過去幾年被 Linux 上 Samba 設定的繁複所困擾,因而決定改採 ActiveDirectory 做群組管理。這個學期初趁著主機掛點,就以 Windows Server 2003 恢復大部分網路服務,包括網站與內部檔案分享,等於再給微軟一次機會。
原本以為 Windows Server 安全性應該會比五年前大幅改善,不致重演當年在哈佛大學 CDI 遭遇的管理痛苦。想不到近一個月來 IIS 網站仍然連續被駭,即便我自認為防火牆、防毒軟體、AD群組安全設定、檔案系統權限設定都 OK 了,但似乎都無用武之地。我想問題不在於防範措施有多少,或者管理員知不知道該如何修補漏洞,而是 Windows Server 整體架構和設定上,有太多介面缺失和語焉不詳的地方,更不用說在系統安全性上的先天體質問題,讓管理員無從確定防範機制到底有沒有作用、或者機制間彼此的 關聯性。這裡面最弱的環節(讓人想起好看的節目 The Weakest Link)是 IIS,也許是我的成見吧,IIS 一開麻煩就來。
No comments:
Post a Comment