维普资讯 http://www.cqvip.com 四 网络与安全技术 2006年12月10日第12期 浅谈Windows 2000操作系统安全管理 ◆ 中国人民银行衡阳市中心支行 张海澜 Windows操作系统应用非常广泛,无论个人办 公还是各种应用服务器,都可以使用它。但由于 装一些对于某些应用没有用处却带来安全隐患的 组件,如:IIS、DHCP、DNS等。 (五)、不及时全面地安装系统补丁。Windows 存在很多漏洞,在系统运行过程中,若不及时安装 系统补丁,会给病毒攻击和黑客入侵留下方便之 门。 Windows操作系统的高度集成性和智能性让使用 或维护者往往在安装完系统后就认为万事大吉,不 出于安全上的考虑进行合理的设置和维护,处于 “通则不痛”的状态,从而给系统留下诸多隐患。做 好Windows系统安全管理是保障网络和信息系统 安全的一项重要的基础工作。本文仅就Windows (六)、默认共享。系统运行后,会自动创建一些 隐藏的共享,包括每个分区的根共享目录cS DS E S、用于远程管理的共享目录ADMIN¥、空连接IPC S、NetLogon共享和其他系统默认共享FAXS、 2000操作系统如何进行安全设置谈些初浅的看 法,供读者参考。 一、Windows操作系统日常管理存在的隐患 PRINTS等,黑客有多种利用默认共享入侵的手段。 Windows操作系统的日常管理可能存在的安 全隐患如下: (一)、安装时接入网络。Windows 2000 Server 一(七)、启用不必要的端口。端口是计算机的第 道屏障。端口配置是否合理直接影响到计算机的 安全,用端口扫描器扫描系统所开放的端口,可以 发现开放的某些不必要的端口是黑客入侵系统的 首要通道,许多网络蠕虫病毒也是利用一些不必要 的端口进行传播的。 (八)、没有统筹规划用户和禁用不必要的用 操作系统在安装时存在一个安全漏洞,当输入Ad. ministrator后,系统就自动建立了ADMIN¥的共享, 重新启动前,任何人都可以通过ADMIN¥进入这台 机器,安装刚结束后各种服务自动启动,从而系统 漏洞百出,为病毒入侵提供了便利。 (二)、操作系统、应用系统和数据及工具软件 共用一个磁盘分区。一旦操作系统文件泄露,攻击 者可以通过操作系统漏洞获取应用系统的访问权 限。 户。没有按照不同的功能在不同的组内设置各个层 面的用户,而是一概使用缺省的administrator登录, 任何人都拥有系统的超级,就会带来误操作或 者恶意破坏风险。用网上邻居互访共享文件夹时使 用的Guest账号也是系统遭到攻击的突破口。 (三)、采用FAT32文件格式安装。FAT/FAT32 格式的安全性要远低于NTFS格式,FAT/FAT32较 NTFS缺少了安全控制功能,不能对不同的文件夹 设置不同的访问权限,使系统失去访问保护措施。 (四)、缺省安装。缺省安装操作系统会自动安 (九)、从不关注异常进程。我们经常会遇到许 多自启动进程而并不关注,实际上,此类进程有些 是木马程序,有些是后门程序,有些是蠕虫病毒。 (十)、密码随意设置或者为空。Windows系统 被安装的远程控制软件或其他各种木马通常是由 DEC.10.2006 NO.12 目 维普资讯 http://www.cqvip.com 妨㈣ 网络与安全技术 2006年l2月】0日第l2期 圜 鼬~一 于没有正确的设置管理员密码造成的,黑客和部分 董~ 病毒经常采取枚举各种弱口令的方式猜测口令进 完全关闭默认共享。 8.安全设置Web和兀1P服务。采用如下措施 肛 而夺取系统的控制权。 (十一)、目录或文件权限全开放。设置目录和 可以大大降低该服务的安全风险:对于IIS—web 服务,将其安装目录c:\inetpub改为如D:\web等 文件的访问权限可以在最后防线上抵挡可能的入 侵和溢出。 任意字符,删除样本页面和脚本,卸载Internet打印 服务,删除除ASP外的应用程序映射,为不同类型 文件建立不同文件夹并分别设置权限,将脚本程序 设为纯脚本执行许可权限,二进制执行文件设为脚 本和可执行程序权限,静态文件设为读权限,及时 删除CGI漏洞文件。对于FTP文件传输服务,不 要使用系统自带的n1P服务,该服务与系统账户集 成认证,一旦密码泄漏会产生严重后果,可以采用 (十二)、允许空连接。默认情况下,任何用户可 以通过空连接连上服务器,进而枚举出账号,猜测 密码。 二、消除Windows操作系统安全隐患需做好的 工作 为了解除Windows 2000操作系统中的安全隐 患,可以在以下方面做好防范工作。 (一)、在安装时进行统筹规划 1.在完全安装、配置好操作系统并安装系统 补丁之前,一定不要把机器接入网络。 具有用户管理性的第三方软件SERV—U提供 FTP服务。 (二)、加强用户账号和密码管理 1.删掉测试账户、共享账号和已停用的账户。 2.在安装操作系统时,用NTFS格式建立多个 磁盘分区,分别存放操作系统、应用程序、重要业务 数据。 3.在安装系统组件时,删除系统缺省选中的 IIS、DHCP、DNS等服务。 4.删除NWLink NetBIOS、NWLink IPX/SPx/ 2.把Administrator账户改名为不便识别其身 份的用户,防止攻击者对熟悉账户的密码猜测。创 建一个名为Administrator的本地账户,把它的权限 设置成最低,加上复杂密码,用于发现攻击者的入 侵企图。 3.使用安全密码,并要注意经常更改密码,密 码长度一般要达到10位左右,并且要包含字母、数 NetBIOS、NeBEUI PROtocol等多余的网络协议。 5.停用Guest账号。在计算机管理中将用户 guest属性的账户已停用勾选,不允许通过guest账 号登录系统。 6.关闭不必要的端口。\system32\drivers\ 字和特殊符号。平时要使用屏幕保护密码。 4.把共享文件的权限从Everyone组改成授权 用户,避免任何有权进入网络的用户都可获得共享 资料。 (三)、充分使用安全策略功能 1.打开审核策略。开启安全审核是Windows etc\services文件中有知名端口和服务的对照表可 供参考。具体方法为:网上邻居一属性一本地连接 一属性-*Internet协议(TCP/IP)一属性一高级一选 2000最基本的入侵检测方法,开启并经常查看审 核记录可以及时发现尝试或者成功攻击事件。必须 开启系统登录事件、审核账户管理、审核登录事件、 审核对象访问、审核策略更改、审核使用、审核 系统事件的成功与失败审计。 2.开启密码策略。设置密码复杂性要求为启 用,密码长度最小值为8位,强制密码历史为6次, 项-*TCP/IP筛选一属性,打开TCP/IP筛选,添加 需要的TCP、UDP协议即可。也可以用修改注册表 的方法或者借助于第三方工具(如fport)关闭端 口。 7.关闭默认共享。使用管理工具一计算机管 理一共享文件夹一共享,在相应的共享文件夹上单 击右键,单击停止共享可以暂时关闭默认共享。在 系统注册表项Local_Machine\System\CurrentCon- trolSet\Services\Lanmanserver\parameters下新建一 强制密码最长存留期30天。 3,开启账户策略。设置复位账户锁定计数器为 30分钟,账户锁定时间为30分钟,账户锁定阈值为 3次。 个双字节项“auto shareserver”,其值设为“0”,可以 圜 DEC.10.2006 NO.12 维普资讯 http://www.cqvip.com 圆 网络与安全技术 2006年l2月10日第12期 4.在“用户权利指派”中,将“从远端系统强制 关机”权限设置为禁止任何人有此权限,防止黑客 从远程关闭系统。 5.在“安全选项”中,将“对匿名连接的额外限 值通常有Load注册键坪如合甜 JFINANCIAL COMPIYI ̄OF ItUANA譬N I (HKE URREN SER\ Software|Microsoft l WindowsNT l CurrentVersion l Windows\load)、Userinit注册键(HKEY CAL_MA CHINE\SO兀’WARE\Microsoft\WindowsNT\Cur. 制”权限设为“不允许枚举SAM账号和共享”,也可 以通过修改注册表Local_Machine\System\Cur. rentControlSet\Control\LSA—RestrictAnonymous的 rentVersion l Winlogon l Userinit) Explorer l Run 生册 键(HKEY URRENT__lJSER\Software\Microsoft\ Windows\CurrentVersion\Policies l Explorer|Run和 值改为1,来防止利用IPC¥空连接枚举SAM账号 和共享资源,杜绝系统信息的泄露。 (四)、安装补丁和清理非正常进程 1.下载安装最新补丁堵塞层出不穷的wi (1ows操作系统漏洞。 2.学习识别进程表中的非正常进程,清除 HKEYj 0CAL_MACHINE\SOFrWARE\Microsofi\ Windows|CurrentVersion|Policies|Explorer f Run)、 RunServicesOnce注册键(HKEY_CURRENT USER\ Software l Microsoft|Windows|CurrentVersion l Run— ServicesOnce和HKEY—LOCAL—MACHINE\ SOFT- WARE)、RunServices注册键(HKEY URRENT_王JS. ER\Software\Microsoft\Windows\CurrentVersion\ Windows系统里未知的自启动程序。某些非正常进 程可能就是木马或者病毒程序,一般都是随操作系 RunServices和HKEY』 OCAL_.MACHI.NE\SOPrWA 曰E I Microsoft l Windows I CurrentVersion I RunSer— 统肩动而自动启动。 在Windows 2000环境下,设置程序自启动有 两种办法:一种是将程序放进自启动文件夹;另一 vices)、RunOnce\Setup注册键(HKEY_CURRENT —lJSER\Software\Microsoft\Windows\CurrentVer— 种是加入某些特定的注册表键值。自启动文件夹包 括当前用户专有的启动文件夹和对所有用户有效 的启动文件夹。这两个文件夹的位置分别是:\ Documents and Settings\<用户名字>\“开始”菜 单\程序\启动、\Documents and Settings\All Users\ “开始”菜单\程序\启动。用作自启动的注册表键 sion I RunOnce I Setup和HKE J二上OCAL_MACHINE| SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnce、Setup)、RunOnce注册键(HKEY_LOCAL MACHINE\SOFTWARE\Mierosoft\Windows\Cur- rentVersion\RunOnee和HKEY_CURRENT USER\ Software l Microsoft| Windows l Current'V eraion l RunOnce)、Run注册键(HKEY URRENTjUSER\ Sohware|Mierosoft|Windows l CurrentVersion l Run 和HKEYLOCAL3MACHINE|SOFTWARE|Mi— _.crosoft t Windows t CurrentVersion t Run,Run.建茸动 运行程序最常用的注册键)。 (五)、锁定注册表 Windows 2000提供了一个注册表编辑器工具: Regedt32.exe。它的安全选项可以给注册表的每一 个键值设置权限,因此用户可以将许多敏感的键值 赋权,只允许管理用户才能读取和修改,以避免非 法更改。 Windows操作系统的安全管理是一项长期的、 发展的、细致的任务,我们要根据具体的使用环境 和目标要求灵活、全面地进行配置和管理,提高系 统的安全性。 (蠹任确辑:高■波) DEC.10.2006 NO.12 圆
