==================================================================================================== 阿酷:本文援引自天極網,並非本文內容技術含量高,而是本文比較系統的講解了Windows2003的整體安全,並配有大量圖片,原文分為上下兩部分,阿酷把原文拼接在了一起,以便各位閱讀,如果沒有足夠耐心,請勿繼續! 本文配有35張圖片,如果讀者網速較慢,可瀏覽天極網原文: 打造安全的Windows 2003系統(上) http://www.yesky.com/SoftChannel/72356682675519488/20040729/1836543.shtml 打造安全的Win 2003操作系統(下) http://www.yesky.com/SoftChannel/72356682675519488/20040730/1836912.shtml ==================================================================================================== 本文主要知識點:Windows 2003安全配置、NTFS系統、加密文件系統(EFS)、系統服務等。 前言: 2003年5月22日,微軟的新一代操作系統Windows Server 2003中文版開始在國內發行。從Windows95一路用到現在,筆者覺得微軟在安全方面做的還算是說的過去的,雖然說漏洞很多。2003總體感覺上安全做的還不錯,交互式登錄、網絡身份驗證、基於對象的訪問控制、比較完整的安全策略、數據加密保護……筆者這裡要談的是如何通過安全的配置,使Windows Server 2003安全性大大加強。 一、安裝過程中的安全問題 1.NTFS系統。 老生長談的話題了。NTFS系統為一種高級的文件系統,提供了性能、安全、可靠性以及未在任何FAT格式版本中提供的高級功能,通過它可以實現任意文件及文件夾的加密和權限設置(這是最直觀的安全設置了),磁盤配額和壓縮等高級功能。通過它,你還可以更好的利用磁盤空間,提高系統運行速度……自WindowsNT系統以來,使用NTFS系統已經逐漸成了一種共識。為了體驗NTFS系統帶來的這些免費的優惠,筆者特意把硬盤所有分區都轉成了NTFS系統。如果你在安裝時不選用NTFS系統,那麼後面的很多安全配置如用戶權限設置等你將都不能實現。 2.安裝過程中有關安全的提示。 在安裝過程中需要輸入Administrator密碼,新的Windows Server 2003提供了一個比較成熟的密碼規則,當你輸入的密碼不符合規則時,就會以圖片形式出現如下提示(由於安裝未完成,不能抓圖,請諒解。內容已經抄下來了): 您已經指定的管理員帳戶的密碼不符合密碼的條件,建議使用的密碼應符合下列條件之中的前二個及至少三個: - 至少6個字符 - 不包含"Administrator"或"Admin" - 包含大寫字母(A、B、C等等) - 包含小寫字母(a、b、c等等) - 包含數字(0、1、2等等) - 包含非字母數字字符(#、&、~等等) 您確定要繼續使用當前密碼嗎? 之所以說是「比較成熟」的密碼規則,因為就算你的密碼設置不符合此規則也能照樣順利進行下一步安裝,這就為以後的系統安全埋下了隱患。但總的來說,有了這一規則就已經很不錯了,以前的版本沒有,就出現了N多空密碼的很快淪為肉雞的機器。相信有了這一提示後,可以在很大程度上減小這種現象。 3.在完全配置完成後不要把機器接到網絡中(包括局域網)。 因為這時候你滿的漏洞的機器隨時等候別人的「照顧」,只要有人連接上來,就是Admin權限。這一點相信瞭解安全的朋友都知道。 在整個安裝過程中需要注意的基本就這麼多了。另外,不知道大家有沒有注意到,按默認安裝後,系統根目錄下多出來一個0字節的wmpub文件夾,裡面又有一個0字節的wmiislog文件夾。後來發現有一個不明程序在使用這個wmiislog文件夾,但到底是什麼程序,有什麼用途用還不清楚,不知道是否和安全有關,能否被利用。請知道的朋友告知一聲。 二、初級安全配置 1.關閉默認的磁盤共享,修改組或用戶對磁盤的控制權限。 安裝完成後,默認是共享了所有硬盤分區的,還包括提供遠程IPC和遠程管理的兩個共享:IPC$和ADMIN$,這就為以後的系統安全埋下了隱患,圖1。
圖一 解決這個問題有很多辦法,這裡介紹一種簡單可行的解決方案。從「計算機管理」裡打開「服務」(或者在運行裡鍵入Services.msc回車),在裡面找到Server服務,雙擊打開其屬性,並設置為「禁用」即可,圖2。
圖二 Server服務是系統默認的和共享有關的服務,支持計算機通過網絡的文件、打印和命名管道共享,禁用此服務後,一切基於此服務的其他服務也同時被禁止,包括Computer Browser和Distributed File Sysetm兩個服務。前一個服務是Windows Server 2003的新服務,利用它可以把分散的共享合併成一個邏輯名稱空間並在網絡上管理這些邏輯卷,這能大大方便用戶使用和管理那些分散的共享。後一個服務用來維護網絡上計算機的更新列表,並將列表提供給計算機指定瀏覽,如果停止此服務,則列表就不會被更新或維護。當禁用Server服務後,這兩個服務就不能使用。 另外,默認Everyone組用戶對所有共享擁有完全的控制權,這也是非常危險的,任何人只要訪問共享,就可以完全控制此共享,這當然是不符合安全要求的,圖3。
圖三 解決的辦法也很簡單,修改共享的安全屬性,刪除Everyone組或修改其訪問權限即可。首先在共享上點右鍵打開其屬性,在「安全」標籤裡可以看到此時可以訪問此共享的組或用戶情況,圖3,下面的框顯示的是被選中組或用戶所擁有的權限。這裡可以看到Everyone組擁有完全控制權。現在我們可以根據自己的實際情況來配置裡面的組或用戶擁有的權限。如果繼續允許Everyone組用戶訪問,則必須從新設置其訪問權限,只需要把「允許」裡的權限後面的方框裡的鉤去掉即可。如果要刪除Everyone組,則單擊「刪除」即可。如果需要新添加用戶或組,使其也可以訪問此共享,單擊「高級」按鈕進入高級安全設置,如圖4。
圖四 再單擊「添加」進入用戶選擇,單擊「高級」,選擇「立即查找」就可以找到此計算機上所有的用戶和組,圖5。
圖五 這裡以Users組為例介紹。首先找到並選中Users組,單擊「確定」進入權限設置,圖6,這裡就可以為Users組用戶選擇共享的權限,完了確定即可。這時候,Users組用戶也可以訪問此共享,並且擁有為其設置好的權限。
圖六 2.修改組或用戶的訪問權限,達到需要的安全要求。 由於在安裝時使用了NTFS系統,我們可以對任何文件及文件夾進行權限設置,使得各組和用戶對某一文件或文件夾的控制權不同。通過這樣的配置就能達到一定的安全要求。這裡以Tools文件夾為例介紹如何具體配置其安全屬性。首先點右鍵打開其屬性,選擇「安全」標籤,可以看到目前可訪問此文件夾的所有用戶,圖7。
圖七 作為系統管理員,當然是擁有完全控制的權限了,但其他用戶或組就不一定要為其分配這麼高的權限,這不符合安全配置的原則,所以就得修改。仍以Users組為例介紹。單擊「添加」選擇用戶和組,圖8,單擊「高級」,再單擊「立即查找」即可找到當前計算機的所有用戶和組,圖5。
圖八 選擇Users組後確定。可以看到此時能訪問該文件夾的用戶個組除了原來的Administrator還多了一個Users組用戶,圖9。
圖九 這裡默認權限為讀取和運行、列出文件夾目錄和讀取。根據不同的安全要求可以為新加的Users組用戶配置其權限。當然你也可以直接按「刪除」把你想要刪除的用戶或組從列表中刪除,這樣他就不在有訪問此文件夾的權限。 需要注意的幾點: * 此權限設置是基於NTFS系統的,FAT格式的磁盤不能進行權限設置。 * 對某一文件的安全配置和對文件夾的安全配置完全一樣,從文件的屬性裡配置就行了。 * 如果完全刪除了某一文件或文件夾的所有用戶或組,會出現圖10的提示,如果確定,此文件或文件夾就不可訪問,無論你的身份有多高,圖11。只有以Admin身份登錄,從新配置其安全屬性,為其添加新的用戶或組。
圖十
圖十一 3.利用加密文件系統(EFS),加密文件或文件夾。 Windows Server 2003支持利用EFS技術對任意文件或文件夾進行加密,這是一種核心的文件加密技術,基於NTFS系統,只有NTFS系統的磁盤才能使用此技術。加密後的文件或文件夾就不可被除此用戶以外的任何用戶訪問,而無論你的身份有多高。這樣就能更好的保護自己的敏感數據和重要文件。下面以Tools文件夾加密為例介紹。首先右鍵打開其屬性,在「常規」標籤裡「選擇「高級」選項進入高級屬性,圖12,
圖十二 將「加密內容以便保護數據」框選中並確認,圖13。
圖十三 確定後會出現圖14所示的選項。
圖十四 如果選擇上面一項,則只加密此文件夾,其他用戶雖然不能直接訪問此文件夾,但可以通過其他途徑如直接鍵入完整路徑來訪問裡面的內容;如果選擇下面一項,則此文件夾內所有的文件和文件夾都將被加密。 使用加密文件系統需要注意以下幾點: * 只有在NTFS系統上才支持數據加密,如果被加密的數據被移動到FAT格式的磁盤上,則會自動解密。 * 將非加密的數據移動到已加密的文件夾中,則會被自動加密,而且此過程是不可逆的,即把已加密的文件夾中數據移動到此文件夾外,數據不會自動解密。 * 無法加密系統文件、已被壓縮過的數據和Systemroot文件夾(即安裝目錄的Windows文件夾)。 * 加密數據不能防止被刪除或列出目錄,具有訪問權限的組或用戶即可刪除或列出已加密數據的目錄。所以應結合組或用戶權限設置,進一步保護好數據安全。 4.通過「軟件限制策略」限制任意程序的使用。 在計算機的日常使用中,我們總是需要限制某些用戶執行所有或部分程序,通過設置合理的規則可以鎖定系統所有或部分程序的運行。另一方面,隨著網絡、Internet以及電子郵件在日常生活中的使用日益增多,越來越多的病毒和木馬會故意進行偽裝來欺騙我們運行它們。而要做出安全的選擇來確定某個程序是否安全是非常困難的。「軟件限制策略」控制未知或不信任的軟件的運行需求,從而從一定程度上達到預防病毒和木馬的功效,為營造一個安全的環境提供了條件。接下來,筆者就介紹一下如何設置「軟件限制策略」。 從「管理工具」裡打開「本地安全設置」,在左側的窗口裡,可以看見「軟件限制策略」,打開後裡面包含兩個選項:「安全級別」和「其他規則」,圖15。
圖十五 在「安全級別」裡,如果選擇了「不允許的」作為默認項,會出現一個提示框,圖16,
圖十六 確定後,系統會按新的規則將所有的可執行程序設置為禁用,當試圖打開程序時會提示錯誤,圖17。這就達到了鎖定所有程序的目的。解鎖的辦法當然就是還原「不受限的」為默認項了。
圖十七 在「其他規則」裡,可以定義四種規則來滿足不同的需求:證書規則、哈希規則、Internet區域規則、路徑規則。這裡以「路徑規則」來介紹,其他的用法和作用都基本一樣。首先在「其他規則」上點右鍵,選擇「新建路徑規則」,圖18。
圖十八 點「瀏覽」選好具體的文件夾,在安全級別裡選擇「不允許的」,然後確定。這樣就達到了對所選的文件夾內所有程序鎖定的目的。此時如果繼續運行此文件夾內的任何程序都回提示錯誤,圖19。同樣在這裡可以選擇某個具體的程序來鎖定。
圖十九 介紹了基本的使用方法,但這並不能滿足所有的安全需求。有的時候,我們需要只能運行個別程序,硬盤上其他所有的程序都不能運行。如何達到這個目的呢?首先在「安全級別」裡把「不允許的」設置為默認,再到「其他規則」裡設置想運行的程序路徑,並設置安全級別為「不受限的」。這樣,除了新規則規定的程序以外,其他一切程序都不能運行。那麼如何利用此規則做好病毒和木馬的防禦工作呢?我們可以在「其他規則」裡設置新規則,路徑指向郵件附件保存的路徑,然後把安全級別設置為「不允許的」即可。 另外,「軟件限制策略」和權限沒有關係,如果限制了某個程序不能執行,無論你以何身份身份來運行都會提示不能運行。經過處理後的程序對遠程登錄的用戶一樣適用。雖然設置適當的安全規則可以從一定程度上防禦病毒和木馬的襲擊,但切不可把「軟件限制策略」當成防病毒軟件來使用,這只是緩兵之計。 三、高級安全設置 1.禁止不必要的服務,杜絕隱患。 服務從本質上說也只是一個程序而已,它與其他程序所不同的地方在於它提供一種特殊的功能來支持系統完成特定的工作。Windows Server 2003安裝完後默認有84項服務,默認隨系統啟動的有36項。這裡面每一項服務是否安全,特別是那些隨系統啟動的服務是否有被利用的可能性,這對安全來說了非常重要的。在Windows Server 2003發行後不到2個月就被人發現有了一個基於一項默認服務的漏洞,幸好這個漏洞對Windows Server 2003的危害程度較低,而且這項服務默認狀態下是關閉的。下面筆者就結合自己的經驗,談一談如何安全地配置好系統的所有服務。 從「管理工具」裡打開「服務」,圖20。
圖二十 可以看到系統所有服務的具體情況。這裡僅以典型的Remote Registry服務為例介紹,目的在於提供一個安全配置服務的方法。在服務列表裡找到Remote Registry服務,可以看到左面空白部分對這一服務的解釋為「使遠程用戶能修改此計算機上的註冊表設置。如果此服務被終止,只有此計算機上的用戶才能修改註冊表……」,可以看出,正常情況下並不需要這項服務,而且如果啟用這項服務還可能給系統帶來安全隱患,所以必須禁用。雙擊Remote Registry服務進入其屬性設置,圖21。
圖二十一 在「啟動類型」裡把默認的「自動」修改為「禁用」,最後確定即可。當此服務被關閉後,一切和註冊表有關的遠程行為都被終止,這也使得一些惡意網頁對本地註冊表的修改成了泡影,網上的惡意用戶也別想對註冊表進行修改和設置,大大降低了系統被破壞和被中上木馬的幾率,達到了維護系統安全的目的。 一個有趣的現象是,微軟對Windows Installer服務的介紹中,竟然出現了錯別字!!呵呵,圖22。
圖二十二 2.改變遠程控制的默認模式。 對於個人用戶來說,終端服務(不同與上面介紹過的服務)一般來說是不適用的,它的危險性遠大於它帶來的幫助,它允許從網絡中的任何虛擬計算機上管理你的機器。看看微軟的說明:可使用運行 Windows Server 2003家族操作系統的任何計算機,通過「管理遠程桌面」,來遠程管理服務器。使用系統自帶的「遠程桌面連接」即可完成連接和控制,圖23。
圖二十三 所以,對於普通用戶來說,必須禁止終端服務。從「管理工具」中進入「終端服務配置」,在連接上點右鍵選擇其屬性,圖24。
圖二十四 在連接屬性上選擇「遠程控制」標籤,選中「不允許遠程控制」後確定,圖25。通過這樣的修改,即可避免遠程用戶的非法連接。
圖二十五 3.配置本地安全設置。 雖然微軟聲稱Windows Server 2003按默認安裝後其安全性很強,但筆者發現其實不然,也有很多地方需要經過細心配置才能達到所需要的安全性。「本地安全設置」就是需要好好配置的一塊地方。 從「管理工具」裡打開「本地安全設置」,圖26。
圖二十六 其中的密碼策略、帳戶鎖定策略、審核策略、擁護權限分配、安全選項等都需要仔細配置。筆者以「用戶權限分配」為例介紹方法。選中「用戶權限分配」後可以看到可進行某一行為的所有默認組,如圖26中第七項,可以看到一共有5個組的用戶擁有從遠程訪問計算機的權限,這是不符合我們的安全要求的,需要從新配置。雙擊這一項打開其屬性,圖27。這裡可以刪除Everyone、Power Users和Users組,或者也可以單擊「添加用戶或組」來從新確定可從遠程訪問此計算機的用戶或組。參考圖5和圖8。
圖二十七 上面所介紹的只是方法,具體要設置那些行為的權限,就要看用戶的具體情況了。雖然這需要有較大的耐心一項一項的配置,但它卻是一勞永逸的做法。另外圖26所示的每一項策略,都需要具體配置,這樣才能打造出一道堅不可摧的系統防線。 四、一些安全常識和注意事項 1.杜絕基於Guest帳戶的系統入侵。 很多文章中都介紹過如何利用Guest用戶得到Admin權限的方法,思路和手段不局一格,看了讓人不禁叫絕。為什麼會出現這樣的問題呢?如何解決這個問題呢? Guest用戶作為一個來賓帳戶,他的權限是很低的,而且默認密碼為空,這就使得入侵者可以利用種種途徑,通過Guest登錄並最終拿到Admin權限。如何做到這一點不在本文討論的範圍內,這裡只介紹如何防禦這種基於Guest的入侵。通過對入侵者行為的分析,筆者發現進禁用或徹底刪除Guest帳戶是最好最根本的辦法。但在某些必須得使用到Guest帳戶的情況下,就需要通過其他途徑來做好防禦工作了。首先是要給Guest加一個強的密碼,這一步可在「管理工具」----「計算機管理」----「本地用戶和組」----「用戶」裡面設置,圖28。然後,按照初級安全配置裡面介紹的方法,詳細設置Guest帳戶對物理路徑的訪問權限。
圖二十八 2.為Administrator用戶改名,並設置複雜密碼。 Administrator帳戶擁有最高的系統權限,一旦此帳戶被人利用,後果不堪設想。這就使得必須加強此帳戶的管理,首先當然也是為其設置一個強大複雜的密碼。下來筆者介紹重新配置Administrator帳戶欺騙入侵者的方法。 打開「管理工具」----「本地安全設置」,打開其「本地策略」中的「安全選項」,在最後面可以看到有一項帳戶策略:重命名系統管理員帳戶,圖29。
圖二十九 雙擊此策略進入其屬性即可修改,圖30。這裡修改為54master。
圖三十 打開「管理工具」----「計算機管理」----「本地用戶和組」----「用戶」,圖31。
圖三十一 雙擊Administrator進入其屬性,記下其描述,圖32,並從新修改為其他描述。
圖三十二 然後在「用戶」上單擊右鍵,選擇「新用戶」,寫上如圖33所示資料後確定。
圖三十三 回到「用戶」,雙擊剛建立好的新帳戶進入其屬性,把默認的全名刪除。再在「隸屬於」標籤裡把他從默認所屬的Users組裡刪除後確定,圖34。
圖三十四 看看圖35,如果你是入侵者,你能分辨出來那個才是真正的系統管理員嗎?誰能想到新建的帳戶已經不是系統管理員,而成為不屬於任何組的沒有任何權限的新成員呢?入侵者會花無數的精力來想辦法弄多它的密碼的,呵呵。讓他去忙吧。
圖三十五 3.其他需要注意的地方。 隨時警惕系統、安全、和應用程序的日誌,警惕註冊表啟動項的變化、警惕用戶帳戶等敏感的地方是保證你系統安全的必要條件。經常備份數據以應付災難性事故。用戶和權限的分配應當本著最小權限原則,即在不影響用戶正常使用的情況下,為其分配最小的權限。感覺有時候也是很重要的,系統突然變慢就要先憑感覺判斷一下是否感染了病毒等。系統安全就如同計劃生育,是個長期性的工作,就算你配置的再好的系統,也可能被人利用新的漏洞攻破,這就使得管理員必須隨時學習。 後記: 通過筆者一段時間的使用,Windows Server 2003給人的總體感覺還是不錯的。它的啟動速度比2000和XP都快,系統內新加了許多好用的DOS 新功能。如使用Defrag命令進行磁盤碎片整理;使用Diskpart命令管理磁盤、分區或卷;使用Taskkill命令管理系統進程;使用Logman命令創建和管理時間跟蹤會話日誌和性能日誌。作為一個Server版本,Windows Server 2003新增的「分佈式文件系統」(即DFS)可以將分佈在域上多個服務器上的文件集中到一個邏輯名稱的空間中,用戶只需要訪問一個驅動器即可訪問到所有的共享文件。Windows Server 2003還有許多其他的新功能等著用戶的發掘。有興趣的用戶可以到****下載使用版。 但是,隨著微軟對操作系統的開發速度越來越快,WS對硬件的要求也越來越高,建議配置CPU主頻為550MHz,內存256MB,硬盤系統分區2G,顯示器分辨律800*600。這使得一些配置較老的用戶面對如此誘人的新操作系統望而卻步。而另一些已經使用上的用戶,他們的問題在於,許多硬件都沒有Windows Server 2003下的驅動程序,有的可以用2000或XP的代替,但有的就不行。筆者一塊原不需要驅動的網卡不能被識別,使用2000或XP的驅動仍無濟於事。 總的來說,Windows Server 2003的性能還是不錯的,它是微軟公司公開宣佈重視產品安全後發佈的第一款操作系統,它曾經三次被推遲發佈時間,部分原因就是為了提高安全和可靠性,很多地方都比以前的版本有了改善。比如關機時要記載關機理由,下載時會提示可能為危險文件……這些都是以前的版本沒有的新事物。另外,上網的朋友應該有隨系統啟動的病毒防火牆,隨時防禦病毒和木馬的襲擊。對於系統的各項安全配置,只要使用者能靈活運用,取長補短,再加之有較好的安全意識,作為普通的用戶來說,其安全性完全可以滿足你的要求。 |