Windows Server 2003的安全配置

摘要：Windows Server 2003是微軟研發(fā)的一款作為網(wǎng)絡(luò)服務(wù)器的操作系統(tǒng)，它的安全配置包括安全安裝、用戶安全管理、策略安全管理、網(wǎng)絡(luò)服務(wù)安全配置、訪問控制和安全審計等方面。對其進行合理配置能極大的提高其安全性。

關(guān)鍵詞：安全配置 網(wǎng)絡(luò)操作系統(tǒng) 安裝 安全管理 用戶賬號 策略 權(quán)限 安全審計

Windows Server 2003是微軟研發(fā)的一款服務(wù)器版的操作系統(tǒng)，上面集成了多種網(wǎng)絡(luò)服務(wù)，便于用戶對網(wǎng)絡(luò)資源進行合理的管理和調(diào)度。由于是基于窗口的操作系統(tǒng)，因此對于用戶來說比較容易上手，其功能也比較容易學(xué)習(xí)。但對于網(wǎng)絡(luò)操作系統(tǒng)來說，安全問題尤為關(guān)鍵，因此這里針對Windows Server 2003的安全配置，我們從以下幾個方面入手來談一談。

第一方面是安全安裝。Windows Server 2003的安全安裝可以有多種途徑，這里認(rèn)為最簡單的方法便是斷網(wǎng)安裝，這是針對初級管理員適應(yīng)的方法。首先，找來安全的安裝盤或者安裝包，按照正確的方法安裝，安裝時劃分好分區(qū)，選擇安裝目錄，不安裝多余服務(wù)；其次，安裝好防火墻，并進行配置，給系統(tǒng)打補丁；最后，安裝所需軟件，使系統(tǒng)達到基本安全時再聯(lián)網(wǎng)進行檢測。對于網(wǎng)絡(luò)操作系統(tǒng)的安全來說，要想達到所謂的安全，首先要保證的就是操作系統(tǒng)的安全，如果操作系統(tǒng)本身存在安全隱患，那么無論網(wǎng)絡(luò)服務(wù)配置的多么合理，這個網(wǎng)絡(luò)系統(tǒng)也只能是處于亞安全狀態(tài)。因此大家在選擇操作系統(tǒng)的時候可以把各種網(wǎng)絡(luò)操作系統(tǒng)的安全性作為一個很重要的衡量指標(biāo)來看待。

第二方面是用戶的安全管理。用戶的安全管理又分為很多方面：

其一是用戶賬號的安全。Windows安裝時將創(chuàng)建兩個帳號：Administrator和Guest。其他帳號自己建立，或者安裝某組件時自動產(chǎn)生，用戶帳號的安全管理使用了安全帳號管理機制——SAM，它是Windows系統(tǒng)賬戶管理的核心，負(fù)責(zé)SAM數(shù)據(jù)庫的控制和維護，SAM是lsass.exe進程加載的。SAM數(shù)據(jù)庫保存在%systemroot%system32＼config＼目錄下的SAM文件中，在這個目錄下還包括一個security文件，是安全數(shù)據(jù)庫的內(nèi)容，兩者的關(guān)系緊密。SAM用來存儲賬戶的信息，SAM文件中用戶的登錄名和口令要經(jīng)過Hash加密。Hash加密有其脆弱性，因此熟悉SAM的結(jié)構(gòu)可以幫助安全維護人員做好安全檢測。SAM的內(nèi)容可以使用regedt32.exe來查看。網(wǎng)絡(luò)管理人員應(yīng)熟悉系統(tǒng)的SAM設(shè)置，防止系統(tǒng)被不良企圖者設(shè)置超級隱藏帳號。

其二是用戶的密碼安全。最好在設(shè)置系統(tǒng)口令時使用強密碼原則，它的內(nèi)容主要有：口令應(yīng)該不少于8個字符；同時包含大小寫字母、數(shù)字、和鍵盤上的特殊符號；不要包含完整的字典詞匯；不要包含用戶的姓名、生日或者敏感名稱等。

其三是使用用戶策略。操作系統(tǒng)本身有賬戶的安全策略。賬戶策略包含密碼策略和賬戶鎖定策略。配置步驟如下：“開始”→“運行”→“secpol.msc”→“本地安全策略”→“帳號策略” →“密碼策略”。然后設(shè)置如下幾項：強制密碼歷史；密碼最短使用期限；密碼最長使用期限。密碼必須符合復(fù)雜性要求。

另外，重新命名Administrator帳號，創(chuàng)建一個陷阱用戶（就是再設(shè)置一個Administrator用戶，將其權(quán)限設(shè)置成最低，并給其配置一個超復(fù)雜密碼，轉(zhuǎn)移入侵者注意力。），禁用或刪除不必要帳號。

第三方面是策略的安全管理，包括用戶策略和組策略。上面已經(jīng)提到了用戶策略，這里主要說下組策略。組策略（Group Policy）是管理員為用戶和計算機定義并控制程序、網(wǎng)絡(luò)資源及操作系統(tǒng)行為的主要工具。通過使用組策略可以設(shè)置各種軟件、計算機和用戶策略。 因此如果需要給系統(tǒng)添加賬戶時，請使用組策略，而盡量不要給用戶設(shè)置獨立的權(quán)限，以免造成管理混亂，給系統(tǒng)帶來安全隱患。

第四方面是IIS等網(wǎng)絡(luò)服務(wù)的安全配置。原則上來說，不用的服務(wù)組件不要安裝，安裝了服務(wù)組件就會開啟相應(yīng)的服務(wù)端口，如果不熟悉的話，配置上面出現(xiàn)漏洞就會別人找到入侵的切入點。安裝完某個服務(wù)后查看相應(yīng)的帳號，并對系統(tǒng)服務(wù)的日志文件位置進行更改。

第五方面是安裝防病毒軟件。防病毒軟件的功能眾所周知，排除電腦中的病毒程序，幫助維護系統(tǒng)安全的軟件。安裝了防病毒軟件可以簡化管理員的管理工作，為系統(tǒng)維護工作帶來了很大的便利。現(xiàn)在有很多防病毒軟件，如卡巴、賽門鐵克，小紅傘、麥咖啡、諾頓，avast，360等都各有優(yōu)點。

第六方面是給所有必要的文件共享設(shè)置適當(dāng)?shù)脑L問控制權(quán)限。文件共享是網(wǎng)絡(luò)提供資源共享的一個很重要的方法設(shè)置和查看的方法都很簡單。設(shè)置的時候只要在對應(yīng)的文件夾上右鍵單擊，選相應(yīng)設(shè)置即可。查看的方法有很多，可以在“開始”→“程序”→“管理工具”→“計算機管理”中找到“共享文件夾”管理項目，展開左側(cè)“共享文件夾”查看。當(dāng)然，對于共享文件中不可忽視的是常見的特殊共享：driveletter$、ADMIN$、IPC$、PRINT$和磁盤隱藏共享。有些特殊共享不可刪除但可以停用，因此有需要時可以停用，防止系統(tǒng)存在安全隱患。

最后是第七方面，安全審計。安全審計包括對安全事件查看并分析（日志分析）、審核策略、網(wǎng)絡(luò)性能查看等，是維護系統(tǒng)安全的重要步驟。Windows Server 2003的日志包括應(yīng)用程序日志，安全日志、系統(tǒng)日志、DNS服務(wù)器日志、FTP日志、WWW日志等，大家應(yīng)隨時關(guān)注這些日志的內(nèi)容、格式、位置以及大小有無變化，尤其注意失敗、警告的事件。安全審核包括登錄事件、賬戶管理、對象訪問、策略更改、特權(quán)使用、系統(tǒng)事件、目錄服務(wù)訪問、賬戶登錄事件是否成功。一般的入侵人員都是通過更改安全審計記錄來消除入侵痕跡的，因此對于服務(wù)器管理員人員來說應(yīng)隨時關(guān)注安全審計信息。

通過以上幾個方面簡單的介紹了網(wǎng)絡(luò)操作系統(tǒng)Windows Server 2003的安全配置方法。其實每個網(wǎng)絡(luò)操作系統(tǒng)都有自己的特點，應(yīng)根據(jù)需要進行合理配置，發(fā)揮其最好狀態(tài)。