系统安全 搭建安全稳定Win2000 Server系统 （2）

安全防范对策

一、 安装对策

在进行系统安装时，采取以下对策：

1、在完全安装、配置好操作系统，给系统全部安装系统补丁之前，一定不要把机器接入网络。

2、在安装操作系统时，建议至少分三个磁盘分区。第一个分区用来安装操作系统，第二分区存放IIS、FTP和各种应用程序，第三个分区存放重要的数据和日志文件。

3、采用NTFS文件格式安装操作系统，可以保证文件的安全，控制用户对文件的访问权限。

4、在安装系统组件时，不要采用缺省安装，删除系统缺省选中的IIS、DHCP、DNS等服务。

5、在安装完操作系统后，应先安装在其上面的应用系统，后安装系统补丁。安装系统补丁一定要全面。

二、 运行对策

在系统运行时，采取以下对策：

1、关闭系统默认共享

方法一：采用批处理文件在系统启动后自动删除共享。　首选在Cmd提示符下输入“Net Share”命令，查看系统自动运行的所有共享目录。然后建立一个批处理文件SHAREDEL.BAT，将该批处理文件放入计划任务中，设为每次开机时运行。文件内容如下：


NET SHARE C$ /Delete
NET SHARE D$ /Delete
NET SHARE E$ /Delete
……
NET SHARE IPC$ /Delete
NET SHARE ADMIN$ /Delete




方法二：修改系统注册表，禁止默认共享功能。在Local_Machine\ System\ CurrentControlSet\Services\Lanmanserver\parameters下新建一个双字节项“auto shareserver”，其值为“0”。

2、删除多余的不需要的网络协议

删除网络协议中的NWLink NetBIOS协议，NWLink IPX/SPX/NetBIOS 协议，NeBEUI PROtocol协议和服务等，只保留TCP/IP网络通讯协议。

3、关闭不必要的有安全隐患的服务

用户可以根据实际情况，关闭表1中所示的系统自动运行的有安全隐患的服务。



                                表1　需要关闭的服务表

4、启用安全策略

安全策略包括以下五个方面：

（1）账号锁定策略。设置账号锁定阀值，5次无效登录后，即锁定账号。

（2）密码策略。一是密码必须符合复杂性要求，即密码中必须包括字母、数字以及特殊字符，如：上档键上的+_（）*&^%$#@!?><”:{}　等特殊字符。二是服务器密码长度 少设置为8位字符以上。三是密码 长保留期。一般设置为1至3个月，即30－90天。四是密码 短存留期：3天。四是强制密码历史：0个记住的密码。五是“为域中所有用户使用可还原的加密来储存密码”，停用。

（3）审核策略。默认安装时是关闭的。激活此功能有利于管理员很好的掌握机器的状态，有利于系统的入侵检测。可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等等。开启安全审核是系统 基本的入侵检测方法。当攻击者尝试对用户的系统进行某些方式（如尝试用户口令,改变账号策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。避免不能及时察觉系统遭受入侵以致系统遭到破坏。建议至少审核登录事件、账户登录事件、账户管理三个事件。

（4）“用户权利指派”。在“用户权利指派”中，将“从远端系统强制关机”权限设置为禁止任何人有此权限，防止黑客从远程关闭系统。

（5）“安全选项”。在“安全选项”中，将“对匿名连接的额外限制”权限改为“不允许枚举SAM账号和共享”。也可以通过修改注册表中的值来禁止建立空连接，将Local_Machine \System\CurrentControlSet\Control \LSA-RestrictAnonymous 的值改为“1”。如在LSA目录下如无该键值，可以新建一个双字节值，名为“restrictanonymous”，值为“1”，十六进制。此举可以有效地防止利用IPC$空连接枚举SAM账号和共享资源，造成系统信息的泄露。

5、加强对Administrator账号和Guest账号的管理监控

将Administrator账号重新命名，创建一个陷阱账号，名为“Administrator”，口令为10位以上的复杂口令，其权限设置成 低，即：将其设为不隶属于任何一个组，并通过安全审核，借此发现攻击者的入侵企图。设置2个管理员用账号，一个具有一般权限，用来处理一些日常事物；另一个具有Administrators 权限，只在需要的时候使用。修改Guest用户口令为复杂口令，并禁用GUEST用户账号。

6、禁止使用共享

严格限制用户对共享目录和文件的访问，无特殊情况，严禁通过共享功能访问服务器。

7、清除页面文件

修改注册表HKLM\SYSTEM\CurrentControlSet\Control\ Session Manager\Memory Management中“ClearPageFileAtShutdown”的值为“1”，可以禁止系统产生页面文件，防止信息泄露。

8、清除Dump文件

打开控制面板→系统属性→高级→启动和故障恢复，将“写入调试信息”改成“无”，可以清除Dump文件，防止信息泄露。

9、WEB服务安全设置

确需提供WEB服务和FTP服务的，建议采取以下措施：

（1）IIS-WEB网站服务。在安装时不要选择IIS服务，安装完毕后，手动添加该服务，将其安装目录设为如D:\INTE等任意字符，以加大安全性。删除INTERNET服务管理器，删除样本页面和脚本，卸载INTERNET打印服务，删除除ASP外的应用程序映射。针对不同类型文件建立不同文件夹并设置不同权限。对脚本程序设为纯脚本执行许可权限，二进制执行文件设为脚本和可执行程序权限，静态文件设为读权限。对安全扫描出的CGI漏洞文件要及时删除。

（2）FTP文件传输服务。不要使用系统自带的FTP服务，该服务与系统账户集成认证，一旦密码泄漏后果十分严重。建议利用第三方软件SERV-U提供FTP服务，该软件用户管理独立进行，并采用单向hash函数（MD5）加密用户口令，加密后的口令保存在ServUDaemon.ini或是注册表中。用户采用多权限和模拟域进行权限管理。虚拟路径和物理路径可以随时变换。利用IP规则，用户权限，用户域，用户口令多重保护防止非法入侵。利用攻击规则可以自动封闭拒绝攻击，密码猜解发起计算机的IP并计入黑名单。

结束语

以上是笔者根据多年的工作经验总结的一点心得，有些地方研究的还不够深入，希望本文能给操作系统安全防范工作提供帮助。日常管理工作中，系统管理员还必须及时安装微软发布的 新系统安全漏洞补丁程序，安装防病毒软件并及时升级病毒定义库，来防止计算机病毒的入侵，保障操作系统的安全运行。