利用Windows Server 2003自身安全策略加強操作系統安全

摘要:計算機的安全系統是一個非常關鍵而復雜的系統，而操作系統的安全是它的基石。Windows Server 2003操作系統是一套成熟的操作系統，擁有較高的使用率，通過制定一套Windows 2003操作系統自身安全策略以及相關的服務可以加強操作系統的安全。

關鍵詞:操作系統;安全策略

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)27-7638-02

The Use of Windows Server 2003 Operating System Security its own Security Policy Enforcement

XIONG Lai-cheng1，2， ZHANG Yan-hong3

(1.Mathematics and Computer Science， Fuzhou University， Fuzhou 350002， China; 2.Fujian Polytechnic School， Fuzhou 350002， China; 3.Fujian Vocational and Technical College Child Development， Fuzhou 350001， China)

Abstract: Operation system security is the base of computer security system， which is an critical and complicated system. Windows Server 2003 operation system is a widely-deployed operating system. It's security could be strengthened by setting appropriate organization-specific security policies and related services.

Key words: operation system; security policy

操作系統是計算機資源的直接管理者，操作系統的安全是整個計算機系統安全的基礎，沒有操作系統的安全，就談不上主機系統和網絡系統的安全性，就不可能真正解決數據庫安全、網絡安全和其他應用軟件的安全問題。

Windows Server 2003操作系統是一套成熟的操作系統，所有系統管理員都已經認識到系統安全是網絡安全的基礎防線，操作系統安裝完成后，要使該系統更加安全必須對其進行加固。除了必要的漏洞修復、補丁安裝之外，啟用Windows防火墻、啟用安全策略，都是安全管理的一部分，密碼管理、賬戶管理和NTFS權限應用將是保護系統安全的基本措施。

1 Windows Server 2003自身安全策略

作為一個企業的系統管理員或者網絡管理員，通過制定一套Windows 2003操作系統自身安全策略以及相關的服務可以加強操作系統的安全，能夠使企業和終端用戶將風險降到最近，做到未雨綢繆。

1.1 系統漏洞

系統漏洞又被稱為“安全缺陷”或者“系統BUG”，同時也成為黑客為了達到他們的攻擊目的而尋找的一個攻擊入口。據統計，一臺未打補丁的系統，接入互聯網后，不到2分鐘就會受到各種漏洞所攻擊，并導致計算機中毒或崩潰。

造成系統漏洞的原因是多方面的，但主要包括兩個方面的內容:不安全的服務，配置與初始化錯誤。

1.1.1 不安全服務

Windows服務可以看做是運行后臺的應用程序，每次啟動Windows時，都會有很多服務被調入到系統內存當中，系統默認開啟的很多服務是不必要的，多余的服務會給系統帶來一定的安全隱患，所以應該根據自身的需求把多余的服務停止掉。

例如，像系統當中的Remote Registry服務，它是一個能夠遠程修改注冊表的服務。知道管理員賬號和密碼的人遠程訪問注冊表是很容易的。打開注冊表編輯器，選擇“文件”菜單中的“連接網絡注冊表”選頂，在“選擇計算機”對話框里的“輸入要選擇的對象名稱”下的輸入框中輸入對方的IP地址，單擊“確定”按鈕便會出現一個“輸入網絡密碼”對話框，輸入管理員帳號和密碼，單擊“確定”按鈕后就可以對目標機器的注冊表進行修改了。不少木馬后門程序可以通過此服務來修改目標機器的注冊表，建議大家禁用該項服務。

1.1.2 配置和初始化錯誤

Windows系統包含許多默認的設置和選項，允許管理員進行更復雜的管理。這些系統默認值可以被有經驗的黑客利用來滲透系統。例如，Windows系統出于管理的目的自動地建立一些共享，包括C$、D$和系統其他一些邏輯分區的默認共享，要訪問這些隱形的分區可以在地址欄中鍵入“\\\\計算機名稱\\\\共享名$”或者使用映射網絡驅動器將其映射成本地的硬盤，成為了黑客常見的攻擊目標。因此，那些系統自主創建的默認共享應該謹慎使用。我們可以通過建立一個啟動腳本將系統默認的共享刪除。打開一個新記事本，在其中輸入“net share C$ /del”，“net share D$ /del”， “net share ADMIN$ /del”，保存并命名為“delshare.bat”。然后將此文件拖放到“開始” → “程序” → “啟動”中，下次開機時就會刪除Windows的C盤、D盤以及ADMIN默認共享。

1.2 身份驗證

身份驗證是實現計算機安全的基礎，鑒別用戶身份最常見也是最簡單的方法就是用戶名和口令認證，用戶名和口令的組合方式在認證強度上也有強明弱。Windows2003身份驗證分兩部分執行:交互式登錄和網絡身份驗證。用戶身份驗證的成功與否同時取決于這兩個過程。

1.2.1 交互式登錄

交互式登錄過程向域賬戶或本地計算機確認用戶的身份。這一過程根據用戶賬戶的類型而不同。使用域帳戶，用戶可以通過存儲在Active Directory中的單一注冊憑據使用密碼登錄到網絡。如果登錄成功，被授權的用戶就可以訪問該域以及任何信任域中的資源。使用本地計算機帳戶，用戶可以通過存儲在安全帳戶管理器(SAM，本地安全賬戶數據庫)中的憑證登錄到本地計算機。

1.2.2 網絡身份驗證

網絡身份驗證確認用戶對于試圖訪問的任意網絡服務的身份。為了提供這種類型的身份驗證，Windows 2003安全系統支持多種不同的身份驗證機制，包括Kerberos V5、安全套接字層/傳輸層安全(SSL/TLS)以及為了與Windows NT 4.0兼容而提供的NTLM。

1.3 賬戶管理

賬戶和密碼是操作系統的安全基礎，賬戶和密碼提供了身份驗證，并為進一步訪問控制提供了條件。以Windows 2003操作系統為例，帳戶和密碼存放在專門的賬戶數據庫中。獨立的計算機上的賬戶和密碼的數據庫文件是SAM。

管理本地帳戶和密碼使用的是“計算機管理”工具，如圖1所示。

如果使用了Windows的活動目錄技術，帳戶和密碼的驗證是集中到域控制器上進行的。域控制器上的帳戶數據庫為ntds.dit。管理活動目錄中的賬戶和密碼使用的是“Active Directory用戶和計算機”。

如果使用弱口令，很容易受到暴力攻擊或字典攻擊。

一個“強壯”的密碼應該注意遵守如下的規則:

① 密碼中混合了大寫字母、小寫字母、數字、非字母數字的字符，如標點符號等;不要使用普通的名字或昵稱。

② 不要使用個人信息作為密碼，如生日或者電話號碼等，同時不要使用大家熟悉的單詞(如microsoft)、熟悉的鍵盤順序(如qwert)、熟悉的數字(如2003、2000)等。

③ 給所有用戶賬號一人復雜的口令(系統賬號除外)，長度最少在8位以上。

④ 口令必須定期更改(建議至少兩周改一次)，最好記在心里，應避免在紙上做記錄。

⑤ 不要共享個人用戶密碼。

⑥ 需要訪問多個服務平時，要采用多個密碼。

另外，在Windows中可以使用管理工具中的本地安全策略或者域安全策略來強制密碼安全，如圖2所示。

常見的幾種有效的保障賬戶安全的措施有以下幾項:

① 賬號重命名:一些默認的賬戶很容易成為黑客攻擊的實驗目標，例如Administrator、Gusest等。對它們重命名可以降低受到暴力和字典攻擊的可能性。

② 密碼策略:在密碼策略中，可以啟用密碼的復雜性要求，設置密碼升序的最小值，強制密碼歷史記錄等都可以有效地提高密碼的安全性。

③ 賬戶鎖定策略:使用賬戶鎖定策略可以讓黑客用“窮舉法”嘗試密碼時失效，因為可以設置賬戶鎖定的閾值，當嘗試了3次或者5次登錄后系統可以認為這是黑客的暴力攻擊而鎖定賬戶。需要注意的是不僅要設置鎖定的閾值，還應該設置復位的計數器。因為如果不讓賬戶復位，那么正常的用戶有也無法使用該賬戶登錄。這就是如同是黑客實施了一個拒絕服務攻擊。如圖3所示。

1.4 權限管理

權限是指與計算機上或網絡上的對象(如文件和文件夾)關聯的規則。權限確定是否可以訪問某個對象以及可以對它執行哪些操作。一些管理員在為一些特殊用戶配置一些具體應用時總喜歡直接把這些用戶添加到Administrators組中，這個組具有最高權限。但卻給網絡帶來了極大的安全隱患。建議采取最小權限原則，給用戶分配一個恰好滿足其工作需要的權限。

作為安全的管理者，文件和文件夾的權限管理是工作中的重點，理論上說，具有越高權限的用戶越危險。一般說來，在企業網絡用戶賬戶的權限分配上遵守兩個原則:高權限用戶越少越好，用戶權限越低越好(當然是在滿足正常工作需要的前提下)，不要盲目地追求簡單，為本不需要那么高權限的用戶分配高權限。例如，在Windows Server 2003中建立文件的權限時應該首先實現NTFS文件系統。一旦實施了NTFS文件系統，就可以針對用戶和組實現更加細致的權限分配。

1.5 日志管理

日志文件記錄著Windows系統及其各種服務運行的每個細節，對于系統管理以及網絡管理相當重要，所以務必要開啟相關應用或服務的日志記錄功能。

在Windows系統中查看日志文件很簡單。單擊“開始”→“設置”→“控制面板”→“管理工具”→“事件查看器”命令，在事件查看器窗口左欄中列出本機包含的日類型，如應用程序、安全、系統等。查看某個日志記錄也很簡單，在左欄中選中某個類型的日志，如應用程序，接著在右欄中列出該類型日志的所有記錄，雙擊其中某個記錄，彈出“事件屬性”對話框，顯示出該記錄的詳細信息，這樣就能準確地掌握系統中到底發生了什么事情，是否影響系統的正常運行，一旦出現問題，即時查找排除。

如果系統中的事件建立了審核策略，該事件操作的成功與否都將被記錄到相應的日志文件中。當非法用戶探測系統信息的時候，就會在安全日志里迅速地記下計算機被探測時所用的用戶名、時間等。例如，系統管理員每天所進行的數據備份，一旦哪一天數據備份不成功，如果啟用了日志記錄功能，就會在日志文件中記錄是什么時候、什么原因導致不成功，從而可以很方便地找到故障原因并及時解決。如圖4所示。

2 結束語

操作系統是計算機中最基礎、最重要的軟件，各種應用程序要想獲得運行的高可靠性和信息的完整性、機密性，必須依賴于操作系統提供的系統軟件基礎，沒有安全操作系統的支撐，安全保密性也就無從談起。利用Windows Server 2003系統自身的安全工具，通過身份驗證、賬戶管理、權限管理、日志管理等可以制定一套完善的計算機安全防護策略，維護Windows操作系統的基本安全。

參考文獻:

[1] 王淑江，劉曉輝.Windows Server 2003系統安全管理[M].北京:電子工業出版社，2009.

[2] 施威銘.Windows Server 2003系統管理寶典[M].北京:中國鐵道出版社，2004.