WindowsServer2008系統管理第九章Server2008服務器安全加固、監控及審計上節回顧打印設備是指物理存在的打印機，而邏輯打印機是指在控制面板中添加的打印機驅動程序。打印隊列是用來存放多個客戶端發送來的打印作業?？梢栽O置打印機優先級來實現控制不同用戶的打印順序?？梢酝ㄟ^打印池使用多臺打印機，以提高打印速度。默認情況下所有用戶都具有打印權限，可以通過打印機的安全來控制打印機的權限。本章目標了解高級安全Windows防火墻使用Spotlight實時監控WindowsServer2008掌握WindowServer2008文件服務器審核高級安全Windows防火墻高級安全Windows防火墻具有高級安全性的Windows防火墻結合了主機防火墻和IPSec。與邊界防火墻不同，具有高級安全性的Windows防火墻在每臺運行此版本Windows的計算機上運行，并對可能穿越外圍網絡或源于組織內部的網絡攻擊提供本地保護。它還提供計算機到計算機的連接安全，使您可以對通信要求身份驗證和數據保護。具有高級安全性的Windows防火墻是一種狀態防火墻，檢查并篩選IP版本4(IPv4)和IP版本6(IPv6)流量的所有數據包。默認情況下阻止傳入流量，除非是對主機請求（請求的流量）的響應，或者被特別允許（即創建了防火墻規則允許該流量）。通過配置具有高級安全性的Windows防火墻設置（指定端口號、應用程序名稱、服務名稱或其他標準）可以顯式允許流量。使用具有高級安全性的Windows防火墻還可以請求或要求計算機在通信之前互相進行身份驗證，并在通信時使用數據完整性或數據加密。使用配置規則來響應傳入和傳出流量高級安全Windows防火墻入站/出站規則具有高級安全性的Windows防火墻使用兩組規則配置其如何響應傳入和傳出流量。防火墻規則確定允許或阻止哪種流量配置防火墻規則以確定阻止還是允許流量通過具有高級安全性的Windows防火墻。傳入數據包到達計算機時，具有高級安全性的Windows防火墻檢查該數據包，并確定它是否符合防火墻規則中指定的標準。如果數據包與規則中的標準匹配，則具有高級安全性的Windows防火墻執行規則中指定的操作，即阻止連接或允許連接連接安全規則防火墻規則允許通信通過防火墻，但不確保這些通信的安全。若要通過IPSec確保通信安全，可以創建計算機連接安全規則連接安全包括在兩臺計算機開始通信之前對它們進行身份驗證，并確保在兩臺計算機之間正在發送的信息的安全性。具有高級安全性的Windows防火墻包含了Internet協議安全(IPSec)技術，通過使用密鑰交換、身份驗證、數據完整性和數據加密（可選）來實現連接安全。與單方面操作的防火墻規則不同，連接安全規則要求通訊的雙方計算機都具有采用連接安全規則的策略或其他兼容的IPSec策略。案例：入站規則配置案例需求：在一臺服務器（5）上安裝并啟用FTP服務后，防火墻中將添加一條允許所有FTP入站連接的入站規則。如何配置防火墻規則阻止客戶端0通過FTP連接到服務器，而其它客戶端都能夠通過FTP連接到服務器實現思路：新建入站規則指定協議、端口和操作配置入站規則屬性入站規則配置案例：出站規則配置案例需求：有一臺Web服務器的IP地址為0，本地計算機的默認出站連接設置為允許，如何通過出站規則阻止本地計算機通過IE訪問Web服務器實現思路：新建出站規則指定程序路徑和操作驗證出站規則配置結果出站規則配置使用Spotlight實時監控WindowsServer2008Spotlight是一款第三方的服務器實時監控工具，支持對服務器的本地監控和遠程監控，不過在監控之前需要創建相應的連接，然后通過激活該連接就可實施對服務器的監控了。使用Spotlight實時監控WindowsServer2008創建本地監控打開連接管理新建連接：連接類型和名稱選擇本地連接創建遠程監控打開連接管理新建連接：連接類型和名稱選擇本地連接服務器實時監控紅色警報在服務器的監控面板中可以看到諸如System、Network、CPU、Memory、PagingFiles、Disks等運行狀況。Spotlight以紅、黃、藍三種顏色標識服務器各組件的運行狀況：紅色是警報提示，如果哪項參數顯示紅色，就表示當前服務器的該組件性能告急或者出現了性能瓶頸，需要管理員馬上解決相關問題執行“View→Options→AlarmLog”設置顯示警報日志時間段紅色警報

進程監控點擊Spotlight工具欄中的Processes工具按鈕可查看服務器當前運行的進程情況，其選項遠比WindowsServer2008的進程查看器要豐富得多。點擊某進程會在下面出現一個框架窗口顯示該進程的詳細信息，ProcessDetails項下顯示了該進程的各項屬性，諸如CPUUserMode、CPUKernelMode等在Server2008的進程管理器中看不到的內容，這對于一個有經驗的管理員進行進程分析、排錯是非常有幫助的。點擊ProcessHistory項，會以圖標的形式以10分鐘為間隔形象顯示該進行的Page、Memory、Reads/Writes等參數的歷史信息比Server2008的進程管理器記錄得要多也形象得多。另外，在ProcessThreads項下可以看到該進程的線程信息，這更是Server2008的進程管理器所不具備的。此外，Processes項還包括Services和SystemDrivers。Services可以查看服務器當前的服務運行狀況，Spotlight中的服務查看工具以樹形結構組織各種服務，可以讓管理員看清服務之間的從屬關系，并且顯示的服務更全面。SystemDrivers囊括了服務器所有驅動的信息，并且表明的驅動的類型、狀態，這在對服務器進行優化中非常有用。進程監控CPU監控CPU是考量服務器性能的主要指標，也是服務器監控的重點。點擊Spotlight工具欄中的CPU工具按鈕可查看服務器當前CPU的運行狀，Spotlight以圖表的形式顯示CPU的性能參數。其中有對服務器特別重要的ServerWorkQueues、KilobytesTransferred等參數，其中ServerWorkQueues顯示了服務器對于各種請求的響應能力的狀況，KilobytesTransferred顯示了服務器的傳輸速度。CPU監控內存監控內存是服務器性能的另一項重要指標，也是服務器監控中不可忽視的。點擊Spotlight工具欄中的Memory工具按鈕可查看服務器當前內存的運行狀，同樣的Spotlight以圖表的形式顯示了服務器的內存利用情況。于此相關的參數有PhysicalMemory(物理內存)、VirtualMemory(虛擬內存)、Paging(頁面文件)、PhysicalMemoryUsage(物理內存利用率)。Spotlight記錄了一個小時內的服務器內存的利用狀況，有利于管理員在服務器出現內存瓶頸時進行分析排錯。PagingActivity項可以查看頁面文件的使用情況，包括讀寫的頻率、大小等。Cache項是內存的緩存利用情況，內存緩存的大小對于提供服務器的運行效率至關重要。內存監控磁盤監控磁盤是一項重要的服務器資源，對于FTP、WEB、SQL等服務器磁盤的監控非常必要。點擊Spotlight工具欄中的Disks工具按鈕可查看服務器當前磁盤的運行狀況。在LogicalDiskActivity功能項下可以看到當前服務器一個小時之內的磁盤性能狀況，其相關的參數有讀、寫、請求、傳輸速率等。PhysicalDiskActivity功能項和上面的類似，只不過是從物理磁盤的角度監控服務器的運行狀況。LogicalDiskSpaceUsage功能項顯示磁盤各分區的利用率。disksummary是磁盤信息摘要，一般的服務器有多個磁盤做成了ＲＡＩＤ，通過該功能可以分別查看各個磁盤信息。磁盤監控網絡監控對于客戶端來說，服務器的網絡性能是他們最關心的，也是服務器監控的重點。點擊Network工具按鈕可監控并查看服務器的網絡狀況。在Network功能項下可以看到1小時之內服務器發送、接收包的情況，以及進出數據包的傳輸速度。還有一項非常重要，就是ErrorsandRetries即錯誤包的情況，管理員，通過對錯誤包的監控以判斷服務器網絡的健康狀況。TCPIP功能項是從協議的角度進行服務器網絡的監控，包括TCP、IP、UDP等。對于Web服務器主要看TCP情況，如果服務器收到DDOS攻擊可查看UDP數據的情況。另外一個必要有用的功能項是Share，可以監控并查看服務器中的共享情況，通常情況下管理員通過該功能對服務器進行安全性檢測，以判斷是否被入侵。網絡監控WindowServer2008文件服務器審核FileSystemAuditor(FSA)提供Windows文件服務器的審核、報表與警示，提供文件與目錄存取紀錄，訪問時間與那臺服務器，FileSystemAuditor提供系統層級的智能型稽審核，收集所有的動作于單一窗口展示事件檢視，如：讀取、修改、刪除、創建、權限的修改等等。提供明確清楚的報告，監控用戶存取文件的紀錄，FileSystemAuditor提供實時的(Real-Time)監控每個文件，建立完整的文件存取報告?？珊唵慰焖俚氖褂?.日期/時間范圍2.使用者3.事件型態4.路徑5處理程序6.所在服務器等六個條件來產生所需要的精準報表。所有的事件都集中存放于SQL數據庫實施FileSystemAuditor

安裝SQLSERVER2008R2安裝FSA創建數據庫添加文件服務器并安裝FSAAgent指定SQLServer及Database及用戶添加要監控的目錄安裝SQLSERVER2008R2安裝SQLServer2008R2時，內存最少512MB安裝SQLSERVER2008R2安裝SQLSERVER2008R2安裝SQLSERVER2008R2安裝SQLSERVER2008R2安裝SQLSERVER2008R2安裝SQLSERVER2008R2安裝FSA安裝FSA創建數據庫創建數據庫創建數據庫檢查數據庫是否創建成功添加文件服務器并安裝FSAAgent添加文件服務器并安裝FSAAgent添加文件服務器并安裝FSAAgent添加文件服務器并安裝FSAAgent代理程序會在文件服務器上被自動安裝指定SQLServer及Database及用戶添加要審核的目錄添加要審核的目錄選擇對文件和目錄要審核的項目創建報告篩選報告根據需求篩選報告制定報告計劃本