服务器安全加固监控spotlight及审计

WindowsServer2008系统管理第九章Server2008服务器安全加固、监控及审计上节回顾打印设备是指物理存在的打印机，而逻辑打印机是指在控制面板中添加的打印机驱动程序。打印队列是用来存放多个客户端发送来的打印作业。可以设置打印机优先级来实现控制不同用户的打印顺序。可以通过打印池使用多台打印机，以提高打印速度。默认情况下所有用户都具有打印权限，可以通过打印机的安全来控制打印机的权限。本章目标了解高级安全Windows防火墙使用Spotlight实时监控WindowsServer2008掌握WindowServer2008文件服务器审核高级安全Windows防火墙高级安全Windows防火墙具有高级安全性的Windows防火墙结合了主机防火墙和IPSec。与边界防火墙不同，具有高级安全性的Windows防火墙在每台运行此版本Windows的计算机上运行，并对可能穿越外围网络或源于组织内部的网络攻击提供本地保护。它还提供计算机到计算机的连接安全，使您可以对通信要求身份验证和数据保护。具有高级安全性的Windows防火墙是一种状态防火墙，检查并筛选IP版本4(IPv4)和IP版本6(IPv6)流量的所有数据包。默认情况下阻止传入流量，除非是对主机请求（请求的流量）的响应，或者被特别允许（即创建了防火墙规则允许该流量）。通过配置具有高级安全性的Windows防火墙设置（指定端口号、应用程序名称、服务名称或其他标准）可以显式允许流量。使用具有高级安全性的Windows防火墙还可以请求或要求计算机在通信之前互相进行身份验证，并在通信时使用数据完整性或数据加密。使用配置规则来响应传入和传出流量高级安全Windows防火墙入站/出站规则具有高级安全性的Windows防火墙使用两组规则配置其如何响应传入和传出流量。防火墙规则确定允许或阻止哪种流量配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。传入数据包到达计算机时，具有高级安全性的Windows防火墙检查该数据包，并确定它是否符合防火墙规则中指定的标准。如果数据包与规则中的标准匹配，则具有高级安全性的Windows防火墙执行规则中指定的操作，即阻止连接或允许连接连接安全规则防火墙规则允许通信通过防火墙，但不确保这些通信的安全。若要通过IPSec确保通信安全，可以创建计算机连接安全规则连接安全包括在两台计算机开始通信之前对它们进行身份验证，并确保在两台计算机之间正在发送的信息的安全性。具有高级安全性的Windows防火墙包含了Internet协议安全(IPSec)技术，通过使用密钥交换、身份验证、数据完整性和数据加密（可选）来实现连接安全。与单方面操作的防火墙规则不同，连接安全规则要求通讯的双方计算机都具有采用连接安全规则的策略或其他兼容的IPSec策略。案例：入站规则配置案例需求：在一台服务器（5）上安装并启用FTP服务后，防火墙中将添加一条允许所有FTP入站连接的入站规则。如何配置防火墙规则阻止客户端0通过FTP连接到服务器，而其它客户端都能够通过FTP连接到服务器实现思路：新建入站规则指定协议、端口和操作配置入站规则属性入站规则配置案例：出站规则配置案例需求：有一台Web服务器的IP地址为0，本地计算机的默认出站连接设置为允许，如何通过出站规则阻止本地计算机通过IE访问Web服务器实现思路：新建出站规则指定程序路径和操作验证出站规则配置结果出站规则配置使用Spotlight实时监控WindowsServer2008Spotlight是一款第三方的服务器实时监控工具，支持对服务器的本地监控和远程监控，不过在监控之前需要创建相应的连接，然后通过激活该连接就可实施对服务器的监控了。使用Spotlight实时监控WindowsServer2008创建本地监控打开连接管理新建连接：连接类型和名称选择本地连接创建远程监控打开连接管理新建连接：连接类型和名称选择本地连接服务器实时监控红色警报在服务器的监控面板中可以看到诸如System、Network、CPU、Memory、PagingFiles、Disks等运行状况。Spotlight以红、黄、蓝三种颜色标识服务器各组件的运行状况：红色是警报提示，如果哪项参数显示红色，就表示当前服务器的该组件性能告急或者出现了性能瓶颈，需要管理员马上解决相关问题执行“View→Options→AlarmLog”设置显示警报日志时间段红色警报

进程监控点击Spotlight工具栏中的Processes工具按钮可查看服务器当前运行的进程情况，其选项远比WindowsServer2008的进程查看器要丰富得多。点击某进程会在下面出现一个框架窗口显示该进程的详细信息，ProcessDetails项下显示了该进程的各项属性，诸如CPUUserMode、CPUKernelMode等在Server2008的进程管理器中看不到的内容，这对于一个有经验的管理员进行进程分析、排错是非常有帮助的。点击ProcessHistory项，会以图标的形式以10分钟为间隔形象显示该进行的Page、Memory、Reads/Writes等参数的历史信息比Server2008的进程管理器记录得要多也形象得多。另外，在ProcessThreads项下可以看到该进程的线程信息，这更是Server2008的进程管理器所不具备的。此外，Processes项还包括Services和SystemDrivers。Services可以查看服务器当前的服务运行状况，Spotlight中的服务查看工具以树形结构组织各种服务，可以让管理员看清服务之间的从属关系，并且显示的服务更全面。SystemDrivers囊括了服务器所有驱动的信息，并且表明的驱动的类型、状态，这在对服务器进行优化中非常有用。进程监控CPU监控CPU是考量服务器性能的主要指标，也是服务器监控的重点。点击Spotlight工具栏中的CPU工具按钮可查看服务器当前CPU的运行状，Spotlight以图表的形式显示CPU的性能参数。其中有对服务器特别重要的ServerWorkQueues、KilobytesTransferred等参数，其中ServerWorkQueues显示了服务器对于各种请求的响应能力的状况，KilobytesTransferred显示了服务器的传输速度。CPU监控内存监控内存是服务器性能的另一项重要指标，也是服务器监控中不可忽视的。点击Spotlight工具栏中的Memory工具按钮可查看服务器当前内存的运行状，同样的Spotlight以图表的形式显示了服务器的内存利用情况。于此相关的参数有PhysicalMemory(物理内存)、VirtualMemory(虚拟内存)、Paging(页面文件)、PhysicalMemoryUsage(物理内存利用率)。Spotlight记录了一个小时内的服务器内存的利用状况，有利于管理员在服务器出现内存瓶颈时进行分析排错。PagingActivity项可以查看页面文件的使用情况，包括读写的频率、大小等。Cache项是内存的缓存利用情况，内存缓存的大小对于提供服务器的运行效率至关重要。内存监控磁盘监控磁盘是一项重要的服务器资源，对于FTP、WEB、SQL等服务器磁盘的监控非常必要。点击Spotlight工具栏中的Disks工具按钮可查看服务器当前磁盘的运行状况。在LogicalDiskActivity功能项下可以看到当前服务器一个小时之内的磁盘性能状况，其相关的参数有读、写、请求、传输速率等。PhysicalDiskActivity功能项和上面的类似，只不过是从物理磁盘的角度监控服务器的运行状况。LogicalDiskSpaceUsage功能项显示磁盘各分区的利用率。disksummary是磁盘信息摘要，一般的服务器有多个磁盘做成了ＲＡＩＤ，通过该功能可以分别查看各个磁盘信息。磁盘监控网络监控对于客户端来说，服务器的网络性能是他们最关心的，也是服务器监控的重点。点击Network工具按钮可监控并查看服务器的网络状况。在Network功能项下可以看到1小时之内服务器发送、接收包的情况，以及进出数据包的传输速度。还有一项非常重要，就是ErrorsandRetries即错误包的情况，管理员，通过对错误包的监控以判断服务器网络的健康状况。TCPIP功能项是从协议的角度进行服务器网络的监控，包括TCP、IP、UDP等。对于Web服务器主要看TCP情况，如果服务器收到DDOS攻击可查看UDP数据的情况。另外一个必要有用的功能项是Share，可以监控并查看服务器中的共享情况，通常情况下管理员通过该功能对服务器进行安全性检测，以判断是否被入侵。网络监控WindowServer2008文件服务器审核FileSystemAuditor(FSA)提供Windows文件服务器的审核、报表与警示，提供文件与目录存取纪录，访问时间与那台服务器，FileSystemAuditor提供系统层级的智能型稽审核，收集所有的动作于单一窗口展示事件检视，如：读取、修改、删除、创建、权限的修改等等。提供明确清楚的报告，监控用户存取文件的纪录，FileSystemAuditor提供实时的(Real-Time)监控每个文件，建立完整的文件存取报告。可简单快速的使用1.日期/时间范围2.使用者3.事件型态4.路径5处理程序6.所在服务器等六个条件来产生所需要的精准报表。所有的事件都集中存放于SQL数据库实施FileSystemAuditor

安装SQLSERVER2008R2安装FSA创建数据库添加文件服务器并安装FSAAgent指定SQLServer及Database及用户添加要监控的目录安装SQLSERVER2008R2安装SQLServer2008R2时，内存最少512MB安装SQLSERVER2008R2安装SQLSERVER2008R2安装SQLSERVER2008R2安装SQLSERVER2008R2安装SQLSERVER2008R2安装SQLSERVER2008R2安装FSA安装FSA创建数据库创建数据库创建数据库检查数据库是否创建成功添加文件服务器并安装FSAAgent添加文件服务器并安装FSAAgent添加文件服务器并安装FSAAgent添加文件服务器并安装FSAAgent代理程序会在文件服务器上被自动安装指定SQLServer及Database及用户添加要审核的目录添加要审核的目录选择对文件和目录要审核的项目创建报告筛选报告根据需求筛选报告制定报告计划本