打造安全的Win 2003操作系统（下）

　　前言：

　　2003年5月22日，微软的新一代操作系统Windows Server 2003中文版开始在国内发行。从Windows95一路用到现在，笔者觉得微软在安全面做的还算是说的过去的，虽然说漏洞很多。2003总体感觉上安全做的还不错，交互式登录、网络身份验证、基于对象的访问控制、比较完整的安全策略、数据加密保护……笔者这里要谈的这款Windows Server 2003是按默认安装的，机器配置一般。目的是通过下面介绍的安全配置，使其安全性大大加强。昨天我们刊登了上半部份，今天刊登下半部份的内容。

　　三、高级安全配置

　　1．禁止不必要的服务，杜绝隐患。
　　　　
　　服务从本质上说也只是个程式而已，他和其他程式所不同的地方在于他提供一种特别的功能来支持系统完成特定的工作。Windows Server 2003安装完后默认有84项服务，默认随系统启动的有36项。这里面每一项服务是否安全，特别是那些随系统启动的服务是否有被利用的可能性，这对安全来说了很重要的。在Windows Server 2003发行后不到2个月就被人发现有了一个基于一项默认服务的漏洞，幸好这个漏洞对Windows Server 2003的危害程度较低，而且这项服务默认状态下是关闭的。下面笔者就结合自己的经验，谈一谈如何安全地配置好系统的任何服务。

　　从“管理工具”里打开“服务”，图20。能够看到系统任何服务的具体情况。这里仅以典型的Remote Registry服务为例介绍，目的在于提供一个安全配置服务的方法。在服务列表里找到Remote Registry服务，能够看到左面空白部分对这一服务的解释为“使远程用户能修改此电脑上的注册表配置。假如此服务被终止，只有此电脑上的用户才能修改注册表……”，能够看出，正常情况下并无需这项服务，而且假如启用这项服务还可能给系统带来安全隐患，所以必须禁用。双击Remote Registry服务进入其属性配置，图21。在“启动类型”里把默认的“自动”修改为“禁用”，最后确定即可。当此服务被关闭后，一切和注册表有关的远程行为都被终止，这也使得一些恶意网页对本地注册表的修改成了泡影，网上的恶意用户也别想对注册表进行修改和配置，大大降低了系统被破坏和被中上木马的几率，达到了维护系统安全的目的。

图 20



图 21

　　一个有趣的现象是，微软对Windows Installer服务的介绍中，竟然出现了错别字！！呵呵，图22。

图 22

　　2．改变远程控制的默认模式。
　　
　　对于个人用户来说，终端服务（不同和上面介绍过的服务）一般来说是不适用的，他的危险性远大于他带来的帮助，他允许从网络中的任何虚拟电脑上管理您的机器。看看微软的说明：可使用运行 Windows Server 2003家族操作系统的任何电脑，通过“管理远程桌面”，来远程管理服务器。使用系统自带的“远程桌面连接”即可完成连接和控制，图23。所以，对于普通用户来说，必须禁止终端服务。从“管理工具”中进入“终端服务配置”，在连接上点右键选择其属性，图24。在连接属性上选择“远程控制”标签，选中“不允许远程控制”后确定，图25。通过这样的修改，即可避免远程用户的非法连接。

图 23



图 24



图 25

　　3．配置本地安全配置。

　　虽然微软声称Windows Server 2003按默认安装后其安全性很强，但笔者发现其实不然，也有很多地方需要经过细心配置才能达到所需要的安全性。“本地安全配置”就是需要好好配置的一块地方。

　　从“管理工具”里打开“本地安全配置”，图26。其中的密码策略、帐户锁定策略、审核策略、拥护权限分配、安全选项等都需要仔细配置。笔者以“用户权限分配”为例介绍方法。选中“用户权限分配”后能够看到可进行某一行为的任何默认组，如图26中第七项，能够看到一共有5个组的用户拥有从远程访问电脑的权限，这是不符合我们的安全需要的，需要从新配置。双击这一项打开其属性，图27。这里能够删除Everyone、Power Users和Users组，或也能够单击“添加用户或组”来从新确定可从远程访问此电脑的用户或组。参考图5和图8。

图 26



图 27

　　上面所介绍的只是方法，具体要配置那些行为的权限，就要看用户的具体情况了。虽然这需要有较大的耐心一项一项的配置，但他却是一劳永逸的做法。另外图26所示的每一项策略，都需要具体配置，这样才能打造出一道坚不可摧的系统防线。

　　四、一些安全常识和注意事项

　　1．杜绝基于Guest帐户的系统入侵。

　　很多文章中都介绍过如何利用Guest用户得到Admin权限的方法，思路和手段不局一格，看了让人不禁叫绝。为什么会出现这样的问题呢？如何解决这个问题呢？

　　Guest用户作为一个来宾帐户，他的权限是很低的，而且默认密码为空，这就使得入侵者能够利用种种途径，通过Guest登录并最终拿到Admin权限。如何做到这一点不在本文讨论的范围内，这里只介绍如何防御这种基于Guest的入侵。通过对入侵者行为的分析，笔者发现进禁用或完全删除Guest帐户是最好最根本的办法。但在某些必须得使用到Guest帐户的情况下，就需要通过其他途径来做好防御工作了。首先是要给Guest加一个强的密码，这一步可在“管理工具”----“电脑管理”----“本地用户和组”----“用户”里面配置，图28。然后，按照初级安全配置里面介绍的方法，周详配置Guest帐户对物理路径的访问权限。

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!