大家都知道微软发布的 Windows Vista 中包含了一个新的安全技术 - User Account Control(UAC,用户帐户控制),同样该技术也被包含在 Windows Server 2008 中。UAC 到目前为止还是备受争议,但是我个人已经很依赖这个安全特性,而且在实际操作中感觉越来越习惯,前提是 UAC 确实在安全方面起到了一定的作用。而今天提出这个议题的主要原因是因为我的日常工作经常涉及到 B/S 管理以及安全防护,要知道现在的“黑客”通过工具入侵一台没有经过防护措施的服务器是多么的轻而易举,一些 ITPro 们经常要检查系统是否存在新的漏洞,防止这些“黑客”有机可趁。在我所接触上百次的客户服务器安全事件中,70%以上都是由于未对服务器进行安全加固,“黑客”通过“WebShell”对系统进行入侵,之后“黑客”为所欲为,植入后门、木马等等。面对这些安全事件,实在令人头疼!这些客户服务器的运维人员的工作质量令人堪忧……
        微软 Windows Server 2008 已经正式发布,IIS 7 的改进是非常之大,除了性能方面的提升,安全方面也得到了大大的提高。但是没有经过安全加固的 Web Server 同样很容易遭到“黑客”的入侵和破坏,再次同时使我联想到了 UAC  的作用,我一直在设想如果对 用于 Web 服务的 Windows Server 2008 进行了安全加固之后,开启 UAC 岂不是为系统加了把锁,更确切地讲是增加了一道安全防护墙。因为微软公司出于安全因素的原因,在设计 UAC 时并为加入命令行的支持,也就是说我们无法通过命令行来调用或干预 UAC 的操作,这就意味着如果当你通过命令行或使用 WebShell 调用某些命令时,一旦触发 UAC 那么命令结果一定是失败的。相信能避免不少安全事件的发生……
        但是启用 UAC 也存在一些问题,如果一套 B/S 程序中触发了 UAC ,那么也将会被拦截,结果自然是程序运行失败,当然具体的兼容性还需要进行针对性的评估。
        总之,根据我的个人工作经验,我相信对于大多数 Web 程序来说,开启 UAC 并不会对其造成影响,在 Web Server 上,特别是公共主机上开启 UAC 是非常有必要的。
        最后,需要提到的一点是,在之前我已经提到 UAC 不支持命令行的调用及干预,所以在 Server Core 上 UAC 功能是无效的,即使你通过注册表启用了 UAC 功能,但实际上系统并未启用。到目前为止,微软仍未透露是否会在未来支持 UAC 在命令行中的调用及干预,但是从设计初衷来看,这个期望恐怕遥遥无期,一旦支持 UAC 的命令行支持,那等于形同虚设!
Windows Server | 评论(0) | 引用(0) | 阅读(7197)
发表评论
昵称 [注册]
密码 游客无需密码
网址
电邮
打开HTML 打开UBB 打开表情 隐藏 记住我