|
問題數 |
問題描述與解答 |
|
Q1: |
請問IIS也有新的安全性功能嗎 |
|
A: |
IIS 6.0 具備優異強化的安全性和管理能力。安全性增強功能包括更改技術與要求處理。此外,驗證和授權功能也有改善。IIS
6.0 的預設安裝為完全鎖定狀態,意即安全性預設為最高層級。IIS 6.0 亦提供強化的管理功能、改善的 XML Metabase 管理及新的命令列工具。
安全性與管理能力
MicrosoftR Windows Server 2003 提供下列功能,以提升安全性與管理能力。
功能 說明
鎖定伺服器 IIS 6.0 提供優異強化的安全性。為了降低系統的攻擊面,MicrosoftR
Windows Server? 2003 並未預設安裝 IIS 6.0:管理員必須另外選擇 IIS6.0 再加以安裝。原廠設定的 IIS 6.0
處於鎖定狀態,僅提供靜態內容。利用網站服務擴充節點,網站管理員可以根據組織的個別需要,啟用或停用 IIS 功能。
授權 IIS 6.0 擴大運用 MicrosoftR Windows Server? 2003
附加的新式授權架構。而且,網頁應用程式可以利用 URL
授權,與授權管理員共同控制存取。現在,經過限制與委派的授權,提供網域管理員只能委派給特定電腦和服務的控制。
XML Metabase IIS 6.0 中 XML 格式、純文字的 Metabase,將為發生嚴重錯誤的伺服器提供增強的備份與還原能力。另外,疑難排解與
Metabase 損毀復原的功能也獲得提升。可以利用一般文字編輯工具直接編輯,因而提供更強的管理能力 |
|
Q2: |
有工具檢查電腦需安裝的修補程式嗎 |
|
A: |
您可以利用Windows Update來檢查目前系統是否需要安裝任何修補程式或更新程式 |
|
Q3: |
當client被攻擊時, 我們該如何處理 |
|
A: |
首先,先將網路線拔除 (截斷攻擊),然後檢查電腦中是否有安全漏洞 (Service Pack 或修補程式),或者掃毒
(防毒軟體網站都有一些 Cleaner 和 Scanner 可用 ),並安裝修補程式後,再將網路線接回 |
|
Q4: |
Microsoft Windows Server 2003可以在不重新開機的情況下上hot fix嗎 |
|
A: |
在大部份的情況下,安裝 Hot Fix 是不需要重開機的;但如果 Fix
的是系統內目前正在運行的元件,則必須要重新開機,但如果不是立即性的修正,則可以等到維護時段再重新開機。 |
|
Q5: |
為什麼有些服務在Microsoft Windows Server 2003被停用了? |
|
A: |
這是由於Windows Server 2003基於安全上的考量,把比較少用的服務,將其啟動類型在預設上改設定為停用。 |
|
Q6: |
我的server一直收到來自網域內使用者發送的封包…如何是好 |
|
A: |
要先判斷同網域內的電腦發送的封包是不是攻擊性封包,如果是採廣播處理的服務或通訊協定收到封包是很正常,所以請您先判斷封包的內容,再做其他的決定。 |
|
Q7: |
請問,如果有一台主機,另一台是備份的,要如何確保這兩台電腦backup的安全性 |
|
A: |
請您進一步詳述您的問題,一旦獲得您的資訊,我們將盡快與您聯繫 |
|
Q8: |
Windows Server 2003的安全性可否套用至nt4 |
| A: |
http://support.microsoft.com/?id=318753 |
|
Q9: |
如果client端中毒有沒有可能影響到server |
|
A: |
有可能的;如果 Client 有利用 Email (Mail Server) 或檔案 (File Server)
等與伺服器交換資料時就有可能,建議您的伺服器要加裝防火牆或防毒軟體以保護伺服器 |
|
Q10: |
Windows Server 2003有什麼功能是可以強化安全性的 |
| A: |
預設有ICF 防火牆在domain 的各項安全性增加許多
您可以參考這份文章:http://www.microsoft.com/taiwan/windowsserver2003/evaluation/overview/technologies/security.mspx |
|
Q11: |
請問administraor 或目錄還原模式密碼遺失時該如何處理 |
|
A: |
目錄還原模式的密碼遺失 在命令提示字元ntdsutil -> set DSRM passwd on server
FQDN |
|
Q12: |
請問大家多久更新一之掃毒程式 |
|
A: |
建議您開啟防毒軟體定時更新的機制,讓它每天於網路離峰時間進行更新 |
|
Q13: |
要讓安全性做好最好, 請問要搭配哪些軟體 |
| A: |
Use MBSA to scan you network;可搭配ISA Server或其他廠牌防火牆及防毒軟體搭配使用 |
|
Q14: |
有沒有說明Windows Server 2003安全性功能的文章 |
| A: |
這裡有相當豐富的文章:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/maintain/security/default.asp?frame=true |
|
Q15: |
請教當server被攻擊時該如何處理 |
|
A: |
最極端的作法是直接把網路線抽掉,之前要確定是否為網路攻擊還是病毒,您可能要搭配網路工具軟體或者防火牆先確認是否為網路攻擊,其次就是透過防火牆關閉被攻擊的PORT,這樣就可乙組段大部分的PORT |
|
Q16: |
請問有一台dc已起AD,也有第2台dc join 也起 DC但第一台DC死了,結果第3台server
就無法join,說找不道網域控制站,那我該如操作呢? |
| A: |
請先在第2台主機將5個操作主機和GC 轉移過來,你的新的電腦才可加入domain
http://support.microsoft.com/default.aspx?scid=kb;en-us;255504&Product=win2000 |
|
Q17: |
如果client端中毒有沒有可能影響到server |
| A: |
由於目前的電腦病毒種類很多,有些病毒是會影嚮到Server的運作,建議定時更新防毒軟體的病毒碼及掃毒引擎,隨時做Windows
Update,在Server也關閉不必要的Service |
|
Q18: |
如果避免一台電腦中毒時會擴散到其它台電腦 |
| A: |
若Client中毒後請立即拔除網路線,並立即使用防毒軟體掃毒 (用開機片掃或把hdd拔下至別台電腦掃毒),等病毒隔離或清除時,在做Windows
Update |
|
Q19: |
Windows Server 2003如果搭配windows 2000 server, 安全性會一致嗎 |
| A: |
不會。Windows 2003 本身的基本設計就比 Windows 2000 來的嚴謹與安全 |
|
Q20: |
Windows Server 2003有哪些是改良舊有的windows 2000 server的功能呢 |
| A: |
Microsoft Windows Server 2003 新功能概觀
http://www.microsoft.com/taiwan/windowsserver2003/evaluation/overview/technologies/default.mspx
從Windows 2000 Server 進行升級的組織可取得的十大功能
http://www.microsoft.com/taiwan/windowsserver2003/evaluation/whyupgrade/top10w2k.mspx |
| Q21: |
請問Windows Server 2003的安全性功能主要是著重在哪方面,系統嗎還是其它的? |
| A: |
微軟網站上針對Window Server 2003的產品說明
http://www.microsoft.com/taiwan/windowsserver2003/evaluation/overview/technologies/security.mspx |
| Q22: |
如何預防server被入侵 |
| A: |
1.限制僅讓受信任的人員能實際存取電腦,尤其是網域控制站
2.進行系統管理工作時,請使用最小特殊權限原則
3.定義群組和其成員資格
4.保護電腦上的資料
5.在您的組織中使用嚴密的密碼
6.不要下載或執行來自不信任的來源的程式
7.使用最新的病毒掃描程式
8.使用最新的軟體修補程式 |
| Q23: |
exchange server 2003關機很慢,microsoft 有什麼解決之道嗎 |
| A: |
開機很慢的話跟許多因素有關,建議您先從Performance Console下手觀察
1.CPU2.HD3.RAM4.Network
這些到底是哪些部分出了問題,再來考量解決的辦法
請參考http://support.microsoft.com/?id=555025 |
| Q24: |
如何讓client能自動掃描並更新程式 |
| A: |
您可以在伺服器上安裝 Software Update Service 並搭配 Group
Policy 部署 Client,這樣用戶端就會自動偵測並更新修補程式 |
| Q25: |
Windows Server 2003可以保護文件或資料嗎 |
| A: |
儲存的資料 (連線或離線) 可利用加密檔案系統 (EFS)
和數位簽章加以保護。儲存的資料安全性則是有關使用加密格式在磁碟儲存資料的能力。 |
| Q26: |
請問:server一但安裝好也有安裝exchange時,iis
有什麼強化或更新程式;我有使用Microsoft Baseline Security Analyzer
,它會出現一大多紅色叉叉,但一修正過web and owa ...等ㄉ全部都會無法正常使用,或請列舉出iis有史以來的更新檔。因SUS也沒有iis的更新項目,因為iis真ㄉ常常被攻擊到怕了。謝謝! |
| A: |
請到此處查詢:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp
在 Product/Technology 點選 IIS 3 or 4 or 5
|
| Q27: |
請問AD如何做好安全管理 |
| A: |
Active Directory服務確保管理員輕鬆有效地管理使用者驗證和存取控制。
經由物件和使用者憑證的存取控制,Active Directory提供了使用者帳戶和群組資訊的保護儲存。因為Active
Directory不但保存使用者憑證,還保存了存取控制資訊,讓登入網路的使用者同時取得驗證與授權以存取系統資源。舉例來說,當使用者登入網路時,安全系統會以Active
Directory所存放的資訊對使用者進行驗證。然後,在使用者想要存取網路的某項服務時,系統就會檢查該服務的「判別存取控制清單」(DACL,Discretionary
Access Control List) 定義屬性。由於Active
Directory讓管理員建立群組帳戶,管理員能更有效地管理系統安全性。例如,藉由調整檔案權限,管理員可以允許群組的所有使用者能讀取該檔案。按照這種作法,是根據群組成員關係為基礎來存取Active
Directory的物件。
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/default.asp
There are several tools that we can use to improve our system's security
|
| Q28: |
請問什麼是Public Key Infrastructure? |
| A: |
公開金鑰基礎架構 (PKI) 是由數位憑證、憑證授權單位 (CAs) 及其他註冊授權單位
(RAs) 所組成的系統,並且對於使用公開金鑰密碼編譯的電子交易中所包含的每一方,進行有效性的辨識和認證。即使目前 PKI
標準已經成為電子商務必需要素而受到廣泛應用,但是PKI 標準仍在逐步發展成形中。請參考這份文章 :
http://www.microsoft.com/technet/treeview/default.aspurl=/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag_SEconceptsPKI.asp |
| Q29: |
請問如何省事又省成本的做好安全性管理 |
| A: |
建議您多利用GP,另外委派管理權限給其他員工也是選擇之一 |
| Q30: |
請大家分享一下你們都怎麼設稽核的 |
| A: |
http://support.microsoft.com/?id=252412 |
| Q31: |
可以自己寫程式碼加強安全性嗎 |
| A: |
安全性是一個相當廣泛的主題。研究顯示提前針對驗證和授權進行設計,可以消除高比例的應用程式弱點。安全通訊對於確保分散式應用程式的安全而言,是不可或缺的重要部分,安全的通訊可保護來往於應用程式以及在應用程式各層之間傳遞的重要資料
(包括憑證)。建置安全的 ASP.NET 應用程式: 驗證、授權和安全通訊
http://www.microsoft.com/taiwan/msdn/books/ataglance/secnetlpMSDN.htm |
| Q32: |
不同的網域在信任的前提下如何做好安全性 |
| A: |
建議使用群組來設定適當的權限,再將適當的使用者加入到群組方便管理,若是能增加稽核更能追蹤事件
請參考這份文章 :
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/maintain/security/fedffin2.asp |
| Q33: |
Windows Server 2003 和 Windows Server
2000的安全性有何不同 |
| A: |
微軟推出新產品有需多都是針對原有產品的功能進行加強以及改善,Windows Server 2003的設計則是加強安全上的控管
,像是剛安裝好的時候只會安裝最基礎的Windows將可以使用的服務降到最低,以避免系統管理者的疏忽而造成攻擊的管道
。由於新功能相當之多,請您參閱:
MicrosoftR Windows Server? 2003 新功能概觀
http://www.microsoft.com/taiwan/windowsserver2003/evaluation/overview/technologies/default.mspx
從 Windows 2000 Server 進行升級的組織可取得的十大功能
http://www.microsoft.com/taiwan/windowsserver2003/evaluation/whyupgrade/top10w2k.mspx |
| Q34: |
client有98和me, 也能適用Windows Server 2003的安全性原則嗎 |
| A: |
Windows 98及ME並沒有辦法套用Windows Server 2003的安全性原則 |
| Q35: |
如何知道何時又出了最新的安全性修正程式 |
| A: |
可以訂閱「微軟資訊安全電子快訊」http://www.microsoft.com/taiwan/promo/infomonth/office/02.htm |
| Q36: |
為什麼許多web services 在IIS預設不啟用, 這樣很不方便 |
| A: |
因為許多伺服器不需要使用 IIS,在大部份的情況下,除了 Web或Web
Service的伺服器需要 IIS 外,大都不會用到,為了安全性的考量,所以才預設它不啟用 |
| Q37: |
Windows Server 2003針對IE有沒有什麼強化的安全性管理 |
| A: |
Windows Server 2003 有內建 Internet Explorer
Security Configuration
Enhanced, 您可以參考 :
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/maintain/security/mngiesec.asp?frame=true |
| Q38: |
Windows Server 2003的共用還是Everyone完全控制嗎 |
| A: |
從Windows XP SP1之後,分享的預設權限都變成Everyone ReadOnly了! |
| Q39: |
請教什麼是ACL |
| A: |
ACL (Access Control List) 是 Windows
內提供識別資源存取與權限的單位,每個使用者均會有一份 ACL,用以識別其對資源 (檔案, 資料夾或印表機等) 存取權限 |
| Q40: |
如何管理匿名使用者呢 |
| A: |
以系統安全考量,應給予匿名使用者最低度的權限,像是匿名的 Web
存取,其帳號應只限於存取公開的網頁,
不用的匿名帳號應予關閉或刪除 |
| Q41: |
Windows Server 2003可以針對記憶體加密嗎 |
| A: |
No,Windows server 2003 doesn't have such
function. |
| Q42: |
一直加強安全性會不會反而限制了軟體本身的彈性 |
| A: |
安全性考量有時的確會影響到軟體的彈性
(尤其是在易用性與使用者親和性上)。但安全的議題是必須要考量的風險因素之一,
最好的情況是,軟體設計時已將安全因素與解決方案設計進去,並予以模組化,如果可以對軟體的彈性影響減到最低 |
| Q43: |
看到的文章好像都是好的,安全性對server或client有沒有什麼負面影響 |
| A: |
負面的影響多是 "人為的",像是操作變複雜或是難以使用,通常易用性和安全性的問題都會衝突到 |
| Q44: |
請問在事件檢視器,會不線稽核錯誤,但使用者不是在 AD
帳號裡的,那是代表被駭了嗎?還是駭客正在測試,那又該如何預防? |
| A: |
有可能是有人正在嘗試進入系統,因此請您再檢查看看不該開啟的服務、帳號是否都已關閉,並確認已更新到最新的 hotfix, patch, Service
Pack |
| Q45: |
Windows Server 2003對遠端操作有沒有限制 |
| A: |
增進的延展性:企業需要能隨規模成長或擴展的能力。比起 Windows 2000
Server,終端機伺服器在每台伺服器上可以支援更多的使用者。而在 Windows Server 2003 企業版中的工作階段目錄,則更進一步支援
Microsoft 的網路負載平衡及其他協力廠商負載平衡的技術。 改進的管理能力
終端機伺服器藉由充份善用像群組原則之類的技術,提供了絕佳的遠端管理能力。 完整的遠端管理能力,可以經由具充份讀寫能力的 WMI 提供者來提供。
易於使用的遠端桌面連結 遠端桌面連結 (新的「終端機服務用戶端」) 是一個 RDP 5.1
的用戶端,具有充份改進的使用者介面,可以讓使用者儲存連結的設定、輕易的在視窗和全螢幕的模式下切換、並且配合對應的頻寬大幅的改變使用者遠端操作的經驗。
增強的遠端桌面協定(RDP) 當利用一個 RDP 5.1
用戶端連結到終端機伺服器時,許多本機的資源都可以在遠端執行階段中取用,包括了用戶端檔案系統、智慧卡、音訊 (輸出)、序列連接埠、印表機
(包括網路印表機) 以及剪貼簿。
這些可重新導向的設備,可以讓使用者輕易的在遠端執行階段中善用他們用戶端端裝置的能力。例如,我們可以開啟檔案、儲存檔案或是列印到使用者本機的 PC
上,而不用考慮應用程式是在本機或遠端執行。 更好的色彩支援和螢幕解析度 搭配 RDP 5.1,色彩深度的範圍可以從 256 色 (8 位元)
到真實色彩 (24 位元),解析度範圍則可以從 640 x 480 到 1600 x 1200。例如,一位 IT
管理人員可以利用終端機伺服器,支援店面的資訊站顯示商品。它們可以設定來顯示全彩影像,提供最佳的產品圖片。
Windows Server 2003 其他增強功能 終端機伺服器善用許多。
Windows Server 2003 的功能,像是軟體限制原則、增強的漫遊設定檔和新的應用程式相容模式。 |
| Q46: |
AD 和.NET passport整合後會不會有其它安全性問題 |
| A: |
基本上.Net
Passport已經是極安全了,但建議不要把該ID及Password保留在AD上 |
| Q47: |
有人知道什麼是軟體限制原則嗎 |
| A: |
software restriction policies - 軟體限制原則
定義可以在電腦上執行之軟體的原則設定集合,根據群組原則物件 (GPO)
的預設安全性層級而定。然後可以依憑證規則、雜湊規則、路徑規則、登錄路徑規則及網際網路區域規則,定義預設安全性層級的例外。可以用來限定哪些軟體可以安裝或是無法安裝
使用方式參考
http://support.microsoft.com/default.aspx?scid=kb;en-us;324036&Product=winsvr2003 |
| Q48: |
如可確保remote install時的安全性 |
| A: |
The RIS is a secure function,You just make
sure the image is clean and if you need to apply security patch during
installation please refer to the KB as below.
http://support.microsoft.com/?id=828217 |
| Q49: |
請問Windows Server 2003 可支援最多幾顆CPU |
| A: |
標準版 -- Max 4,企業版 -- Max 8,Datacenter Edition
-- Max 64,Web Edition -- Max 2
請參考http://www.microsoft.com/taiwan/windowsserver2003/evaluation/overview/family.mspx |
| Q50: |
請問陰影複製可以套到共用目錄嗎 |
| A: |
可以套用到共用目錄 |
| Q51: |
有人用過網路服務帳戶嗎, 可否說明一下 |
| A: |
Network Service account - 網路服務帳戶
用於啟動服務並提供該服務之安全性內容的預先定義本機帳戶。帳戶名稱為 NT AUTHORITY\NetworkService。「網路服務」帳戶已限制對本機電腦的存取並驗證對網路資源的存取
(作為電腦帳戶)。 |
| Q52: |
請問Windows Server 2003是如何做授權的...謝謝 |
| A: |
Take a look on this web page:
http://www.microsoft.com/products/info/product.aspx?view=22&pcid=cbeaab2e-4d82-42a4-b0de-d3c9db9f81d7 |
| Q53: |
一定要搭配windows的client才能被Windows Server 2003管理,是嗎 |
| A: |
Client可用Windows NT/2k/XP做搭配 |
| Q54: |
升級到Windows Server 2003後, 原先在Windows Server
2000的那些規則也會自動更新嗎 |
| A: |
Many policy setting in W2K was keep in
W2K3.Your setting will be maintain!Also, W2K3 add many new policy to GPO
too! |
| Q55: |
如何在windows下設定軟體權限,如給另一使用者USER權利,但有些單一程式需使用administrator如何在不給予administrator下USER一樣也可以執行呢,(並不是使用選擇身份方式)??? |
| A: |
開放讓使用者對於該軟體會用到的所有檔案和Registry,擁有適當的權限試試 |
| Q56: |
想在Windows Server 2003上開發app. 請問如何做 |
| A: |
要在 Windows Server 2003 上開發應用程式 ,您有幾個選擇 :
1. .NET Framework
2. Windows API
3. COM/COM+
4. System Service
程式語言可以是 C/C++,VB (.NET , COM),Script (COM)
您可以參考 :
http://www.microsoft.com/taiwan/windowsserver2003/developers/default.mspx |
| Q57: |
windows server 2003會不會很吃記憶體 |
| A: |
標準版 -- Min 256 MB
企業版 -- Min 256 MB
Datacenter Edition -- Min 1GB
Web Edition -- Min 256MB
搭配您在上面額外運行的服務與應用程式而定!
或參閱http://www.microsoft.com/taiwan/windowsserver2003/evaluation/sysreqs/default.mspx |
| Q58: |
我們現在用win2k, 那升級到windows server 2003後,
是不是所有的動作都得重作 |
| A: |
對大部分的設定而言,都是不需要重做的。詳細的部分,請您參考:
Upgrading from Windows 2000 Server to Windows Server 2003
http://www.microsoft.com/windowsserver2003/upgrading/w2k/default.mspx |
| Q59: |
請問群組管理原則和windows server 2000的有何不同 |
| A: |
請參考:http://www.microsoft.com/taiwan/windowsserver2003/gpmc/gpmcfaq.mspx |
| Q60: |
請問windows server 2003的軟體限制可以做到哪個程度 |
| A: |
軟體限制原則為系統管理員提供了原則驅動機制,用以辨識在一網域中的電腦上所執行的軟體程式,並控制這些程式執行的能力。請參考以下的文章:
Using Software Restriction Policies to Protect Against Unauthorized Software
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/winxppro/maintain/rstrplcy.asp |
| Q61: |
請問安全性會有相衝突的問題嗎 |
| A: |
肯定會有的,此時,需要取得安全性與方便性兩者的平衡點 |
| Q62: |
網域內有多個不同的版本的server,請問如何才能將安全性整合在一起 |
| A: |
最好的解決方案是 Active Directory 和 Group
Policy,這樣可以將所有的 Server 的安全性都整合起來;
但 Windows NT 4 的 Server 要升級到 Service Pack 6aWindows 2000 最好升級到 Service Pack
3 |
| Q63: |
大家都說windows
server2003可以減少受到攻擊,大大可以描述的詳細一些嗎...怎樣減少法 |
| A: |
Windows Server 2003
中有許多的安全技術可以確保系統避免受到駭客攻擊的風險,在
http://www.microsoft.com/taiwan/windowsserver2003/docs/SecurityOverview_cht.doc
中有詳細的說明 ;但除了系統本身提供的安全性技術外,還需要系統維護人員良好的習慣才能更確保系統的安全性
|
