糯米文學吧Windonws 2000操作系統的安全隱患分析與對策
一、服務器操作系統Windows 2000 Server的安全隱患分析
(一)安裝隱患
在一台服務器上安裝Windows 2000 Server操作系統時,主要存在以下隱患:
1、將服務器接入網絡內安裝。Windows2000 Server操作系統在安裝時存在一個安全漏洞,當輸入Administrator密碼後,系統就自動建立了ADMIN$的共享,但是並沒有用剛剛輸入的密碼來保護它,這種情況一直持續到再次啟動後,在此期間,任何人都可以通過ADMIN$進入這台機器;同時,只要安裝一結束,各種服務就會自動運行,而這時的服務器是滿身漏洞,計算機病毒非常容易侵入。因此,將服務器接入網絡內安裝是非常錯誤的。
2、操作系統與應用系統共用一個磁盤分區。在安裝操作系統時,將操作系統與應用系統安裝在同一個磁盤分區,會導致一旦操作系統文件泄露時,攻擊者可以通過操作系統漏洞獲取應用系統的訪問權限,從而影響應用系統的安全運行。
3、採用FAT32文件格式安裝。FAT32文件格式不能限制用户對文件的訪問,這樣可以導致系統的不安全。
4、採用缺省安裝。缺省安裝操作系統時,會自動安裝一些有安全隱患的組件,如:IIS、DHCP、DNS等,導致系統在安裝後存在安全漏洞。
5、系統補丁安裝不及時不全面。在系統安裝完成後,不及時安裝系統補丁程序,導致病毒侵入。
(二)運行隱患
在系統運行過程中,主要存在以下隱患:
1、默認共享。系統在運行後,會自動創建一些隱藏的共享。一是C$ D$ E$ 每個分區的根共享目錄。二是ADMIN$ 遠程管理用的共享目錄。三是IPC$ 空連接。四是NetLogon共享。五是其它系統默認共享,如:FAX$、PRINT$共享等。這些默認共享給系統的安全運行帶來了很大的隱患。
2、默認服務。系統在運行後,自動啟動了許多有安全隱患的服務,如:Telnet services、DHCP Client、DNS Client、Print spooler、Remote Registry services(選程修改註冊表服務)、SNMP Services 、Terminal Services 等。這些服務在實際工作中如不需要,可以禁用。
3、安全策略。系統運行後,默認情況下,系統的安全策略是不啟作用的,這降低了系統的運行安全性。
4、管理員帳號。系統在運行後,Administrator用户的帳號是不能被停用的,這意味着攻擊者可以一遍又一遍的嘗試猜測這個賬號的口令。此外,設置簡單的用户帳號口令也給系統的運行帶來了隱患。
5、頁面文件。頁面文件是用來存儲沒有裝入內存的程序和數據文件部分的隱藏文件。頁面文件中可能含有一些敏感的資料,有可能造成系統信息的泄露。
6、共享文件。默認狀態下,每個人對新創建的文件共享都擁有完全控制權限,這是非常危險的,應嚴格限制用户對共享文件的訪問。
7、Dump文件。Dump文件在系統崩潰和藍屏的時候是一份很有用的查找問題的資料。然而,它也能夠給攻擊者提供一些敏感信息,比如一些應用程序的口令等,造成信息泄露。
8、WEB服務。系統本身自帶的IIS服務、FTP服務存在安全隱患,容易導致系統被攻擊。
二、服務器操作系統Windows 2000 Server的安全防範對策
(一)安裝對策
在進行系統安裝時,採取以下對策:
1、在完全安裝、配置好操作系統,給系統全部安裝系統補丁之前,一定不要把機器接入網絡。
2、在安裝操作系統時,建議至少分三個磁盤分區。第一個分區用來安裝操作系統,第二分區存放IIS、FTP和各種應用程序,第三個分區存放重要的數據和日誌文件。
3、採用NTFS文件格式安裝操作系統,可以保證文件的安全,控制用户對文件的訪問權限。
4、在安裝系統組件時,不要採用缺省安裝,刪除系統缺省選中的IIS、DHCP、DNS等服務。
5、在安裝完操作系統後,應先安裝在其上面的應用系統,後安裝系統補丁。安裝系統補丁一定要全面。
(二)運行對策
在系統運行時,採取以下對策:
1、關閉系統默認共享
方法一:採用批處理文件在系統啟動後自動刪除共享。 首選在Cmd提示符下輸入“Net Share”命令,查看系統自動運行的所有共享目錄。然後建立一個批處理文件,將該批處理文件放入計劃任務中,設為每次開機時運行。文件內容如下:
NET SHARE C$ /DELETE
NET SHARE D$ /DELETE
NET SHARE E$ /DELETE
NET SHARE IPC$ /DELETE
NET SHARE ADMIN$ /DELETE
方法二:修改系統註冊表,禁止默認共享功能。在Local_Machine System CurrentControlSetServicesLanmanserverparameters下新建一個雙字節項“auto shareserver”,其值為“0”。
2、刪除多餘的不需要的網絡協議
刪除網絡協議中的NWLink NetBIOS協議,NWLink IPX/SPX/NetBIOS 協議,NeBEUI PROtocol協議和服務等,只保留TCP/IP網絡通訊協議。
3、關閉不必要的有安全隱患的服務
用户可以根據實際情況,關閉表1中所示的系統自動運行的有安全隱患的服務
4、啟用安全策略
安全策略包括以下五個方面:
(1)帳號鎖定策略。設置帳號鎖定閥值,5次無效登錄後,即鎖定帳號。
(2)密碼策略。一是密碼必須符合複雜性要求,即密碼中必須包括字母、數字以及特殊字符,如:上檔鍵上的+_()*&^%$#@!?><”:{} 等特殊字符。二是服務器密碼長度最少設置為8位字符以上。三是密碼最長保留期。一般設置為1至3個月,即30-90天。四是密碼最短存留期:3天。四是強制密碼歷史:0個記住的密碼。五是“為域中所有用户使用可還原的加密來儲存密碼”,停用。
(3)審核策略。默認安裝時是關閉的。激活此功能有利於管理員很好的掌握機器的狀態,有利於系統的入侵檢測。可以從日誌中瞭解到機器是否在被人蠻力攻擊、非法的文件訪問等等。開啟安全審核是系統最基本的入侵檢測方法。當攻擊者嘗試對用户的'系統進行某些方式(如嘗試用户口令,改變賬號策略,未經許可的文件訪問等等)入侵的時候,都會被安全審核記錄下來。避免不能及時察覺系統遭受入侵以致系統遭到破壞。建議至少審核登錄事件、帳户登錄事件、帳户管理三個事件。
(4)“用户權利指派”。在“用户權利指派”中,將“從遠端系統強制關機”權限設置為禁止任何人有此權限,防止黑客從遠程關閉系統。
(5)“安全選項”。在“安全選項”中,將“對匿名連接的額外限制”權限改為“不允許枚舉SAM帳號和共享”。也可以通過修改註冊表中的值來禁止建立空連接,將Local_Machine SystemCurrentControlSet Control LSA-RestrictAnonymous 的值改為“1”。如在LSA目錄下如無該鍵值,可以新建一個雙字節值,名為“restrictanonymous”,值為“1”,十六進制。此舉可以有效地防止利用IPC$空連接枚舉SAM帳號和共享資源,造成系統信息的泄露。
5、加強對Administrator帳
號和Guest帳號的管理監控
將Administrator帳號重新命名,創建一個陷阱賬號,名為“Administrator”,口令為10位以上的複雜口令,其權限設置成最低,即:將其設為不隸屬於任何一個組,並通過安全審核,藉此發現攻擊者的入侵企圖。設置2個管理員用賬號,一個具有一般權限,用來處理一些日常事物;另一個具有Administrators 權限,只在需要的時候使用。修改Guest用户口令為複雜口令,並禁用GUEST用户帳號。
6、禁止使用共享
嚴格限制用户對共享目錄和文件的訪問,無特殊情況,嚴禁通過共享功能訪問服務器。
7、清除頁面文件
修改註冊表HKLMSYSTEM CurrentControlSet Control Session Manager Memory Management中“ClearPageFileAtShutdown”的值為“1”,可以禁止系統產生頁面文件,防止信息泄露。
8、清除Dump文件
打開控制面板→系統屬性→高級→啟動和故障恢復,將“寫入調試信息”改成“無”,可以清除Dump文件,防止信息泄露。
9、WEB服務安全設置
確需提供WEB服務和FTP服務的,建議採取以下措施:
(1)IIS-WEB網站服務。在安裝時不要選擇IIS服務,安裝完畢後,手動添加該服務,將其安裝目錄設為如D:INTE等任意字符,以加大安全性。刪除INTERNET服務管理器,刪除樣本頁面和腳本,卸載INTERNET打印服務,刪除除ASP外的應用程序映射。針對不同類型文件建立不同文件夾並設置不同權限。對腳本程序設為純腳本執行許可權限,二進制執行文件設為腳本和可執行程序權限,靜態文件設為讀權限。對安全掃描出的CGI漏洞文件要及時刪除。
(2)FTP文件傳輸服務。不要使用系統自帶的FTP服務,該服務與系統賬户集成認證,一旦密碼泄漏後果十分嚴重。建議利用第三方軟件SERV-U 提供FTP服務,該軟件用户管理獨立進行,並採用單向hash函數(MD5)加密用户口令,加密後的口令保存在或是註冊表中。用户採用多權限和模擬域進行權限管理。虛擬路徑和物理路徑可以隨時變換。利用IP規則,用户權限,用户域,用户口令多重保護防止非法入侵。利用攻擊規則可以自動封閉拒絕攻擊,密碼猜解發起計算機的IP並計入黑名單。
三、結束語
以上是根據多年的工作經驗總結的一點心得,有些地方研究的還不夠深入,希望本文能給操作系統安全防範工作提供幫助。日常管理工作中,系統管理員還必須及時安裝微軟發佈的最新系統安全漏洞補丁程序,安裝防病毒軟件並及時升級病毒定義庫,來防止計算機病毒的入侵,保障操作系統的安全運行。
![電腦bios啟動項設置圖文教程詳解]( "電腦bios啟動項設置圖文教程詳解")
電腦bios啟動項設置圖文教程詳解
BIOS是英文BasicInputOutputSystem的縮略語,直譯過來就是基本輸入輸出系統。其實,它是一組固化到計算機內主板上一個ROM芯片上的程序,它保存着計算機最重要的基本輸入輸出的程序、系統設置信息、開機後自檢程序和系統自啟動程序。其主要功能是為計算機提供最底層...
![Linux下把多個網卡設置成虛擬網卡的技巧方法]( "Linux下把多個網卡設置成虛擬網卡的技巧方法")
Linux下把多個網卡設置成虛擬網卡的技巧方法
現在很多電腦都有不只一塊網卡,但是一塊網卡出現故障,整個網絡都會中斷。但是在Linux系統中只要創建Linux虛擬網卡,就不會遇到這種麻煩。本文就來介紹一下Linux下把多個網卡設置成多個虛擬網卡的技巧。以eth0與eth1來虛擬成為bond0為例:------綁定的前提條件:芯片組...
![在Linux系統中批量添加用户的方法講解教程]( "在Linux系統中批量添加用户的方法講解教程")
在Linux系統中批量添加用户的方法講解教程
在Linux系統中批量添加用户的方法講解教程我們什麼時候才需要大批量添加用户呢?有時我們需要讓幾十個或更多的用户在主機上完成相同或相似的任務,比如我們想同時添加一堆的ftp用户,這些ftp用户歸屬同一組,但不允許他們通過終端或遠程登錄服務器;有時我們可能為了教...
![Linux操作系統基礎知識]( "Linux操作系統基礎知識")
Linux操作系統基礎知識
Linux就是一個操作系統,它可以管理整個計算機硬件,並且可以接收我們的指令,來指揮硬件完成相應的任務,並把結果反饋給我們。Linux操作系統基礎知識你瞭解多少呢?下面是相關的知識,歡迎閲讀。Linux操作系統概述Q1.什麼是GNU?Linux與GNU有什麼關係?A:1)GNU是GNUisNotUn...
