在 Windows Server 2003 中,asp.net web 应用程序需要将 Word 文档转换为 PDF。为了实现该功能,开发人员要求在我们的 Windows Server 2003 中安装 MS-Office 2007。我的老板拒绝了,因为在服务器上安装 MS-Office 会使服务器更容易受到安全问题的影响,而且会担心是否要更新 MS-Office 的最新补丁。
你认为这是真的吗?
答案1
事情并不是那么黑白分明。
从技术上讲,添加可能受到攻击的服务和应用程序会增加风险。而且您确实需要修补办公室安装,因此这确实会增加开销。如果您想反驳评估,那么您可能需要自己进行风险评估并提出调查结果和缓解措施。请务必权衡请求的价值与安装这些项目的风险/影响。
如何减轻部分风险的例子。
- 如果服务器是内部的,那么受到攻击的风险要小于暴露在互联网上的风险。
- 您可以通过锁定哪些帐户可以运行应用程序或访问 DLL 等来限制对位的访问。这降低了随机域用户帐户访问和利用该应用程序的风险。
- 除了第 2 项之外,如果可行的话,您还可以限制服务器仅与某些 IP、子网等进行通信。
这假设其他事项,例如服务器已在最低特权模式下运行并经过适当强化,您正在使用纵深防御等。
答案2
对,是真的。
您在服务器上安装的每一个软件都会增加该服务器的潜在攻击媒介数量。Office 是一个特别庞大、臃肿的应用程序套件,附带大量安全补丁、更新和漏洞。
在工作站上安装 MS Office 非常方便,但你永远不应该在服务器上安装 Office。如果你的企业必须这样做,那么请确保你安装仅有的您绝对需要的部分。