第四章 操作系统安全配置方案

第七章 操作系统安全配置方案

内容提要

本章介绍Windows 2000服务器的安全配置。 操作系统的安全将决定网络的安全，从保护级 别上分成安全初级篇、中级篇和高级篇，共36 条基本配置原则。 安全配置初级篇讲述常规的操作系统安全配置， 中级篇介绍操作系统的安全策略配置，高级篇 介绍操作系统安全信息通信配置。

操作系统概述

目前服务器常用的操作系统有三类：

Unix Linux Windows NT/2000/2003 Server。

这些操作系统都是符合C2级安全级别的操作系 统。但是都存在不少漏洞，如果对这些漏洞不 了解，不采取相应的措施，就会使操作系统完 全暴露给入侵者。

Windows系统

Windows NT(New Technology)是微软公司 第一个真正意义上的网络操作系统，发展经过 NT3.0、NT40、NT5.0和NT6.0等众多版本，并 逐步占据了广大的中小网络操作系统的市场。Windows NT众多版本的操作系统使用了与 Windows 9X完全一致的用户界面和完全相同 的操作方法，使用户使用起来比较方便。与 Windows 9X相比，Windows NT的网络功能更 加强大并且安全。

Windows NT系列操作系统

Windows NT系列操作系统具有以下三方面的优点。 (1)支持多种网络协议

由于在网络中可能存在多种客户机，如Windows 95/98、Apple Macintosh、 Unix、OS/2等等，而这些客户机可能使用了不同的网络协议，如TCP/IP协 议、IPX/SPX等。Windows NT系列操作支持几乎所有常见的网络协议。

(2)内置Internet功能

随着Internet的流行和TCP/IP协议组的标准化，Windows NT内置了IIS (Internet Information Server),可以使网络管理员轻松的配置WWW和 FTP等服务。

(3)支持NTFS文件系统

Windows 9X所使用的文件系统是FAT,在NT中内置同时支持FAT和NTFS的 磁盘分区格式。使用NTFS的好处主要是可以提高文件管理的安全性，用户 可以对NTFS系统中的任何文件、目录设置权限，这样当多用户同时访问系 统的时候，可以增加文件的安全性。

安全配置方案初级篇

安全配置方案初级篇主要介绍常规的操 作系统安全配置，包括十二条基本配置 原则：

物理安全、停止Guest帐号、限制用户数量 创建多个管理员帐号、管理员帐号改名 陷阱帐号、更改默认权限、设置安全密码 屏幕保护密码、使用NTFS分区 运行防毒软件和确保备份盘安全。

1、物理安全

服务器应该安放在安装了监视器的隔离 房间内，并且监视器要保留15天以上的 摄像记录。 另外，机箱，键盘，电脑桌抽屉要上锁， 以确保旁人即使进入房间也无法使用电 脑，钥匙要放在安全的地方。

2、停止Guest帐号

在计算机

管理的用户里面把Guest帐号停用，任何时候都不允许 Guest帐号登陆系统。 为了保险起见，最好给Guest 加一个复杂的密码，可以打开记事 本，在里面输入一串包含特殊字符,数字，字母的长字符串。 用它作为Guest帐号的密码。并且修改Guest帐号的属性，设置拒 绝远程访问，如图7-1所示。

3 限制用户数量

去掉所有的测试帐户、共享帐号和普通部门帐号等等。 用户组策略设置相应权限，并且经常检查系统的帐户， 删除已经不使用的帐户。 帐户很多是黑客们入侵系统的突破口，系统的帐户越 多，黑客们得到合法用户的权限可能性一般也就越大。对于Windows NT/2000主机，如果系统帐户超过10个， 一般能找出一两个弱口令帐户，所以帐户数量不要大 于10个。

4 多个管理员帐号

虽然这点看上去和上面有些矛盾，但事实上是服从上面规 则的。创建一个一般用户权限帐号用来处理电子邮件以及 处理一些日常事物，另一个拥有Administrator权限的帐户 只在需要的时候使用。因为只要登录系统以后，密码就存储再WinLogon进程中， 当有其他用户入侵计算机的时候就可以得到登录用户的密 码，尽量减少Administrator登录的次数和时间。

5 管理员帐号改名

Windows 2000中的Administrator帐号是不能被停用的，这意味着 别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐 户改名可以有效的防止这一点。不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普 通用户，比如改成：guestone。具体操作的时候只要选中帐户名 改名就可以了，如图7-2所示。

6 陷阱帐号

所谓的陷阱帐号是创建一个名为“Administrator”的本地帐 户，把它的权限设置成最低，什么事也干不了的那种，并 且加上一个超过10位的超级复杂密码。这样可以让那些企图入侵者忙上一段时间了，并且可以借 此发现它们的入侵企图。可以将该用户隶属的组修改成 Guests组，如图7-3所示。

7 更改默认权限

共享文件的权限从“Everyone”组改成“授权用户”。 “Everyone”在Windows 2000中意味着任何有权进入你的网络的 用户都能够获得这些共享资料。 任何时候不要把共享文件的用户设置成“Everyone”组。包括打印 共享，默认的属性就是“Everyone”组的，一定不要忘了改。设置 某文件夹共享默认设置如图7-4所示。

8安全密码

好的密码对于一个网络是非常重要的，但是也是最容易 被忽略的。一些网络管理员创建帐号的时候往往用公司名，计算机 名，或者一些别的一猜就到的字符做用户名，然后又把 这些帐户的密码设置得比较简单，比如：“welcome”、 “iloveyou”、

“letmein”或者和用户名相同的密码等。这 样的帐户应该要求用户首此登陆的时候更改成复杂的密 码，还要注意经常更改密码。 这里给好密码下了个定义：安全期内无法破解出来的密 码就是好密码，也就是说，如果得到了密码文档，必须 花43天或者更长的时间才能破解出来，密码策略是42天 必须改密码。

9屏幕保护密码

设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意 不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，黑 屏就可以了。 还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。 将屏幕保护的选项“密码保护”选中就可以了，并将等待时间设 置为最短时间“1秒”,如图7-5所示。

10 NTFS分区

把服务器的所有分区都改成NTFS格式。 NTFS文件系统要比FAT、FAT32的文件 系统安全得多。

11防毒软件

Windows 2000/NT服务器一般都没有安装防毒软件的， 一些好的杀毒软件不仅能杀掉一些著名的病毒，还能 查杀大量木马和后门程序。设置了放毒软件，“黑客”们使用的那些有名的木马 就毫无用武之地了，并且要经常升级病毒库。

12备份盘的安全

一旦系统资料被黑客破坏，备份盘将是 恢复资料的唯一途径。备份完资料后， 把备份盘防在安全的地方。 不能把资料备份在同一台服务器上，这 样的话还不如不要备份。

安全配置方案中级篇

安全配置方案中级篇主要介绍操作系统 的安全策略配置，包括十条基本配置原 则：

操作系统安全策略、关闭不必要的服务 关闭不必要的端口、开启审核策略 开启密码策略、开启帐户策略、备份敏感文件 不显示上次登陆名、禁止建立空连接和下载最新 的补丁

1 操作系统安全策略

利用Windows 2000的安全配置工具来配置安全策略， 微软提供了一套的基于管理控制台的安全配置和分析工 具，可以配置服务器的安全策略。 在管理工具中可以找到“本地安全策略”,主界面如图 7-6所示。

可以配置四类安全策略：帐户策略、本地策略、公钥策略和IP安 全策略。在默认的情况下，这些策略都是没有开启的。

2 关闭不必要的服务

Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息 服务)等都可能给系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的， 如果开了，要确认已经正确的配置了终端服务。 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要 留意服务器上开启的所有服务并每天检查。 Windows 2000作为服务器可禁用的服务及其相关说明如表7-1所示。