Windows 2000系列产品(包括高级服务器版、服务器版和专业版)是目前企事业单位局域网上占主导地位的操作系统,为了实现其安全性,微软采取了很多安全技术措施,诸如基于Kerberos协议的身份验证、基于NTFS的访问控制、保护本地数据的加密文件系统(EFS),以及基于IPSec协议的传输安全等。Windows 2000含有很多的安全功能和选项,如果我们对其进行合理的设置,那么Windows 2000还是一个很安全的操作系统。请对照下面的安全选项进行检查,看你的Windows 2000网络系统是否足够安全。
1.“外科”:账号和密码设置
(1)环境安全。虽然严格讲这与网络系统无关,但为了保证计算机系统的安全,环境安全必须注意。比如设专门的计算机房,计算机房设置门禁系统和摄像监视设备。有条件的用户还可以采用屏蔽双绞线、甚至光纤进行网络布线。
(2)不要开启Guest账号。默认情况下,Windows 2000的Guest账号是停用的,有些用户为了方便使用而将它开启,这样容易带来安全隐患。为了防止非法用户以Guest账号登录系统,任何时候都不要开启Guest账号,甚至还可以给Guest加一个符合复杂性要求的密码。
(3)删除不必要的用户账号。删除所有的重复的用户账号、测试用账号、共享账号、离职员工账号等。用户组策略设置相应权限,并且经常检查系统的账号,删除已经不再使用的账号,因为这些账号很可能会成为黑客们入侵系统的突破口。冗余账号越多,黑客们得到合法用户权限的可能性也就越大。
(4)创建一个非管理员权限的管理员用的账号。管理员为自己创建一个一般权限账号,用来处理一些日常事务,而系统默认的系统管理员账号Administrator只在需要的时候使用。
(5)将系统默认的Administrator账号改名。把Administrator账号名改为其他不易猜到的普通用户名,这样可以有效地防止别人一遍又一遍地尝试这个账号的密码。但请注意,某些系统程序或服务可能默认使用Administrator账号,随意修改可能会引起某些程序出错或服务暂停。建议修改工作在刚安装完Windows 2000系统后且没有安装其他系统程序或服务软件之前进行。
(6)创建一个陷阱账号。如果用户已经对Administrator进行了改名,不妨再创建一个名为“Administrator”,的本地账号,把它的权限设置成最低,不要将它加入任何组,并且加上一个超过10位的复杂密码,可以借此发现黑客们的入侵企图。
(7)使用安全密码。为了安全起见,应使用满足复杂性要求的密码。密码长度应不小于8位(最长可达127个字符)。不要用公司名、计算机名、用户名、英文单词、姓氏、易猜词语或纯数字作密码。Windows 2000密码复杂性的基本要求是,密码中必须包含下面类别中至少三个类别的字符:
1)英语大写字母A,B,C,…Z;
2)英语小写字母a,b,c,…z;
3)西方阿拉伯数字0,1,2,…9;
4)非字母数字字符,如标点符号、数学符号。
(8)设置屏幕保护密码。这是个容易被忽视的问题,但很有必要。设置屏幕保护密码也是防止内部人员进入服务器进行非法操作的一个安全屏障。如果不设屏幕保护密码,则离开机器时,应立即注销登录。
2.“内科”:安全策略和服务管理
(1)使用NTFS格式分区。NTFS是一个相对安全的文件系统格式,它要比FAT和FAT-32的文件系统安全得多。应把服务器的所有分区都改成NTFS格式。
(2)把文件系统根目录的访问权限从“Everyone”改成“授权用户”。默认情况下,文件系统根目录(C:\,D:\,E:\)的访问权限是“Everyone/完全控制”,这意味着任何有权进入Windows系统的用户都能够读写甚至删除其他用户的数据。应将文件系统根目录的访问权限设置成明确的授权用户,至少应改为“Everyone/只读”。
(3)共享文件夹的权限从“Everyone”改成“授权用户”。默认情况下,共享文件夹的访问权限也是“Everyone/完全控制”,这意味着任何有权进入共享文件夹的用户都能够读写甚至删除共享文件夹里的数据。要注意将共享文件夹的访问权限设置成明确的授权用户。
(4)运行防病毒软件。由于现在各类病毒程序层出不穷,安装防病毒软件(包括服务器版和单机版)至关重要。一些好的防病毒软件可以有效地查杀一些著名的病毒、木马及后门程序。请不要忘了经常升级病毒库,并及时更新扫描引擎。
(5)安全备份。备份的重要性不言而喻。需要注意的是,除了在本机的不同硬盘上进行定期自动备份外,还应定期作机外备份,并把备份盘放在安全的地方。另外,要备份的不仅仅是数据文件,系统文件也要作备份。不定期用Ghost等软件作整个系统的克隆不失为一个好办法。
(6)安全设置。根据所安装的不同版本的Windows 2000系统,进行安全设置
(7)打开审核策略。开启安全审核是Windows 2000最基本的入侵检测方法。当有人尝试对用户的系统进行某些方式(如尝试用户密码、改变帐户策略、未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。这些审核记录可在日后作为追溯的证据。
如果
执行
正在域控制器上运行windows 2000 server,要修改所有域成员的安全设置。
“管理工具”→“域安全策略”
正在域控制器上运行windows 2000 server,只修改域控制器安全设置。
“管理工具”→“域控制器安全策略”
正在域控制器上运行Windows 2000 Server,要检验域控制器安全设置的有效性。
“管理工具”→“本地安全策略”
正在运行windows 2000专业版,要修改本地计算机安全设置或检验其有效性。
“管理工具”→“本地安全策略”
建议设置下面的这些审核策略:
策略
设置
审核策略更改
成功,失败
审核登陆事件
成功,失败
审核对象访问
失败
审核帐户登陆事件
成功,失败
审核帐户管理
成功,失败
审核目录服务访问
失败
审核特权使用
失败
审核系统事件
成功,失败
(8)设置密码策略,
策略
设置
密码复杂性要求
启用(满足上述第7条)
密码长度最小值
8位
强制密码历史
5个(防止循环使用)
密码最长存留期
42天
(9)设置帐户锁定策略,
策略
设置
复位帐户锁定计数器
30分钟
帐户锁定时间
300分钟
帐户锁定阈值
5次
(10)备份系统日志和安全日志。系统日志和安全日志记录可以帮助系统管理员分析入侵行为和当时的状态,因此,做好这些记录的备份将有利于追查入侵者并发现系统的薄弱环节。可以通过打开“事件查看器”,用“另存日志文件”的办法来手工备份事件日志,或通过“计划任务”自动保存以下事件日志文件:
C:\WINNT\System32\config\SecEvent.Evt(建议≤200MB)
C:\WINNT\sysetm132config\SysEVent.Evt(建议≤20MB)
考虑到日志文件最终会很大,应进行定期清理或限定日志文件大小。
(11)限制来宾对系统日志和安全日志的访问。默认情况下,系统没有限制来宾对系统日志和安全日志的访问,修改方法是进入域控制器安全策略/域安全策略的“事件日志”,设置“限制来宾对系统日志/安全日志的访问”,将它们改为“已启用”。
(12)不让系统显示上次登录的用户名。默认情况下,终端服务接入服务器时,登录对话框中会显示上次登录的帐户名,本地的登录对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改本地安全策略的“安全选项”中的相应子项,即可以不让对话框里显示上次登录的用户名。
(13)禁止建立匿名连接。默认情况下,任何用户可通过匿名连接上服务器,进而枚举出账号,进行密码猜测等。修改办法是,进入域控制器/域安全策略本地策略的“安全选项”,将子项“匿名连接的额外限制”(RestrictAnonymous)改为“不允许枚举SAM账号和共享”(注册表键值=1)。
(14)禁止对软盘和CD-ROM的非本地访问。默认情况下,Windows 2000 Server会对 CD-ROM自动共享,应修改域控制器安全策略的“安全选项”中的相应子项,以禁止对其进行非本地访问。
(15)关机时清除页面文件。页面文件也就是虚拟内存调度文件,是Windows 2000用来存储没有装入内存的程序或数据的隐藏文件。页面文件中可能含有一些敏感的资料,或某些第三方程序存在上面的一些未加密的密码。要在关机时清除页面文件,设置方法是进入本地安全策略的“安全选项”,将子项“关机时清理虚拟内存页面交换文件”改为“已启用”。
(16)禁用不必要的服务。根据所安装的不同版本的Windows 2000系统,有些不必要的后台服务可以禁用:
1)Automatic Updates(自动更新)。说明:自动连接Internet,下载Windows的更新组件。
2)ClipBook(剪贴板)。说明:通过Network DDE和Network DDE DSDM提供的网络动态数据交换服务,查阅远程机器中的剪贴板,用于局域网中电脑来共享粘贴/剪贴的内容。
3)Fax Service(传真服务)。说明:曾经在Windows95中支持的传真功能,现在Windows 2000重新予以支持。
4)FTP Publishing Service(FTP发布服务)。说明:通过Internet信息服务(IIS)的管理单元提供FTP连接和管理。
5)IIS Admin Service(HS管理服务)。说明:允许通过Internet信息服务(IIS)的管理单元管理Web和FTP服务。
6)Internet Connection Sharing(Internet连接共享)。说明:此服务为局域网计算机提供 Internet共享连接,为多台联网的电脑共享一个拨号网络访问Internet提供了捷径。
7)NetMeeting Remote Desktop Sharing(NetMeeting远程桌面共享)。说明:该服务能通过NetMeeting,允许拥有权限的用户远程访问Windows桌面。
8)Network DDE(网络动态数据交换)。
9)Network DDE DSDM。说明:此两项服务和Clipbook一起使用。网络动态数据交换服务是一种为DDE对话提供网络传输和安全的服务。DDE(动态数据交换)是实现进程通信的一种形式,它允许支持DDE的两个或多个程序交换信息和命令。
10)Remote Registry Service(远程注册表服务)。说明:该服务能使用户编辑另一台计算机上的注册表,可能带来安全问题。
11)Routin and Remote Access(路由和远程访问)。说明:在局域网及广域网环境中为企业提供路由服务。
12)Run As Service(以其他用户身份运行服务的服务)。说明:当以一般权限用户身份登录系统,而在使用中又需要修改只有系统管理员才能修改的系统设置项时,该服务提供了不用注销用户再以管理员身份登录的捷径。只需要在命令提示符下运行RunAs命令就可达到更改目的。
13)Telnet(远程登录协议)。说明:远程控制计算机执行控制台命令,后台运行时一般占用2M内存。此服务允许从远程计算机上髓录本系统,并日,使用命令行方式操作这台计算机。
14)World Wide Web Publishing Service(万维网发布服务)。说明:通过Internet信息服务(IIS)的管理单元提供Web连接和管理。可能存在安全问题,如果一定要提供IIS服务,应将它们安装在另一台专用的服务器上。
3.“预防科”:用安全工具协助安全防御
(1)到微软网站下载最新的补r程序。由于Windows 2000具有数百万行以上代码,存在一些安全漏洞在所难免。微软公司会不定期地将所发现的问题和安全漏洞进行修补,发布在Service Pack中,所以最好经常访问微软和一些安全站点,下载最新的Service Pack和漏洞补丁,以保障服务器长治久安。
(2)使用加密文件系统(EFS)。Windows 2000的加密文件系统(EFS)可以对本地计算机上的文件或文件夹加上一层额外的安全保护,未经授权的人将无法读取这些文件。而对用户来说,操作是完全透明的,加密解密是自动进行的,这样可以防止别人把你的硬盘安装到别的机器上以读写里面的数据。如果自己想这么做,必须使用MMC先导出你的安全证书和私钥,到时再导入,才能正常访问加密过的文件和文件夹。
(3)考虑使用智能卡。对于密码字符串而言,设置简单了,容易被人猜测或容易受到一些密码破解工具的攻击;如果强制使用复杂密码,用户为了记住密码,会把密码到处乱写。所以,有条件的用户,不妨用智能卡来代替复杂的密码。智能卡所提供的抗篡改存储能够保护用户的证书和私钥,未经授权的人将更难取得访问网络的权限。
(4)考虑使用IPSec。IPSec是一套Internet标准协议,允许两台计算机在不安全的嘲络上进行安全的、加密的通信。加密应用于IP网络层,亦即它对大部分使用特定网络协议的应用程序都是透明的。此外,IPSec提供端对端的安全性,意味着IP包由发送计算机加密,在途中不可读取,只能由收件计算机解密。IPSec提供身份验证、数据包的完整性和可选择的机密性。利用IPSec可以使得系统的安全性能大大增强。但要注意,IPSec协议开销较大,用户的计算机和网络系统要能承受得起。
(5)考虑使用安全配置模板。为了使网络的安全性设置和管理更容易一些,Windows 2000 Server中包含了“安全模板”工具。MMC管理单元允许管理员定义标准模板;并将它以同样的方式应用于多个计算机或用户。安全模板是安全配置的实际体现,换句话说,它是一个可以存储一组安全设置的文件。Windows 2000包含一组标准安全模板,范围从低安全性域客户端的安全性设置到高安全性域控制器的安全性设置,以适应不同的安全角色。这些模板可以用于提供、修改,也可以被当作创建自定义安全模板的基础。
(6)考虑使用防火墙软件。防火墙软件通常包括IP包过滤技术、应用程序过滤技术、虚拟专用网(VPN)技术、入侵检测(IDS)技术和网络地址转换(NAT)技术等,它可根据企业的安全策略控制(允许、拒绝、监测)出入网络或主机的信息流,具有较强的抵御攻击的能力,有条件的用户推荐使用。要抵御外部攻击,必须配置网络防火墙(边界防火墙)。要抵御内部攻击,必须配置主机防火墙。
4.结语
技术并不能解决一切安全问题。除了采用上述各种方法和其他技术措施外,必须有一个好的安全方案,一套好的访问控制规则,一套严格的安全管理制度,定期进行检查、分析,及时发现问题、解决问题,才能防患于未然。
