以安全為優先的 Windows Server 2003 Service Pack 1

更新日期: 2005 年 7 月 8 日

作者:賴榮樞
http://www.goodman-lai.idv.tw

Windows XP Service Pack 2 為 Windows XP 提高了相當多的系統安全防禦能力,並且也增強了若干功能;同樣的,Windows Server 2003 的第一個 Service Pack 並不只是修補程式的集結,也能為 Windows Server 2003 帶來更堅實的安全防禦能力,並且增強系統的穩定、提升執行效能。

Windows Server 2003 Service Pack 1 的內容都以安全為優先考量,除了修補系統漏洞的更新檔案之外,全新的『安全性設定精靈』會根據伺服器所擔任的角色,提供更適當的安全設定;取代舊版網際網路連線防火牆的『Windows 防火牆』,能夠為 Windows 伺服器建築基本的防禦能力;『安裝後安全性更新』能讓剛安裝好的 Windows Server 2003 伺服器,在上網取得最新的更新檔案之前,免於受到攻擊的危險。

Service Pack 1 的目標是提高 Window Server 2003 的安全性、可靠性和生產力。要達成這些目標的關鍵,在於縮小 Windows Server 2003 的受攻擊面,並且加強安全性。然而,修補舊的漏洞並逐步調整伺服器的效能,只是消極的作法,已經不足以應付日益嚴重的攻擊挑戰,微軟也藉著 Service Pack 1 變更 Windows Server 2003 的安全防禦能力。除了修補關鍵的漏洞之外,Service Pack 1 也增強了舊有的功能,並且增加了許多新功能。

本頁內容

系統需求
安全性設定精靈
安裝後安全性更新
Windows 防火牆
防止資料執行
應用程式相容性
如果還不想自動更新到 Service Pack 1
以安全為優先
相關資源

系統需求

Windows Server 2003 Service Pack 1 適用於下列的作業系統:Windows Server 2003 標準版、Windows Server 2003 企業版、Windows Server 2003 Web Edition、Windows Server 2003 Datacenter Edition 和 Windows Server 2003 with the Server Appliance Kit。

Windows Server 版本

最低 CPU 速度

支援的處理器數量

安裝所需的磁碟空間

記憶體

標準版

133 MHz

最高達 4 個

1.5 GB

256 MB

企業版

x86:133 MHz

Itanium:733 MHz

最高達 8 個

x86:1.5 GB

Itanium:2.0 GB

256 MB

Small Business Server

300 MHz

最高達 2 個

4.0 GB

256 MB

Datacenter 版

x86:400MHz

Itanium:733 MHz

8(最低)~64(最高)

x86:1.5 GB

Itanium:2.0 GB

1 GB

Web 版

133 MHz

最高達 2 個

1.5 GB

256 MB

您可以透過網路下載 Windows Server 2003 Service Pack 1,也可以直接利用 Microsoft Update 或 Windows Update 將 Windows Server 2003 系統更新到 Service Pack 1。必須注意的是,如果您使用的是 Microsoft Windows Small Business Server 2003,請下載、安裝專屬的 Service Pack 1

安全性設定精靈

安全性設定精靈(Security Configuration Wizard),是 Windows Server 2003 Service Pack 1 最重要的新增功能,這個程式能協助管理者調整 Windows 伺服器的資訊安全設定。安全性設定精靈內建了一個 XML 格式的知識庫,這個知識庫定義了超過五十種不同伺服器角色的服務、連接埠和其他功能需求。

安全性設定精靈會根據 Windows 伺服器所擔任的角色自動偵測必要的服務和通訊埠,並且根據管理者的輸入,以及 XML 格式知識庫的內容,來調整 Windows 伺服器的安全性設定和安全性原則,這些原則會停用非必要的服務、停用非必要的 IIS 延伸功能、關閉連接埠、修改登錄值,以及設定稽核設定值;就算是開啟的連接埠,也可以限制而只供特定對象使用,或者再利用 IPSec 達到更安全的保護。

圖 1:安全性設定精靈(此為英文版畫面)

圖 1:安全性設定精靈(此為英文版畫面)

安全性設定精靈是一個自動化的 Windows 伺服器安全設定工具,它所依據的知識庫,是真實世界 Windows 伺服器資安防禦指南的精華,不僅可以提供 Windows 伺服器有效而實用的系統防禦,自動化的精靈工具也讓管理者更容易調整 Windows 伺服器所需要的安全設定。此外,所套用的安全設定也可以匯出成 XML 檔案,更便於直接套用到其他角色相同的 Windows 伺服器。

安全性設定精靈也可以讓管理者回復之前的安全性原則設定,也能夠讓管理者分析 Windows 伺服器的安全設定能否符合預期。除了圖形化的操作介面,安全性設定精靈也提供了命令列工具,讓系統管理員可以將安全性設定精靈與指令碼和其他系統管理公用程式搭配使用;安全性設定精靈也能以遠端存取的方式進行設定及分析。安全性設定精靈可以讓系統管理者修改所建立的安全性原則,並且可以 XSL 的方式檢視儲存在知識庫、原則及分析結果中的資料。此外,安全性設定精靈也與 Active Directory 整合,以支援群組原則所產生的設定值。

安裝 Windows Server 2003 Service Pack 1 預設的情況是不會安裝安全性設定精靈,而必須透過『控制台/新增或移除程式/新增或移除 Windows 元件』另外安裝;安裝之後,可以在『系統管理工具』裡找到執行安全性設定精靈的捷徑。

安裝後安全性更新

為了避免剛安裝的 Windows Server 2003 在尚未安裝更新修補的情況下,一接上網路就遭到攻擊,Windows Server 2003 Service Pack 1 會在安裝後第一次重開機時,出現『安裝後安全性更新』(Post-Setup Security Updates)視窗,目的是提示系統管理者調整『自動更新』的設定,並且下載更新修補檔案。

圖 2:『安裝後安全性更新』視窗(此為英文版畫面)

圖 2:『安裝後安全性更新』視窗(此為英文版畫面)

安裝後安全性更新會啟用 Windows 防火牆,並且阻擋所有連入這部 Windows 伺服器的網路連線,目的就是保護尚未安裝更新修補的 Windows 伺服器。安裝後安全性更新會在全新安裝的 Windows Server 2003 伺服器發生作用,因此系統管理者應該在安裝完 Windows Server 2003 之後,隨即安裝 Windows Server 2003 Service Pack 1,以啟動安裝後安全性更新(或者將 Service Pack 1 和 Windows Server 2003 打包在一起,讓安裝 Windows Server 2003 的時候也一起安裝 Service Pack 1)。

Windows 防火牆

Windows 防火牆是 Windows Server 2003 Service Pack 1 另一個重要的新增功能,與 Windows XP Service Pack 2 提供的防火牆系出同源,絕大多數適用於 Windows XP Service Pack 2 防火牆的功能或設定,Windows Server 2003 Service Pack 1 的 Windows 防火牆也都適用。

Windows Server 2003 原本也提供防火牆的功能,也就是「網際網路連線防火牆」(Internet Connection Firewall,ICF),而 Windows Server 2003 Service Pack 1 不僅將名稱改為 Windows 防火牆,同時更提高防火牆的防禦能力,並且提供更易於操作的使用者介面。

Windows 防火牆會在系統載入的第一時間便發揮保護系統的作用(這是與舊版的網際網路連線防火牆最大的差異)。Windows 防火牆的另一項特點是可以進行全域設定;舊版的網際網路連線防火牆需要為每一張網路卡調整各自的防火牆設定,因此管理者必須自行為所有的網路卡一一調整設定,而且像是撥接網路則無法受到防火牆的保護。Windows 防火牆的全域設定就可以自動替變更的設定套用到「網路連線」資料夾中的所有網路連線,包括撥接網路和新建立的連線。

每一張網路卡還是可以保持各自的設定,而設定變更也可以同時套用到 IPv4 和 IPv6。全域設定讓系統管理者可以更容易跨所有網路連線來管理防火牆設定,也可以透過「群組原則」啟用設定,也更容易設定程式例外,讓單一設定選項套用在任何連線。

Windows 防火牆提供稽核記錄的功能,啟動稽核記錄會在安全性事件記錄中登記稽核事件,讓管理者可以追蹤 Windows 防火牆設定值的改變,也能得知有哪些應用程式和服務在傾聽連接埠。

除了圖形化的操作介面,Windows Server 2003 Service Pack 1 也能以 Netsh 命令列工具(或者指令碼)來設定 Windows 防火牆,包括調整 Windows 防火牆的使用狀態(關閉、開啟、無例外開啟)、設定例外、設定記錄選項、設定 ICMP 等等。在『命令提示字元』視窗輸入 netsh firewall /?,即可列出所有 Netsh 所提供的 Windows 防火牆命令。

某些應用程式會同時扮演網路用戶端及伺服器。當它們扮演伺服器時,必須讓非請自來的進入資料流量進入,因為它們無法預先知悉對方是誰。如果是舊版的網際網路連線防火牆,應用程式必須呼叫防火牆API,才能開啟必要的傾聽連接埠。但如果無法預知連接埠,到達到目的是非常困難,而且在通訊完成之後,也必須隨應用程式決定是否關閉連接埠,否則若應用程式發生非預期的結束,防火牆就出現了漏洞。Windows 防火牆可以解決這些問題,只要將需要傾聽網路的程式加到 Windows 防火牆例外清單,系統就會自動開啟及關閉必要的傾聽連接埠。

會封鎖遠端程序呼叫(Remote Procedure Call,RPC)通訊,是許多系統管理者不願使用舊版網際網路連線防火牆的主要原因。RPC 技術的應用相當廣泛,例如系統內建的管理工具、遠端 WMI 設定和指令碼等等。Windows 防火牆能夠支援 RPC 通訊,當呼叫者處於本機系統、網路服務、本機服務等情況時,Windows 防火牆便會放行。

Windows 防火牆也支援更多的群組原則,包括:定義程式例外、允許本機程式例外、定義連接埠例外、允許本機連接埠例外、允許 ICMP 例外、禁止通知、允許檔案及印表機共用例外、允許記錄等。

防止資料執行

以往經常發生的「緩衝區溢滿」(buffer overruns),是駭客常見的攻擊手法之一,這種攻擊方式會以看似正常、但過長的資料夾帶惡意程式,也就是因為過長的資料超過程式原本所能處理的範圍,因此惡意程式便趁虛而入;簡單來說,緩衝區溢滿是利用記憶體作為跳板,讓處理器執行惡意程式,而一旦執行了惡意程式,駭客便可能對入侵的電腦為所欲為。

Windows Server 2003 Service Pack 1 以防止資料執行(Data Execution Prevention,DEP)來防止緩衝區溢滿的攻擊方式,這項功能其中包含兩種技術:NX 和 sandboxing,前者需要處理器支援,後者則是作業系統獨力完成。目前超微以及英特爾都推出了支援這項功能的處理器,能夠阻止緩衝區溢滿攻擊的技術,這項技術稱為 NX(no-execute,不執行。簡而言之,就是不讓處理器將資料區段的內容當作程式碼)。利用這項技術,作業系統將可以不執行這些透過緩衝區溢滿而來的惡意程式,進而阻止利用緩衝區溢滿的攻擊。

倘若是處理器不提供 NX 功能的電腦,Windows Server 2003 Service Pack 1 也會以 sandboxing 技術來加強系統面對緩衝區溢滿攻擊的防護。這種以純軟體避免緩衝區溢滿的作法,是重新檢查並編譯系統,讓系統能夠查出記憶體的堆疊(stack)或壘堆(heap)是否被不當使用。

應用程式相容性

也由於 Service Pack 1 調整了許多 Windows Server 2003 內部的功能,並新增了諸如 Windows 防火牆等軟體,因此可能會造成應用程式的相容性疑慮。雖然 Windows Server 2003 Service Pack 1 在正式推出之前,已經做過相當多的應用程式相容性測試,但是系統管理者在部署 Windows Server 2003 Service Pack 1 之前,還是應該設置模擬的測試環境,先行瞭解應用程式相容性。

在微軟的知識庫有一份應用程式相容性的列表,是微軟測試數百種伺服器軟體在 Windows Server 2003 Service Pack 1 執行的結果;此外,TechNet 有一篇列出若干 Windows Server 2003 Service Pack 1 相容性問題及解決方法的網誌。建議系統管理者在測試系統的同時,也多參考這類的文件。

如果還不想自動更新到 Service Pack 1

連上網際網路的 Windows Server 2003 伺服器會透過自動更新的功能,自今年七月 26 日開始,直接自 Windows Update 或 Microsoft Update 下載到 Windows Server 2003 Service Pack 1(但還是要系統管理者按下確認按鈕才會安裝;也就是說,雖然會自動下載,但不會自動安裝)。但如果還需要更多的時間來評估或測試 Windows Server 2003 Service Pack 1,可以利用微軟的免費工具 Windows Server 2003 SP1 Blocker Tool Kit,讓 Windows 伺服器不會自動下載 Windows Server 2003 Service Pack 1。這個工具的有效期限是到 2006 年的三月 30 日,期限之後,Windows Server 2003 伺服器就會透過網際網路收到來自 Windows Update 或 Microsoft Update 的 Windows Server 2003 Service Pack 1。

這個工具包含了一個執行檔、一個指令檔,以及一個 ADM 範本。執行檔和指令檔的功能相同,會讓 Windows Server 2003 伺服器拒絕或收取 Windows Server 2003 Service Pack 1。執行檔或指令檔會在登錄資料庫建立 HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate 機碼,而這兩支程式有兩個參數,/B 會讓機碼的 DoNotAllowSP 值為 1,會拒絕 Windows Server 2003 Service Pack 1;而 /U 則會讓 DoNotAllowSP 值為 0,也就會收取 Windows Server 2003 Service Pack 1。

以安全為優先

如同 Windows XP Service Pack 2,Windows Server 2003 Service Pack 1 也提高了 RPC 和 DCOM 的安全性。RPC 是一種用於 Windows 底層的通訊協定,它可以讓程式藉由網路執行另一部 Windows 的程式,許多遠端管理程式都會使用這種機制來達到遠端管理的目的。但是這種機制也被有心人士當作入侵系統的管道。

Windows Server 2003 Service Pack 1 藉由比對存取控制清單(ACL),為系統上所有的程式呼叫提供了最低的授權標準,以區別存取系統服務的權限,來防範這種攻擊途徑。而 Service Pack 1 所提供的 Windows 防火牆也支援了 RPC:在預設的情況之下,本機系統、網路服務、本機服務等三種類型以外的RPC通訊,才會被 Windows 防火牆擋掉。

RPC 是 DCOM(Distributed Component Object Model)的基礎,而 DCOM 也是一種可以透過網路運作的 Windows 底層機制,它可以讓程式藉由網路執行另一部 Windows 的 COM 元件。同樣的,DCOM也存有潛在的危險。Windows Server 2003 Service Pack 1 強化了 DCOM(以及 WebDAV)的安全性:程式不能再以匿名的方式使用 DCOM、RPC、WebDAV,而必須通過認證才能使用。

此外,Service Pack 1 也新增了一項名為『無線供應服務』(Wireless Provisioning Service,WPS)的功能,這項新功能讓 Windows Server 2003 伺服器可以成為安全的無線網路供應平台。WPS 使用標準的Wi-Fi協定,可以讓無線網路服務供應商利用標準且整合的平台,提供更安全的無線網路服務,當然也可以讓企業提供安全的無線網路給員工或來訪者。

在 Windows Server 2003 推出了兩年之後,第一個 Service Pack 1也推出了。Windows Server 2003 Service Pack 1 與 Windows XP Service Pack 2 非常類似,不僅都是作業系統相當重要的更新,並且也都大幅提升了系統的安全防禦能力。系統管理者如果已經在去年為 Windows XP 評估、測試過 Service Pack 2,那對評估 Windows Server 2003 Service Pack 1 來說,是個很好的熱身,因為 Windows Server 2003 Service Pack 1 也提供了相仿的功能。

但畢竟伺服器的重要性遠大於用戶端,而且伺服器上的情況也比用戶端多樣且複雜,所以也別因為部署過 Windows XP Service Pack 2,就對 Windows Server 2003 Service Pack 1 大意。Windows Server 2003 伺服器的系統管理者都應該儘速擬定 Service Pack 1 的評估及測試計畫。此外,更重要的是,沒有任何廠商可以提供一勞永逸的資安解決方案,Service Pack 1 真的能強化 Windows Server 2003 伺服器的安全防禦能力,但是攻擊者同樣也會強化攻擊的能力與技術。

相關資源

以下是與 Windows Server 2003 Service Pack 1 有關的軟體下載網址:

以下是與 Windows Server 2003: Service Pack 1 相關的資訊網址:

顯示: