新补丁,唯一需要打的就是sp1发布后提供的一个更新信息,因为先前的很多安全补丁都整合到sp1中一起安装到本地计算机了。 图9 那么service pack 1究竟有哪些新功能和新特性呢? (1)windows防火墙 和更新xp系统sp2一样,sp1安装后会在系统的控制面板中添加一个名为“windows 防火墙”的图标。 图10 他可以为我们系统安全性提供保障,功能和专业的防火墙没有任何差别,而且因为是系统内置的组件,所以在兼容性上会比第三方软件做得更好。 刚刚安装完sp1后防火墙是没有启用的,仅仅安装在我们的系统中。双击控制面板中的“windows防火墙”会出现如图11的提示,要求我们启动windows防火墙/ics服务。选择“是”后将转移到防火墙配置窗口。 图11 windows2003防火墙的设置方法和xp sp2中的一样。可以通过“高级”标签多个按钮来详细设置防火墙的规则。 图12 在“本地连接”上点“设置”按钮还可以打开高级设置,对规则进行详细设定。 图13 当把防火墙设置完毕后我们就会在“本地连接”中看到如图提示——“已连接,有防火墙的”。这样外部攻击就不会轻易的进入本地系统了。 图14 小提示: 由于篇幅有限对于防火墙的详细设置和技巧就不再过多的介绍了,感兴趣的读者可以参考xp sp2防火墙的设置方法。 (2)更安全的远程桌面连接 自从win2000server开始为用户提供了一个更方便更简单远程管理服务器的远程桌面连接功能,虽然以前版本的远程桌面连接提供了加密传输数据,但在认证方面一直没有提供有效的方法,因此在验证合法性方面存在着安全隐患。windows server 2003 service pack 1为我们解决了这个问题,我们可以配置自己的证书然后批准只有拥有证书的合法用户才能通过远程桌面控制服务器。在连接远程计算机时对于已经配置了证书的服务器我们需要在远程桌面连接程序“选项”中的“安全”标签找到身份验证,然后设置事先选择好的验证方式才能正常连接,验证方式包括“试图身份验证,无身份验证与要求身份验证”。 图15 (3)安装更新更安全 在以往操作系统安装补丁时是系统最薄弱的时刻,黑客往往在这时候入侵操作系统。windows server 2003 service pack 1为我们解决了这个问题,他提供了一种称为post-setup security updates的技术,也就是在你升级操作系统或安装补丁时post-setup security updates技术会自动将防火墙开启,阻止黑客在这时攻击服务器。由于笔者升级完了sp1才发现这个功能,所以没有截图,这里我们参考英文版sp1中该功能的图即可。 (4)安全配置不用愁 安装完操作系统我们应该在哪些地方进行安全配置呢?哪些默认设置需要我们修改呢?在以往操作系统版本中大家会经常为这个问题⒊睢indows server 2003 service pack 1为我们解决了这个问题。在安装完sp1后我们会发现系统中提供了一个名为“安全配置向导”功能(security configuration wizard (scw)),通过他我们可以打造更安全更稳定的系统。 第一步:“安全配置向导”默认不会安装在我们的系统中即使安装了sp1补丁,我们需要通过“控制面板->添加/删除程序->添加删除windows组件”选择安装。 图17 第二步:安装完毕后我们可以通过任务栏的“开始->管理工具->安全配置向导”来启动。 图18 第三步:第一次使用的话我们要创建一个新的安全策略。 图19 输入服务器名称后安全配置向导将根据本地服务器的服务角色自动选择适合的安全策略。 图20 第四步:安全配置向导自动检测完毕后还会提供我们手动修改的界面,我们根据实际需要进行选择即可。 图21 接着是选择安装的功能,也是根据实际选择。 图22 第五步:选择安装的选项和服务,具体配置和上面提到的功能选择一样。 图23 第六步:向导要求我们选择如何处理未指定的服务,我们可以从“不更改此服务的启动模式”和“禁用此服务”两者之间选择。 图24 接下来是向导自动调节的服务启动方式。 图25 第七步:配置“网络安全”中的端口信息。 图26 第八步:配置注册表中的键值。 图27 第九步:配置审核策略。 图28 第十步:配置iis信息服务的安全性。 图29 第十一步:保存刚刚配置好的安全策略,启用安全策略并保存以备后用。 图30 默认是保存在c:\windows\security\msscw\policies\中,文件由我们自行起名,文件扩展名为xml。 图31 第十二步:完成了整个安全配置向导的配置工作,并将配置信息进行了应用。 图32 这样我们的系统就变得更加安全了。 整个安全配置工作不需要我们对安全有多高的理解,不需要自身技术水平有多高,只要根据系统默认一步一步的操作就可以最大限度的加强服务器的安全。这种傻瓜式的配置方法以后会逐步流行起来的,毕竟人性化简约化是操作系统的未来发展趋势。 四、service pack 1兼容性问题 对于win2003 sp1,微软预期会有80%的服务器软件能稳定运行,剩下的20%有可能会出现兼容性问题,兼容性问题主要来自内置更新防火墙与某些软件发生冲突。 小部分重要的微软和第三方软件不能通过测试,列表如下: (1)computer associates brightstor arcserve backup 11.0; (2)hewlett packards compaq insight manager and hp insight manager 4.0 products; (3)microsoft application center 2000 service pack 2; (4)microsoft baseline security analyzer 1.2.1; (5)microsoft isa (internet security and acceleration) server 2000 service pack 1; (6)microsoft exchange server 2003; (7)microsoft systems management server 2003; (8) netiqs appmanager 5.01 and 6.0 and group policy administrator 2.0 products; and (9)trend micros serverprotect. (10)冠群的brightstor arcserve backup 11.0 (11)citrix的metaframe xpe fr3 目前,部分软件公司已经发布相应补丁和更新,以修复自家软件在win2003 sp1系统上运行发生的问题。如果用户安装了sp1后出现兼容性问题可以到相应软件厂商主页下载更新补丁。当然,微软也在尽自己所能处理好win2003 sp1服务器单方的兼容性问题。 总结: 不管怎么说win2003 sp1为我们服务器提供了强有力的安全保证,在很多默认设置上更加科学,不过由于sp1刚刚推出不久在兼容性方面还存在着不足。是尝第一口螃蟹加固服务器还是更加稳妥的保证服务器运行稳定呢?这就需要用户自己去选择了。
