劉偉國

(中國聯(lián)通雞西分公司，黑龍江 雞西 158100)

windows2003服務(wù)器安全設(shè)置問題研究

劉偉國

(中國聯(lián)通雞西分公司，黑龍江 雞西 158100)

網(wǎng)絡(luò)安全問題越來越嚴重，Windows Server 2003系統(tǒng)作為常用的服務(wù)器系統(tǒng)，其操作系統(tǒng)安裝與更新，系統(tǒng)管理員帳號，磁盤訪問權(quán)限，系統(tǒng)帳號數(shù)據(jù)庫，組件與服務(wù)，網(wǎng)絡(luò)連接等問題需深入研究，以此來降低安全隱患。

windows2003；安全設(shè)置；NTFS 目錄權(quán)限

隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)上應(yīng)用種類越來越多，但是在滿足人們工作、生活和娛樂的同時，網(wǎng)絡(luò)安全問題也越來越嚴重，Windows Server 2003系統(tǒng)作為常用的服務(wù)器系統(tǒng)，可以提供支持ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、MsSqlSMTP、POP3、FTP、3389終端服務(wù)、遠程桌面Web連接管理服務(wù)等等，所以windows2003服務(wù)器安全設(shè)置就顯得尤為重要。

一 操作系統(tǒng)的安裝與更新

在安裝Windows Server 2003操作系統(tǒng)時，為提高系統(tǒng)安全，建議采用NTFS文件系統(tǒng)來格式化分區(qū)，并且用最小化方式安裝，只安裝網(wǎng)絡(luò)服務(wù)所必需的組件。在安裝之前把網(wǎng)絡(luò)斷開，當產(chǎn)生新的服務(wù)需求時，再安裝相應(yīng)的服務(wù)組件，并及時進行安全設(shè)置，安裝完成后要第一時間更新系統(tǒng)補丁。如有可能，盡量安裝英文版本的操作系統(tǒng)。因為微軟公司總是最先發(fā)布英文版本的補丁，中文版本的補丁相對滯后一段時間。WindowsServer2003常見的版本有:standard，enterprises，datacenter。

二 系統(tǒng)管理員帳號

Windows2003里，用戶被分成許多組，不同的用戶(用戶組)管理著相應(yīng)的服務(wù)或目錄，具有相同權(quán)限的用戶通常被劃分到同一個用戶組當中，同一個組的用戶和用戶之間也可以有不同的權(quán)限。

Administrators(管理員組)，默認情況下有不受限制的最高權(quán)限。系統(tǒng)的管理員(administrator)就在這個組當中，該組中的用戶具有對整個系統(tǒng)進行完全控制的權(quán)限。

Power Users(高級用戶組)，這個組的權(quán)限是僅次于管理員組(Administrtors),組的成員可以修改整個計算機的設(shè)置。

Users:普通用戶組，這個組的用戶默認只有讀取，列出文件和目錄，寫入權(quán)限三種權(quán)限，沒有運行和完全控制權(quán)限，所以這個組的用戶不能修改系統(tǒng)注冊表設(shè)置、操作系統(tǒng)文件或程序文件和操作系統(tǒng)的設(shè)置或用戶資料。

Guests(來賓組)，這個組的用戶和Users組有同等訪問權(quán)限，但它的限制更多，如IIS的訪問用戶就是這個組的成員。

Everyone(所有的用戶)，是指服務(wù)器上的每一個用戶，當權(quán)限受限時，就可以給這個用戶組賦予相應(yīng)的權(quán)限，但一般情況下不要這么做，尤其是對外提供web或數(shù)據(jù)庫服務(wù)的機器，這樣做就失去了用戶權(quán)限分配的意義，而且會給服務(wù)器帶來巨大的安全隱患。

總之，有高權(quán)限的用戶可以對低權(quán)限的用戶進行操作，而低權(quán)限的用戶無法對高權(quán)限的用戶進行任何操作，但如果低權(quán)限的用戶獲得了高權(quán)限用戶的授權(quán)，就可以訪問NTFS卷上高權(quán)限用戶資料了。

在系統(tǒng)安裝完成后，首先將administrator改名,如：改為root，其次要取消所有除管理員root外所有用戶屬性中的“遠程控制-gt;啟用遠程控制”以及“終端服務(wù)配置文件-gt;允許登陸到終端服務(wù)器”第三要將guest改名為administrator并且修改密碼，因為當攻擊者在入侵系統(tǒng)時會首先嘗試取得管理員administratord口令，這樣做即便攻擊者在取得名為administrator的用戶權(quán)限時，也只是擁有g(shù)uest用戶權(quán)限，不會對系統(tǒng)產(chǎn)生更大的破壞。第四如果不提供特殊服務(wù)，除了管理員root,IUSER以及IWAM以及ASPNET用戶外，禁用其他一切用戶，包括SQL DEBUG以及TERMINAL USER等。

三 磁盤訪問權(quán)限

磁盤分區(qū)分為NTFS、FAT、FAT32。

NTFS (New Technology File System)，使用NTFS文件系統(tǒng)的分區(qū)能提供長文件名、數(shù)據(jù)保護和恢復(fù)，Windows2003系統(tǒng)的不同用戶分配相關(guān)權(quán)限是通過NTFS文件系統(tǒng)實現(xiàn)的。

NTFS卷下的一個目錄有七種權(quán)限：完全控制、修改、讀取和運行、列出文件夾目錄、讀取、寫入和特別的權(quán)限。NTFS文件系統(tǒng)就是這樣通過目錄和文件的許可實現(xiàn)安全性的。

系統(tǒng)的目錄權(quán)限具體設(shè)置。

1.將所有盤符的權(quán)限，全部改為只有administrators組全部權(quán)限；system全部權(quán)限。

2.將C盤的所有子目錄和子文件繼承C盤的administrator(組或用戶)和SYSTEM所有權(quán)限的兩個權(quán)限。

3.Windows目錄要加上給users的默認權(quán)限，否則ASP和ASPX等應(yīng)用程序就無法運行。C:/Documents and Settings/這里相當重要，后面的目錄里的權(quán)限不會繼承C盤的設(shè)置，在All Users/Application Data目錄下還會出現(xiàn)everyone，用戶有完全控制權(quán)限，這一點一定要單獨設(shè)定，否則攻擊者在這里寫入腳本或只讀文件，再結(jié)合其他漏洞來提升權(quán)限，也是很危險的。當然也可以使用更嚴格的權(quán)限，如在WINDOWS下分別目錄設(shè)置權(quán)限，但比較復(fù)雜，效果也并不明顯。以上的設(shè)置基本可以保證系統(tǒng)的安全。

四 系統(tǒng)帳號數(shù)據(jù)庫

系統(tǒng)帳號數(shù)據(jù)庫的位置在C盤——windows——repair——sam中。Syskey可對密碼進行二次加密，并刪除sam，保證系統(tǒng)帳號數(shù)據(jù)庫的安全。

五 組件與服務(wù)

將：net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe，這些文件都設(shè)置只允許administrators訪問。

按照所需要的服務(wù)開放響應(yīng)的端口，把不必要的服務(wù)都禁止掉。

如果服務(wù)器不需要FSO

regsvr32 /u c:windowssystem32;Founderscrrun.dll

注銷組件

使用regedit

將/HKEY_CLASSES_ROOT下的

WScript.Network

WScript.Network.1

WScript.Shell

WScript.Shell.1

Shell.Application

Shell.Application.1

鍵值改名或刪除

將這些鍵值下CLSID中包含的字串

如{72C24DD5-D70A-438B-8A42-98424B88

AFB8}

到/HKEY_CLASSES_ROOT/CLSID下找到以這些字串命名的鍵值全部刪除。

關(guān)閉如下服務(wù)

Computer Browser

Help and Support

Messenger

Print Spooler

Remote Registry

TCP/IP NetBIOS Helper

如果服務(wù)器不用作域控,我們也可以禁用Workstation

盡管這些不一定能被攻擊者利用得上，但是按照安全規(guī)則和標準上來說，多余的東西就沒必要開啟，減少一份隱患。

六 網(wǎng)絡(luò)連接

在“網(wǎng)絡(luò)連接”里，把不需要的協(xié)議和服務(wù)都刪掉，這里只安裝了基本的Internet協(xié)議(TCP/IP)，由于要控制帶寬流量服務(wù)，額外安裝了Qos數(shù)據(jù)包計劃程序。在高級tcp/ip設(shè)置里—“NetBIOS”設(shè)置“禁用tcp/IP上的NetBIOS(S)”。在高級選項里，使用“Internet連接防火墻”，這是windows 2003 自帶的防火墻，在2000系統(tǒng)里沒有的功能，雖然沒什么功能，但可以屏蔽端口，這樣已經(jīng)基本達到了一個IPSec的功能。

在2003系統(tǒng)里，不推薦用TCP/IP篩選里的端口過濾功能，譬如在使用FTP服務(wù)器的時候，如果僅僅只開放21端口，由于FTP協(xié)議的特殊性，在進行FTP傳輸?shù)臅r候，由于FTP 特有的Port模式和Passive模式，在進行數(shù)據(jù)傳輸?shù)臅r候，需要動態(tài)的打開高端口，所以在使用TCP/IP過濾的情況下，經(jīng)常會出現(xiàn)連接上后無法列出目錄和數(shù)據(jù)傳輸?shù)膯栴}。所以在2003系統(tǒng)上增加的windows連接防火墻能很好地解決這個問題，所以不推薦使用網(wǎng)卡的TCP/IP過濾功能。

如果提供IIS和虛擬機服務(wù)，要為每個獨立客戶,建立一個windows用戶，然后在IIS響應(yīng)的站點項內(nèi)把IIS執(zhí)行的匿名用戶綁定成這個用戶。提供數(shù)據(jù)庫服務(wù)要刪除所有危險的擴展，并且定時備份關(guān)鍵數(shù)據(jù)。

經(jīng)過上述相應(yīng)的設(shè)置后服務(wù)器就有了基本的安全設(shè)置，大大地降低了安全隱患，如果再配合殺毒軟件使用，就可以滿足我們的日常服務(wù)需求了。

ClassNo.:TP316.7DocumentMark：A

(責(zé)任編輯：鄭英玲)

StudyofSettingupaWindows2003ServerSafely

Liu Weiguo

(Jixi Branch of China Unicom,Jixi, Heilongjiang 158100，China)

The problem of network security has becomes more and more serious, Windows Server 2003 as the common server system is used in which the installation and update the system of operating system the system ,the administrator account, the disk access, the system account database, the components and services should be all studied carefully in order to reduce the potential safety hazards.

Windows2003; security settings; NTFS directory permissions

劉偉國，工程師，中國聯(lián)通雞西分公司。

1672-6758(2013)08-0063-2

TP316.7

A