劉偉國

(中國聯(lián)通雞西分公司，黑龍江 雞西 158100)

windows2003服務(wù)器安全設(shè)置問題研究

劉偉國

(中國聯(lián)通雞西分公司，黑龍江 雞西 158100)

網(wǎng)絡(luò)安全問題越來越嚴(yán)重，Windows Server 2003系統(tǒng)作為常用的服務(wù)器系統(tǒng)，其操作系統(tǒng)安裝與更新，系統(tǒng)管理員帳號(hào)，磁盤訪問權(quán)限，系統(tǒng)帳號(hào)數(shù)據(jù)庫，組件與服務(wù)，網(wǎng)絡(luò)連接等問題需深入研究，以此來降低安全隱患。

windows2003；安全設(shè)置；NTFS 目錄權(quán)限

隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)上應(yīng)用種類越來越多，但是在滿足人們工作、生活和娛樂的同時(shí)，網(wǎng)絡(luò)安全問題也越來越嚴(yán)重，Windows Server 2003系統(tǒng)作為常用的服務(wù)器系統(tǒng)，可以提供支持ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、MsSqlSMTP、POP3、FTP、3389終端服務(wù)、遠(yuǎn)程桌面Web連接管理服務(wù)等等，所以windows2003服務(wù)器安全設(shè)置就顯得尤為重要。

一 操作系統(tǒng)的安裝與更新

在安裝Windows Server 2003操作系統(tǒng)時(shí)，為提高系統(tǒng)安全，建議采用NTFS文件系統(tǒng)來格式化分區(qū)，并且用最小化方式安裝，只安裝網(wǎng)絡(luò)服務(wù)所必需的組件。在安裝之前把網(wǎng)絡(luò)斷開，當(dāng)產(chǎn)生新的服務(wù)需求時(shí)，再安裝相應(yīng)的服務(wù)組件，并及時(shí)進(jìn)行安全設(shè)置，安裝完成后要第一時(shí)間更新系統(tǒng)補(bǔ)丁。如有可能，盡量安裝英文版本的操作系統(tǒng)。因?yàn)槲④浌究偸亲钕劝l(fā)布英文版本的補(bǔ)丁，中文版本的補(bǔ)丁相對(duì)滯后一段時(shí)間。WindowsServer2003常見的版本有:standard，enterprises，datacenter。

二 系統(tǒng)管理員帳號(hào)

Windows2003里，用戶被分成許多組，不同的用戶(用戶組)管理著相應(yīng)的服務(wù)或目錄，具有相同權(quán)限的用戶通常被劃分到同一個(gè)用戶組當(dāng)中，同一個(gè)組的用戶和用戶之間也可以有不同的權(quán)限。

Administrators(管理員組)，默認(rèn)情況下有不受限制的最高權(quán)限。系統(tǒng)的管理員(administrator)就在這個(gè)組當(dāng)中，該組中的用戶具有對(duì)整個(gè)系統(tǒng)進(jìn)行完全控制的權(quán)限。

Power Users(高級(jí)用戶組)，這個(gè)組的權(quán)限是僅次于管理員組(Administrtors),組的成員可以修改整個(gè)計(jì)算機(jī)的設(shè)置。

Users:普通用戶組，這個(gè)組的用戶默認(rèn)只有讀取，列出文件和目錄，寫入權(quán)限三種權(quán)限，沒有運(yùn)行和完全控制權(quán)限，所以這個(gè)組的用戶不能修改系統(tǒng)注冊(cè)表設(shè)置、操作系統(tǒng)文件或程序文件和操作系統(tǒng)的設(shè)置或用戶資料。

Guests(來賓組)，這個(gè)組的用戶和Users組有同等訪問權(quán)限，但它的限制更多，如IIS的訪問用戶就是這個(gè)組的成員。

Everyone(所有的用戶)，是指服務(wù)器上的每一個(gè)用戶，當(dāng)權(quán)限受限時(shí)，就可以給這個(gè)用戶組賦予相應(yīng)的權(quán)限，但一般情況下不要這么做，尤其是對(duì)外提供web或數(shù)據(jù)庫服務(wù)的機(jī)器，這樣做就失去了用戶權(quán)限分配的意義，而且會(huì)給服務(wù)器帶來巨大的安全隱患。

總之，有高權(quán)限的用戶可以對(duì)低權(quán)限的用戶進(jìn)行操作，而低權(quán)限的用戶無法對(duì)高權(quán)限的用戶進(jìn)行任何操作，但如果低權(quán)限的用戶獲得了高權(quán)限用戶的授權(quán)，就可以訪問NTFS卷上高權(quán)限用戶資料了。

在系統(tǒng)安裝完成后，首先將administrator改名,如：改為root，其次要取消所有除管理員root外所有用戶屬性中的“遠(yuǎn)程控制-gt;啟用遠(yuǎn)程控制”以及“終端服務(wù)配置文件-gt;允許登陸到終端服務(wù)器”第三要將guest改名為administrator并且修改密碼，因?yàn)楫?dāng)攻擊者在入侵系統(tǒng)時(shí)會(huì)首先嘗試取得管理員administratord口令，這樣做即便攻擊者在取得名為administrator的用戶權(quán)限時(shí)，也只是擁有g(shù)uest用戶權(quán)限，不會(huì)對(duì)系統(tǒng)產(chǎn)生更大的破壞。第四如果不提供特殊服務(wù)，除了管理員root,IUSER以及IWAM以及ASPNET用戶外，禁用其他一切用戶，包括SQL DEBUG以及TERMINAL USER等。

三 磁盤訪問權(quán)限

磁盤分區(qū)分為NTFS、FAT、FAT32。

NTFS (New Technology File System)，使用NTFS文件系統(tǒng)的分區(qū)能提供長文件名、數(shù)據(jù)保護(hù)和恢復(fù)，Windows2003系統(tǒng)的不同用戶分配相關(guān)權(quán)限是通過NTFS文件系統(tǒng)實(shí)現(xiàn)的。

NTFS卷下的一個(gè)目錄有七種權(quán)限：完全控制、修改、讀取和運(yùn)行、列出文件夾目錄、讀取、寫入和特別的權(quán)限。NTFS文件系統(tǒng)就是這樣通過目錄和文件的許可實(shí)現(xiàn)安全性的。

系統(tǒng)的目錄權(quán)限具體設(shè)置。

1.將所有盤符的權(quán)限，全部改為只有administrators組全部權(quán)限；system全部權(quán)限。

2.將C盤的所有子目錄和子文件繼承C盤的administrator(組或用戶)和SYSTEM所有權(quán)限的兩個(gè)權(quán)限。

3.Windows目錄要加上給users的默認(rèn)權(quán)限，否則ASP和ASPX等應(yīng)用程序就無法運(yùn)行。C:/Documents and Settings/這里相當(dāng)重要，后面的目錄里的權(quán)限不會(huì)繼承C盤的設(shè)置，在All Users/Application Data目錄下還會(huì)出現(xiàn)everyone，用戶有完全控制權(quán)限，這一點(diǎn)一定要單獨(dú)設(shè)定，否則攻擊者在這里寫入腳本或只讀文件，再結(jié)合其他漏洞來提升權(quán)限，也是很危險(xiǎn)的。當(dāng)然也可以使用更嚴(yán)格的權(quán)限，如在WINDOWS下分別目錄設(shè)置權(quán)限，但比較復(fù)雜，效果也并不明顯。以上的設(shè)置基本可以保證系統(tǒng)的安全。

四 系統(tǒng)帳號(hào)數(shù)據(jù)庫

系統(tǒng)帳號(hào)數(shù)據(jù)庫的位置在C盤——windows——repair——sam中。Syskey可對(duì)密碼進(jìn)行二次加密，并刪除sam，保證系統(tǒng)帳號(hào)數(shù)據(jù)庫的安全。

五 組件與服務(wù)

將：net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe，這些文件都設(shè)置只允許administrators訪問。

按照所需要的服務(wù)開放響應(yīng)的端口，把不必要的服務(wù)都禁止掉。

如果服務(wù)器不需要FSO

regsvr32 /u c:windowssystem32;Founderscrrun.dll

注銷組件

使用regedit

將/HKEY_CLASSES_ROOT下的

WScript.Network

WScript.Network.1

WScript.Shell

WScript.Shell.1

Shell.Application

Shell.Application.1

鍵值改名或刪除

將這些鍵值下CLSID中包含的字串

如{72C24DD5-D70A-438B-8A42-98424B88

AFB8}

到/HKEY_CLASSES_ROOT/CLSID下找到以這些字串命名的鍵值全部刪除。

關(guān)閉如下服務(wù)

Computer Browser

Help and Support

Messenger

Print Spooler

Remote Registry

TCP/IP NetBIOS Helper

如果服務(wù)器不用作域控,我們也可以禁用Workstation

盡管這些不一定能被攻擊者利用得上，但是按照安全規(guī)則和標(biāo)準(zhǔn)上來說，多余的東西就沒必要開啟，減少一份隱患。

六 網(wǎng)絡(luò)連接

在“網(wǎng)絡(luò)連接”里，把不需要的協(xié)議和服務(wù)都刪掉，這里只安裝了基本的Internet協(xié)議(TCP/IP)，由于要控制帶寬流量服務(wù)，額外安裝了Qos數(shù)據(jù)包計(jì)劃程序。在高級(jí)tcp/ip設(shè)置里—“NetBIOS”設(shè)置“禁用tcp/IP上的NetBIOS(S)”。在高級(jí)選項(xiàng)里，使用“Internet連接防火墻”，這是windows 2003 自帶的防火墻，在2000系統(tǒng)里沒有的功能，雖然沒什么功能，但可以屏蔽端口，這樣已經(jīng)基本達(dá)到了一個(gè)IPSec的功能。

在2003系統(tǒng)里，不推薦用TCP/IP篩選里的端口過濾功能，譬如在使用FTP服務(wù)器的時(shí)候，如果僅僅只開放21端口，由于FTP協(xié)議的特殊性，在進(jìn)行FTP傳輸?shù)臅r(shí)候，由于FTP 特有的Port模式和Passive模式，在進(jìn)行數(shù)據(jù)傳輸?shù)臅r(shí)候，需要?jiǎng)討B(tài)的打開高端口，所以在使用TCP/IP過濾的情況下，經(jīng)常會(huì)出現(xiàn)連接上后無法列出目錄和數(shù)據(jù)傳輸?shù)膯栴}。所以在2003系統(tǒng)上增加的windows連接防火墻能很好地解決這個(gè)問題，所以不推薦使用網(wǎng)卡的TCP/IP過濾功能。

如果提供IIS和虛擬機(jī)服務(wù)，要為每個(gè)獨(dú)立客戶,建立一個(gè)windows用戶，然后在IIS響應(yīng)的站點(diǎn)項(xiàng)內(nèi)把IIS執(zhí)行的匿名用戶綁定成這個(gè)用戶。提供數(shù)據(jù)庫服務(wù)要?jiǎng)h除所有危險(xiǎn)的擴(kuò)展，并且定時(shí)備份關(guān)鍵數(shù)據(jù)。

經(jīng)過上述相應(yīng)的設(shè)置后服務(wù)器就有了基本的安全設(shè)置，大大地降低了安全隱患，如果再配合殺毒軟件使用，就可以滿足我們的日常服務(wù)需求了。

ClassNo.:TP316.7DocumentMark：A

(責(zé)任編輯：鄭英玲)

StudyofSettingupaWindows2003ServerSafely

Liu Weiguo

(Jixi Branch of China Unicom,Jixi, Heilongjiang 158100，China)

The problem of network security has becomes more and more serious, Windows Server 2003 as the common server system is used in which the installation and update the system of operating system the system ,the administrator account, the disk access, the system account database, the components and services should be all studied carefully in order to reduce the potential safety hazards.

Windows2003; security settings; NTFS directory permissions

劉偉國，工程師，中國聯(lián)通雞西分公司。

1672-6758(2013)08-0063-2

TP316.7

A