“文件系统安全”（File System Security）被大幅度降低，用户再也不能向驱动器的根目录写入数据。微软还计划在今年底之前陆续发布几个新的公用程序，给管理员提供对其网络的更多控制权。比如，MACS。MACS是Microsoft Audit Collection Services——“微软稽核集合服务”的简称。据我的了解，这个程序预计可以通过一些加密方法将“安全信息”导入一个SQL数据库中，信息也可以从多台服务器中被收集到该位置。

　　让我们来了解一下Windows Server 2003中在“稽核”所作的增强。首先来看一看基于作业的“稽核”。Windows Server 2003支持一种新稽核类型，它不只告知用户什么人访问了什么文件，同时还显示某人在访问文件时所作的操作。Windows Server 2003还可以对各个用户有选择性地进行稽核。用户可以稽核特定用户的行为，而不再是简单的系统级别的稽核。

　　接着来看看“文件加密”（File Encryption）。还记得人们对2000加密问题的抱怨吗？如果有一位用户试图加密2000中的一个文件，那么它就是可以访问该文件的唯一用户。现在，2003支持文件的多用户加密。同时，离线文件夹可以以离线状态加密。

　　微软在相关主题的白皮书中提到了一些策略改变。以下是一些摘要：
　　
　　1、改变策略以巩固默认安全性：

　　·创建安全根ACL：增强型的ACL防止对根目录（c:\）的访问；

　　·把默认的共享ACL从“Everyone:F”更改为“Everyone:R”；

　　·更改DLL搜索顺序：从系统文件夹开始；

　　·巩固Internet Explorer；

　　·增加对匿名用户的限制：匿名用户在缺省状态下不再是“Everyone”成员，禁用在服务器上生成匿名SID和名称；

　　·对空白密码进行限制：远程机器不能连接使用空白密码的本地账户；

　　·在服务器或目录服务中缺省设置LanManCompatibilityLevel=2：在默认情况下Windows Sever 2003将不会发出不安全的LanMan回应；

　　·需要SMB Packet登录目录服务：提供客户端DC SMB通信的自动检测；

　　·安全通道通：信必须经过签名或加密；

　　·修改LDAP签名；

　　·对象大小写不敏感：防止Canonicalization型攻击；

　　·不允许路径泄漏：消除透露和系统配置相关的多余信息；

　　·限制远程执行主控台程序——只有管理员有权限；

　　·增强网域控制器的稽核功能；

　　·增强转换情景。

上一页  [1] [2] [3] [4] [5] [6] 下一页