Windows Server 安全的基本规则

虽然 Windows Server 被认为是开箱即用的安全产品，但与 IT 基础设施的任何部分一样，它需要进行修补、监控和配置，以确保它不会受到有针对性的攻击。让我们来看看一些工具和最佳工具
可以帮助您保护 Windows Server 的实践。

配置基线安全

为了将攻击面降至最低，Windows Server 的模块化设计允许您根据需要添加服务器角色和功能。尽管如此，Windows Server 被配置为提供开箱即用的与旧系统的互操作性和向后兼容性，虽然这很方便并且使 Windows Server 更易于使用，但它可能会使系统容易受到攻击。

IT 资源有限的小型企业可以使用安全配置向导 (SCW) 来锁定 Windows Server。 SCW 默认安装在 Windows Server 2012 R2 中，可以在服务器管理器的“工具”菜单中找到。该向导根据您回答的有关服务器的一系列问题创建安全策略，然后可以将其应用到本地设备，或者转换为组策略对象 (GPO) 并用于配置一台或多台服务器（如果您有 Active Directory） 。

Microsoft 的免费安全合规管理器 (SCM) 工具捆绑了一系列用于保护 Windows Server 和客户端设备的模板。与 SCW 相比，SCM 使管理员能够更好地控制所应用的设置，并允许您创建自定义安全基线并比较模板之间的设置。

独立的管理职责和最低权限安全

虚拟化技术使分离服务器角色变得比以往更容易，因此您应该确保域控制器不托管其他服务器角色或应用程序，并且永远不会用于执行日常管理任务。在单独的服务器上安装服务器角色和应用程序可以让您更好地控制管理权限，并通过确保适当限制对关键系统的访问来帮助提高安全性。

同样，域管理员帐户仅应在绝对必要时使用。例如，使用域管理员帐户来管理工作站，可以使攻击者更轻松地访问这些凭据，此时您可以认为您拥有整个 Windows 基础设施。

监控和审计

Windows Server 具有用于监视和审核的内置工具，例如事件查看器和一些方便的 PowerShell cmdlet。虽然在事件查看器中使用自定义视图对于获取服务器事件的概述非常有用，但如果您有时间和资源来创建自己的解决方案，则 PowerShell 是一个选项，这是确保 Windows Server 保持安全并监视配置更改的最佳方法，就是部署第三方变更审计解决方案。

审核解决方案提供有关谁更改了什么、何时何地的关键详细信息，并包括“之前”和“之后”的配置数据，以便您可以轻松了解更改的内容。报告功能使您可以使用软件附带的预配置报告以不同的易于阅读的格式轻松了解 Windows Server 资产（包括 Active Directory 和 Exchange 等应用程序）中发生的变化，以便您可以快速开始。 它们还超越了 Windows Server 原生的审核功能，通过从更广泛的来源提取信息来帮助更好地保护您的系统，并具有用户活动视频记录等额外功能。

有关 Windows Server 安全性的更多提示，请参阅《SysAdmin Magazine》五月号。