打造安全的2K3系统.docx
- 文档编号:7272124
- 上传时间:2023-01-22
- 格式:DOCX
- 页数:18
- 大小:1.01MB
打造安全的2K3系统.docx
《打造安全的2K3系统.docx》由会员分享,可在线阅读,更多相关《打造安全的2K3系统.docx(18页珍藏版)》请在冰豆网上搜索。
打造安全的2K3系统
打造安全的Win2003系统未来软件园 2005-8-27
2003年5月22日微软新操作系统2K3中文版开始在国内发行,2K3总体感觉安全做的还不错,交互式登录、网络身份验证、基于对象的访问控制、比较完整的安全策略、数据加密保护……要谈的是通过安全配置,使2K3安全性大大加强。
一、安装过程中的安全问题
1.NTFS系统
NTFS系统为一种高级文件系统,提供了性能.安全.可靠性及任何FAT格式版本提供的高级功能,通过它可实现任意文件及文件夹的加密和权限设置(是最直观的安全设置),磁盘配额和压缩等高级功能。
通过它还可更好利用磁盘空间,提高系统运行速度……自NT系统以来,使用NTFS已渐成一种共识。
安装时不选用NTFS系统,后面的很多安全配置如用户权限设置等将不能实现。
2.安装过程中有关安全的提示。
安装过程需输入Administrator密码,2K3提供了一个较成熟的密码规则,当输入的密码不符合规则时,会以图片形式出现如下提示:
您已经指定的管理员帐户的密码不符合密码的条件,建议使用的密码应符合下列条件之中的前二个及至少三个:
-至少6个字符
-不包含"Administrator"或"Admin"
-包含大写字母(A、B、C等等)
-包含小写字母(a、b、c等等)
-包含数字(0、1、2等等)
-包含非字母数字字符(#、&、~等等)
您确定要继续使用当前密码吗?
之所以说是"比较成熟"的密码规则,因为就算密码设置不符合此规则也能照样顺利进行下一步安装,这就为以后的系统安全埋下隐患。
总的来说,有这一规则已很不错了,以前的版本没有,就出现了N多空密码的很快沦为肉鸡的机器。
有这一提示后,可以在很大程度上减少这种现象。
3.完全配置完成后不要把机器接到网络中(包括局域网),因为这时满漏洞的机器随时等候别人的"照顾",只要有人连接上来,就是Admin权限。
整个安装过程需注意的基本就这么多了。
另外,不知道大家有没有注意到,按默认安装后,系统根目录下多出来一个0字节的wmpub文件夹,里面又有一个0字节的wmiislog文件夹。
后来发现有一个不明程序在使用此wmiislog文件夹,但到底是什么程序,有什么用途用还不清楚,不知道是否和安全有关,能否被利用。
请知道的朋友告知一声。
二、初级安全配置
1.关闭默认的磁盘共享,修改组或用户对磁盘的控制权限。
装完后,默认共享所有硬盘分区,还包括提供远程IPC和远程管理的两个共享:
IPC$和ADMIN$,系统安全埋下了隐患。
解决此问题很多办法,介绍一种简单可行的方案。
计算机管理--服务—Server--属性--禁用”即可,图2。
Server服务是系统默认和共享有关的服务,支持计算机通过网络的文件、打印和命名管道共享,禁用此服务后,一切基于此服务的其他服务也同时被禁止,包括ComputerBrowser和DistributedFileSysetm两个服务。
前一个服务是2K3的新服务,利用它可以把分散的共享合并成一个逻辑名称空间并在网络上管理这些逻辑卷,大大方便用户使用和管理那些分散共享。
后个服务用来维护网络上计算机的更新列表,并将列表提供给计算机指定浏览,如果停止此服务,则列表就不会被更新或维护。
当禁用Server服务后,这两个服务就不能使用。
图1
图2
另外,默认Everyone组用户对所有共享拥有完全的控制权,是非常危险的,任何人只要访问共享,就可以完全控制此共享,当然不符合安全要求,图3。
解决办法也很简单,修改共享的安全属性,删除Everyone组或修改其访问权限即可。
共享上右键--属性--安全--看到此时可访问此共享的组或用户(图3)下面的框显示的是被选中组或用户所拥有的权限。
可看到Everyone组拥有完全控制权。
现在可据自己的情况来配置里面的组或用户拥有的权限。
如继续允许Everyone组用户访问,则必须从新设置其访问权限,只需要把"允许"里的权限后面的方框里的钩去掉即可。
删除Everyone组,则单击"删除"。
以Users组为例介绍,先找到并选中Users组--确定--进入权限设置,图6,就可以为Users组用户选择共享权限,确定即可。
User用户可以访问此共享,并拥有为其设好的权限。
图3
图4
图5
图6
2.修改组或用户的访问权限,达到需要的安全要求。
由于安装时使用了NTFS系统,可对任何文件及文件夹进行权限设置,使各组和用户对某一文件或文件夹的控制权不同;这样的配置就能达到一定的安全要求,这里以Tools文件夹为例介绍如何具体配置其安全属性。
右键--属性--安全--目前可访问此文件夹的所有用户(图7)作为系统管理员,当然拥有完全控制权限,其他用户或组就不要为其分配这么高的权限,这不符合安全配置的原则,所以就得修改。
仍以Users组为例--添加--高级--立即查找--可找到当前计算机的所有用户和组(图5)选Users组后确定,默认权限为读取和运行、列出文件夹目录和读取,根据不同安全要求可以为Users组用户配置权限,也可以直接删除,把要删除的用户或组从列表中删除,就不没有访问此文件夹的权限。
图7
图8
图9
需注意几点:
*此权限设置是基于NTFS系统的,FAT格式的磁盘不能进行权限设置。
*对某一文件的安全配置和对文件夹的安全配置完全一样,从文件属性里配置就行了。
*如完全删除了某一文件或文件夹的所有用户或组,会出现图10的提示,如果确定,此文件或文件夹就不可访问,只有以Admin身份登录,重新配置安全属性,添加新用户或组。
图10
图11
通过对文件或文件夹的安全配置,即可达到对任意文件或文件夹的访问权限控制,从而满足不同的安全需求。
3.利用加密文件系统(EFS),加密文件或文件夹。
2K3支持利用EFS技术对任意文件或文件夹进行加密,这是一种核心的文件加密技术,基于NTFS系统,只有NTFS磁盘才能使用;加密后的文件或文件夹不被此用户以外的任何用户访问,更好保护敏感数据和重要文件;下面以Tools文件夹加密为例介绍,右键--属性--常规--高级--属性(图12)--加密内容以便保护数据--选中(图13)确定后会出现图14选项。
选上面一项,则只加密此文件夹,其他用户虽不能直接访问此文件夹,但可以通过其他途径如直接键入完整路径访问里面内容;选择下面一项,则此文件夹内所有的文件和文件夹都将被加密。
图12
图13
图14
使用加密文件系统需注意以下几点:
*只有NTFS系统上才支持数据加密,如被加密数据被移动到FAT磁盘上,则会自动解密。
*将非加密的数据移动到已加密的文件夹中,则会被自动加密,而且此过程不可逆,即把已加密的文件夹中数据移动到此文件夹外,数据不会自动解密。
*无法加密系统文件、已被压缩过的数据和Systemroot文件夹(即安装目录的Windows文件夹)。
*加密数据不能防止被删除或列出目录,具有访问权限的组或用户即可删除或列出已加密数据的目录。
所以应结合组或用户权限设置,进一步保护好数据安全。
4.通过"软件限制策略"限制任意程序的使用。
日常使用中,总需要限制某些用户执行所有或部分程序,通过设置合理的规则可以锁定系统所有或部分程序运行。
另方面,随着网络、Internet及电邮在日常生活使用日益增多,越来越多的病毒和木马会故意进行伪装欺骗运行它们。
"软件限制策略"可控制未知或不信任的软件的运行,一定程度达到预防病毒和木马,介绍如何设置"软件限制策略"
管理工具--本地安全设置--软件限制策略--安全级别--其他规则,图15。
图15
安全级别-如选"不允许"默认,会出现一个提示框,图16确定后,系统会按新规则将所有可执行程序禁用,试图打开程序时会提示错误(图17)达到了锁定所有程序的目的。
解锁的办法当然就是还原"不受限的"为默认项了。
图16
图17
在"其他规则"里,可定义四种规则来满足不同需求:
证书规则、哈希规则、Internet区域规则、路径规则。
以"路径规则"来介绍,其他用法和作用都基本一样。
其他规则--右键--新建路径规则--浏览"选具体文件夹-安全级别选"不允许--确定。
所选的文件夹所有程序锁定。
运行此文件夹内的任何程序都提示错误,图19。
同样可选择某个具体程序来锁定。
图18
图19
有时需要只运行个别程序,其他所有的程序都不能运行。
如何达到此目的?
安全级别--不允许的--默认--"其他规则"里设置想运行的程序路径--不受限。
如何利用此规则做病毒和木马的防御?
"其他规则"里设置新规则,路径指向邮件附件保存的路径,然后把安全级别设置为"不允许"即可。
另"软件限制策略"和权限没有关系,限制了某程序不能执行,无论以何身份身份来运行都不能运行。
经处理后的程序对远程登录的用户一样适用。
虽然设置适当的安全规则可从一定程度上防御病毒和木马,但切不可把"软件限制策略"当成防病毒软件来使用,这只是缓兵之计。
三、高级安全设置
1.禁止不必要的服务,杜绝隐患。
服务从本质上说也只是一个程序而已,它与其他程序不同的地方在于它提供一种特殊的功能来支持系统完成特定的工作。
2K3装完后默认有84项服务,默认随系统启动的36项。
2K3发行后不到2个月就被人发现有了一个基于一项默认服务的漏洞.谈谈如何安全配置系统的所有服务。
以典型的RemoteRegistry服务为例"使远程用户能修改此计算机上的注册表设置。
如果此服务被终止,只有此计算机上的用户才能修改注册表……",正常情况下不需要这项服务,如果启用这项服务给系统带来安全隐患,必须禁用。
双击RemoteRegistry--属性--启动类型--自动--禁用"此服务关闭后,一切和注册表有关的远程行为都被终止,也使得恶意网页对本地注册表修改成了泡影,恶意用户也别想对注册表进行修改和设置,降低系统被破坏和中上木马的几率,达到了维护系统安全的目的。
图20
图21
2.改变远程控制的默认模式。
对个人用户来说,终端服务(不同与上面介绍过的服务)一般来说不适用,它的危险性远大于它带来的帮助,它允许从网络中的任何虚拟计算机上管理你的机器。
看看微软的说明:
可使用运行2K3家族操作系统的任何计算机,通过"管理远程桌面"来远程管理服务器。
使用系统自带的"远程桌面连接"即可完成连接和控制,图23;必须禁止终端服务。
管理工具--终端服务配置--属性--远程控制--不允许远程控制"修改即可避免远程用户非法连接。
图23
图24
图25
3.配置本地安全设置。
虽然微软声称2K3按默认安装后安全性很强,其实不然,也有很多地方需经过细心配置才能
达到安全性。
"本地安全设置"就是需要好好配置的地方。
管理工具--本地安全设置--其中的密码策略、帐户锁定策略、审核策略、拥护权限分配、安全选项等都需要仔细配置。
"用户权限分配"为例;用户权限分配"如图26第七项,看到共有5个组的用户拥有从远程访问计算机的权限,不符合安全要求,需要重新配置。
打开其属性--可删除Everyone、PowerUsers和Users组
图26
图27
上面介绍的只是方法,具体要设置那些行为的权限,就看用户具体情况了。
虽然需要较大的耐心一项项配置,却是一劳永逸的做法。
另图26所示的每一项策略,都需具体配置,才能打造出一道坚不可摧的系统防线。
四、一些安全常识和注意事项
1.杜绝基于Guest帐户的系统入侵。
很多文章介绍过如何利用Guest用户得到Admin权限,思路和手段不枸一格,让人不禁叫绝。
为何出现这样的问题呢?
如何解决此问题?
Guest作为一个来宾帐户,权限是很低的,且默认密码为空,使入侵者可利用种种途径,通过Guest登录并最终拿到Admin权限。
如何做到这一点不在本文讨论的范围内,这里只介绍如何防御这种基于Guest的入侵。
禁用或彻底删除Guest帐户是最好最根本的办法。
使用Guest帐户的情况下,需要其他途径做好防御工作:
先给Guest加强的密码,在"管理工具--计算机管理--本地用户和组--用户(图28)然后按初级安全配置介绍的方法,设置Guest帐户对物理路径的访问权限。
图28
2.为Administrator用户改名,并设置复杂密码。
Administrator帐户拥有最高的系统权限,一旦此帐户被人利用,后果不堪设想。
加强此帐户的管理,重新配置Administrator帐户欺骗入侵者的方法。
管理工具--本地安全设置--本地策略--安全选项--最后-重命名系统管理员帐户,图29。
双击此策略进入其属性即可修改,图30。
这里修改为54master。
图29
图30
管理工具--计算机管理--本地用户和组--用户--双击Administrator属性,图32--重新修改为其他描述。
然后在"用户--新用户"写上如图33所示资料后确定。
图31
图32
图33
回到"用户",双击刚建好的新帐户进属性,把默认全名删除,再在"隶属于"把他从默认Users组里删除后确定,图34。
图34
看图35,如你是入侵者,能分辨出那个才是真正的系统管理员吗?
谁能想到新建的帐户已经不是系统管理员,入侵者会花无数精力弄它的密码的,呵呵让他去忙吧。
图35
3.其他需注意的地方。
随时警惕系统、安全和应用程序的日志,警惕注册表启动项的变化、警惕用户帐户等敏感的地方是保证系统安全的必要条件.经常备份数据以应付灾难性事故,用户和权限的分配应当本着最小权限原则,即在不影响用户正常使用的情况下,为其分配最小权限。
系统安全就如同计划生育,是个长期性的工作,就算配置再好的系统,也可能被人利用漏洞攻破,管理员必须随时学习。
后记:
2K3总体感觉还是不错的。
它的启动速度比2k和XP都快,新加了许多好用的DOS新功能。
如用Defrag命令进行碎片整理;用Diskpart命令管理磁盘、分区或卷;用Taskkill命令
管理系统进程;用Logman命令创建和管理时间跟踪会话日志和性能日志。
作为Server版本2K3新增的"分布式文件系统"(即DFS)可将分布在域上多个服务器的文件集中到一个逻辑名的空间中,用户只需要访问一个驱动器即可访问到所有的共享文件。
2K3有许多功能等用户的发掘。
随微软系统开发速度越来越快,WS对硬件要求越来越高……
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 打造 安全 K3 系统