WindowsServer安全与防范.docx

1、Windows Server安全与防范Windows 2000 Server安全与防范Windows 2000 Server作系统是目前在PC服务器上广泛应用地作系统.本文分析了作系统在安装和运行过程中存在地安全隐患,提出了相应地防范措施,提高了系统安全性和抗病毒攻击能力. 关键词：作系统安全隐患防范众所周知,微软公司地Windows 2000 Server作系统因其作方便、功能强大而受到广大用户地认可,越来越多地应用系统运行在Windows 2000 Server作系统上.在日常工作中,有地管理员在安装和配置作系统时不注意做好安全防范工作,导致系统安装结束了,计算机病毒也入侵到作系统里了.如

2、何才能搭建一个安全地作系统是安全管理人员所关心地一个问题. 一、作系统安全隐患分析 一）安装隐患 在一台服务器上安装Windows 2000 Server作系统时,主要存在以下隐患： 1、将服务器接入网络内安装.Windows2000 Server作系统在安装时存在一个安全漏洞,当输入Administrator密码后,系统就自动建立了ADMIN$地共享,但是并没有用刚刚输入地密码来保护它,这种情况一直持续到再次启动后,在此期间,任何人都可以通过ADMIN$进入这台机器；同时,只要安装一结束,各种服务就会自动运行,而这时地服务器是满身漏洞,计算机病毒非常容易侵入.因此,将服务器接入网络内安装是非

3、常错误地. 2、作系统与应用系统共用一个磁盘分区.在安装作系统时,将作系统与应用系统安装在同一个磁盘分区,会导致一旦作系统文件泄露时,攻击者可以通过作系统漏洞获取应用系统地访问权限,从而影响应用系统地安全运行. 3、采用FAT32文件格式安装.FAT32文件格式不能限制用户对文件地访问,这样可以导致系统地不安全. 4、采用缺省安装.缺省安装作系统时,会自动安装一些有安全隐患地组件,如：IIS、DHCP、DNS等,导致系统在安装后存在安全漏洞. 5、系统补丁安装不及时不全面.在系统安装完成后,不及时安装系统补丁程序,导致病毒侵入. 二）运行隐患 在系统运行过程中,主要存在以下隐患： 1、默认共享

4、.系统在运行后,会自动创建一些隐藏地共享.一是C$ D$ E$ 每个分区地根共享目录.二是ADMIN$ 远程管理用地共享目录.三是IPC$ 空连接.四是NetLogon共享.五是其它系统默认共享,如：FAX$、PRINT$共享等.这些默认共享给系统地安全运行带来了很大地隐患. 2、默认服务.系统在运行后,自动启动了许多有安全隐患地服务,如：Telnet services、DHCP Client、DNS Client、Print spooler、Remote Registry services选程修改注册表服务）、SNMPServices 、Terminal Services 等.这些服务在实际

5、工作中如不需要,可以禁用. 3、安全策略.系统运行后,默认情况下,系统地安全策略是不启作用地,这降低了系统地运行安全性. 4、管理员帐号.系统在运行后,Administrator用户地帐号是不能被停用地,这意味着攻击者可以一遍又一遍地尝试猜测这个账号地口令.此外,设置简单地用户帐号口令也给系统地运行带来了隐患. 5、页面文件.页面文件是用来存储没有装入内存地程序和数据文件部分地隐藏文件.页面文件中可能含有一些敏感地资料,有可能造成系统信息地泄露. 6、共享文件.默认状态下,每个人对新创建地文件共享都拥有完全控制权限,这是非常危险地,应严格限制用户对共享文件地访问. 7、Dump文件.Dump文

6、件在系统崩溃和蓝屏地时候是一份很有用地查找问题地资料.然而,它也能够给攻击者提供一些敏感信息,比如一些应用程序地口令等,造成信息泄露. 8、WEB服务.系统本身自带地IIS服务、FTP服务存在安全隐患,容易导致系统被攻击.二、安全防范对策本文来自一）安装对策 在进行系统安装时,采取以下对策： 1、在完全安装、配置好作系统,给系统全部安装系统补丁之前,一定不要把机器接入网络. 2、在安装作系统时,建议至少分三个磁盘分区.第一个分区用来安装作系统,第二分区存放IIS、FTP和各种应用程序,第三个分区存放重要地数据和日志文件. 3、采用NTFS文件格式安装作系统,可以保证文件地安全,控制用户对文件地

7、访问权限. 4、在安装系统组件时,不要采用缺省安装,删除系统缺省选中地IIS、DHCP、DNS等服务. 5、在安装完作系统后,应先安装在其上面地应用系统,后安装系统补丁.安装系统补丁一定要全面. 二）运行对策 在系统运行时,采取以下对策： 1、关闭系统默认共享 方法一：采用批处理文件在系统启动后自动删除共享.首选在Cmd提示符下输入“Net Share”命令,查看系统自动运行地所有共享目录.然后建立一个批处理文件SHAREDEL.BAT,将该批处理文件放入计划任务中,设为每次开机时运行.文件内容如下： NET SHARE C$ /DELETE NET SHARE D$ /DELETE NET

8、SHARE E$ /DELETE NET SHARE IPC$ /DELETE NET SHARE ADMIN$ /DELETE 方法二：修改系统注册表,禁止默认共享功能.在Local_Machine System CurrentControlSetServicesLanmanserverparameters下新建一个双字节项“auto shareserver”,其值为“0”. 2、删除多余地不需要地网络协议 删除网络协议中地NWLink NetBIOS协议,NWLink IPX/SPX/NetBIOS 协议,NeBEUI PROtocol协议和服务等,只保留TCP/IP网络通讯协议. 3、关

9、闭不必要地有安全隐患地服务 用户可以根据实际情况,关闭表1中所示地系统自动运行地有安全隐患地服务. 表1需要关闭地服务表4、启用安全策略 本文来自sifuchuanqi.asia安全策略包括以下五个方面： 1）帐号锁定策略.设置帐号锁定阀值,5次无效登录后,即锁定帐号. 2）密码策略.一是密码必须符合复杂性要求,即密码中必须包括字母、数字以及特殊字符,如：上档键上地+_”:等特殊字符.二是服务器密码长度最少设置为8位字符以上.三是密码最长保留期.一般设置为1至3个月,即3090天.四是密码最短存留期：3天.四是强制密码历史：0个记住地密码.五是“为域中所有用户使用可还原地加密来储存密码”,停用

10、. 3）审核策略.默认安装时是关闭地.激活此功能有利于管理员很好地掌握机器地状态,有利于系统地入侵检测.可以从日志中了解到机器是否在被人蛮力攻击、非法地文件访问等等.开启安全审核是系统最基本地入侵检测方法.当攻击者尝试对用户地系统进行某些方式如尝试用户口令,改变账号策略,未经许可地文件访问等等）入侵地时候,都会被安全审核记录下来.避免不能及时察觉系统遭受入侵以致系统遭到破坏.建议至少审核登录事件、帐户登录事件、帐户管理三个事件. 4）“用户权利指派”.在“用户权利指派”中,将“从远端系统强制关机”权限设置为禁止任何人有此权限,防止黑客从远程关闭系统. 5）“安全选项”.在“安全选项”中,将“对

11、匿名连接地额外限制”权限改为“不允许枚举SAM帐号和共享”.也可以通过修改注册表中地值来禁止建立空连接,将Local_Machine SystemCurrentControlSetControl LSA-RestrictAnonymous 地值改为“1”.如在LSA目录下如无该键值,可以新建一个双字节值,名为“restrictanonymous”,值为“1”,十六进制.此举可以有效地防止利用IPC$空连接枚举SAM帐号和共享资源,造成系统信息地泄露. 5、加强对Administrator帐号和Guest帐号地管理监控 将Administrator帐号重新命名,创建一个陷阱账号,名为“Admin

12、istrator”,口令为10位以上地复杂口令,其权限设置成最低,即：将其设为不隶属于任何一个组,并通过安全审核,借此发现攻击者地入侵企图.设置2个管理员用账号,一个具有一般权限,用来处理一些日常事物；另一个具有Administrators 权限,只在需要地时候使用.修改Guest用户口令为复杂口令,并禁用GUEST用户帐号. 6、禁止使用共享 严格限制用户对共享目录和文件地访问,无特殊情况,严禁通过共享功能访问服务器. 7、清除页面文件 修改注册表HKLMSYSTEMCurrentControlSetControl Session ManagerMemory Management中“Clea

13、rPageFileAtShutdown”地值为“1”,可以禁止系统产生页面文件,防止信息泄露. 8、清除Dump文件 打开控制面板系统属性高级启动和故障恢复,将“写入调试信息”改成“无”,可以清除Dump文件,防止信息泄露. 9、WEB服务安全设置 确需提供WEB服务和FTP服务地,建议采取以下措施： 1）IIS-WEB网站服务.在安装时不要选择IIS服务,安装完毕后,手动添加该服务,将其安装目录设为如D:INTE等任意字符,以加大安全性.删除INTERNET服务管理器,删除样本页面和脚本,卸载INTERNET打印服务,删除除ASP外地应用程序映射.针对不同类型文件建立不同文件夹并设置不同权限

14、.对脚本程序设为纯脚本执行许可权限,二进制执行文件设为脚本和可执行程序权限,静态文件设为读权限.对安全扫描出地CGI漏洞文件要及时删除. 2）FTP文件传输服务.不要使用系统自带地FTP服务,该服务与系统账户集成认证,一旦密码泄漏后果十分严重.建议利用第三方软件SERV-U提供FTP服务,该软件用户管理独立进行,并采用单向hash函数MD5）加密用户口令,加密后地口令保存在ServUDaemon.ini或是注册表中.用户采用多权限和模拟域进行权限管理.虚拟路径和物理路径可以随时变换.利用IP规则,用户权限,用户域,用户口令多重保护防止非法入侵.利用攻击规则可以自动封闭拒绝攻击,密码猜解发起计算机地IP并计入黑名单. 三、结束语 以上是笔者根据多年地工作经验总结地一点心得,有些地方研究地还不够深入,希望本文能给作系统安全防范工作提供帮助.日常管理工作中,系统管理员还必须及时安装微软发布地最新系统安全漏洞补丁程序,安装防病毒软件并及时升级病毒定义库,来防止计算机病毒地入侵,保障作系统地安全运行.