Windows 2000系列產品(包括高級服務器版、服務器版和專業版)是目前企事業單位局域網上占主導地位的操作系統,為了實現其安全性,微軟采取了很多安全技術措施,諸如基于Kerberos協議的身份驗證、基于NTFS的訪問控制、保護本地數據的加密文件系統(EFS),以及基于IPSec協議的傳輸安全等。Windows 2000含有很多的安全功能和選項,如果我們對其進行合理的設置,那么Windows 2000還是一個很安全的操作系統。請對照下面的安全選項進行檢查,看你的Windows 2000網絡系統是否足夠安全。
1.“外科”:賬號和密碼設置
(1)環境安全。雖然嚴格講這與網絡系統無關,但為了保證計算機系統的安全,環境安全必須注意。比如設專門的計算機房,計算機房設置門禁系統和攝像監視設備。有條件的用戶還可以采用屏蔽雙絞線、甚至光纖進行網絡布線。
(2)不要開啟Guest賬號。默認情況下,Windows 2000的Guest賬號是停用的,有些用戶為了方便使用而將它開啟,這樣容易帶來安全隱患。為了防止非法用戶以Guest賬號登錄系統,任何時候都不要開啟Guest賬號,甚至還可以給Guest加一個符合復雜性要求的密碼。
(3)刪除不必要的用戶賬號。刪除所有的重復的用戶賬號、測試用賬號、共享賬號、離職員工賬號等。用戶組策略設置相應權限,并且經常檢查系統的賬號,刪除已經不再使用的賬號,因為這些賬號很可能會成為黑客們入侵系統的突破口。冗余賬號越多,黑客們得到合法用戶權限的可能性也就越大。
(4)創建一個非管理員權限的管理員用的賬號。管理員為自己創建一個一般權限賬號,用來處理一些日常事務,而系統默認的系統管理員賬號Administrator只在需要的時候使用。
(5)將系統默認的Administrator賬號改名。把Administrator賬號名改為其他不易猜到的普通用戶名,這樣可以有效地防止別人一遍又一遍地嘗試這個賬號的密碼。但請注意,某些系統程序或服務可能默認使用Administrator賬號,隨意修改可能會引起某些程序出錯或服務暫停。建議修改工作在剛安裝完Windows 2000系統后且沒有安裝其他系統程序或服務軟件之前進行。
(6)創建一個陷阱賬號。如果用戶已經對Administrator進行了改名,不妨再創建一個名為“Administrator”,的本地賬號,把它的權限設置成最低,不要將它加入任何組,并且加上一個超過10位的復雜密碼,可以借此發現黑客們的入侵企圖。
(7)使用安全密碼。為了安全起見,應使用滿足復雜性要求的密碼。密碼長度應不小于8位(最長可達127個字符)。不要用公司名、計算機名、用戶名、英文單詞、姓氏、易猜詞語或純數字作密碼。Windows 2000密碼復雜性的基本要求是,密碼中必須包含下面類別中至少三個類別的字符:
1)英語大寫字母A,B,C,…Z;
2)英語小寫字母a,b,c,…z;
3)西方阿拉伯數字0,1,2,…9;
4)非字母數字字符,如標點符號、數學符號。
(8)設置屏幕保護密碼。這是個容易被忽視的問題,但很有必要。設置屏幕保護密碼也是防止內部人員進入服務器進行非法操作的一個安全屏障。如果不設屏幕保護密碼,則離開機器時,應立即注銷登錄。
2.“內科”:安全策略和服務管理
(1)使用NTFS格式分區。NTFS是一個相對安全的文件系統格式,它要比FAT和FAT-32的文件系統安全得多。應把服務器的所有分區都改成NTFS格式。
(2)把文件系統根目錄的訪問權限從“Everyone”改成“授權用戶”。默認情況下,文件系統根目錄(C:\,D:\,E:\)的訪問權限是“Everyone/完全控制”,這意味著任何有權進入Windows系統的用戶都能夠讀寫甚至刪除其他用戶的數據。應將文件系統根目錄的訪問權限設置成明確的授權用戶,至少應改為“Everyone/只讀”。
(3)共享文件夾的權限從“Everyone”改成“授權用戶”。默認情況下,共享文件夾的訪問權限也是“Everyone/完全控制”,這意味著任何有權進入共享文件夾的用戶都能夠讀寫甚至刪除共享文件夾里的數據。要注意將共享文件夾的訪問權限設置成明確的授權用戶。
(4)運行防病毒軟件。由于現在各類病毒程序層出不窮,安裝防病毒軟件(包括服務器版和單機版)至關重要。一些好的防病毒軟件可以有效地查殺一些著名的病毒、木馬及后門程序。請不要忘了經常升級病毒庫,并及時更新掃描引擎。
(5)安全備份。備份的重要性不言而喻。需要注意的是,除了在本機的不同硬盤上進行定期自動備份外,還應定期作機外備份,并把備份盤放在安全的地方。另外,要備份的不僅僅是數據文件,系統文件也要作備份。不定期用Ghost等軟件作整個系統的克隆不失為一個好辦法。
(6)安全設置。根據所安裝的不同版本的Windows 2000系統,進行安全設置
(7)打開審核策略。開啟安全審核是Windows 2000最基本的入侵檢測方法。當有人嘗試對用戶的系統進行某些方式(如嘗試用戶密碼、改變帳戶策略、未經許可的文件訪問等等)入侵的時候,都會被安全審核記錄下來。這些審核記錄可在日后作為追溯的證據。
如果
執行
正在域控制器上運行windows 2000 server,要修改所有域成員的安全設置。
“管理工具”→“域安全策略”
正在域控制器上運行windows 2000 server,只修改域控制器安全設置。
“管理工具”→“域控制器安全策略”
正在域控制器上運行Windows 2000 Server,要檢驗域控制器安全設置的有效性。
“管理工具”→“本地安全策略”
正在運行windows 2000專業版,要修改本地計算機安全設置或檢驗其有效性。
“管理工具”→“本地安全策略”
建議設置下面的這些審核策略:
策略
設置
審核策略更改
成功,失敗
審核登陸事件
成功,失敗
審核對象訪問
失敗
審核帳戶登陸事件
成功,失敗
審核帳戶管理
成功,失敗
審核目錄服務訪問
失敗
審核特權使用
失敗
審核系統事件
成功,失敗
(8)設置密碼策略,
策略
設置
密碼復雜性要求
啟用(滿足上述第7條)
密碼長度最小值
8位
強制密碼歷史
5個(防止循環使用)
密碼最長存留期
42天
(9)設置帳戶鎖定策略,
策略
設置
復位帳戶鎖定計數器
30分鐘
帳戶鎖定時間
300分鐘
帳戶鎖定閾值
5次
(10)備份系統日志和安全日志。系統日志和安全日志記錄可以幫助系統管理員分析入侵行為和當時的狀態,因此,做好這些記錄的備份將有利于追查入侵者并發現系統的薄弱環節。可以通過打開“事件查看器”,用“另存日志文件”的辦法來手工備份事件日志,或通過“計劃任務”自動保存以下事件日志文件:
C:\WINNT\System32\config\SecEvent.Evt(建議≤200MB)
C:\WINNT\sysetm132config\SysEVent.Evt(建議≤20MB)
考慮到日志文件最終會很大,應進行定期清理或限定日志文件大小。
(11)限制來賓對系統日志和安全日志的訪問。默認情況下,系統沒有限制來賓對系統日志和安全日志的訪問,修改方法是進入域控制器安全策略/域安全策略的“事件日志”,設置“限制來賓對系統日志/安全日志的訪問”,將它們改為“已啟用”。
(12)不讓系統顯示上次登錄的用戶名。默認情況下,終端服務接入服務器時,登錄對話框中會顯示上次登錄的帳戶名,本地的登錄對話框也是一樣。這使得別人可以很容易的得到系統的一些用戶名,進而作密碼猜測。修改本地安全策略的“安全選項”中的相應子項,即可以不讓對話框里顯示上次登錄的用戶名。
(13)禁止建立匿名連接。默認情況下,任何用戶可通過匿名連接上服務器,進而枚舉出賬號,進行密碼猜測等。修改辦法是,進入域控制器/域安全策略本地策略的“安全選項”,將子項“匿名連接的額外限制”(RestrictAnonymous)改為“不允許枚舉SAM賬號和共享”(注冊表鍵值=1)。
(14)禁止對軟盤和CD-ROM的非本地訪問。默認情況下,Windows 2000 Server會對 CD-ROM自動共享,應修改域控制器安全策略的“安全選項”中的相應子項,以禁止對其進行非本地訪問。
(15)關機時清除頁面文件。頁面文件也就是虛擬內存調度文件,是Windows 2000用來存儲沒有裝入內存的程序或數據的隱藏文件。頁面文件中可能含有一些敏感的資料,或某些第三方程序存在上面的一些未加密的密碼。要在關機時清除頁面文件,設置方法是進入本地安全策略的“安全選項”,將子項“關機時清理虛擬內存頁面交換文件”改為“已啟用”。
(16)禁用不必要的服務。根據所安裝的不同版本的Windows 2000系統,有些不必要的后臺服務可以禁用:
1)Automatic Updates(自動更新)。說明:自動連接Internet,下載Windows的更新組件。
2)ClipBook(剪貼板)。說明:通過Network DDE和Network DDE DSDM提供的網絡動態數據交換服務,查閱遠程機器中的剪貼板,用于局域網中電腦來共享粘貼/剪貼的內容。
3)Fax Service(傳真服務)。說明:曾經在Windows95中支持的傳真功能,現在Windows 2000重新予以支持。
4)FTP Publishing Service(FTP發布服務)。說明:通過Internet信息服務(IIS)的管理單元提供FTP連接和管理。
5)IIS Admin Service(HS管理服務)。說明:允許通過Internet信息服務(IIS)的管理單元管理Web和FTP服務。
6)Internet Connection Sharing(Internet連接共享)。說明:此服務為局域網計算機提供 Internet共享連接,為多臺聯網的電腦共享一個撥號網絡訪問Internet提供了捷徑。
7)NetMeeting Remote Desktop Sharing(NetMeeting遠程桌面共享)。說明:該服務能通過NetMeeting,允許擁有權限的用戶遠程訪問Windows桌面。
8)Network DDE(網絡動態數據交換)。
9)Network DDE DSDM。說明:此兩項服務和Clipbook一起使用。網絡動態數據交換服務是一種為DDE對話提供網絡傳輸和安全的服務。DDE(動態數據交換)是實現進程通信的一種形式,它允許支持DDE的兩個或多個程序交換信息和命令。
10)Remote Registry Service(遠程注冊表服務)。說明:該服務能使用戶編輯另一臺計算機上的注冊表,可能帶來安全問題。
11)Routin and Remote Access(路由和遠程訪問)。說明:在局域網及廣域網環境中為企業提供路由服務。
12)Run As Service(以其他用戶身份運行服務的服務)。說明:當以一般權限用戶身份登錄系統,而在使用中又需要修改只有系統管理員才能修改的系統設置項時,該服務提供了不用注銷用戶再以管理員身份登錄的捷徑。只需要在命令提示符下運行RunAs命令就可達到更改目的。
13)Telnet(遠程登錄協議)。說明:遠程控制計算機執行控制臺命令,后臺運行時一般占用2M內存。此服務允許從遠程計算機上髓錄本系統,并日,使用命令行方式操作這臺計算機。
14)World Wide Web Publishing Service(萬維網發布服務)。說明:通過Internet信息服務(IIS)的管理單元提供Web連接和管理。可能存在安全問題,如果一定要提供IIS服務,應將它們安裝在另一臺專用的服務器上。
3.“預防科”:用安全工具協助安全防御
(1)到微軟網站下載最新的補r程序。由于Windows 2000具有數百萬行以上代碼,存在一些安全漏洞在所難免。微軟公司會不定期地將所發現的問題和安全漏洞進行修補,發布在Service Pack中,所以最好經常訪問微軟和一些安全站點,下載最新的Service Pack和漏洞補丁,以保障服務器長治久安。
(2)使用加密文件系統(EFS)。Windows 2000的加密文件系統(EFS)可以對本地計算機上的文件或文件夾加上一層額外的安全保護,未經授權的人將無法讀取這些文件。而對用戶來說,操作是完全透明的,加密解密是自動進行的,這樣可以防止別人把你的硬盤安裝到別的機器上以讀寫里面的數據。如果自己想這么做,必須使用MMC先導出你的安全證書和私鑰,到時再導入,才能正常訪問加密過的文件和文件夾。
(3)考慮使用智能卡。對于密碼字符串而言,設置簡單了,容易被人猜測或容易受到一些密碼破解工具的攻擊;如果強制使用復雜密碼,用戶為了記住密碼,會把密碼到處亂寫。所以,有條件的用戶,不妨用智能卡來代替復雜的密碼。智能卡所提供的抗篡改存儲能夠保護用戶的證書和私鑰,未經授權的人將更難取得訪問網絡的權限。
(4)考慮使用IPSec。IPSec是一套Internet標準協議,允許兩臺計算機在不安全的嘲絡上進行安全的、加密的通信。加密應用于IP網絡層,亦即它對大部分使用特定網絡協議的應用程序都是透明的。此外,IPSec提供端對端的安全性,意味著IP包由發送計算機加密,在途中不可讀取,只能由收件計算機解密。IPSec提供身份驗證、數據包的完整性和可選擇的機密性。利用IPSec可以使得系統的安全性能大大增強。但要注意,IPSec協議開銷較大,用戶的計算機和網絡系統要能承受得起。
(5)考慮使用安全配置模板。為了使網絡的安全性設置和管理更容易一些,Windows 2000 Server中包含了“安全模板”工具。MMC管理單元允許管理員定義標準模板;并將它以同樣的方式應用于多個計算機或用戶。安全模板是安全配置的實際體現,換句話說,它是一個可以存儲一組安全設置的文件。Windows 2000包含一組標準安全模板,范圍從低安全性域客戶端的安全性設置到高安全性域控制器的安全性設置,以適應不同的安全角色。這些模板可以用于提供、修改,也可以被當作創建自定義安全模板的基礎。
(6)考慮使用防火墻軟件。防火墻軟件通常包括IP包過濾技術、應用程序過濾技術、虛擬專用網(VPN)技術、入侵檢測(IDS)技術和網絡地址轉換(NAT)技術等,它可根據企業的安全策略控制(允許、拒絕、監測)出入網絡或主機的信息流,具有較強的抵御攻擊的能力,有條件的用戶推薦使用。要抵御外部攻擊,必須配置網絡防火墻(邊界防火墻)。要抵御內部攻擊,必須配置主機防火墻。
4.結語
技術并不能解決一切安全問題。除了采用上述各種方法和其他技術措施外,必須有一個好的安全方案,一套好的訪問控制規則,一套嚴格的安全管理制度,定期進行檢查、分析,及時發現問題、解決問題,才能防患于未然。
