Windows伺服器

微軟Windows伺服器Hyper-V Server 2012 R2在今年早些時刻提供免費下載，但Windows伺服器也有很多局限性。免費的Windows伺服器-V伺服器不僅缺少GUI，而且Windows伺服器容錯能力小。雖然Windows伺服器產品本身沒有任何成本，但是當Windows伺服器出現中斷或其他問題時，Windows伺服器企業用戶仍然需要購買昂貴的軟體來確保工作負載正常運行。

Windows伺服器 2016中的Hyper-V新版本可能沒有與Windows伺服器以前的版本一樣多的新功能，但Windows伺服器其中幾項值得引起Windows伺服器管理員的關注。Windows伺服器檢查點——以前稱為Windows伺服器快照，運行Windows伺服器管理員將虛擬機滾回以前某個Windows伺服器時間點，另外，PowerShell Direct允許Windows伺服器管理員在斷網情況下將檔案複製到虛擬機。

Windows伺服器管理員想要在重要的新Windows伺服器工作面試中表現的遊刃有餘，提前做好充分的準備是關鍵。不僅要花時間檢查你將面臨的Windows伺服器日常職責管理，同時也要考慮自己的Windows伺服器能力和Windows伺服器專業知識，這些Windows伺服器知識將幫助你一步領先於其他Windows伺服器管理員候選人。我們的專家提供了一個Windows伺服器問題列表，可以幫助未來的Windows伺服器管理員在面試時全力以赴並且掌控這一新Windows伺服器的職業。

數以百計的書籍都與Windows伺服器有關，但是Windows伺服器管理員如何選擇最有價值的閱讀？縮小閱讀列表是首選。我們的專家列出了所有Windows伺服器管理員應該讀的五本書。

Windows伺服器 2016中的PowerShell 5.0中添加了幾個新的特性和功能。Windows伺服器新版本允許遠程檔案編輯，這樣可以建立Windows伺服器遠程會話並對遠程計算機上的檔案進行編輯。微軟Windows伺服器通過添加一個新參數改進了Windows伺服器 PowerShell 5.0中的期望狀態配置，允許Windows伺服器管理員限制並發期望狀態配置的運算元量，從而減少Windows伺服器系統資源消耗。

我可以有把握地說，對於Windows伺服器管理員來說普遍的目標是擁有適當彈性的系統。世界上有很多Windows伺服器網路安全威脅，你最不希望發生的是在世界的另一頭，或者在你的組織內部有人利用了IIS或者Windows伺服器的漏洞，而這一切都是本來可以避免的。

你可能無法觸及Windows伺服器套用層面的漏洞，但是在Windows伺服器層面你有很多事情可以做到使基於IIS的系統更加安全。通過回顧我多年的Windows伺服器網站安全評估項目，可以指出以下最影響Windows伺服器的IIS漏洞。

這會泄露Windows伺服器敏感的配置信息和促進SQL注入攻擊。在Windows伺服器方面的解決方法是在以下Windows伺服器的web.conf檔案中取消詳細的錯誤信息。

<customErrors mode="RemoteOnly" defaultRedirect="AppErrors.aspx">

<error statusCode="404" redirect="NoSuchPage.aspx"/>

<error statusCode="403" redirect="NoAccessAllowed.aspx"/>

<error statusCode="500" redirect="RequestNotAllowed.aspx"/>

</customErrors>

這會導致Windows伺服器攻擊者篡改敏感參數從而獲得非授權訪問。在Windows伺服器方面的解決方法是在以下Windows伺服器的web.conf檔案中對所有的套用頁面啟用視圖狀態哈希和MAC。

<system.web>

<pages viewStateEncryptionMode="Always">

<pages enableViewStateMac="true"/>

<machineKey validation="3DES"/>

</system.web>

這會導致Windows伺服器登錄信息和其他敏感信息的暴露，因為任何與Windows伺服器來往的信息都會以明文方式傳輸。在Windows伺服器方面的解決方法是使其需要TLS版本1.1以及對整個網頁/套用都進行加密。

Windows伺服器SSL版本2和3以及弱加密算法被啟用

這可以促進中間人攻擊以及導致敏感信息泄露。Windows伺服器端解決的方法是使其需要TLS版本1.1和取消弱密碼算法例如RC4。

這可以促進Windows伺服器點擊挾持和誤導用戶點擊一些不同於他們認為正在點擊的內容。Windows伺服器端的解決方法是根據你的具體需求設定X-Frame-Options頭部為DENY，SAMEORIGIN 或 ALLOW-FROM。

敏感的Windows伺服器目錄和檔案是公眾可以訪問的

這可以暴露Windows伺服器系統配置信息，代碼和敏感信息。Windows伺服器的解決方法對於公眾用戶只開放必要的許可權。

這可能導致Windows伺服器任何攻擊，小至Windows伺服器拒絕服務攻擊，大至Windows伺服器使用例如Metasploit工具得到Web伺服器的完整遠程許可權。Windows伺服器方面的解決方法是給你的Windows伺服器打補丁，Windows伺服器的這個操作很簡單。即使你打算將來這個Windows伺服器需要從生產環境中下線，你也需要始終全盤的為Windows伺服器打補丁，這樣才能打造一個安全的Windows伺服器環境。

大多數的Windows伺服器漏洞可能不會被認為是“關鍵的”，但是Windows伺服器一定是長期會有問題的。如你所見，Windows伺服器漏洞解決起來是相對簡單的。事實上，解決Windows伺服器漏洞唯一的消耗只是你的時間而已。找到並且解決這些Windows伺服器問題，Windows伺服器業務的安全會取得成功，並且會有助於Windows伺服器漏洞掃描和安全評估報告看上去很乾淨。

一旦你處理完網頁Windows伺服器基本面的安全之後，你可以為你的Windows伺服器套用向更大——一般也更複雜——的安全缺陷考慮。這包括了Windows伺服器跨站腳本（一種最常見的漏洞）、Windows伺服器繁榮SQL注入（一種沒那么常見但很致命的漏洞）、Windows伺服器弱用戶認證和會話管理。

Windows伺服器容器技術憑藉著其輕量級的資源需求、快速部署和巨大的可擴展性優勢吸引IT行業的重大關注。不過Windows伺服器其中一種最流行的容器引擎是基於Linux平台的Docker，Windows伺服器正努力去解決一些重要的安全問題。

Windows伺服器的Docker的安全問題起源於容器實例之間隔離的缺失。從最簡單的角度來看，每一個Windows伺服器容器都共享同一個宿主OS核心，函式館和檔案。如果一個Windows伺服器惡意程式或者其他安全事故突破了其中一個容器而且訪問到根OS，那么這個OS下面運行的所有容器都有可能受到危害。一個Windows伺服器容器在運行的時候可以直接和宿主核心進行通信，而且Linux也不會對Windows伺服器主要核心進行拆分子系統或者子設備，也不會去保護Windows伺服器。這意味著如果你可以和核心或者設備進行通信的話，你就有可能危害整個Windows伺服器系統。

儘管Docker承諾了未來會發布Windows伺服器安全方面的改善，下面還是給大家介紹一些保護Windows伺服器的Hyper-V容器的策略。

1. 限制Windows伺服器容器使用你了解和信任的Windows伺服器機構的工具，避免使用任何你在Internet上找到的有趣的Windows伺服器工具或者其他的東西。

2. 勤奮地測試和套用Linux補丁和安全更新。相信OS支持，就像Red Hat Enterprise Linux可以幫助你找到和修復Windows伺服器漏洞一樣。

3. 有可能地使用非root的身份來運行Windows伺服器容器，而且一旦可以的話就去除root許可權。不管怎樣，都要想像Windows伺服器容器中的root許可權是和Windows伺服器容器外的root許可權是一樣的。

Windows伺服器中的Hyper-V容器使用了Hyper-V來首先創建一個VM作為Windows伺服器隔離。一旦VM建立好了，可以安裝Linux OS和Docker引擎來支持Windows伺服器容器運行。這是一種Windows伺服器嵌套虛擬化的方式。如果Windows伺服器容器和之上的Linux OS受到危害，那么整個Windows伺服器安全問題只會影響到Hyper-V VM內部。

雖然Windows伺服器容器這個概念已經存在很多年了，但是Docker引擎引起了人們對這項Windows伺服器技術的新的興趣。微軟希望它的Windows伺服器使用原生的容器和Windows伺服器嵌套虛擬化，把Windows伺服器容器從Linux部署環境遷移到Windows伺服器的環境中。

Windows伺服器也承諾引入合理化管理和改進Windows伺服器容器實例間的隔離，幫助組織擁抱和擴張Windows伺服器容器的部署。IT員工應該很快就可以在技術預覽版本嘗試Hyper-V容器，並且為採用Windows伺服器和Docker容器做好計畫。

雖然在Windows伺服器系統中，微軟官方發布了許多新的功能和特性，但是在Windows伺服器用戶組策略功能上卻與以前的系統版本沒有大的變化。儘管微軟公司有可能在Windows伺服器和Windows 10中引入一些特殊的組策略功能，但是整個Windows伺服器組策略架構仍沒有改變。
在Windows伺服器系統中，系統用戶和用戶組策略，Windows伺服器管理功能仍然存在（見圖 1）。這些Windows伺服器組策略設定許可權可以在域、用戶組織單位OU、站點或本地計算機許可權層級上申請。

Windows伺服器預覽版2中的組策略編輯器

與之前的Windows伺服器版本相比，Windows伺服器系統在組策略配置方式上發生改變。在Windows伺服器系統中，微軟鼓勵用戶使用最簡便的方式配置伺服器作業系統。Windows伺服器使用圖形化進行配置管理並不是最優的方式（見圖2）。Windows伺服器在作業系統安裝選項下的描述中就解釋到：如需考慮需要與以後的Windows伺服器系統版本兼容的情況，推薦用戶在安裝Windows伺服器作業系統的同時，選擇安裝本地管理工具。

這種安裝方式隨之帶來的問題是：怎樣訪問組策略編譯器。對於不同的安裝式，你需要使用不同的方法。因為本文測試環境使用的是Windows伺服器預覽版，所以現在文中用到的方法以後也可能會發生變化。但是如果你已經安裝好了本地管理工具軟體，那么訪問用戶組策略的方式與Windows伺服器系統下使用的方式相似。
現在，甚至對於已安裝本地管理工具軟體的Windows伺服器系統來說,系統管理仍不方便。使用者除了通過命令提示視窗和服務管理器的接口外，已沒有其它方式，因為沒有系統桌面，沒有開始選單(見圖3)：

在Windows伺服器預覽版2中，仍然保留了大部份Windows伺服器風格的管理工具，但是想訪問那些管理工具卻不能憑以前的經驗。例如在Windows伺服器系統管理器，雖然設定了到Windows伺服器本地安全配置服務的連結，卻沒有把用戶域組策略的功能包含進來。如果你想訪問Windows伺服器用戶管理和部份本地安全策略，你需要切換到Windows命令提示界面，進入到C:\%systemroot%\system32目錄，然後執行GPEDIT.MSC命令（見圖4）：

對於沒有安裝本地管理工具的Windows伺服器作業系統來說，你只有選擇使用Windows伺服器遠程終端管理用戶組策略或使用PowerShell命令。如果你想通過Windows伺服器遠程終端管理用戶組策略，你至少需要一個已裝安裝好Windows伺服器本地管理工具的終端。在Windows伺服器終端作業系統的命令提示符中，鍵入MMC命令。載入完成管理界面後，從檔案選單中選擇“添加/刪除”組件。當你完成相應選擇後，Windows伺服器系統將給你一列組件清單。從組件清單中，選擇“組策略對象編輯器”，並點擊“增加”按鈕。然後系統會提示你，需要選擇管理哪台Windows伺服器系統的組策略。點擊“瀏覽”按鈕，並選中需要遠程管理Windows伺服器用戶組策略的系統(見圖5)：

另外一種方法是通過PowerShell命令來編輯管理用戶組策略。在Windows伺服器中，提供了一個完整的PowerShell軟體模組用於Windows伺服器用戶組策略的管理。但是PowerShell用戶組策略模組不會被默認安裝，除非Windows伺服器系統被配置為域控制器或Windows伺服器系統中已經安裝用戶組策略管理終端軟體。微軟現在仍沒有發布官方文檔，說明在Windows伺服器系統中哪些條件下，PowerShell用戶組策略功能模組可用。
當Windows伺服器系統開始正始發布時，大部份公司很有可能選擇Windows伺服器遠程管理用戶組策略的方式，而不是選擇安裝本地管理工具包。雖然PowerShell也是一種可行的方案，但是在小規模的IT環境中，Windows伺服器圖形化管理方式明顯更有效率。

對於即將到來的Windows伺服器版本，最值得期待的Windows伺服器新功能就是存儲複製。這個功能基於SMB 3.0且支持塊級數據複製。然而，Windows伺服器存儲複製的技術預覽不是默認可用的，接下來我們討論如何開啟Windows伺服器這個功能。
如果你想使用Windows伺服器存儲複製功能，必須要安裝Windows Volume Replication功能（圖1）。在源和目標伺服器上，必須要同時安裝Windows Volume Replication、Failover Clustering、File Server角色。

 
為了使Windows伺服器存儲複製正常運行， 你需要4塊單獨的集群硬碟。兩塊Windows伺服器硬碟分配給源伺服器（一個本地集群節點），其他兩塊硬碟分配給目標Windows伺服器（一個遠程集群節點）。源Windows伺服器硬碟上的數據將會複製到目標Windows伺服器硬碟上。
四塊Windows伺服器硬碟都必須在集群存儲上開放，並且Windows伺服器硬碟是以兩組形式工作，分別分配為一個源Windows伺服器數據硬碟，一個源日誌硬碟，一個目標數據硬碟和一個目標日誌硬碟。源和目標數據硬碟大小必須是相同的，且Windows伺服器日誌硬碟的運行機制也必須相同。這就是微軟基於性能因素推薦SSD作為日誌源磁碟的原因。
如果你已經創建了故障轉移集群，並且添加了Windows伺服器集群磁碟，那你就需要創建Windows伺服器集群角色。在這個案列里，我們需要檔案伺服器角色（圖2）。

大部分Windows伺服器高可用安裝精靈的提示都是不需要加以說明的。儘管如此，當你進入到選擇Windows伺服器存儲的嚮導界面時，有必須要選擇非本地的數據磁碟。
 
完成嚮導安裝之後，打開故障轉移集群的Windows伺服器存儲磁碟視窗。右擊數據磁碟，並且通過Windows伺服器快捷按鈕選擇Replication Enable命令（圖3），之後會彈出Configure Storage Replication 嚮導視窗。

 
點擊下一步跳過嚮導歡迎界面，這個Windows伺服器視窗會諮詢你指定源硬碟。只要在檔案Windows伺服器角色里還沒有包含日誌源磁碟，你就會在嚮導中看到磁碟列表（圖4）。

選中日誌源磁碟，下一步你需要選擇目標Windows伺服器數據卷，這裡有時會由於一個小問題導致可用Windows伺服器存儲列表顯示為空，這是由於遠程集群節點目前還沒有自己的Windows伺服器磁碟。你可以返回到故障轉移集群管理的Windows伺服器磁碟列表界面，選擇遠程磁碟，然後使用可用移動磁碟選項來修復這個問題。
 
下一步，這裡會提示你選擇指定目標Windows伺服器日誌磁碟。你可以看到一個提示詢問目Windows伺服器標磁碟是否已經被種子化，也就是說，系統想知道目標磁碟是否已經包括部分Windows伺服器數據的副本。大多數情況下你應該選擇“This is not a seeded disk”選項（圖5）。

現在，你需要做的就是點擊幾次Next，複製進程將自動開始。根據微軟所訴，你最終將能夠以災難恢復或者高可用模式執行Windows伺服器之間的同步複製（擴展集群的一部分）。然而，根據目前的狀況來看，存儲複製似乎只能通過Windows伺服器故障轉移集群管理來運行。下一個版本的Windows伺服器仍然在技術預覽版階段，所以有很多東西在發布之前可能會做一些更改。

Metasploit是一款用於Windows伺服器執行滲透測試的軟體，Windows伺服器試圖攻擊你的系統以識別可以被黑客利用的漏洞。Windows伺服器通過Metasploit，你可以利用大型的資料庫中已知的安全漏洞以編程方式，Windows伺服器通過系統中已確認的安全漏洞來攻擊網路和伺服器，Windows伺服器業務套用和使用程式等等。

開始使用Metasploit時是免費的，公司提供了一個有附加功能的專業版。如果Metasploit不適合你，Netcat也是一款強大的軟體，許多專業滲透測試人員使用它來進行白帽攻擊。Windows伺服器不管是什麼情況，務必開始學習Windows伺服器對網路進行滲透測試，我懷疑你會發現當前的安全狀況十分不利。

除了Windows伺服器滲透測試，這裡有一些需要弄清楚的Windows伺服器問題以便加強安全防衛，尤其是面對Windows伺服器時。

Windows伺服器是啟用和配置審計策略嗎？

Windows伺服器合理的密碼策略包括長度和複雜性的要求嗎？

Windows伺服器遠程桌面協定加密設定是否過高？

除了Windows伺服器補丁和防火牆，還有很多方法來確保Windows伺服器安全性和彈性。接觸到Windows伺服器網路的所有部門和所有員工都需要有一個安全的思維。

為了Windows伺服器保持彈性，組織需要：

Windows伺服器制定考慮周全的安全策略並經常更新，Windows伺服器以便囊括了新的應用程式，新的業務以及環境中的改變等等。這個安全政策的主要目標是保護五到十最重要的業務資產。

Windows伺服器管理預期違約和回響，Windows伺服器承認在某種程度上你可能會被黑客入侵，因此制定如何應對這樣的漏洞和管理其後果的措施。要提前進行這些討論。