前言:
2003年5月22日,微软的新一代操作系统Windows Server 2003中文版开始在国内发行。从Windows95一路用到现在,笔者觉得微软在安全方面做的还算是说的过去的,虽然说漏洞很多。2003总体感觉上安全做的还不错,交互式登录、网络身份验证、基于对象的访问控制、比较完整的安全策略、数据加密保护……笔者这里要谈的是如何通过安全的配置,使Windows Server 2003安全性大大加强。
一、安装过程中的安全问题
1.NTFS系统。
老生长谈的话题了。NTFS系统为一种高级的文件系统,提供了性能、安全、可靠性以及未在任何FAT格式版本中提供的高级功能,通过它可以实现任意文件及文件夹的加密和权限设置(这是最直观的安全设置了),磁盘配额和压缩等高级功能。通过它,你还可以更好的利用磁盘空间,提高系统运行速度……自WindowsNT系统以来,使用NTFS系统已经逐渐成了一种共识。为了体验NTFS系统带来的这些免费的优惠,笔者特意把硬盘所有分区都转成了NTFS系统。如果你在安装时不选用NTFS系统,那么后面的很多安全配置如用户权限设置等你将都不能实现。
2.安装过程中有关安全的提示。
在安装过程中需要输入Administrator密码,新的Windows Server 2003提供了一个比较成熟的密码规则,当你输入的密码不符合规则时,就会以图片形式出现如下提示(由于安装未完成,不能抓图,请谅解。内容已经抄下来了):
您已经指定的管理员帐户的密码不符合密码的条件,建议使用的密码应符合下列条件之中的前二个及至少三个:
- 至少6个字符
- 不包含"Administrator"或"Admin"
- 包含大写字母(A、B、C等等)
- 包含小写字母(a、b、c等等)
- 包含数字(0、1、2等等)
- 包含非字母数字字符(#、&、~等等)
您确定要继续使用当前密码吗?
之所以说是“比较成熟”的密码规则,因为就算你的密码设置不符合此规则也能照样顺利进行下一步安装,这就为以后的系统安全埋下了隐患。但总的来说,有了这一规则就已经很不错了,以前的版本没有,就出现了N多空密码的很快沦为肉鸡的机器。相信有了这一提示后,可以在很大程度上减小这种现象。
3.在完全配置完成后不要把机器接到网络中(包括局域网),因为这时候你满的漏洞的机器随时等候别人的“照顾”,只要有人连接上来,就是Admin权限。这一点相信了解安全的朋友都知道。
在整个安装过程中需要注意的基本就这么多了。另外,不知道大家有没有注意到,按默认安装后,系统根目录下多出来一个0字节的wmpub文件夹,里面又有一个0字节的wmiislog文件夹。后来发现有一个不明程序在使用这个wmiislog文件夹,但到底是什么程序,有什么用途用还不清楚,不知道是否和安全有关,能否被利用。请知道的朋友告知一声。
二、初级安全配置
1.关闭默认的磁盘共享,修改组或用户对磁盘的控制权限。
安装完成后,默认是共享了所有硬盘分区的,还包括提供远程IPC和远程管理的两个共享:IPC$和ADMIN$,这就为以后的系统安全埋下了隐患,图1。解决这个问题有很多办法,这里介绍一种简单可行的解决方案。从“计算机管理”里打开“服务”(或者在运行里键入Services.msc回车),在里面找到Server服务,双击打开其属性,并设置为“禁用”即可,图2。Server服务是系统默认的和共享有关的服务,支持计算机通过网络的文件、打印和命名管道共享,禁用此服务后,一切基于此服务的其他服务也同时被禁止,包括Computer Browser和Distributed File Sysetm两个服务。前一个服务是Windows Server 2003的新服务,利用它可以把分散的共享合并成一个逻辑名称空间并在网络上管理这些逻辑卷,这能大大方便用户使用和管理那些分散的共享。后一个服务用来维护网络上计算机的更新列表,并将列表提供给计算机指定浏览,如果停止此服务,则列表就不会被更新或维护。当禁用Server服务后,这两个服务就不能使用。
另外,默认Everyone组用户对所有共享拥有完全的控制权,这也是非常危险的,任何人只要访问共享,就可以完全控制此共享,这当然是不符合安全要求的,图3。解决的办法也很简单,修改共享的安全属性,删除Everyone组或修改其访问权限即可。首先在共享上点右键打开其属性,在“安全”标签里可以看到此时可以访问此共享的组或用户情况,图3,下面的框显示的是被选中组或用户所拥有的权限。这里可以看到Everyone组拥有完全控制权。现在我们可以根据自己的实际情况来配置里面的组或用户拥有的权限。如果继续允许Everyone组用户访问,则必须从新设置其访问权限,只需要把“允许”里的权限后面的方框里的钩去掉即可。如果要删除Everyone组,则单击“删除”即可。如果需要新添加用户或组,使其也可以访问此共享,单击“高级”按钮进入高级安全设置,如图4。再单击“添加”进入用户选择,单击“高级”,选择“立即查找”就可以找到此计算机上所有的用户和组,图5。这里以Users组为例介绍。首先找到并选中Users组,单击“确定”进入权限设置,图6,这里就可以为Users组用户选择共享的权限,完了确定即可。这时候,Users组用户也可以访问此共享,并且拥有为其设置好的权限。
2.修改组或用户的访问权限,达到需要的安全要求。
由于在安装时使用了NTFS系统,我们可以对任何文件及文件夹进行权限设置,使得各组和用户对某一文件或文件夹的控制权不同。通过这样的配置就能达到一定的安全要求。这里以Tools文件夹为例介绍如何具体配置其安全属性。首先点右键打开其属性,选择“安全”标签,可以看到目前可访问此文件夹的所有用户,图7。作为系统管理员,当然是拥有完全控制的权限了,但其他用户或组就不一定要为其分配这么高的权限,这不符合安全配置的原则,所以就得修改。仍以Users组为例介绍。单击“添加”选择用户和组,图8,单击“高级”,再单击“立即查找”即可找到当前计算机的所有用户和组,图5。选择Users组后确定。可以看到此时能访问该文件夹的用户个组除了原来的Administrator还多了一个Users组用户,图9。这里默认权限为读取和运行、列出文件夹目录和读取。根据不同的安全要求可以为新加的Users组用户配置其权限。当然你也可以直接按“删除”把你想要删除的用户或组从列表中删除,这样他就不在有访问此文件夹的权限。
需要注意的几点:
* 此权限设置是基于NTFS系统的,FAT格式的磁盘不能进行权限设置。
* 对某一文件的安全配置和对文件夹的安全配置完全一样,从文件的属性里配置就行了。
* 如果完全删除了某一文件或文件夹的所有用户或组,会出现图10的提示,如果确定,此文件或文件夹就不可访问,无论你的身份有多高,图11。只有以Admin身份登录,从新配置其安全属性,为其添加新的用户或组。
可以看出,通过对文件或文件夹的安全配置,即可达到对任意文件或文件夹的访问权限控制,从而满足不同的安全需求。
3.利用加密文件系统(EFS),加密文件或文件夹。
Windows Server 2003支持利用EFS技术对任意文件或文件夹进行加密,这是一种核心的文件加密技术,基于NTFS系统,只有NTFS系统的磁盘才能使用此技术。加密后的文件或文件夹就不可被除此用户以外的任何用户访问,而无论你的身份有多高。这样就能更好的保护自己的敏感数据和重要文件。下面以Tools文件夹加密为例介绍。首先右键打开其属性,在“常规”标签里“选择“高级”选项进入高级属性,图12,将“加密内容以便保护数据”框选中并确认,图13。确定后会出现图14所示的选项。如果选择上面一项,则只加密此文件夹,其他用户虽然不能直接访问此文件夹,但可以通过其他途径如直接键入完整路径来访问里面的内容;如果选择下面一项,则此文件夹内所有的文件和文件夹都将被加密。
使用加密文件系统需要注意以下几点:
* 只有在NTFS系统上才支持数据加密,如果被加密的数据被移动到FAT格式的磁盘上,则会自动解密。
* 将非加密的数据移动到已加密的文件夹中,则会被自动加密,而且此过程是不可逆的,即把已加密的文件夹中数据移动到此文件夹外,数据不会自动解密。
* 无法加密系统文件、已被压缩过的数据和Systemroot文件夹(即安装目录的Windows文件夹)。
* 加密数据不能防止被删除或列出目录,具有访问权限的组或用户即可删除或列出已加密数据的目录。所以应结合组或用户权限设置,进一步保护好数据安全。
4.通过“软件限制策略”限制任意程序的使用。
在计算机的日常使用中,我们总是需要限制某些用户执行所有或部分程序,通过设置合理的规则可以锁定系统所有或部分程序的运行。另一方面,随着网络、Internet以及电子邮件在日常生活中的使用日益增多,越来越多的病毒和木马会故意进行伪装来欺骗我们运行它们。而要做出安全的选择来确定某个程序是否安全是非常困难的。“软件限制策略”控制未知或不信任的软件的运行需求,从而从一定程度上达到预防病毒和木马的功效,为营造一个安全的环境提供了条件。接下来,笔者就介绍一下如何设置“软件限制策略”。
从“管理工具”里打开“本地安全设置”,在左侧的窗口里,可以看见“软件限制策略”,打开后里面包含两个选项:“安全级别”和“其他规则”,图15。
在“安全级别”里,如果选择了“不允许的”作为默认项,会出现一个提示框,图16,确定后,系统会按新的规则将所有的可执行程序设置为禁用,当试图打开程序时会提示错误。这就达到了锁定所有程序的目的。解锁的办法当然就是还原“不受限的”为默认项了。
在“其他规则”里,可以定义四种规则来满足不同的需求:证书规则、哈希规则、Internet区域规则、路径规则。这里以“路径规则”来介绍,其他的用法和作用都基本一样。首先在“其他规则”上点右键,选择“新建路径规则”。点“浏览”选好具体的文件夹,在安全级别里选择“不允许的”,然后确定。这样就达到了对所选的文件夹内所有程序锁定的目的。此时如果继续运行此文件夹内的任何程序都回提示错误。同样在这里可以选择某个具体的程序来锁定。
介绍了基本的使用方法,但这并不能满足所有的安全需求。有的时候,我们需要只能运行个别程序,硬盘上其他所有的程序都不能运行。如何达到这个目的呢?首先在“安全级别”里把“不允许的”设置为默认,再到“其他规则”里设置想运行的程序路径,并设置安全级别为“不受限的”。这样,除了新规则规定的程序以外,其他一切程序都不能运行。那么如何利用此规则做好病毒和木马的防御工作呢?我们可以在“其他规则”里设置新规则,路径指向邮件附件保存的路径,然后把安全级别设置为“不允许的”即可。
另外,“软件限制策略”和权限没有关系,如果限制了某个程序不能执行,无论你以何身份身份来运行都会提示不能运行。经过处理后的程序对远程登录的用户一样适用。虽然设置适当的安全规则可以从一定程度上防御病毒和木马的袭击,但切不可把“软件限制策略”当成防病毒软件来使用,这只是缓兵之计。
三、高级安全设置
1.禁止不必要的服务,杜绝隐患。
服务从本质上说也只是一个程序而已,它与其他程序所不同的地方在于它提供一种特殊的功能来支持系统完成特定的工作。Windows Server 2003安装完后默认有84项服务,默认随系统启动的有36项。这里面每一项服务是否安全,特别是那些随系统启动的服务是否有被利用的可能性,这对安全来说了非常重要的。在Windows Server 2003发行后不到2个月就被人发现有了一个基于一项默认服务的漏洞,幸好这个漏洞对Windows Server 2003的危害程度较低,而且这项服务默认状态下是关闭的。下面笔者就结合自己的经验,谈一谈如何安全地配置好系统的所有服务。
从“管理工具”里打开“服务”,图20。可以看到系统所有服务的具体情况。这里仅以典型的Remote Registry服务为例介绍,目的在于提供一个安全配置服务的方法。在服务列表里找到Remote Registry服务,可以看到左面空白部分对这一服务的解释为“使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表……”,可以看出,正常情况下并不需要这项服务,而且如果启用这项服务还可能给系统带来安全隐患,所以必须禁用。双击Remote Registry服务进入其属性设置,图21。在“启动类型”里把默认的“自动”修改为“禁用”,最后确定即可。当此服务被关闭后,一切和注册表有关的远程行为都被终止,这也使得一些恶意网页对本地注册表的修改成了泡影,网上的恶意用户也别想对注册表进行修改和设置,大大降低了系统被破坏和被中上木马的几率,达到了维护系统安全的目的。
一个有趣的现象是,微软对Windows Installer服务的介绍中,竟然出现了错别字!!呵呵,图22。
2.改变远程控制的默认模式。
对于个人用户来说,终端服务(不同与上面介绍过的服务)一般来说是不适用的,它的危险性远大于它带来的帮助,它允许从网络中的任何虚拟计算机上管理你的机器。看看微软的说明:可使用运行 Windows Server 2003家族操作系统的任何计算机,通过“管理远程桌面”,来远程管理服务器。使用系统自带的“远程桌面连接”即可完成连接和控制,图23。所以,对于普通用户来说,必须禁止终端服务。从“管理工具”中进入“终端服务配置”,在连接上点右键选择其属性,图24。在连接属性上选择“远程控制”标签,选中“不允许远程控制”后确定,图25。通过这样的修改,即可避免远程用户的非法连接。
3.配置本地安全设置。
虽然微软声称Windows Server 2003按默认安装后其安全性很强,但笔者发现其实不然,也有很多地方需要经过细心配置才能达到所需要的安全性。“本地安全设置”就是需要好好配置的一块地方。
从“管理工具”里打开“本地安全设置”,图26。其中的密码策略、帐户锁定策略、审核策略、拥护权限分配、安全选项等都需要仔细配置。笔者以“用户权限分配”为例介绍方法。选中“用户权限分配”后可以看到可进行某一行为的所有默认组,如图26中第七项,可以看到一共有5个组的用户拥有从远程访问计算机的权限,这是不符合我们的安全要求的,需要从新配置。双击这一项打开其属性,图27。这里可以删除Everyone、Power Users和Users组,或者也可以单击“添加用户或组”来从新确定可从远程访问此计算机的用户或组。参考图5和图8。
上面所介绍的只是方法,具体要设置那些行为的权限,就要看用户的具体情况了。虽然这需要有较大的耐心一项一项的配置,但它却是一劳永逸的做法。另外图26所示的每一项策略,都需要具体配置,这样才能打造出一道坚不可摧的系统防线。
四、一些安全常识和注意事项
1.杜绝基于Guest帐户的系统入侵。
很多文章中都介绍过如何利用Guest用户得到Admin权限的方法,思路和手段不局一格,看了让人不禁叫绝。为什么会出现这样的问题呢?如何解决这个问题呢?
Guest用户作为一个来宾帐户,他的权限是很低的,而且默认密码为空,这就使得入侵者可以利用种种途径,通过Guest登录并最终拿到Admin权限。如何做到这一点不在本文讨论的范围内,这里只介绍如何防御这种基于Guest的入侵。通过对入侵者行为的分析,笔者发现进禁用或彻底删除Guest帐户是最好最根本的办法。但在某些必须得使用到Guest帐户的情况下,就需要通过其他途径来做好防御工作了。首先是要给Guest加一个强的密码,这一步可在“管理工具”----“计算机管理”----“本地用户和组”----“用户”里面设置,图28。然后,按照初级安全配置里面介绍的方法,详细设置Guest帐户对物理路径的访问权限。
2.为Administrator用户改名,并设置复杂密码。
Administrator帐户拥有最高的系统权限,一旦此帐户被人利用,后果不堪设想。这就使得必须加强此帐户的管理,首先当然也是为其设置一个强大复杂的密码。下来笔者介绍重新配置Administrator帐户欺骗入侵者的方法。
打开“管理工具”----“本地安全设置”,打开其“本地策略”中的“安全选项”,在最后面可以看到有一项帐户策略:重命名系统管理员帐户,图29。双击此策略进入其属性即可修改,图30。这里修改为54master
打开“管理工具”----“计算机管理”----“本地用户和组”----“用户”,图31。双击Administrator进入其属性,记下其描述,图32,并从新修改为其他描述。然后在“用户”上单击右键,选择“新用户”,写上如图33所示资料后确定。
回到“用户”,双击刚建立好的新帐户进入其属性,把默认的全名删除。再在“隶属于”标签里把他从默认所属的Users组里删除后确定,图34。
看看图35,如果你是入侵者,你能分辨出来那个才是真正的系统管理员吗?谁能想到新建的帐户已经不是系统管理员,而成为不属于任何组的没有任何权限的新成员呢?入侵者会花无数的精力来想办法弄多它的密码的,呵呵。让他去忙吧。
3.其他需要注意的地方。
随时警惕系统、安全、和应用程序的日志,警惕注册表启动项的变化、警惕用户帐户等敏感的地方是保证你系统安全的必要条件。经常备份数据以应付灾难性事故。用户和权限的分配应当本着最小权限原则,即在不影响用户正常使用的情况下,为其分配最小的权限。感觉有时候也是很重要的,系统突然变慢就要先凭感觉判断一下是否感染了病毒等。系统安全就如同计划生育,是个长期性的工作,就算你配置的再好的系统,也可能被人利用新的漏洞攻破,这就使得管理员必须随时学习。
后记:
通过笔者一段时间的使用,Windows Server 2003给人的总体感觉还是不错的。它的启动速度比2000和XP都快,系统内新加了许多好用的DOS 新功能。如使用Defrag命令进行磁盘碎片整理;使用Diskpart命令管理磁盘、分区或卷;使用Taskkill命令管理系统进程;使用Logman命令创建和管理时间跟踪会话日志和性能日志。作为一个Server版本,Windows Server 2003新增的“分布式文件系统”(即DFS)可以将分布在域上多个服务器上的文件集中到一个逻辑名称的空间中,用户只需要访问一个驱动器即可访问到所有的共享文件。Windows Server 2003还有许多其他的新功能等着用户的发掘。有兴趣的用户可以到****下载使用版。
但是,随着微软对操作系统的开发速度越来越快,WS对硬件的要求也越来越高,建议配置CPU主频为550MHz,内存256MB,硬盘系统分区2G,显示器分辨律800*600。这使得一些配置较老的用户面对如此诱人的新操作系统望而却步。而另一些已经使用上的用户,他们的问题在于,许多硬件都没有Windows Server 2003下的驱动程序,有的可以用2000或XP的代替,但有的就不行。笔者一块原不需要驱动的网卡不能被识别,使用2000或XP的驱动仍无济于事。
总的来说,Windows Server 2003的性能还是不错的,它是微软公司公开宣布重视产品安全后发布的第一款操作系统,它曾经三次被推迟发布时间,部分原因就是为了提高安全和可靠性,很多地方都比以前的版本有了改善。比如关机时要记载关机理由,下载时会提示可能为危险文件……这些都是以前的版本没有的新事物。另外,上网的朋友应该有随系统启动的病毒防火墙,随时防御病毒和木马的袭击。对于系统的各项安全配置,只要使用者能灵活运用,取长补短,再加之有较好的安全意识,作为普通的用户来说,其安全性完全可以满足你的要求。
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
