利用Windows Server 2003自身安全策略加強(qiáng)操作系統(tǒng)安全

摘要:計(jì)算機(jī)的安全系統(tǒng)是一個非常關(guān)鍵而復(fù)雜的系統(tǒng)，而操作系統(tǒng)的安全是它的基石。Windows Server 2003操作系統(tǒng)是一套成熟的操作系統(tǒng)，擁有較高的使用率，通過制定一套Windows 2003操作系統(tǒng)自身安全策略以及相關(guān)的服務(wù)可以加強(qiáng)操作系統(tǒng)的安全。

關(guān)鍵詞:操作系統(tǒng);安全策略

中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)27-7638-02

The Use of Windows Server 2003 Operating System Security its own Security Policy Enforcement

XIONG Lai-cheng1，2， ZHANG Yan-hong3

(1.Mathematics and Computer Science， Fuzhou University， Fuzhou 350002， China; 2.Fujian Polytechnic School， Fuzhou 350002， China; 3.Fujian Vocational and Technical College Child Development， Fuzhou 350001， China)

Abstract: Operation system security is the base of computer security system， which is an critical and complicated system. Windows Server 2003 operation system is a widely-deployed operating system. It's security could be strengthened by setting appropriate organization-specific security policies and related services.

Key words: operation system; security policy

操作系統(tǒng)是計(jì)算機(jī)資源的直接管理者，操作系統(tǒng)的安全是整個計(jì)算機(jī)系統(tǒng)安全的基礎(chǔ)，沒有操作系統(tǒng)的安全，就談不上主機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的安全性，就不可能真正解決數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全和其他應(yīng)用軟件的安全問題。

Windows Server 2003操作系統(tǒng)是一套成熟的操作系統(tǒng)，所有系統(tǒng)管理員都已經(jīng)認(rèn)識到系統(tǒng)安全是網(wǎng)絡(luò)安全的基礎(chǔ)防線，操作系統(tǒng)安裝完成后，要使該系統(tǒng)更加安全必須對其進(jìn)行加固。除了必要的漏洞修復(fù)、補(bǔ)丁安裝之外，啟用Windows防火墻、啟用安全策略，都是安全管理的一部分，密碼管理、賬戶管理和NTFS權(quán)限應(yīng)用將是保護(hù)系統(tǒng)安全的基本措施。

1 Windows Server 2003自身安全策略

作為一個企業(yè)的系統(tǒng)管理員或者網(wǎng)絡(luò)管理員，通過制定一套Windows 2003操作系統(tǒng)自身安全策略以及相關(guān)的服務(wù)可以加強(qiáng)操作系統(tǒng)的安全，能夠使企業(yè)和終端用戶將風(fēng)險(xiǎn)降到最近，做到未雨綢繆。

1.1 系統(tǒng)漏洞

系統(tǒng)漏洞又被稱為“安全缺陷”或者“系統(tǒng)BUG”，同時也成為黑客為了達(dá)到他們的攻擊目的而尋找的一個攻擊入口。據(jù)統(tǒng)計(jì)，一臺未打補(bǔ)丁的系統(tǒng)，接入互聯(lián)網(wǎng)后，不到2分鐘就會受到各種漏洞所攻擊，并導(dǎo)致計(jì)算機(jī)中毒或崩潰。

造成系統(tǒng)漏洞的原因是多方面的，但主要包括兩個方面的內(nèi)容:不安全的服務(wù)，配置與初始化錯誤。

1.1.1 不安全服務(wù)

Windows服務(wù)可以看做是運(yùn)行后臺的應(yīng)用程序，每次啟動Windows時，都會有很多服務(wù)被調(diào)入到系統(tǒng)內(nèi)存當(dāng)中，系統(tǒng)默認(rèn)開啟的很多服務(wù)是不必要的，多余的服務(wù)會給系統(tǒng)帶來一定的安全隱患，所以應(yīng)該根據(jù)自身的需求把多余的服務(wù)停止掉。

例如，像系統(tǒng)當(dāng)中的Remote Registry服務(wù)，它是一個能夠遠(yuǎn)程修改注冊表的服務(wù)。知道管理員賬號和密碼的人遠(yuǎn)程訪問注冊表是很容易的。打開注冊表編輯器，選擇“文件”菜單中的“連接網(wǎng)絡(luò)注冊表”選頂，在“選擇計(jì)算機(jī)”對話框里的“輸入要選擇的對象名稱”下的輸入框中輸入對方的IP地址，單擊“確定”按鈕便會出現(xiàn)一個“輸入網(wǎng)絡(luò)密碼”對話框，輸入管理員帳號和密碼，單擊“確定”按鈕后就可以對目標(biāo)機(jī)器的注冊表進(jìn)行修改了。不少木馬后門程序可以通過此服務(wù)來修改目標(biāo)機(jī)器的注冊表，建議大家禁用該項(xiàng)服務(wù)。

1.1.2 配置和初始化錯誤

Windows系統(tǒng)包含許多默認(rèn)的設(shè)置和選項(xiàng)，允許管理員進(jìn)行更復(fù)雜的管理。這些系統(tǒng)默認(rèn)值可以被有經(jīng)驗(yàn)的黑客利用來滲透系統(tǒng)。例如，Windows系統(tǒng)出于管理的目的自動地建立一些共享，包括C$、D$和系統(tǒng)其他一些邏輯分區(qū)的默認(rèn)共享，要訪問這些隱形的分區(qū)可以在地址欄中鍵入“\\\\計(jì)算機(jī)名稱\\\\共享名$”或者使用映射網(wǎng)絡(luò)驅(qū)動器將其映射成本地的硬盤，成為了黑客常見的攻擊目標(biāo)。因此，那些系統(tǒng)自主創(chuàng)建的默認(rèn)共享應(yīng)該謹(jǐn)慎使用。我們可以通過建立一個啟動腳本將系統(tǒng)默認(rèn)的共享刪除。打開一個新記事本，在其中輸入“net share C$ /del”，“net share D$ /del”， “net share ADMIN$ /del”，保存并命名為“delshare.bat”。然后將此文件拖放到“開始” → “程序” → “啟動”中，下次開機(jī)時就會刪除Windows的C盤、D盤以及ADMIN默認(rèn)共享。

1.2 身份驗(yàn)證

身份驗(yàn)證是實(shí)現(xiàn)計(jì)算機(jī)安全的基礎(chǔ)，鑒別用戶身份最常見也是最簡單的方法就是用戶名和口令認(rèn)證，用戶名和口令的組合方式在認(rèn)證強(qiáng)度上也有強(qiáng)明弱。Windows2003身份驗(yàn)證分兩部分執(zhí)行:交互式登錄和網(wǎng)絡(luò)身份驗(yàn)證。用戶身份驗(yàn)證的成功與否同時取決于這兩個過程。

1.2.1 交互式登錄

交互式登錄過程向域賬戶或本地計(jì)算機(jī)確認(rèn)用戶的身份。這一過程根據(jù)用戶賬戶的類型而不同。使用域帳戶，用戶可以通過存儲在Active Directory中的單一注冊憑據(jù)使用密碼登錄到網(wǎng)絡(luò)。如果登錄成功，被授權(quán)的用戶就可以訪問該域以及任何信任域中的資源。使用本地計(jì)算機(jī)帳戶，用戶可以通過存儲在安全帳戶管理器(SAM，本地安全賬戶數(shù)據(jù)庫)中的憑證登錄到本地計(jì)算機(jī)。

1.2.2 網(wǎng)絡(luò)身份驗(yàn)證

網(wǎng)絡(luò)身份驗(yàn)證確認(rèn)用戶對于試圖訪問的任意網(wǎng)絡(luò)服務(wù)的身份。為了提供這種類型的身份驗(yàn)證，Windows 2003安全系統(tǒng)支持多種不同的身份驗(yàn)證機(jī)制，包括Kerberos V5、安全套接字層/傳輸層安全(SSL/TLS)以及為了與Windows NT 4.0兼容而提供的NTLM。

1.3 賬戶管理

賬戶和密碼是操作系統(tǒng)的安全基礎(chǔ)，賬戶和密碼提供了身份驗(yàn)證，并為進(jìn)一步訪問控制提供了條件。以Windows 2003操作系統(tǒng)為例，帳戶和密碼存放在專門的賬戶數(shù)據(jù)庫中。獨(dú)立的計(jì)算機(jī)上的賬戶和密碼的數(shù)據(jù)庫文件是SAM。

管理本地帳戶和密碼使用的是“計(jì)算機(jī)管理”工具，如圖1所示。

如果使用了Windows的活動目錄技術(shù)，帳戶和密碼的驗(yàn)證是集中到域控制器上進(jìn)行的。域控制器上的帳戶數(shù)據(jù)庫為ntds.dit。管理活動目錄中的賬戶和密碼使用的是“Active Directory用戶和計(jì)算機(jī)”。

如果使用弱口令，很容易受到暴力攻擊或字典攻擊。

一個“強(qiáng)壯”的密碼應(yīng)該注意遵守如下的規(guī)則:

① 密碼中混合了大寫字母、小寫字母、數(shù)字、非字母數(shù)字的字符，如標(biāo)點(diǎn)符號等;不要使用普通的名字或昵稱。

② 不要使用個人信息作為密碼，如生日或者電話號碼等，同時不要使用大家熟悉的單詞(如microsoft)、熟悉的鍵盤順序(如qwert)、熟悉的數(shù)字(如2003、2000)等。

③ 給所有用戶賬號一人復(fù)雜的口令(系統(tǒng)賬號除外)，長度最少在8位以上。

④ 口令必須定期更改(建議至少兩周改一次)，最好記在心里，應(yīng)避免在紙上做記錄。

⑤ 不要共享個人用戶密碼。

⑥ 需要訪問多個服務(wù)平時，要采用多個密碼。

另外，在Windows中可以使用管理工具中的本地安全策略或者域安全策略來強(qiáng)制密碼安全，如圖2所示。

常見的幾種有效的保障賬戶安全的措施有以下幾項(xiàng):

① 賬號重命名:一些默認(rèn)的賬戶很容易成為黑客攻擊的實(shí)驗(yàn)?zāi)繕?biāo)，例如Administrator、Gusest等。對它們重命名可以降低受到暴力和字典攻擊的可能性。

② 密碼策略:在密碼策略中，可以啟用密碼的復(fù)雜性要求，設(shè)置密碼升序的最小值，強(qiáng)制密碼歷史記錄等都可以有效地提高密碼的安全性。

③ 賬戶鎖定策略:使用賬戶鎖定策略可以讓黑客用“窮舉法”嘗試密碼時失效，因?yàn)榭梢栽O(shè)置賬戶鎖定的閾值，當(dāng)嘗試了3次或者5次登錄后系統(tǒng)可以認(rèn)為這是黑客的暴力攻擊而鎖定賬戶。需要注意的是不僅要設(shè)置鎖定的閾值，還應(yīng)該設(shè)置復(fù)位的計(jì)數(shù)器。因?yàn)槿绻蛔屬~戶復(fù)位，那么正常的用戶有也無法使用該賬戶登錄。這就是如同是黑客實(shí)施了一個拒絕服務(wù)攻擊。如圖3所示。

1.4 權(quán)限管理

權(quán)限是指與計(jì)算機(jī)上或網(wǎng)絡(luò)上的對象(如文件和文件夾)關(guān)聯(lián)的規(guī)則。權(quán)限確定是否可以訪問某個對象以及可以對它執(zhí)行哪些操作。一些管理員在為一些特殊用戶配置一些具體應(yīng)用時總喜歡直接把這些用戶添加到Administrators組中，這個組具有最高權(quán)限。但卻給網(wǎng)絡(luò)帶來了極大的安全隱患。建議采取最小權(quán)限原則，給用戶分配一個恰好滿足其工作需要的權(quán)限。

作為安全的管理者，文件和文件夾的權(quán)限管理是工作中的重點(diǎn)，理論上說，具有越高權(quán)限的用戶越危險(xiǎn)。一般說來，在企業(yè)網(wǎng)絡(luò)用戶賬戶的權(quán)限分配上遵守兩個原則:高權(quán)限用戶越少越好，用戶權(quán)限越低越好(當(dāng)然是在滿足正常工作需要的前提下)，不要盲目地追求簡單，為本不需要那么高權(quán)限的用戶分配高權(quán)限。例如，在Windows Server 2003中建立文件的權(quán)限時應(yīng)該首先實(shí)現(xiàn)NTFS文件系統(tǒng)。一旦實(shí)施了NTFS文件系統(tǒng)，就可以針對用戶和組實(shí)現(xiàn)更加細(xì)致的權(quán)限分配。

1.5 日志管理

日志文件記錄著Windows系統(tǒng)及其各種服務(wù)運(yùn)行的每個細(xì)節(jié)，對于系統(tǒng)管理以及網(wǎng)絡(luò)管理相當(dāng)重要，所以務(wù)必要開啟相關(guān)應(yīng)用或服務(wù)的日志記錄功能。

在Windows系統(tǒng)中查看日志文件很簡單。單擊“開始”→“設(shè)置”→“控制面板”→“管理工具”→“事件查看器”命令，在事件查看器窗口左欄中列出本機(jī)包含的日類型，如應(yīng)用程序、安全、系統(tǒng)等。查看某個日志記錄也很簡單，在左欄中選中某個類型的日志，如應(yīng)用程序，接著在右欄中列出該類型日志的所有記錄，雙擊其中某個記錄，彈出“事件屬性”對話框，顯示出該記錄的詳細(xì)信息，這樣就能準(zhǔn)確地掌握系統(tǒng)中到底發(fā)生了什么事情，是否影響系統(tǒng)的正常運(yùn)行，一旦出現(xiàn)問題，即時查找排除。

如果系統(tǒng)中的事件建立了審核策略，該事件操作的成功與否都將被記錄到相應(yīng)的日志文件中。當(dāng)非法用戶探測系統(tǒng)信息的時候，就會在安全日志里迅速地記下計(jì)算機(jī)被探測時所用的用戶名、時間等。例如，系統(tǒng)管理員每天所進(jìn)行的數(shù)據(jù)備份，一旦哪一天數(shù)據(jù)備份不成功，如果啟用了日志記錄功能，就會在日志文件中記錄是什么時候、什么原因?qū)е虏怀晒?，從而可以很方便地找到故障原因并及時解決。如圖4所示。

2 結(jié)束語

操作系統(tǒng)是計(jì)算機(jī)中最基礎(chǔ)、最重要的軟件，各種應(yīng)用程序要想獲得運(yùn)行的高可靠性和信息的完整性、機(jī)密性，必須依賴于操作系統(tǒng)提供的系統(tǒng)軟件基礎(chǔ)，沒有安全操作系統(tǒng)的支撐，安全保密性也就無從談起。利用Windows Server 2003系統(tǒng)自身的安全工具，通過身份驗(yàn)證、賬戶管理、權(quán)限管理、日志管理等可以制定一套完善的計(jì)算機(jī)安全防護(hù)策略，維護(hù)Windows操作系統(tǒng)的基本安全。

參考文獻(xiàn):

[1] 王淑江，劉曉輝.Windows Server 2003系統(tǒng)安全管理[M].北京:電子工業(yè)出版社，2009.

[2] 施威銘.Windows Server 2003系統(tǒng)管理寶典[M].北京:中國鐵道出版社，2004.