Windows服務器

微軟Windows服務器Hyper-V Server 2012 R2在2012年早些時刻提供免費下載，但Windows服務器也有很多侷限性。免費的Windows服務器-V服務器不僅缺少GUI，而且Windows服務器容錯能力小。雖然Windows服務器產品本身沒有任何成本，但是當Windows服務器出現中斷或其他問題時，Windows服務器企業用户仍然需要購買昂貴的軟件來確保工作負載正常運行。

Windows服務器 2016中的Hyper-V新版本可能沒有與Windows服務器以前的版本一樣多的新功能，但Windows服務器其中幾項值得引起Windows服務器管理員的關注。Windows服務器檢查點——以前稱為Windows服務器快照，運行Windows服務器管理員將虛擬機滾回以前某個Windows服務器時間點，另外，PowerShell Direct允許Windows服務器管理員在斷網情況下將文件複製到虛擬機。

Windows服務器管理員想要在重要的新Windows服務器工作面試中表現的遊刃有餘，提前做好充分的準備是關鍵。不僅要花時間檢查你將面臨的Windows服務器日常職責管理，同時也要考慮自己的Windows服務器能力和Windows服務器專業知識，這些Windows服務器知識將幫助你一步領先於其他Windows服務器管理員候選人。我們的專家提供了一個Windows服務器問題列表，可以幫助未來的Windows服務器管理員在面試時全力以赴並且掌控這一新Windows服務器的職業。

數以百計的書籍都與Windows服務器有關，但是Windows服務器管理員如何選擇最有價值的閲讀？縮小閲讀列表是首選。我們的專家列出了所有Windows服務器管理員應該讀的五本書。

Windows服務器 2016中的PowerShell 5.0中添加了幾個新的特性和功能。Windows服務器新版本允許遠程文件編輯，這樣可以建立Windows服務器遠程會話並對遠程計算機上的文件進行編輯。微軟Windows服務器通過添加一個新參數改進了Windows服務器 PowerShell 5.0中的期望狀態配置，允許Windows服務器管理員限制併發期望狀態配置的操作數量，從而減少Windows服務器系統資源消耗。 ^[1] 

我可以有把握地説，對於Windows服務器管理員來説普遍的目標是擁有適當彈性的系統。世界上有很多Windows服務器網絡安全威脅，你最不希望發生的是在世界的另一頭，或者在你的組織內部有人利用了IIS或者Windows服務器的漏洞，而這一切都是本來可以避免的。

你可能無法觸及Windows服務器應用層面的漏洞，但是在Windows服務器層面你有很多事情可以做到使基於IIS的系統更加安全。通過回顧我多年的Windows服務器網站安全評估項目，可以指出以下最影響Windows服務器的IIS漏洞。

這會泄露Windows服務器敏感的配置信息和促進SQL注入攻擊。在Windows服務器方面的解決方法是在以下Windows服務器的web.conf文件中取消詳細的錯誤信息。

<customErrors mode="RemoteOnly" defaultRedirect="AppErrors.aspx">

<error statusCode="404" redirect="NoSuchPage.aspx"/>

<error statusCode="403" redirect="NoAccessAllowed.aspx"/>

<error statusCode="500" redirect="RequestNotAllowed.aspx"/>

</customErrors>

這會導致Windows服務器攻擊者篡改敏感參數從而獲得非授權訪問。在Windows服務器方面的解決方法是在以下Windows服務器的web.conf文件中對所有的應用頁面啓用視圖狀態哈希和MAC。

<system.web>

<pages viewStateEncryptionMode="Always">

<pages enableViewStateMac="true"/>

<machineKey validation="3DES"/>

</system.web>

這會導致Windows服務器登錄信息和其他敏感信息的暴露，因為任何與Windows服務器來往的信息都會以明文方式傳輸。在Windows服務器方面的解決方法是使其需要TLS版本1.1以及對整個網頁/應用都進行加密。

Windows服務器SSL版本2和3以及弱加密算法被啓用

這可以促進中間人攻擊以及導致敏感信息泄露。Windows服務器端解決的方法是使其需要TLS版本1.1和取消弱密碼算法例如RC4。

這可以促進Windows服務器點擊挾持和誤導用户點擊一些不同於他們認為正在點擊的內容。Windows服務器端的解決方法是根據你的具體需求設置X-Frame-Options頭部為DENY，SAMEORIGIN 或 ALLOW-FROM。

敏感的Windows服務器目錄和文件是公眾可以訪問的

這可以暴露Windows服務器系統配置信息，代碼和敏感信息。Windows服務器的解決方法對於公眾用户只開放必要的權限。

這可能導致Windows服務器任何攻擊，小至Windows服務器拒絕服務攻擊，大至Windows服務器使用例如Metasploit工具得到Web服務器的完整遠程權限。Windows服務器方面的解決方法是給你的Windows服務器打補丁，Windows服務器的這個操作很簡單。即使你打算將來這個Windows服務器需要從生產環境中下線，你也需要始終全盤的為Windows服務器打補丁，這樣才能打造一個安全的Windows服務器環境。

大多數的Windows服務器漏洞可能不會被認為是“關鍵的”，但是Windows服務器一定是長期會有問題的。如你所見，Windows服務器漏洞解決起來是相對簡單的。事實上，解決Windows服務器漏洞唯一的消耗只是你的時間而已。找到並且解決這些Windows服務器問題，Windows服務器業務的安全會取得成功，並且會有助於Windows服務器漏洞掃描和安全評估報告看上去很乾淨。

一旦你處理完網頁Windows服務器基本面的安全之後，你可以為你的Windows服務器應用向更大——一般也更復雜——的安全缺陷考慮。這包括了Windows服務器跨站腳本（一種最常見的漏洞）、Windows服務器繁榮SQL注入（一種沒那麼常見但很致命的漏洞）、Windows服務器弱用户認證和會話管理。 ^[2] 

Windows服務器容器技術憑藉着其輕量級的資源需求、快速部署和巨大的可擴展性優勢吸引IT行業的重大關注。不過Windows服務器其中一種最流行的容器引擎是基於Linux平台的Docker，Windows服務器正努力去解決一些重要的安全問題。

Windows服務器的Docker的安全問題起源於容器實例之間隔離的缺失。從最簡單的角度來看，每一個Windows服務器容器都共享同一個宿主OS內核，函數庫和文件。如果一個Windows服務器惡意程序或者其他安全事故突破了其中一個容器而且訪問到根OS，那麼這個OS下面運行的所有容器都有可能受到危害。一個Windows服務器容器在運行的時候可以直接和宿主內核進行通信，而且Linux也不會對Windows服務器主要內核進行拆分子系統或者子設備，也不會去保護Windows服務器。這意味着如果你可以和內核或者設備進行通信的話，你就有可能危害整個Windows服務器系統。

儘管Docker承諾了未來會發布Windows服務器安全方面的改善，下面還是給大家介紹一些保護Windows服務器的Hyper-V容器的策略。

1. 限制Windows服務器容器使用你瞭解和信任的Windows服務器機構的工具，避免使用任何你在Internet上找到的有趣的Windows服務器工具或者其他的東西。

2. 勤奮地測試和應用Linux補丁和安全更新。相信OS支持，就像Red Hat Enterprise Linux可以幫助你找到和修復Windows服務器漏洞一樣。

3. 有可能地使用非root的身份來運行Windows服務器容器，而且一旦可以的話就去除root權限。不管怎樣，都要想象Windows服務器容器中的root權限是和Windows服務器容器外的root權限是一樣的。

Windows服務器中的Hyper-V容器使用了Hyper-V來首先創建一個VM作為Windows服務器隔離。一旦VM建立好了，可以安裝Linux OS和Docker引擎來支持Windows服務器容器運行。這是一種Windows服務器嵌套虛擬化的方式。如果Windows服務器容器和之上的Linux OS受到危害，那麼整個Windows服務器安全問題只會影響到Hyper-V VM內部。

雖然Windows服務器容器這個概念已經存在很多年了，但是Docker引擎引起了人們對這項Windows服務器技術的新的興趣。微軟希望它的Windows服務器使用原生的容器和Windows服務器嵌套虛擬化，把Windows服務器容器從Linux部署環境遷移到Windows服務器的環境中。

Windows服務器也承諾引入合理化管理和改進Windows服務器容器實例間的隔離，幫助組織擁抱和擴張Windows服務器容器的部署。IT員工應該很快就可以在技術預覽版本嘗試Hyper-V容器，並且為採用Windows服務器和Docker容器做好計劃。 ^[3] 

雖然在Windows服務器系統中，微軟官方發佈了許多新的功能和特性，但是在Windows服務器用户組策略功能上卻與以前的系統版本沒有大的變化。儘管微軟公司有可能在Windows服務器和Windows 10中引入一些特殊的組策略功能，但是整個Windows服務器組策略架構仍沒有改變。

在Windows服務器系統中，系統用户和用户組策略，Windows服務器管理功能仍然存在（見圖 1）。這些Windows服務器組策略設置權限可以在域、用户組織單位OU、站點或本地計算機權限層級上申請。

與之前的Windows服務器版本相比，Windows服務器系統在組策略配置方式上發生改變。在Windows服務器系統中，微軟鼓勵用户使用最簡便的方式配置服務器操作系統。Windows服務器使用圖形化進行配置管理並不是最優的方式（見圖2）。Windows服務器在操作系統安裝選項下的描述中就解釋到：如需考慮需要與以後的Windows服務器系統版本兼容的情況，推薦用户在安裝Windows服務器操作系統的同時，選擇安裝本地管理工具。

這種安裝方式隨之帶來的問題是：怎樣訪問組策略編譯器。對於不同的安裝式，你需要使用不同的方法。因為本文測試環境使用的是Windows服務器預覽版，所以現在文中用到的方法以後也可能會發生變化。但是如果你已經安裝好了本地管理工具軟件，那麼訪問用户組策略的方式與Windows服務器系統下使用的方式相似。

現在，甚至對於已安裝本地管理工具軟件的Windows服務器系統來説,系統管理仍不方便。使用者除了通過命令提示窗口和服務管理器的接口外，已沒有其它方式，因為沒有系統桌面，沒有開始菜單(見圖3)：

在Windows服務器預覽版2中，仍然保留了大部份Windows服務器風格的管理工具，但是想訪問那些管理工具卻不能憑以前的經驗。例如在Windows服務器系統管理器，雖然設置了到Windows服務器本地安全配置服務的鏈接，卻沒有把用户域組策略的功能包含進來。如果你想訪問Windows服務器用户管理和部份本地安全策略，你需要切換到Windows命令提示界面，進入到C:\%systemroot%\system32目錄，然後執行GPEDIT.MSC命令（見圖4）：

圖4. 你可以在命令提示界面中使用GPEDIT.MSC命令，以加載Windows服務器用户策略編輯器。

對於沒有安裝本地管理工具的Windows服務器操作系統來説，你只有選擇使用Windows服務器遠程終端管理用户組策略或使用PowerShell命令。如果你想通過Windows服務器遠程終端管理用户組策略，你至少需要一個已裝安裝好Windows服務器本地管理工具的終端。在Windows服務器終端操作系統的命令提示符中，鍵入MMC命令。加載完成管理界面後，從文件菜單中選擇“添加/刪除”組件。當你完成相應選擇後，Windows服務器系統將給你一列組件清單。從組件清單中，選擇“組策略對象編輯器”，並點擊“增加”按鈕。然後系統會提示你，需要選擇管理哪台Windows服務器系統的組策略。點擊“瀏覽”按鈕，並選中需要遠程管理Windows服務器用户組策略的系統(見圖5)：

另外一種方法是通過PowerShell命令來編輯管理用户組策略。在Windows服務器中，提供了一個完整的PowerShell軟件模塊用於Windows服務器用户組策略的管理。但是PowerShell用户組策略模塊不會被默認安裝，除非Windows服務器系統被配置為域控制器或Windows服務器系統中已經安裝用户組策略管理終端軟件。微軟現在仍沒有發佈官方文檔，説明在Windows服務器系統中哪些條件下，PowerShell用户組策略功能模塊可用。

當Windows服務器系統開始正始發佈時，大部份公司很有可能選擇Windows服務器遠程管理用户組策略的方式，而不是選擇安裝本地管理工具包。雖然PowerShell也是一種可行的方案，但是在小規模的IT環境中，Windows服務器圖形化管理方式明顯更有效率。 ^[4] 

對於即將到來的Windows服務器版本，最值得期待的Windows服務器新功能就是存儲複製。這個功能基於SMB 3.0且支持塊級數據複製。然而，Windows服務器存儲複製的技術預覽不是默認可用的，接下來我們討論如何開啓Windows服務器這個功能。

如果你想使用Windows服務器存儲複製功能，必須要安裝Windows Volume Replication功能（圖1）。在源和目標服務器上，必須要同時安裝Windows Volume Replication、Failover Clustering、File Server角色。

 

為了使Windows服務器存儲複製正常運行， 你需要4塊單獨的集羣硬盤。兩塊Windows服務器硬盤分配給源服務器（一個本地集羣節點），其他兩塊硬盤分配給目標Windows服務器（一個遠程集羣節點）。源Windows服務器硬盤上的數據將會複製到目標Windows服務器硬盤上。

四塊Windows服務器硬盤都必須在集羣存儲上開放，並且Windows服務器硬盤是以兩組形式工作，分別分配為一個源Windows服務器數據硬盤，一個源日誌硬盤，一個目標數據硬盤和一個目標日誌硬盤。源和目標數據硬盤大小必須是相同的，且Windows服務器日誌硬盤的運行機制也必須相同。這就是微軟基於性能因素推薦SSD作為日誌源磁盤的原因。

如果你已經創建了故障轉移集羣，並且添加了Windows服務器集羣磁盤，那你就需要創建Windows服務器集羣角色。在這個案列裏，我們需要文件服務器角色（圖2）。

大部分Windows服務器高可用安裝嚮導的提示都是不需要加以説明的。儘管如此，當你進入到選擇Windows服務器存儲的嚮導界面時，有必須要選擇非本地的數據磁盤。

 

完成嚮導安裝之後，打開故障轉移集羣的Windows服務器存儲磁盤窗口。右擊數據磁盤，並且通過Windows服務器快捷按鈕選擇Replication Enable命令（圖3），之後會彈出Configure Storage Replication 嚮導窗口。

 

點擊下一步跳過嚮導歡迎界面，這個Windows服務器窗口會諮詢你指定源硬盤。只要在文件Windows服務器角色裏還沒有包含日誌源磁盤，你就會在嚮導中看到磁盤列表（圖4）。

選中日誌源磁盤，下一步你需要選擇目標Windows服務器數據卷，這裏有時會由於一個小問題導致可用Windows服務器存儲列表顯示為空，這是由於遠程集羣節點目前還沒有自己的Windows服務器磁盤。你可以返回到故障轉移集羣管理的Windows服務器磁盤列表界面，選擇遠程磁盤，然後使用可用移動磁盤選項來修復這個問題。

 

下一步，這裏會提示你選擇指定目標Windows服務器日誌磁盤。你可以看到一個提示詢問目Windows服務器標磁盤是否已經被種子化，也就是説，系統想知道目標磁盤是否已經包括部分Windows服務器數據的副本。大多數情況下你應該選擇“This is not a seeded disk”選項（圖5）。

現在，你需要做的就是點擊幾次Next，複製進程將自動開始。根據微軟所訴，你最終將能夠以災難恢復或者高可用模式執行Windows服務器之間的同步複製（擴展集羣的一部分）。然而，根據目前的狀況來看，存儲複製似乎只能通過Windows服務器故障轉移集羣管理來運行。下一個版本的Windows服務器仍然在技術預覽版階段，所以有很多東西在發佈之前可能會做一些更改。 ^[5] 

Metasploit是一款用於Windows服務器執行滲透測試的軟件，Windows服務器試圖攻擊你的系統以識別可以被黑客利用的漏洞。Windows服務器通過Metasploit，你可以利用大型的數據庫中已知的安全漏洞以編程方式，Windows服務器通過系統中已確認的安全漏洞來攻擊網絡和服務器，Windows服務器業務應用和使用程序等等。

開始使用Metasploit時是免費的，公司提供了一個有附加功能的專業版。如果Metasploit不適合你，Netcat也是一款強大的軟件，許多專業滲透測試人員使用它來進行白帽攻擊。Windows服務器不管是什麼情況，務必開始學習Windows服務器對網絡進行滲透測試，我懷疑你會發現當前的安全狀況十分不利。

除了Windows服務器滲透測試，這裏有一些需要弄清楚的Windows服務器問題以便加強安全防衞，尤其是面對Windows服務器時。

Windows服務器是啓用和配置審計策略嗎？

Windows服務器合理的密碼策略包括長度和複雜性的要求嗎？

Windows服務器遠程桌面協議加密設置是否過高？

除了Windows服務器補丁和防火牆，還有很多方法來確保Windows服務器安全性和彈性。接觸到Windows服務器網絡的所有部門和所有員工都需要有一個安全的思維。

為了Windows服務器保持彈性，組織需要：

Windows服務器制定考慮周全的安全策略並經常更新，Windows服務器以便囊括了新的應用程序，新的業務以及環境中的改變等等。這個安全政策的主要目標是保護五到十最重要的業務資產。

Windows服務器管理預期違約和響應，Windows服務器承認在某種程度上你可能會被黑客入侵，因此制定如何應對這樣的漏洞和管理其後果的措施。要提前進行這些討論。 ^[6]