下面是小编为大家整理的Windows 的安全设置详谈(共含9篇),如果喜欢可以分享给身边的朋友喔!同时,但愿您也能像本文投稿人“Lisa”一样,积极向本站投稿分享好文章。
在用户安全设置方面 1.禁用Guest账号,
Windows 2000的安全设置详谈
,
不论工作组模式还是域模式,都应该禁用此账号。惟一的例外就是极少数量(10台以下)的机器之间用网上邻居互访共享文件夹,且不和公网相连,可以继续保持此账号。 2.限制不必要的用户。此时需注意: (1)在工作组模式中,默
随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用,WEBSHELL让防火墙形同虚设,一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运,
难道我们真的无能为力了吗?其实,只要你弄明白了NTFS系统下的权限设置问题,我们可以对crackers们说:NO!
要打造一台安全的WEB服务器,那么这台服务器就一定要使用NTFS和Windows NT//。众所周知,Windows是一个支持多用户、多任务的操作系统,这是权限设置的基础,一切权限设置都是基于用户和进程而言的,不同的用户在访问这台计算机时,将会有不同的权限。
DOS跟WinNT的权限的分别
DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗?不能!当我们打开一台装有DOS操作系统的计算机的时候,我们就拥有了这个操作系统的管理员权限,而且,这个权限无处不在。所以,我们只能说DOS不支持权限的设置,不能说它没有权限。随着人们安全意识的提高,权限设置随着NTFS的发布诞生了。
Windows NT里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。
Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以,只有受信任的人员才可成为该组的成员。
Power Users,高级用户组,Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中,这个组的权限是仅次于Administrators的。
Users:普通用户组,这个组的用户无法进行有意或无意的改动。因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。Users 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上,默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站,但不能关闭服务器。Users 可以创建本地组,但只能修改自己创建的本地组。
Guests:来宾组,按默认值,来宾跟普通Users的成员有同等访问权,但来宾帐户的限制更多。
Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。
其实还有一个组也很常见,它拥有和Administrators一样、甚至比其还高的权限,但是这个组不允许任何用户的加入,在察看用户组的时候,它也不会被显示出来,它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM,也许把该组归为用户的行列更为贴切。
权限实例攻击
权限将是你的最后一道防线!那我们现在就来对这台没有经过任何权限设置,全部采用Windows默认权限的服务器进行一次模拟攻击,看看其是否真的固若金汤。
假设服务器外网域名为www.webserver.com,用扫描软件对其进行扫描后发现开放WWW和FTP服务,并发现其服务软件使用的是IIS5.0和Serv-u 5.1,用一些针对他们的溢出工具后发现无效,遂放弃直接远程溢出的想法,
打开网站页面,发现使用的是动网的论坛系统,于是在其域名后面加个/upfile.asp,发现有文件上传漏洞,便抓包,把修改过的ASP木马用NC提交,提示上传成功,成功得到WEBSHELL,打开刚刚上传的ASP木马,发现有MS-SQL、Norton Antivirus和BlackICE在运行,判断是防火墙上做了限制,把SQL服务端口屏蔽了。
通过ASP木马查看到了Norton Antivirus和BlackICE的PID,又通过ASP木马上传了一个能杀掉进程的文件,运行后杀掉了Norton Antivirus和BlackICE。再扫描,发现1433端口开放了,到此,便有很多种途径获得管理员权限了,可以查看网站目录下的conn.asp得到SQL的用户名密码,再登陆进SQL执行添加用户,提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传,得到系统管理员权限。
还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到,一旦 找到了切入点,在没有权限限制的情况下, 将一帆风顺的取得管理员权限。
那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录,默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。
系统卷下有三个目录比较特殊,系统默认给了他们有限制的权限,这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings,默认的权限是这样分配的:Administrators拥有完全控制权;Everyone拥有读&运,列和读权限;Power users拥有读&运,列和读权限;SYSTEM同Administrators;Users拥有读&运,列和读权限。对于Program files,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权,Users有读&运,列和读权限。
对于Winnt,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读&运,列和读权限。而非系统卷下的所有目录都将继承其父目录的权限,也就是Everyone组完全控制权!
现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧?权限设置的太低了!一个人在访问网站的时候,将被自动赋予IUSR用户,它是隶属于Guest组的。本来权限不高,但是系统默认给的Everyone组完全控制权却让它“身价倍增”,到最后能得到Administrators了。
那么,怎样设置权限给这台WEB服务器才算是安全的呢?大家要牢记一句话:“最少的服务+最小的权限=最大的安全”对于服务,不必要的话一定不要装,要知道服务的运行是SYSTEM级的哦,对于权限,本着够用就好的原则分配就是了。
对于WEB服务器,就拿刚刚那台服务器来说,我是这样设置权限的,大家可以参考一下:各个卷的根目录、Documents and settings以及Program files,只给Administrator完全控制权,或者干脆直接把Program files给删除掉;给系统卷的根目录多加一个Everyone的读、写权;给e:www目录,也就是网站目录读、写权。
为了让大家了解如何追踪计算机安全日志功能的具体方面,首先需要了解如何启动安全日志,大多数Windows计算机(除了某些域控制器版本系统)默认情况下不会向安全日志(Security Log)启动日志记录信息。这样的设置有利也有弊,弊的方面在于,除非用户强迫计算机开始日志记录安全事件,否则根本无法进行任何追踪。好的方面在于,不会发生日志信息爆满的问题以及提示日志已满的错误信息,这也是Windows Server 2003域控制器在没有任何预警下的行为。
安全日志事件跟踪可以使用组策略来建立和配置,当然你可以配置本地组策略对象,但是这样的话,你将需要对每台计算机进行单独配置。另外,你可以使用Active Directory内的组策略为多台计算机设置日志记录配置。要建立安全日志追踪,首先打开连接到域的计算机上的Group Policy Management Console (GPMC,组策略管理控制台),并以管理员权限登录。
在GPMC中,你可以看到所有的组织单位(OU)(如果你事先创建了的话)以及GPO(如果你创建了两个以上),在本文中,我们将假设你有一个OU,这个OU中包含所有需要追踪相同安全日志信息的计算机,我们将使用台式计算机OU和AuditLog GPO。
编辑AuditLog GPO然后展开至以下节点:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy
展开此节点后,你会看到你可以配置的审核类别列表,如图1所示:
screen.width-333)this.width=screen.width-333“ border=0>
图1:Audit Policy类别可以帮助你制定想要记录日志信息的安全区域
每个政策设置都有两个选择:成功和/或失败,要想为任何类别配置成功或者失败,你需要勾选Define These Policy Settings选项框,如图2所示。
screen.width-333)this.width=screen.width-333” border=0>
图2:每个审计政策都需要首先就进行定义,然后需要配置审计类型
以下是关于每种类别控制范围的简要介绍:
审计帐户登录事件?C 每次用户登录或者从另一台计算机注销的时候都会对该事件进行审计,计算机执行该审计是为了验证帐户,关于这一点的最好例子就是,当用户登录到他们的Windows XP Professional计算机上,总是由域控制器来进行身份验证。由于域控制器对用户进行了验证,这样就会在域控制器上生成事件。除了Windows Server 2003域控制器(配置为审计这些事件的成功与否)启动了设置外,没有操作系统启动该设置。最常见以及最佳的做法就是让所有的域控制器和服务器对这些事件进行审计。我还发现,在很多环境中,客户端也会配置为审计这些事件。
审计账户管理?C这个将对所有与管理计算机(配置了审计)的用户数据库中的帐户的用户有关的事件进行审计,这些事件的示例如下:
?创建一个用户帐户
?添加用户到一个组
?重命名用户帐户
?为用户帐户更改密码
对于域控制器而言,该管理政策将会对域帐户更改进行审计。对于服务器或者客户端而言,它将会审计本地安全帐户管理器(Security Accounts Manager)以及相关的帐户。除了Windows Server 2003域控制器(配置为审计这些事件的成功与否)启动了设置外,没有操作系统启动该设置。最常见以及最佳的做法就是让所有的域控制器和服务器对这些事件进行审计。对于用户帐户的审计,安全日志以及审计设置是不能捕捉的。
审计目录服务访问?C这个将对与访问AD对象(已经被配置为通过系统访问控制列表SACL追踪用户访问情况)的用户有关的事件进行审计,AD对象的SACL指明了以下三件事:
?将会被追踪的帐户(通常是用户或者组)
?将会被追踪的访问类型,如只读、创建、修改等
?对对象访问的成功或者失败情况
由于每个对象都有自己独特的SACL,对将被追踪的AD对象的控制级别应该是非常精确的。除了Windows Server 2003域控制器(配置为审计这些事件的成功与否)启动了设置外,没有操作系统启动该设置。最佳做法是为所有域控制器的目录服务访问启动成功和失败审计。
审计登陆事件 ?C这将对与登录到、注销或者网络连接到(配置为审计登录事件的)电脑的用户相关的所有事件进行审计,一个很好的例子就是,当这些事件日志记录的时候,恰好是用户使用域用户帐户交互的登录到工作站的时候,这样就会在工作站生成一个事件,而不是执行验证的域控制器上生成。从根本上讲,追踪事件是在当尝试登录的位置,而不是在用户帐户存在的位置。除了Windows Server 2003域控制器(配置为审计这些事件的成功与否)启动了设置外,没有操作系统启动该设置。通常会对网络中所有计算机的这些事件进行日志记录。
审计对象访问 ?C当用户访问一个对象的时候,审计对象访问会对每个事件进行审计。对象内容包括:文件、文件夹、打印机、注册表项和AD对象。在现实中,任何有SACL的对象丢会被涵盖到这种类型的审计中。就像对目录访问的审计一样,每个对象都有自己独特的SACL,语序对个别对象进行有针对性的审计。没有任何对象是配置为魔神进行审计的,这意味着启用这个设置并不会产生任何日志记录信息。一旦建立了该设置,对象的SACAL就被配置了,对尝试登录访问该对象时就开始出现表项。除非有特别需要对某些资源的追踪访问,通常是不会配置这种级别的审计,在高度安全的环境中,这种级别的审计通常是启用的,并且会为审计访问配置很多资源。
审计政策更改?C这将对与计算机上三个“政策”之一的更改相关的每个事件进行审计,这些政策区域包括:
?用户权利分配
?审计政策
?信任关系
除了Windows Server 2003域控制器(配置为审计这些事件的成功与否)启动了设置外,没有操作系统启动该设置。最佳做法就是对网络中的所有计算机配置这种级别的审计。
审计特权使用?C与执行由用户权限控制的任务的用户相关的每个事件都会被审计,用户权利列表是相当广泛的,如图3所示:
screen.width-333)this.width=screen.width-333" border=0>
图3:计算机的用户权限列表
这种级别的审计不是默认配置来追踪所有操作系统的事件,最佳做法就是对网络中的所有计算机配置这种级别的审计。
审计过程追踪 C 这将对与计算机中的进程相关的每个事件进行审计,这将包括、程序激活、进程退出、处理重叠和间接对象访问。这种级别的审计将会产生很多的事件,并且只有当应用程序正在因为排除故障的目的被追踪的时候才会配置。
审计系统事件 C 与计算机重新启动或者关闭相关的事件都会被审计,与系统安全和安全日志相关的事件同样也会被追踪(当启动审计的时候)。这是必要的计算机审计配置,不仅当发生的事件需要被日志记录,而且当日志本身被清除的时候也有记录。除了Windows Server 2003域控制器(配置为审计这些事件的成功与否)启动了设置外,没有操作系统启动该设置。最佳做法就是对网络中的所有计算机配置这种级别的审计。
每个审计类型的Event ID
在安全日志中可能会产生成千上万的事件,所以你需要要秘密解码器环来找出寻找的事件,以下是每种类别最重要的事件(你可能想要在安全日志中跟踪的):
审计帐户登录事件
Event ID 描述
4776 - 域控制器试图验证帐户凭证信息
4777 -域控制器未能验证帐户凭证信息
4768 -要求有Kerberos验证票(TGT)
4769 -要求有Kerberos验证票(TGT)
4770 - Kerberos服务票被更新
审计帐户管理
Event ID 描述
4741 - 计算机帐户已创建
4742 C 计算机帐户已更改
4743 C 计算机帐户已删除
4739 C 域政策已经更改
4782 - 密码hash帐户被访问
4727 - 安全全局组已经创建
4728 C 一名用户被添加到安全全局组
4729 C 一名用户从安全全局组解除
4730 C 安全全局组已经删除
4731 - 安全本地组已经创建
4732 -一名用户被添加到安全本地组
4733 -一名用户被安全本地组解除
4734 -安全本地组已经删除
4735 - 安全本地组已经更改
4737 -安全全局组已经更改
4754 -安全通用组已创建
4755 -安全通用组已创建更改
4756 -一名用户被添加到安全通用组
4757 -一名用户被安全通用组解除
4758 -安全本地组已经删除
4720 C 用户帐户已创建
4722 C 用户帐户已启用
4723 - 试图更改帐户密码
4724 C 试图重置帐户密码
4725 C 用户帐户被停用
4726 -用户帐户已删除
4738 -用户帐户已被改变
4740 -用户帐户被锁定
4765 - SID历史记录被添加到一个帐户
4766 -尝试添加SID历史记录到帐户失败
4767 -用户帐户被锁定
4780 -对管理组成员的帐户设置了ACL
4781 -帐户名称已经更改
审计目录服务访问
4934 - Active Directory 对象的属性被复制
4935 -复制失败开始
4936 -复制失败结束
5136 -目录服务对象已修改
5137 -目录服务对象已创建
5138 -目录服务对象已删除
5139 -目录服务对象已经移动
5141 -目录服务对象已删除
4932 -命名上下文的AD的副本同步已经开始
4933 -命名上下文的AD的副本同步已经结束
审计登录事件
4634 - 帐户被注销
4647 - 用户发起注销
4624 - 帐户已成功登录
4625 - 帐户登录失败
4648 - 试图使用明确的凭证登录
4675 - SID被过滤
4649 - 发现重放攻击
4778 -会话被重新连接到Window Station
4779 -会话断开连接到Window Station
4800 C 工作站被锁定
4801 - 工作站被解锁
4802 - 屏幕保护程序启用
4803 -屏幕保护程序被禁用
5378 所要求的凭证代表是政策所不允许的
5632 要求对无线网络进行验证
5633 要求对有线网络进行验证
审计对象访问
5140 - 网络共享对象被访问
4664 - 试图创建一个硬链接
4985 - 交易状态已经改变
5051 - 文件已被虚拟化
5031 - Windows防火墙服务阻止一个应用程序接收网络中的入站连接
4698 -计划任务已创建
4699 -计划任务已删除
4700 -计划任务已启用
4701 -计划任务已停用
4702 -计划任务已更新
4657 -注册表值被修改
5039 -注册表项被虚拟化
4660 -对象已删除
4663 -试图访问一个对象
审计政策变化
4715 - 对象上的审计政策(SACL)已经更改
4719 - 系统审计政策已经更改
4902 - Per-user审核政策表已经创建
4906 - CrashOnAuditFail值已经变化
4907 - 对象的审计设置已经更改
4706 - 创建到域的新信任
4707 - 到域的信任已经删除
4713 - Kerberos政策已更改
4716 - 信任域信息已经修改
4717 - 系统安全访问授予帐户
4718 - 系统安全访问从帐户移除
4864 - 名字空间碰撞被删除
4865 - 信任森林信息条目已添加
4866 - 信任森林信息条目已删除
4867 - 信任森林信息条目已取消
4704 - 用户权限已分配
4705 - 用户权限已移除
4714 - 加密数据复原政策已取消
4944 - 当开启Windows Firewall时下列政策启用
4945 - 当开启Windows Firewall时列入一个规则
4946 - 对Windows防火墙例外列表进行了修改,添加规则
4947 - 对Windows防火墙例外列表进行了修改,规则已修改
4948 - 对Windows防火墙例外列表进行了修改,规则已删除
4949 - Windows防火墙设置已恢复到默认值
4950 - Windows防火墙设置已更改
4951 - 因为主要版本号码不被Windows防火墙承认,规则已被忽视
4952 - 因为主要版本号码不被Windows防火墙承认,部分规则已被忽视,将执行规则的其余部分
4953 - 因为Windows防火墙不能解析规则,规则被忽略
4954 - Windows防火墙组政策设置已经更改,将使用新设置
4956 - Windows防火墙已经更改主动资料
4957 - Windows防火墙不适用于以下规则
4958 - 因为该规则涉及的条目没有被配置,Windows防火墙将不适用以下规则:
6144 - 组策略对象中的安全政策已经成功运用
6145 - 当处理组策略对象中的安全政策时发生一个或者多个错误
4670 - 对象的权限已更改
审计特权使用
4672 - 给新登录分配特权
4673 - 要求特权服务
4674 - 试图对特权对象尝试操作
审计系统事件
5024 - Windows防火墙服务已成功启动
5025 - Windows防火墙服务已经被停止
5027 - Windows防火墙服务无法从本地存储检索安全政策,该服务将继续执行目前的政策
5028 - Windows防火墙服务无法解析的新的安全政策,这项服务将继续执行目前的政策
5029 - Windows防火墙服务无法初始化的驱动程序,这项服务将继续执行目前的政策
5030 - Windows防火墙服务无法启动
5032 - Windows防火墙无法通知用户它阻止了接收入站连接的应用程序
5033 - Windows防火墙驱动程序已成功启动
5034 - Windows防火墙驱动程序已经停止
5035 - Windows防火墙驱动程序未能启动
5037 - Windows防火墙驱动程序检测到关键运行错误,终止,
4608 -Windows正在启动
4609 - Windows正在关机
4616 - 系统时间被改变
4621 - 管理员从CrashOnAuditFail回收系统,非管理员的用户现在可以登录,有些审计活动可能没有被记录
4697 - 系统中安装服务器
4618 - 监测安全事件样式已经发生
想查看所有事件的完整列表,请访问微软网站:support.microsoft.com/default.aspx?scid=kb;EN-US;947226
总结
微软将继续涵盖事件查看器内的安全日志中显示的额外事件,只要你使用组策略建立了你想要审计和跟踪的类别,就可以使用上述解码的事件来跟踪环境需要的事件。如果你将事件与其他技术相结合(例如订阅),你可以创建事件的微调谐日志,以保证网络的安全。
我们知道,Windows中有自带的启动文件夹,它是最常见的启动项目,但很多人却很少注意仔细检查它,如果把程序装入到这个文件夹中,系统启动就会自动地加载相应程序,而且因为它是暴露在外的,所以非常容易被外在的因素更改。
我们知道,Windows中有自带的启动文件夹,它是最常见的启动项目,但很多人却很少注意仔细检查它。如果把程序装入到这个文件夹中,系统启动就会自动地加载相应程序,而且因为它是暴露在外的,所以非常容易被外在的因素更改。
一、具体的位置是“开始”菜单中的“启动”选项
在硬盘上的位置是:C:\Documents andSettings\Administrator“开始”菜单\程序\启动;
在注册表中的位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
现在你可以打开看看里面有没有什么来历不明的程序存在。
内容导航
二、Msconfig
Msconfig是Windows系统中的“系统配置实用程序”,它管的方面可够宽,包括:system.ini、win.ini、启动项目等。同样,里面也是自启动程序非常喜欢呆的地方!
1.System.ini
首先,在“运行”对话框中输入“msconfig”启动系统配置实用程序(下同),找到system.ini标签,里面的“shell=……” 就可以用来加载特殊的程序。如果你的shell=后面不是默认的explorer.exe,或者说后面还有一个程序的名字,那你可要小心了,请仔细检查相应的程序是否安全!
2.Win.ini
如果我们想加载一个程序:hack.exe,那么可以在win。ini中用下面的语句来实现:
load=hack.exe
run=hacke.exe
该怎么做,你应该知道了吧!
内容导航
3.“启动”项目
系统配置实用程序中的启动标签和我们上面讲的“启动”文件夹并不是同一个东西,在系统配置实用程序中的这个启动项目,是Windows系统启动项目的集合地。几乎所有的启动项目都能在这里找到DD当然,经过特殊编程处理的程序可以通过另外的方法不在这里显示。
打开“启动”标签,“启动项目”中罗列的是开机启动程序的名称,“命令”下是具体的程序附加命令,最后的“位置”就是该程序在注册表中的相应位置,
你可以对可疑的程序进行详细的路径、命令检查,一旦发现错误,就可以用下方的“禁用”来禁止该程序开机时候的加载。
一般来讲,除系统基于硬件部分和内核部分的系统软件的启动项目外,其他的启动项目都是可以适当更改的,包括:杀毒程序、特定防火墙程序、播放软件、内存管理软件等。也就是说,启动项目中包含了所有我们可见程序的列表,你完全可以通过它来管理你的启动程序!
内容导航
三、注册表中相应的启动加载项目
注册表的启动项目是病毒和木马程序的最爱!非常多病毒木马的顽固性就是通过注册表来实现的,所以平常的时候可以下载一个注册表监视器来监视注册表的改动。特别是在安装了新软件或者是运行了新程序的时候,一定不要被程序漂亮的外表迷惑。一定要看清楚它的实质是不是木马的伪装外壳或者是捆绑程序!必要的时候可以根据备份来恢复注册表,这样的注册表程序网上很多,这里也就不再详谈了。
我们也可以通过手动的方法来检查注册表中相应的位置,虽然它们很多是和上文讲的位置重复,但是对网络安全来讲,小心永远不嫌多!
注意同安全、清洁的系统注册表相应键进行比较,如果发现不一致的地方,一定要弄清楚它是什么东西!不要相信写在外面的“system”、 “windows”、“programfiles”等名称,谁都知道“欲盖弥彰”的道理。如果经过详细的比较,可以确定它是不明程序的话,不要手软,马上删除!
内容导航
四、Wininit.ini
我们知道,Windows的安装程序常常调用这个程序来实现安装程序后的删除工作,所以不要小看它,如果在它上面做手脚的话,可以说是非常隐蔽、非常完美的!
它在系统盘的Windows目录下,用记事本打开它(有时候是wininit.hak文件)可以看到相应的内容。很明显,我们可以在里面添加相应的语句来达到修改系统程序或者是删除程序的目的。如果是文件关联型木马,可以通过winint.ini来删除它感染后的原始文件,从而达到真正隐藏自己!
内容导航
五、DOS下的战斗
最后,我们说说DOS下的启动项目加载,config.sys、autoexec.bat、*.bat等文件都可以用特定的编程方式来实现加载程序的目的。所以不要以为DOS就是个过时的东西,好的DOS下编程往往能达到非常简单、非常实用的功能!
作为企业的网络维护管理员, 网络安全应该是网络管理的一个重点,如何构建安全的企业网,是每个企业网管的重要工作,下面我就自己的工作经验,谈谈WINDOWS 2000 ADVANCE SERVER网络的安全设置,WINDOWS 2000 ADVANCE SERVER是比较流行的服务器操作系统之一,但是要想安全的配置微软的这个操作系统,却不是一件容易的事。下面我就WINDOWS 2000 ADVANCE SERVER安全配置进行初步的探讨。
一、定制自己的WINDOWS 2000 ADVANCE SERVER
1.版本的选择:WIN2000有各种语言的版本,对于我们来说,可以选择英文版或简体中文版,我强烈建议:在语言不成为障碍的情况下,请一定使用英文版。要知道,微软的产品是以Bug Patch而著称的,中文版的Bug远远多于英文版,而补丁一般还会迟至少半个月(也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况)
2.组件的安装:win2000在默认情况下进行典型安装,不过这种安装的系统是脆弱的,不够安全,根据安全原则,最少的服务+最小的权限=最大的安全。请根据自己服务器的所需要求做出合理的配置。
3.根据用途对服务器进行单独管理:就是说如果你根据企业的各种需要作出有不同功能的服务器,原则上是一台服务服务器只提供单独的服务,如域控制器、文件服务器、备份服务器、WEB服务器、FTP服务器等等。
二、合理安装WINDOWS 2000 ADVANCE SERVER
1.安装WINDOWS 2000 ADVANCE SERVER,建议最少CREATE两个分区,一个系统分区,一个应用程序分区。
2.顺序的选择:WINDOWS 2000 ADVANCE SERVER在安装中有几个顺序是一定要注意的:首先,WINDOWS 2000 ADVANCE SERVER在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好win2000 SERVER之前,一定不要把主机接入网络。其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。
三、 安全配置WIN2000 SERVER
即使正确的安装了WIN2000 SERVER,系统还是有很多的漏洞,还需要进一步进行细致地配置。
1.PORT:PORT是计算机和外部网络相连的逻辑接口,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选。
2.IIS:IIS是微软的组件中漏洞最多的一个,所以IIS的配置是我们的重点:
首先,DELTREE C:INETPUB ,在c盘以外creat Inetpub,在IIS管理器中将主目录指向x:Inetpub; 其次,那个IIS安装时默认的什么scripts等虚拟目录一概删除。第三,应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP、ASA和其他你确实需要用到的文件类型,例如你用到stml等(使用server side include),实际上90%的主机有了上面两个映射就够了,在IIS管理器中右击主机-属性-WWW服务 编辑-主目录 配置-应用程序映射,删除你不需要的映射。最后,为了保险起见,你可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。
3.账号安全:
WINDOWS 2000 ADVANCE SERVER的账号安全是另一个重点。WINDOWS 2000 ADVANCE SERVER的本地安全策略(如果是域服务器就是在域服务器安全和域安全策略中)就有这样的选项RestrictAnonymous(匿名连接的额外限制),这个选项有三个值:
0:None. Rely on default permissions(无,取决于默认的权限)
1:Do not allow enumeration of SAM accounts and shares(不允许列举SAM帐号和共享)
2:No access without explicit anonymous permissions(没有显示匿名权限就不允许访问)
0这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表等等,对服务器来说这样的设置非常危险,
1这个值是只允许非NULL用户存取SAM账号信息和共享信息。
2这个值是在win2000中才支持的,不过会失去所有的共享,在企业中这基本上是不可能的。所以我建议大家选择1,另外最好把administrator改名。
4.安全日志:打开本地安全策略-审核策略中打开相应的审核,必须的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
与之相关的是:
在账户策略-密码策略中设定:
密码复杂性要求 启用
密码长度最小值 8位
强制密码历史 3次
最长存留期 30天
在账户策略-账户锁定策略中设定:
账户锁定 3次错误登录
锁定时间 30分钟
5.目录和文件权限:WINDOWS 2000 ADVANCE SERVER的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(Full Control),你需要根据应用的需要进行权限重设。
在进行权限控制时,请记住以下几个原则:
1)限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限;
2)拒绝的权限要比允许的权限高(拒绝策略会先执行)如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源;
3)文件权限比文件夹权限高(这个不用解释了吧?);
4)利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一;
5)仅给用户真正需要的权限,权限的最小化原则是安全的重要保障。
6.预防DoS:
在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS攻击
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
ICMP攻击:ICMP的风暴攻击和碎片攻击也是WINDOWS 2000 ADVANCE SERVER比较头疼的攻击方法,其实应付的方法也很简单,win2000自带一个Routing Remote Access工具,这个工具初具路由器的雏形,在这个工具中,我们可以轻易的定义输入输出包过滤器。
实际上,安全和应用在很多时候是矛盾的,所以你要对所涉及的各种折衷选择有比较深刻的认识,毕竟服务器是给用户用的,安全原则不能妨碍系统应用。网络安全是一项系统工程,它不仅有空间的跨度,还有时间的跨度。部分系统/网络管理员认为进行了安全配置WINDOWS 2000 ADVANCE SERVER是足够安全的,其实这其中有个误区:我们只能说一台服务器在一定的情况下,一定的时间内是安全的,随着网络结构的变化、新的漏洞的发现,管理员/用户的操作,安全状况是时刻改变的,我们要不断的对我们的网络进行有效的设置维护其安全和满足我们的应用,时刻关注新的发现,对安全的原则作出相应的修改,这样,才是系统/网络管理员工作的正确方向。
有很多人都认为微软的东西漏洞太多,微软的系统安全性太差,网站服务器通常都不建议用微软的系统,不过,如果网站维护人员很少,通过在Windows Server里进行一些安全配置,也可以让系统的安全性有所提高,对于网站的备份、恢复等一系列复杂操作,也可以通过一些较为简单的方式来实现,下面是我总结的一些Windows Server安全配置和备份恢复的一些经验和技巧,供各位参考,
Windows服务器安全配置技巧 - Windows服务器安装、网络安全配置、安全模板设置等。
防止服务器网卡被误停用 - 服务器一般放在IDC机房,如果我们远程控制Windows服务器的时候,不小心禁用了网卡,后果不堪设想。
ASP博客安全技巧 - 以Z-Blog博客系统为例介绍在独立主机可配置的条件下(托管、租用或者合租主机)的系统安全设置。
海量文件复制和备份的技巧 - 海量文件服务技巧,带权限文件复制(单个文件的权限)技巧。
修改远程登录3389端口 - 众所周知,远程终端服务基于端口3389,
入侵者一般先扫描主机开放端口,一旦发现其开放了3389端口,就会进行下一步的入侵,所以我们只需要修改该务默认端口就可以避开大多数入侵者的耳目。
五个远程管理Windows服务器的技巧 - 一些有效管理服务器的小技巧。
IIS 的备份恢复 - Windows的IIS有一个非常“ ”的备份还原功能,和大部分备份还原不同的是,这个服务默认不支持不同电脑之间的备份还原,如果用户重装Windows的话,即使备份了IIS的相关文件,还原的时候还是提示“无效签名”,导致这个IIS无法恢复。
Windows IIS日志文件分析程序 - Windows Server具有事件日志记录的功能,其IIS日志文件里记录了包括下列信息:谁访问了您的站点,访问者查看了哪些内容等等。通过定期检查这些日志文件,网站管理员可以检测到服务器或站点的哪些方面易受攻击或存在其他安全隐患。
Google KMZ/MKL文件设置 - Google Earth的KML文件的MIME类型是application/vnd.google-earth.kml+xml,KMZ文件的MIME类型是application/vnd.google-earth.kmz。
相对于Northon Ghost,首先从镜像大小来说,Vista生成的镜像为6个G,而Ghost镜像则为3个G左右,是前者的一半,再论速度,Vista的备份及恢复过程与Ghost差距不大,多花3分钟左右,还可以接受。但在软件使用习惯性及糟糕的资源占用的驱使下,Vista的镜像功能只能说是个鸡肋。只有当你手头没有任何可用的备份工具时,可以考虑一下。
Vista完整PC备份工具简介
大家都知道,在以往所有版本的Windows操作系统中都有一个备份工具允许你将硬盘中的所有文件进行备份。Windows Vista中同样也有一个这样的工具。但稍有不同的是,在标准的备份工具外,Windows Vista中还包含一个磁盘镜像工具,叫做“完整PC备份(Complete PC Backup)”。
这个工具可以创建一个包含硬盘文件结构及内容的镜像文件。如果你用过Northon Ghost或者Acronis True Image,那就就能够很容易的理解Vista的完整PC备份工具到底是什么类型的软件了。
需要注意的是完整PC备份工具创建的备份类型不能被用来恢复单个文件-只能恢复整个磁盘内容。基于此原因,微软建议即使你用了完整PC备份备份,仍然需要在日常操作中使用标准的备份工具。另一个点需要注意的是,完整PC备份及恢复工具不包含在Windows Vista Home Basic或Windows Vista Home Premium版本中。
创建一个分区镜像
以下是简单的备份步骤:
1.在开始菜单中键入back,系统自动搜索到2个相关菜单,我们选择使用第一个“备份与恢复中心(Backup and Restore Center)”;
2.打开备份与恢复中心,选择其中的第二项“备份您的计算机(Backup Your Computer)”;
3.选择备份文件保存的位置,这里支持直接刻录,但基于以往版本中的Windows刻录工具的糟糕的兼容性,不建议这样做;
4.选择需要备份的磁盘分区,默认选择Vista系统所在的磁盘分区且不可取消;
5.开始备份
6.备份完毕
7.在“备份与恢复中心”中可以看见刚才创建的备份信息,
Vista中的恢复镜像支持2种方式,一种是安装双操作系统的情况下,开机的时候按F8键调入选项菜单后进行操作,另一种是使用Vista安装光盘进行恢复,这里我们介绍第二种方法。
1.从光盘启动计算机,选择“修复计算机(Repair your computer)”;
2.修复程序自动寻找磁盘中已安装的Vista系统;
3.选择“Windows完整PC恢复(Windows Complete PC Restore)”;
4.进入“系统恢复向导(Restore your entire computer from a backup)”,如果只做过一次备份,那么系统默认选择这次备份,如果有多个备份,需要手工选择,那么请点击“选择另一个备份(Restore a different backup)”;
5.如果有多个备份镜像,在这里选择;
6.确认恢复信息正确,可以选择“重新分区并格式化磁盘(Format and repartition disks)”,但请注意,这样将重新对磁盘进行分区并格式化,小心!系统会再次确认是否进行恢复;
7.开始镜像恢复,完毕后自动重启,至此整个恢复过程结束。
相对于Northon Ghost,首先从镜像大小来说,Vista生成的镜像为6个G,而Ghost镜像则为3个G左右,是前者的一半。再论速度,Vista的备份及恢复过程与Ghost差距不大,多花3分钟左右,还可以接受。但在软件使用习惯性及糟糕的资源占用的驱使下,Vista的镜像功能只能说是个鸡肋。只有当你手头没有任何可用的备份工具时,可以考虑一下。
1.打开“外观与主题”
通过“开始”菜单,点击“控制面板”,打开控制面板,单击“外观与主题”图标,
设置Windows经典主题2.更改计算机主题
在“外观与主题”窗口单击“更改计算机主题”
3 设置经典主题在打开的“显示 属性”对话框中选择“主题”选项卡,然后在“主题”下拉列表框中选择“Windows经典”选项,单击“确定”按钮关闭此对话框,
等待一会后,Windows外观样式变成了大家熟悉的经典界面。
Windows经典主题为了一改Windows2000蔚蓝色的登录背景,增加登录提示信息,加强系统登录的灵活性、安全性,为此,我们对Windows2000的注册表和安全策略进行了一些设置,操作如下:
1、设置登录背景
为了设置背景,首先必须准备一张BMP格式的图片,如存放于c:\good.bmp。
⑴ 单击“开始”菜单中的“运行”,然后在打开对话框中输入regedit,启动Windows的注册表编辑器。
⑵ 单击左窗口中的“我的电脑”目录树下的“HKEY_USERS”,选择“.DEFAULT” →“Desktop”项。
⑶ 双击右窗口中的“Wallpaper”,在打开的对话框的数值数据项中填入事先准备好的图片的名称c:\good.bmp(需填入完整路径)。
⑷ 默认状态图片在屏幕上是居中显示,如果图片足够大则可以不设置此项,否则应将图片设置为平铺效果。双击右窗口中的“TileWallpaper”项,在打开的对话框的数值数据项中的0更改为1即可。
2、显示Windows版本信息
⑴ 重复1中的⑴、⑵两点打开注册表并指向“Desktop”项。
⑵ 双击右窗口中的“PaintDesktopVersion”项,在打开的对话框的数值数据项中的0更改为1,登录前即可在屏幕的右下角看到该计算机上安装的Windows2000的版本信息。
3、设置登录前提示信息
Windows2000在登录系统前可以设置提示信息,告知登录诉用户一些有关欢迎信息、注意事项等,操作方法如下:
⑴ 单击“开始”菜单中的“设置” →“控制面版” →“管理工具”
→“本地安全策略”(如果系统是server版,也可以单击“程序” →“管理工具”→“本地安全策略”),从打开的左窗口选择“安全设置” →“本地策略” →“安全选项”,
⑵ 标题设置:双击右窗口中的“用户试图登录时消息标题”,在弹出的对话在框的“本地策略设置”下的文本框中输入登录信息框标题,如:欢迎、登录须知等一些标题。
⑶ 内容设置:双击右窗口中的“用户试图登录时消息文字”,在弹出的对话框的“本地策略设置”下的文本框中输入登录信息内容,如:欢迎信息、登录须知的内容等一些信息。
4、取消登录对话框的设置
⑴ 打开注册表编辑器,单击左窗口中的“我的电脑”目录树下的“HKEY_LOCAL_MACHINE”,选择“SOFTWARE”→“Microsoft”
→“Windows NT” →“Winlogon”项。
⑵ 分别双击右窗口中的“DefaultDomainName”和“DefaultUserName”,将系统登录时使用的默认域名和用户名填在打开的对话框的数值数据项中。
⑶ 若右窗口中无“AutoAdminLogon”项,则从菜单上选择“新建”“字串值”,然后将在“新值#1”单击右键选择“更名”,输入“AutoAdminLogon”作为名字,有则不需作此步。
⑷ 双击“AutoAdminLogon”,在打开的对话框的数值数据项中填入1即可。
5、使用口令登录方法
上述设置了使用默认口令登录,登录时不需要输入用户名和密码,这种设置适合普通用户,而在系统管理方面,经常有一些需要用用户名和密码登录的用户,使用方法如下:
在计算机启动到Windows2000将自动登录前,按住shift键即会出现通常的登录对话框,输入系统管理员的用户名和密码即可以系统管理员的身份登录到计算机上。
注意:如果用户使用密码登录,就必须输入用户名和密码,否则在下次登录时再按shift键时将不起作用了。
6、取消前一位登录者的用户名
⑴ 重复3中的⑴点打开“本地策略” →“安全选项”项。
⑵ 双击策略窗口中的“登录屏幕上不要显示上次登录的用户名”,在本地策略设置中选择“已启用”项即可在登录时不显示上一次登录的用户。
