强化Windows Server 2003文件服务器

马尔代夫的水底世界

目标
　　使用本模块可以：
　　
　　1．强化基于 Microsoft? Windows Server? 2003 操作系统的文件服务器。
　　2．检查文件服务器合适的安全配置。
　　
　　适用范围
　　本模块适用于下列产品和技术：
　　
　　Windows Server 2003
　　
　　如何使用本模块
　　使用本模块您可以了解应用于基于 Windows Server 2003 的文件服务器的安全设置。本模块使用多个角色特定安全模板和一个基准安全模板。安全模板来自“Windows Server 2003 Security Guide”。
　　
　　为了更好地理解本模块的内容，请：阅读模块 Windows Server 2003 安全性简介。该模块描述了“Windows Server 2003 Security Guide”的目的和内容。
　　阅读模块创建 Windows Server 2003 服务器的成员服务器基准。该模块演示了使用组织单位和组策略将成员服务器基准应用于多个服务器的过程。
　　
　　概述
　 　由于文件服务器提供的大多数重要服务都需要 Microsoft? Windows? 网络基本输入/输出系统 (NetBIOS) 相关协议的支持，因此在进一步强化文件服务器上存在一些挑战。服务器消息块 (SMB) 协议和通用 Internet 文件系统 (CIFS) 协议可以为没有经过身份验证的用户提供丰富的信息。因此，常常建议在高安全性的 Windows 环境中禁止文件服务器使用这些协议。但是，禁用这些协议可能给您的环境中的管理员和用户访问文件服务器造成一定的困难。
　　
　　本模块后面的部分将详细描述文件服务器可从安全设置中受益的内容，这些安全设置不是通过成员服务器基准策略 (MSBP) 得到应用的。有关 MSBP 的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。
　　
　　审核策略设置
　 　在本指南定义的三种环境下，文件服务器的审核策略设置都是通过 MSBP 进行配置。有关 MSBP 的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置确保了在全部的文件服务器上记录所有相关的安全性审核信息。
　　
　　用户权限分配
　 　在本指南定义的三种环境下，文件服务器的用户权限分配都是通过 MSBP 进行配置。有关 MSBP 的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置确保所有适当的用户权限可以跨越所有文件服务器实现统一配置。
　　
　　安全选项
　 　在本指南定义的三种环境下，文件服务器的安全性选项设置都是通过 MSBP 进行配置。有关 MSBP 的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。MSBP 设置确保所有相关的安全性选项设置可以跨越所有文件服务器实现统一配置。
　　
　　事件日志设置
　　在本指南定义的三种环境下，文件服务器的事件日志设置都是通过 MSBP 进行配置。有关 MSBP 的详细信息，请参阅模块创建 Windows Server 2003 服务器的成员服务器基准。
　　
　　系统服务
　　任何服务或应用程序都是一个潜在的攻击点，因此，应该禁用或删除所有不需要的服务或可执行文件。在 MSBP 中，这些可选服务以及所有不必要的服务都禁用。
　　
　 　在运行 Microsoft Windows Server 2003 的文件服务器上，经常还有其他一些服务被启用，但是，这些服务不是必需的。这些服务的使用及其安全性一直是人们争论的主题。为此，本指南所建议的文件服务 器配置可能不适用于您的环境。可以根据需要调整我们建议的文件服务器组策略以满足您组织机构的需求。
　　
　　Distributed File System