论文部分内容阅读
摘要:Windows Server 2003是微软研发的一款作为网络服务器的操作系统,它的安全配置包括安全安装、用户安全管理、策略安全管理、网络服务安全配置、访问控制和安全审计等方面。对其进行合理配置能极大的提高其安全性。
关键词:安全配置 网络操作系统 安装 安全管理 用户账号 策略 权限 安全审计
Windows Server 2003是微软研发的一款服务器版的操作系统,上面集成了多种网络服务,便于用户对网络资源进行合理的管理和调度。由于是基于窗口的操作系统,因此对于用户来说比较容易上手,其功能也比较容易学习。但对于网络操作系统来说,安全问题尤为关键,因此这里针对Windows Server 2003的安全配置,我们从以下几个方面入手来谈一谈。
第一方面是安全安装。Windows Server 2003的安全安装可以有多种途径,这里认为最简单的方法便是断网安装,这是针对初级管理员适应的方法。首先,找来安全的安装盘或者安装包,按照正确的方法安装,安装时划分好分区,选择安装目录,不安装多余服务;其次,安装好防火墙,并进行配置,给系统打补丁;最后,安装所需软件,使系统达到基本安全时再联网进行检测。对于网络操作系统的安全来说,要想达到所谓的安全,首先要保证的就是操作系统的安全,如果操作系统本身存在安全隐患,那么无论网络服务配置的多么合理,这个网络系统也只能是处于亚安全状态。因此大家在选择操作系统的时候可以把各种网络操作系统的安全性作为一个很重要的衡量指标来看待。
第二方面是用户的安全管理。用户的安全管理又分为很多方面:
其一是用户账号的安全。Windows安装时将创建两个帐号:Administrator和Guest。其他帐号自己建立,或者安装某组件时自动产生,用户帐号的安全管理使用了安全帐号管理机制——SAM,它是Windows系统账户管理的核心,负责SAM数据库的控制和维护,SAM是lsass.exe进程加载的。SAM数据库保存在%systemroot%system32\config\目录下的SAM文件中,在这个目录下还包括一个security文件,是安全数据库的内容,两者的关系紧密。SAM用来存储账户的信息,SAM文件中用户的登录名和口令要经过Hash加密。Hash加密有其脆弱性,因此熟悉SAM的结构可以帮助安全维护人员做好安全检测。SAM的内容可以使用regedt32.exe来查看。网络管理人员应熟悉系统的SAM设置,防止系统被不良企图者设置超级隐藏帐号。
其二是用户的密码安全。最好在设置系统口令时使用强密码原则,它的内容主要有:口令应该不少于8个字符;同时包含大小写字母、数字、和键盘上的特殊符号;不要包含完整的字典词汇;不要包含用户的姓名、生日或者敏感名称等。
其三是使用用户策略。操作系统本身有账户的安全策略。账户策略包含密码策略和账户锁定策略。配置步骤如下:“开始”→“运行”→“secpol.msc”→“本地安全策略”→“帐号策略” →“密码策略”。然后设置如下几项:强制密码历史;密码最短使用期限;密码最长使用期限。密码必须符合复杂性要求。
另外,重新命名Administrator帐号,创建一个陷阱用户(就是再设置一个Administrator用户,将其权限设置成最低,并给其配置一个超复杂密码,转移入侵者注意力。),禁用或删除不必要帐号。
第三方面是策略的安全管理,包括用户策略和组策略。上面已经提到了用户策略,这里主要说下组策略。组策略(Group Policy)是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。 因此如果需要给系统添加账户时,请使用组策略,而尽量不要给用户设置独立的权限,以免造成管理混乱,给系统带来安全隐患。
第四方面是IIS等网络服务的安全配置。原则上来说,不用的服务组件不要安装,安装了服务组件就会开启相应的服务端口,如果不熟悉的话,配置上面出现漏洞就会别人找到入侵的切入点。安装完某个服务后查看相应的帐号,并对系统服务的日志文件位置进行更改。
第五方面是安装防病毒软件。防病毒软件的功能众所周知,排除电脑中的病毒程序,帮助维护系统安全的软件。安装了防病毒软件可以简化管理员的管理工作,为系统维护工作带来了很大的便利。现在有很多防病毒软件,如卡巴、赛门铁克,小红伞、麦咖啡、诺顿,avast,360等都各有优点。
第六方面是給所有必要的文件共享设置适当的访问控制权限。文件共享是网络提供资源共享的一个很重要的方法设置和查看的方法都很简单。设置的时候只要在对应的文件夹上右键单击,选相应设置即可。查看的方法有很多,可以在“开始”→“程序”→“管理工具”→“计算机管理”中找到“共享文件夹”管理项目,展开左侧“共享文件夹”查看。当然,对于共享文件中不可忽视的是常见的特殊共享:driveletter$、ADMIN$、IPC$、PRINT$和磁盘隐藏共享。有些特殊共享不可删除但可以停用,因此有需要时可以停用,防止系统存在安全隐患。
最后是第七方面,安全审计。安全审计包括对安全事件查看并分析(日志分析)、审核策略、网络性能查看等,是维护系统安全的重要步骤。Windows Server 2003的日志包括应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等,大家应随时关注这些日志的内容、格式、位置以及大小有无变化,尤其注意失败、警告的事件。安全审核包括登录事件、账户管理、对象访问、策略更改、特权使用、系统事件、目录服务访问、账户登录事件是否成功。一般的入侵人员都是通过更改安全审计记录来消除入侵痕迹的,因此对于服务器管理员人员来说应随时关注安全审计信息。
通过以上几个方面简单的介绍了网络操作系统Windows Server 2003的安全配置方法。其实每个网络操作系统都有自己的特点,应根据需要进行合理配置,发挥其最好状态。
关键词:安全配置 网络操作系统 安装 安全管理 用户账号 策略 权限 安全审计
Windows Server 2003是微软研发的一款服务器版的操作系统,上面集成了多种网络服务,便于用户对网络资源进行合理的管理和调度。由于是基于窗口的操作系统,因此对于用户来说比较容易上手,其功能也比较容易学习。但对于网络操作系统来说,安全问题尤为关键,因此这里针对Windows Server 2003的安全配置,我们从以下几个方面入手来谈一谈。
第一方面是安全安装。Windows Server 2003的安全安装可以有多种途径,这里认为最简单的方法便是断网安装,这是针对初级管理员适应的方法。首先,找来安全的安装盘或者安装包,按照正确的方法安装,安装时划分好分区,选择安装目录,不安装多余服务;其次,安装好防火墙,并进行配置,给系统打补丁;最后,安装所需软件,使系统达到基本安全时再联网进行检测。对于网络操作系统的安全来说,要想达到所谓的安全,首先要保证的就是操作系统的安全,如果操作系统本身存在安全隐患,那么无论网络服务配置的多么合理,这个网络系统也只能是处于亚安全状态。因此大家在选择操作系统的时候可以把各种网络操作系统的安全性作为一个很重要的衡量指标来看待。
第二方面是用户的安全管理。用户的安全管理又分为很多方面:
其一是用户账号的安全。Windows安装时将创建两个帐号:Administrator和Guest。其他帐号自己建立,或者安装某组件时自动产生,用户帐号的安全管理使用了安全帐号管理机制——SAM,它是Windows系统账户管理的核心,负责SAM数据库的控制和维护,SAM是lsass.exe进程加载的。SAM数据库保存在%systemroot%system32\config\目录下的SAM文件中,在这个目录下还包括一个security文件,是安全数据库的内容,两者的关系紧密。SAM用来存储账户的信息,SAM文件中用户的登录名和口令要经过Hash加密。Hash加密有其脆弱性,因此熟悉SAM的结构可以帮助安全维护人员做好安全检测。SAM的内容可以使用regedt32.exe来查看。网络管理人员应熟悉系统的SAM设置,防止系统被不良企图者设置超级隐藏帐号。
其二是用户的密码安全。最好在设置系统口令时使用强密码原则,它的内容主要有:口令应该不少于8个字符;同时包含大小写字母、数字、和键盘上的特殊符号;不要包含完整的字典词汇;不要包含用户的姓名、生日或者敏感名称等。
其三是使用用户策略。操作系统本身有账户的安全策略。账户策略包含密码策略和账户锁定策略。配置步骤如下:“开始”→“运行”→“secpol.msc”→“本地安全策略”→“帐号策略” →“密码策略”。然后设置如下几项:强制密码历史;密码最短使用期限;密码最长使用期限。密码必须符合复杂性要求。
另外,重新命名Administrator帐号,创建一个陷阱用户(就是再设置一个Administrator用户,将其权限设置成最低,并给其配置一个超复杂密码,转移入侵者注意力。),禁用或删除不必要帐号。
第三方面是策略的安全管理,包括用户策略和组策略。上面已经提到了用户策略,这里主要说下组策略。组策略(Group Policy)是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。 因此如果需要给系统添加账户时,请使用组策略,而尽量不要给用户设置独立的权限,以免造成管理混乱,给系统带来安全隐患。
第四方面是IIS等网络服务的安全配置。原则上来说,不用的服务组件不要安装,安装了服务组件就会开启相应的服务端口,如果不熟悉的话,配置上面出现漏洞就会别人找到入侵的切入点。安装完某个服务后查看相应的帐号,并对系统服务的日志文件位置进行更改。
第五方面是安装防病毒软件。防病毒软件的功能众所周知,排除电脑中的病毒程序,帮助维护系统安全的软件。安装了防病毒软件可以简化管理员的管理工作,为系统维护工作带来了很大的便利。现在有很多防病毒软件,如卡巴、赛门铁克,小红伞、麦咖啡、诺顿,avast,360等都各有优点。
第六方面是給所有必要的文件共享设置适当的访问控制权限。文件共享是网络提供资源共享的一个很重要的方法设置和查看的方法都很简单。设置的时候只要在对应的文件夹上右键单击,选相应设置即可。查看的方法有很多,可以在“开始”→“程序”→“管理工具”→“计算机管理”中找到“共享文件夹”管理项目,展开左侧“共享文件夹”查看。当然,对于共享文件中不可忽视的是常见的特殊共享:driveletter$、ADMIN$、IPC$、PRINT$和磁盘隐藏共享。有些特殊共享不可删除但可以停用,因此有需要时可以停用,防止系统存在安全隐患。
最后是第七方面,安全审计。安全审计包括对安全事件查看并分析(日志分析)、审核策略、网络性能查看等,是维护系统安全的重要步骤。Windows Server 2003的日志包括应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等,大家应随时关注这些日志的内容、格式、位置以及大小有无变化,尤其注意失败、警告的事件。安全审核包括登录事件、账户管理、对象访问、策略更改、特权使用、系统事件、目录服务访问、账户登录事件是否成功。一般的入侵人员都是通过更改安全审计记录来消除入侵痕迹的,因此对于服务器管理员人员来说应随时关注安全审计信息。
通过以上几个方面简单的介绍了网络操作系统Windows Server 2003的安全配置方法。其实每个网络操作系统都有自己的特点,应根据需要进行合理配置,发挥其最好状态。