Windows Server 2012最大的安全障礙是什么?
責編:admin |2014-10-16 16:16:32你的Windows Server 2012和Windows Server 2012 R2系統正在遭受攻擊的危險。被認為微軟最安全的服務器操作系統在大多數網絡中只是甕中之鱉。這是為什么呢?
還記得幾十年前當微軟為了確保其Windows服務器操作系統安全時所做出的一系列糟糕的決定么?開始是LAN Manager,后來是Windows NT。緊隨Windows NT其后的是Windows 2000 Server的未加密的密碼存儲在SAM數據庫中,網絡共享開放給Everyone Group,以及無法預測的安全熱補丁和修補程序。另外還有Windows注冊表架構。
那些日子已經一去不復返了,伙計。大多數嚴重的漏洞都消失了。微軟已不再是問題。
我們對這個公司時不時地表現出愛與恨,但微軟的使命召喚已經不僅僅是保護其最新的服務器操作系統的安全了。這不僅是由于其強化了服務器角色配置向導,還因為其提供的客戶和社區的整體資源。例如,Security Compliance Manager(SCM) 基于組織的特定需求進一步鎖定操作系統。
在我寫這篇文章時,我正進行Windows Server 2012全新安裝的漏洞掃描,所有的角色和功能都啟用了頂級商業漏洞掃描器Rapid7 Nexpose。掃描時有沒有認證都可以——除了尚未調整的密碼策略,未啟用遞歸DNS查詢尚和補丁之外,并沒有主要的安全缺陷。使用QualysGuard、LanGuard或其他漏洞掃描器也得到了大致相同的結果。
所以,如何確保Windows Server 2012的安全呢?對Windows Server 2012和Windows Server 2012 R2安裝經過了更大范圍的安全評估和滲透測試,為什么漏洞還會出現呢?為什么還會出現違反合規性的情況呢?實際上答案很簡單,但修復過程是復雜的:這是個人的問題。
人們一旦參與,就會有安全風險。Windows Server 2012的安全掌握在我們手中,這里有三個例子:
業務流程要求快捷的訪問。不是由正確的人考介入,考慮工程師安全選項或實施必要的緩解控制,情況變成了“開放訪問,然后再解決問題”。
合規和后續審計使人緊張。我知道的大多數人喜歡在必要的時候做點什么來敷衍了事,比如想辦法讓一個高級別的清單通過審計,而不是花時間去解決核心問題。一些最常見的原因包括缺乏溝通以及預算緊張。
人們不愿意找麻煩。隨大流的做法是簡單又安全的,因此人們不會選擇對Windows Server 2012做點什么。在出現安全風險的時候,人們會猶豫地執行復雜的密碼或應用補丁,因為他們很習慣由廠商或部門主管做出決定。人們也可能猶豫地關閉服務器共享來避免任何內部錯誤或確保必要的資源用于妥善管理審計日志和安全事件。
當你把人們按照這個方程式進行規定,微軟最具彈性的操作系統會和它的上一任一樣終結生命。它處于最糟糕的安全狀態。
退后一步,看看你的環境并考慮實際需要的是什么,這樣做可以增加你的安全。你的Windows Server 2012和Server 2012 R2系統曾經是安全的服務器,但現在已經不是了。問問自己哪些正在運行。更好的是,請教別人你需要注意什么。鼓起勇氣使用保護Windows Server 2012安全的權利。不僅僅是安裝操作系統——這是從核心解決人們的問題。