Windows Server 2003全接触(3)

　　·对空白密码进行限制：远程机器不能连接使用空白密码的本地账户；

　　·在服务器或目录服务中缺省设置LanManCompatibilityLevel=2：在默认情况下Windows Sever 2003将不会发出不安全的LanMan回应；

　　·需要SMB Packet登录目录服务：提供客户端DC SMB通信的自动检测；

　　·安全通道通：信必须经过签名或加密；

　　·修改LDAP签名；

　　·对象大小写不敏感：防止Canonicalization型攻击；

　　·不允许路径泄漏：消除透露和系统配置相关的多余信息；

　　·限制远程执行主控台程序——只有管理员有权限；

　　·增强网域控制器的稽核功能；

　　·增强转换情景。
　　2、缺省关闭的服务：

　　·不安装IIS；

　　·报警器（Alerter）；

　　·剪贴簿（Clipbook）；

　　·跟踪服务器链接；

　　·Human Interface设备访问；

　　·Imapi CDROM刻录服务；

　　·ICF\ICS；

　　·点间通信（Intersite Messenging）；

　　·许可日志记录（License Logging）；

　　·Messenger；

　　·NetMeeting远程桌共享；

　　·Network DDE；

　　·Network DDE DSDM；

　　·寻址和远程访问；

　　·Telnet；

　　·终端服务进程探索（Terminal Service Session Discovery）；

　　·主题；

　　·WebClient；

　　·Windows图象捕获（WIA）；

　　·Kerberos KDC缺省状态下禁用，在DCPromo自动启用。
　　七、IIS 6（Internet Information Server）：

　　IIS 6.0多个最优的增强都包含在Windows Server 2003之中。它已经过了完全的重新设计，不仅适应了微软的新安全策略，也具有了真正的基于Web应用程序服务器的功能。

　　工作进程隔离（Worker Process Isolation）：

　　“工作进程隔离”是Windows Server 2003的IIS所带有的一个新特性，它可以将各个服务器程序隔离开来使它们不致相互干扰。协助IIS 5.0的有两个进程：InetInfo.exe和DLLHost.exe。IIS 6.0则使用了HTTP.sys、WWW服务管理及监视组件。这两个应用程序都不会直接同安装在Web服务器上的任何Web服务器程序结合起来，但可以简单地连线和分析任何请求。“Processor Affinity”是IIS 6.0的另一个新特性，它使IIS的性能得到了另一个实质性的增强！

　　安全性能是IIS另一方面的增强。在我看来，IIS 6.0之所以比其他版本的IIS在安全性上有所增强，主要原因有以下四个：

　　·IIS缺省禁用；

　　·可使用GPO禁用IIS；

　　·安装之初处于锁定状态；

　　·当Server 2000进行升级时，IIS处于禁用状态，除非运行了IIS锁定程序或明确地输入了注册表项目。

　　每当我们想要锁定Windows Server 2000时，第一步是删除多余的IIS。Windows 2000在缺省状态下是安装了IIS的。我们知道关闭服务器中的安全隐患的第一步是去除可能存在的缺陷，堵住其他漏洞。所以，如果你需要IIS，你现在再也无需去堵塞漏洞了，微软已帮你完成。为了给管理人员对他们的计算机网络有一步的控制权，微软还为我们提供了另一个方便的特性：我们现在可以使用组策略删除IIS。

　　IIS还以两种方式将你的系统同微软的.Net Passport Service集成起来。其中之一是将活动目录用户账户同.Net Passport捆绑在一起。你还可以在IIS 6.0 Web Server同.Net Passport认证服务上集成你的Web应用程序。

　　以前，通过IIS的认证几乎都是基于对象的。如果你想使你的站点上的每个页面都安全的话，你要使用NTFS权限。IIS 6.0在认证方面作了些更改，现在是基于任务，而不是基于对象。

　　八、终端服务：

　　Windows 2003中的终端服务也同样作了大幅度的改善。客户端具有2000中所没有的功能更强的选项。如果你使用过Windows XP的“Remote Desktop”，你将会觉得Windows 2003 Server的终端服务新客户端（称为Remote Desktop Client）的一些特性似曾相识。

　　使用Windows 2000的终端服务实作，你可以通过本地机访问的资源数目有所限制。在2003中，你将可以访问到更多，分列如下：

　　1、文件系统；

　　2、端口；

　　3、打印机；

　　4、音频；

　　5、智能卡账号；
　　
　　6、Windows Key；

　　7、时区；

　　8、虚拟通道。

　　“Remote Desktop Web Control”是Windows 2003另一个全新的特性。如果你拥有带有IIS的Windows 2000，你可以登录微软网站下载“终端服务高级客户端”（Terminal Services Advanced Client）。它同Remote Desktop Web Control基本相同。Remote Desktop Web Control是一个增强型的ActiveX控件/COM对象，它允许人们在没有安装客户端应用程序的客户端机器上通过一个URL登录到终端服务。

　　在Windows 2000中你可以选择“远程管理”或应用程序的模式安装终端服务。在2003中，每一个组件都是可以独立设置的，它们也被各自命名。一个叫做“Remote Desktop for Administration”，另一个就是“终端服务”。“Remote Desktop for Administration”可以通过访问控制面板中的“系统”图标来启用，“终端服务” 可通过“添加\删除程序”进行安装。

　　为了允许某一用户访问终端服务，你可以将该用户或该用户所属的组添加到“Remote Desktop用户组”中。连接到终端服务器经过了128位加密。

　　九、结论：

　　以下是对Windows Server 2003各个等级的评价：

　　1、安装：90%；2、界面：88%；3、特性：91%；4、性价比：90%；5、总体评价：89.75%。

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!