每当您安装一项新的服务时,系统会静待您运行一个向导来启用该功能。对!微软最终关闭了系统中的任何服务,您必须在需要时启动他。但别担心,他还不至于像Linux那样复杂。尽管每项功能都被关得死死的,但伴随新安全架构应运而生的新向导对用户十分有帮助,周详得能够明确地了解用户所需的操作。如此一来,在对系统进行安全配置时,您能够减少很多顾虑。我记得当年在操练Windows 2000新的安全特性时,要参考很多资料才下得了手。而Windows 2000已算好了,Windows NT 4中的“信息VOID”更令人不敢恭维。但当您使用2003之后,您就轻松许多了!
“文档系统安全”(File System Security)被大幅度降低,用户再也不能向驱动器的根目录写入数据。微软还计划在今年底之前陆续发布几个新的公用程式,给管理员提供对其网络的更多控制权。比如,MACS。MACS是Microsoft Audit Collection Services——“微软稽核集合服务”的简称。据我的了解,这个程式预计能够通过一些加密方法将“安全信息”导入一个SQL数据库中,信息也能够从多台服务器中被收集到该位置。

让我们来了解一下Windows Server 2003中在“稽核”所作的增强。首先来看一看基于作业的“稽核”。Windows Server 2003支持一种新稽核类型,他不只告知用户什么人访问了什么文档,同时还显示某人在访问文档时所作的操作。Windows Server 2003还能够对各个用户有选择性地进行稽核。用户能够稽核特定用户的行为,而不再是简单的系统级别的稽核。

接着来看看“文档加密”(File Encryption)。还记得人们对2000加密问题的抱怨吗?假如有一位用户试图加密2000中的一个文档,那么他就是能够访问该文档的唯一用户。现在,2003支持文档的多用户加密。同时,离线文档夹能够以离线状态加密。

微软在相关主题的白皮书中提到了一些策略改变。以下是一些摘要:

1、改变策略以巩固默认安全性:

·创建安全根ACL:增强型的ACL防止对根目录(c:\)的访问;

·把默认的共享ACL从“Everyone:F”更改为“Everyone:R”;

·更改DLL搜索顺序:从系统文档夹开始;

·巩固Internet Explorer;

·增加对匿名用户的限制:匿名用户在缺省状态下不再是“Everyone”成员,禁用在服务器上生成匿名SID和名称;

·对空白密码进行限制:远程机器不能连接使用空白密码的本地账户;

·在服务器或目录服务中缺省配置LanManCompatibilityLevel=2:在默认情况下Windows Sever 2003将不会发出不安全的LanMan回应;

·需要SMB Packet登录目录服务:提供客户端DC SMB通信的自动检测;

·安全通道通:信必须经过签名或加密;

·修改LDAP签名;

·对象大小写不敏感:防止Canonicalization型攻击;

·不允许路径泄漏:消除透露和系统配置相关的多余信息;

·限制远程执行主控台程式——只有管理员有权限;

·增强网域控制器的稽核功能;

·增强转换情景。
2、缺省关闭的服务:

·不安装IIS;

·报警器(Alerter);

·剪贴簿(Clipbook);

·跟踪服务器链接;

·Human Interface设备访问;

·Imapi CDROM刻录服务;

·ICF\ICS;

·点间通信(Intersite Messenging);

·许可日志记录(License Logging);

·Messenger;

·NetMeeting远程桌共享;

·Network DDE;

·Network DDE DSDM;

·寻址和远程访问;

·Telnet;

·终端服务进程探索(Terminal Service Session Discovery);

·主题;

·WebClient;

·Windows图象捕获(WIA);

·Kerberos KDC缺省状态下禁用,在DCPromo自动启用。
(出处:pconline)