每当Windows操作系统新版本发行时，都会有人好奇这个即装即用的系统有多安全。我通常喜欢最先安装这些新版本的用户，以便了解它们怎样去抵挡一些好的安全扫描器的攻击。

　　那么Windows Server 2008 R2处在什么位置呢？它是否能配得上我最近得到的一些Windows 7安全的积极结果呢？下面是我在完整安装的Windows Server 2008 R2企业版时得到的结果。

　　我首先注意到，系统不会强迫我为初始管理员级别的用户账户输入密码。但让人感到讽刺地是，当随后我试图去进行设置时，得到了如下消息：

　　“不能更新密码。新密码字符不符合域的长度、复杂或历史要求。”

　　我猜系统认为，没有密码比设置一个简单的密码好。

　　我还发现，Windows防火墙是默认启用的，但网络搜寻和文件共享是关掉的。这对安全有利，但就功能性而言就不那么好了。

　　一步一步完成安全配置向导，我发现了一些有趣的东西。首先吸引我的是向导的欢迎窗口。正如您在下图所看到的，推荐继续运行所有使用内建端口的应用程序。

图1

　　我认为这是有问题的，特别是因为许多人可能想在安装完成后就马上确保系统安全。但那些之后才添加的应用程序该怎么办？可能就需要重新运行安全配置向导，但我并没有看到那样的情况发生，除非对安全配置向导的运行是详细变更管理程序的一部分，否则就是有问题的。

　　另一件容易引起注意的事是安全配置向导如何引导您完成审计策略设置。这是一个很大的优点。我也注意到，很多功能是一开始就被禁止的。下图是Windows Server 2008 R2即装即用是如何简化功能的一个例子。

图2

　　看来，微软从一开始就要获得一个安全的操作系统。这是有证据的，他们在Windows NT时代就采用这个方法。（尽管我是一个安全顾问，但这不是在抱怨）
我怀疑很多人会感到困惑 -- 如果没有崩溃的话 -- 通过这些服务器配置选项的确会启用所有功能，或者在没有完全了解结果的情况下启动功能。尽管这可能完全消除了向导的好处，我仍然会选择保持乐观（目前为止）。

　　那么所有这些抵挡安全扫描的情况如何呢？实际上是相当不错。我并不感到惊奇。毕竟，您可以禁用任何操作系统的大部分功能，然后让检查很安全。

　　在我启用公共网络搜寻以及实用的默认服务器角色/策略设置之前，我使用QualysGuard进行了一个不太可靠的扫描。唯一没有覆盖到的是基本的NetBIOS名字信息。这没什么大不了的，对吧？使用GFI LANguard 9.0进行的一个可靠测试有相似结果，同样没有发现重大的问题。

　　我想要分享细节，详细的调查结果和屏幕截图，但没有这些。我计划在调整网络和服务设置后，从更多其它的角度和用户角色来更加深入地研究Windows Server 2008 R2。我期待在一个真实的场景里做这样的研究，并在以后把上面的那些写下来。

　　现在让我们回到现实，不要让这些发现让您错误地觉得Windows Server 2008 R2是完全安全的。对于这个基本安装，人为干预已经是最小的了，我没有进行调整或者安装第三方软件。众所周知，人为干预会在安全系统中引入漏洞。此外，对于这个Windows的新版本，人们可以用于发现漏洞并在随后编写攻击代码的时间还相当少。
在保持大多数功能安全的同时，时间会证明一切。目前为止，Windows Server 2008 R2的初始安装是非常安全的。你的任务是是使用过程中继续保持这样的安全程度。