windows2003服務器安全設置問題研究

劉偉國

(中國聯通雞西分公司，黑龍江 雞西 158100)

windows2003服務器安全設置問題研究

劉偉國

(中國聯通雞西分公司，黑龍江 雞西 158100)

網絡安全問題越來越嚴重，Windows Server 2003系統作為常用的服務器系統，其操作系統安裝與更新，系統管理員帳號，磁盤訪問權限，系統帳號數據庫，組件與服務，網絡連接等問題需深入研究，以此來降低安全隱患。

windows2003；安全設置；NTFS 目錄權限

隨著網絡的發展，網上應用種類越來越多，但是在滿足人們工作、生活和娛樂的同時，網絡安全問題也越來越嚴重，Windows Server 2003系統作為常用的服務器系統，可以提供支持ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、MsSqlSMTP、POP3、FTP、3389終端服務、遠程桌面Web連接管理服務等等，所以windows2003服務器安全設置就顯得尤為重要。

一 操作系統的安裝與更新

在安裝Windows Server 2003操作系統時，為提高系統安全，建議采用NTFS文件系統來格式化分區，并且用最小化方式安裝，只安裝網絡服務所必需的組件。在安裝之前把網絡斷開，當產生新的服務需求時，再安裝相應的服務組件，并及時進行安全設置，安裝完成后要第一時間更新系統補丁。如有可能，盡量安裝英文版本的操作系統。因為微軟公司總是最先發布英文版本的補丁，中文版本的補丁相對滯后一段時間。WindowsServer2003常見的版本有:standard，enterprises，datacenter。

二 系統管理員帳號

Windows2003里，用戶被分成許多組，不同的用戶(用戶組)管理著相應的服務或目錄，具有相同權限的用戶通常被劃分到同一個用戶組當中，同一個組的用戶和用戶之間也可以有不同的權限。

Administrators(管理員組)，默認情況下有不受限制的最高權限。系統的管理員(administrator)就在這個組當中，該組中的用戶具有對整個系統進行完全控制的權限。

Power Users(高級用戶組)，這個組的權限是僅次于管理員組(Administrtors),組的成員可以修改整個計算機的設置。

Users:普通用戶組，這個組的用戶默認只有讀取，列出文件和目錄，寫入權限三種權限，沒有運行和完全控制權限，所以這個組的用戶不能修改系統注冊表設置、操作系統文件或程序文件和操作系統的設置或用戶資料。

Guests(來賓組)，這個組的用戶和Users組有同等訪問權限，但它的限制更多，如IIS的訪問用戶就是這個組的成員。

Everyone(所有的用戶)，是指服務器上的每一個用戶，當權限受限時，就可以給這個用戶組賦予相應的權限，但一般情況下不要這么做，尤其是對外提供web或數據庫服務的機器，這樣做就失去了用戶權限分配的意義，而且會給服務器帶來巨大的安全隱患。

總之，有高權限的用戶可以對低權限的用戶進行操作，而低權限的用戶無法對高權限的用戶進行任何操作，但如果低權限的用戶獲得了高權限用戶的授權，就可以訪問NTFS卷上高權限用戶資料了。

在系統安裝完成后，首先將administrator改名,如：改為root，其次要取消所有除管理員root外所有用戶屬性中的“遠程控制-gt;啟用遠程控制”以及“終端服務配置文件-gt;允許登陸到終端服務器”第三要將guest改名為administrator并且修改密碼，因為當攻擊者在入侵系統時會首先嘗試取得管理員administratord口令，這樣做即便攻擊者在取得名為administrator的用戶權限時，也只是擁有guest用戶權限，不會對系統產生更大的破壞。第四如果不提供特殊服務，除了管理員root,IUSER以及IWAM以及ASPNET用戶外，禁用其他一切用戶，包括SQL DEBUG以及TERMINAL USER等。

三 磁盤訪問權限

磁盤分區分為NTFS、FAT、FAT32。

NTFS (New Technology File System)，使用NTFS文件系統的分區能提供長文件名、數據保護和恢復，Windows2003系統的不同用戶分配相關權限是通過NTFS文件系統實現的。

NTFS卷下的一個目錄有七種權限：完全控制、修改、讀取和運行、列出文件夾目錄、讀取、寫入和特別的權限。NTFS文件系統就是這樣通過目錄和文件的許可實現安全性的。

系統的目錄權限具體設置。

1.將所有盤符的權限，全部改為只有administrators組全部權限；system全部權限。

2.將C盤的所有子目錄和子文件繼承C盤的administrator(組或用戶)和SYSTEM所有權限的兩個權限。

3.Windows目錄要加上給users的默認權限，否則ASP和ASPX等應用程序就無法運行。C:/Documents and Settings/這里相當重要，后面的目錄里的權限不會繼承C盤的設置，在All Users/Application Data目錄下還會出現everyone，用戶有完全控制權限，這一點一定要單獨設定，否則攻擊者在這里寫入腳本或只讀文件，再結合其他漏洞來提升權限，也是很危險的。當然也可以使用更嚴格的權限，如在WINDOWS下分別目錄設置權限，但比較復雜，效果也并不明顯。以上的設置基本可以保證系統的安全。

四 系統帳號數據庫

系統帳號數據庫的位置在C盤——windows——repair——sam中。Syskey可對密碼進行二次加密，并刪除sam，保證系統帳號數據庫的安全。

五 組件與服務

將：net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe，這些文件都設置只允許administrators訪問。

按照所需要的服務開放響應的端口，把不必要的服務都禁止掉。

如果服務器不需要FSO

regsvr32 /u c:windowssystem32;Founderscrrun.dll

注銷組件

使用regedit

將/HKEY_CLASSES_ROOT下的

WScript.Network

WScript.Network.1

WScript.Shell

WScript.Shell.1

Shell.Application

Shell.Application.1

鍵值改名或刪除

將這些鍵值下CLSID中包含的字串

如{72C24DD5-D70A-438B-8A42-98424B88

AFB8}

到/HKEY_CLASSES_ROOT/CLSID下找到以這些字串命名的鍵值全部刪除。

關閉如下服務

Computer Browser

Help and Support

Messenger

Print Spooler

Remote Registry

TCP/IP NetBIOS Helper

如果服務器不用作域控,我們也可以禁用Workstation

盡管這些不一定能被攻擊者利用得上，但是按照安全規則和標準上來說，多余的東西就沒必要開啟，減少一份隱患。

六 網絡連接

在“網絡連接”里，把不需要的協議和服務都刪掉，這里只安裝了基本的Internet協議(TCP/IP)，由于要控制帶寬流量服務，額外安裝了Qos數據包計劃程序。在高級tcp/ip設置里—“NetBIOS”設置“禁用tcp/IP上的NetBIOS(S)”。在高級選項里，使用“Internet連接防火墻”，這是windows 2003 自帶的防火墻，在2000系統里沒有的功能，雖然沒什么功能，但可以屏蔽端口，這樣已經基本達到了一個IPSec的功能。

在2003系統里，不推薦用TCP/IP篩選里的端口過濾功能，譬如在使用FTP服務器的時候，如果僅僅只開放21端口，由于FTP協議的特殊性，在進行FTP傳輸的時候，由于FTP 特有的Port模式和Passive模式，在進行數據傳輸的時候，需要動態的打開高端口，所以在使用TCP/IP過濾的情況下，經常會出現連接上后無法列出目錄和數據傳輸的問題。所以在2003系統上增加的windows連接防火墻能很好地解決這個問題，所以不推薦使用網卡的TCP/IP過濾功能。

如果提供IIS和虛擬機服務，要為每個獨立客戶,建立一個windows用戶，然后在IIS響應的站點項內把IIS執行的匿名用戶綁定成這個用戶。提供數據庫服務要刪除所有危險的擴展，并且定時備份關鍵數據。

經過上述相應的設置后服務器就有了基本的安全設置，大大地降低了安全隱患，如果再配合殺毒軟件使用，就可以滿足我們的日常服務需求了。

ClassNo.:TP316.7DocumentMark：A

(責任編輯：鄭英玲)

StudyofSettingupaWindows2003ServerSafely

Liu Weiguo

(Jixi Branch of China Unicom,Jixi, Heilongjiang 158100，China)

The problem of network security has becomes more and more serious, Windows Server 2003 as the common server system is used in which the installation and update the system of operating system the system ,the administrator account, the disk access, the system account database, the components and services should be all studied carefully in order to reduce the potential safety hazards.

Windows2003; security settings; NTFS directory permissions

劉偉國，工程師，中國聯通雞西分公司。

1672-6758(2013)08-0063-2

TP316.7

A