微软虚拟服务器安全:十项技巧与设置(1)(2)
步骤 1:对主机进行强化
由硬件及操作系统所构成的主机是虚拟机运行的基础,如图一所示。而主机操作系统则受到微软Windows Server中所固有的全部漏洞的影响,包括各类额外服务。降低主机遭受攻击风险的最佳途径是消除常见的漏洞。简单来说,就是别安装多余的组件。只保留一套单纯的Windows Server核心是达成上述目标最理想的方式。
所谓Server核心是指最小化安装Windows Server。根据微软TechNet(2011)上的说法,Server核心所能完成的工作是:
| “…以消除所有那些在常用服务器上不必要的服务项目及功能。例如,域名系统(简称DNS)服务器的正常运行确实不需要安装Windows IE浏览器来加以支持,因为出于安全原因考虑,我们不会希望使用DNS服务器来浏览网络。而且DNS服务器甚至不需要图形用户界面(简称GUI),因为我们无论是采用功能强大的Dnscmd.exe命令行,或是通过远程方式使用微软DNS管理控制台(简称MMC)中的管理单元,都可以对DNS实现几乎全方位的操作”(摘自完全版对核心版,第二节)。 |
但只安装Server核心并非毫无影响。有些第三方驱动程序及服务可能会无法正常工作。如果这对你来说确实是个问题,那还是采用完整版本吧。
不过无论大家采用核心版还是完全版,一定记得利用良好的维护习惯对主机安全进行强化。想要了解更多服务器强化指南,请参阅微软Server 2008 R2安全基准说明。