服务器操作系统的安全配置.pdf

《服务器操作系统的安全配置.pdf》由会员分享，可在线阅读，更多相关《服务器操作系统的安全配置.pdf（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、服务器操作系统的安全配置马庆湖在众多服务器操作系统中，Windows 2000 Server 是比较流行的服务器操作系统之一，它包含很多的安全功能和选项，但要想安全的配置这个操作系统并不容易。在此我结合许多系统管理员的成功经验，以及在实际工作中的一些体会和看法，谈一下微软 Windows 2000 Server 操作系统的安全配置问题。一、安装前的选择（一）选择版本Windows 2000 Server 有各种语言的版本，可以选择英文版或简体中文版，如果语言不是障碍，建议使用英文版。因为中文版的漏洞远远多于英文版，而补丁一般会晚至少半个月，也就是说一般在发现了漏洞后你的计算机还会有半个月处于无

2、保护状况。（二）定制组件Windows 2000 Server 在默认情况下会安装一些常用的组件，而这个默认安装是不安全的，你应该确切的知道你需要哪些服务，并仅仅安装你需要的服务，原则是最少的服务加最小的权限是最大的安全。一个典型的 Web 服务器需要的最小组件选择是：只安装 IIS 的“Internet 服务管理器”，“World Wide Web 服务器”和“公用文件”这三个服务组件。为安全起见对其它组件的安装要慎重选择，特别是“FrontPage 2000 Serv-er 服务器扩展”和“Internet 服务管理器（HTML）”这两个服务组件。（三）选择远程管理程序选择一个好的远程管理

3、软件非常重要，这不仅仅是安全方面的要求，也是应用方面的需要。Windows 2000Server 的 Terminal Service（终端服务）是基于 RDP（远程桌面协议）的远程控制软件，它速度快，操作方便，较适合用来进行常规操作。为了安全起见，建议再配备一个远程控制软件作为辅助，和 Terminal Service 互补，如PCAnyWhere 就很不错。二、Windows 2000 Server 的正确安装（一）硬盘分区不要将硬盘仅仅分为一个逻辑分区，这是很不好的习惯，建议最少建立两个分区，一个系统分区，一个应用程序分区，因为 IIS 经常会有泄漏源码或溢出的漏洞，如果把系统和 IIS

4、 放在同一个驱动器会导致系统文件的泄漏，甚至使入侵者远程获取系统控制权。推荐的安全配置是建立三至四个逻辑驱动器，第一个驱 2G 以上（推荐 I0G），用来安装系统和存放重要的日志文件，第二个驱放置 IIS，第三个驱放置 FTP，第四个驱备份重要数据，这样无论 IIS 或 FTP 出了安全漏洞都不会直接影响到系统目录和系统文件，重要数据也不会丢。另外，使用 NTFS 格式化所有分区。NTFS 文件系统要比 FAT，FAT32 的文件系统安全得多。（二）正确的安装顺序I.在安装前，先断开网络，即拔掉与网卡连接的网线：Windows 2000 Server 在安装时有一个漏洞，在你输入Adminis

5、trator 密码后，系统就建立了 Admin 的共享（远程系统控制用），但是并没有用你刚刚输入的密码来保护它，这种情况一直持续到你再次启动后，在此期间，任何人都可以通过 Admin 进入你的机器，因为它没有密码保护。因此，在完全安装并配置好远程控制系统之前，一定不要把计算机接入网络。2.安装所需应用程序：应该避免在服务器上安装客户端应用程序，除非是那些对于服务器运行所必需的应用程序。如不应当安装电子邮件客户端、办公软件或对服务器来说并非完全必要的应用程序。3.安装补丁程序（为操作系统打补丁）：补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换或修改某些系统文件，如果先安装补丁再安

6、装应用程序有可能导致补丁不能起到应有的效果。而且在服务器日常使用过程中，要经常访问微软和一些安全站点，下载最新的 Service Pack 和漏洞补丁，保障服务器长久安全的工作。三、配置 Windows 2000 Server64济南教育学院学报2004 年第 6 期即使正确的安装了 Windows 2000 Server，系统还是有很多的漏洞，还需要进一步进行细致地配置。（一）端口端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到计算机的安全，一般来说，仅打开你需要使用的端口会比较安全，配置的方法是在网卡 属性TCP/IP高级选项TCP/IP 筛选 中启

7、用 TCP/IP 筛选，添加需要的 TCP、UDP 端口即可。另一种方法是安装防火墙软件，如“天网”、“Lock Down”、“Norton”、“ZoneAIam”等，用防火墙软件管理系统端口更为方便。（二）IIS（Internet 信息服务管理器）IIS 是漏洞很多的一个组件，对 IIS 的配置是个重点。首先，把 C 盘的 Inetpub 目录删掉，在 D 盘建一个 In-etpub（也可以改一个名字如 Netsite 等），在 IIS 管理器中将主目录指向 D：Inetpub（或自定义目录）。其次，IIS安装时默认的 Scripts 等虚拟目录一概删除，如果你需要什么权限的目录可以自己建，

8、注意写权限和执行程序的权限，没有确实需要不要分配给其它用户。（三）应用程序在 IIS 管理器中删除必须之外的任何无用映射，如除 ASP 和其他你确实需要用到的文件类型之外，其余的映射都有可能出现问题，如：HTW，HTR，IDO，IDA 等。（四）服务windows 2000 Server 在每次启动时，会启动很多默认的服务，这些服务可能是不必要的，如果不经过一定的服务选择，不仅仅占用一定的服务器资源（CUP 或内存等），而且会给管理带来很多麻烦，更有可能给非法用户提供方便之门。要留意服务器上开启的所有服务，并每天检查它们，以避免恶意程序以服务的方式悄悄运行。（五）安全日志l.打开审核策略：Wi

9、ndows 2000 Server 的默认安装是不开任何安全审核的，你可以到 本地安全策略审核策略 中打开相应的审核，推荐的审核是：账户管理成功失败登录事件成功失败对象访问成功失败策略更改成功失败特权使用失败系统事件成功失败目录服务访问失败账户登录事件成功失败如果审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义。2.打开密码策略：在 账户策略密码策略 中设定：密码复杂性要求启用密码长度最小值6 位强制密码历史5 次最长存留期42 天3、开启帐户策略：在 账户策略账户锁定策略 中设定：账户锁定3 次错误登录锁定时间20 分钟复位锁定计数20 分钟同样，Termina

10、I Service 的安全日志默认也是不开的，我们可以在 TerminaI Service Configration（远程服务配置）权限高级 中配置安全审核，一般地只要记录登录、注销事件就可以。四、用户账号及目录文件权限（一）用户帐号的管理l.限制空连接：Windows 2000 Server 的账号安全是另一个重点，首先，Windows 2000 Server 的默认安装允许任何用户通过空用户得到系统所有账号或共享列表，这个本来是为了方便局域网用户共享文件的，但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。我们知道可以通过更改注册表 Hkey-LocaI-74服务器操作系统的

11、安全配置MachineSystemCurrentControISetControILSARestrictAnonymous=l 来禁止 l39 空连接，实际上 Windows2000 Server 的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的选项 Restrict-Anonymous（匿名连接的额外限制），这个选项有三个值：0：无，取决于默认的权限l：不允许枚举 SAM 帐号和共享2：没有显式匿名权限就不允许访问其中，0：这个值是系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表等等，对服务器来说这样的设置非常危险。l：

12、这个值是只允许非 NULL 用户存取 SAM 账号信息和共享信息。2：这个值是在 Windows 2000 Server 中才支持的。推荐设为 l 比较好，这样入侵者没有办法取到用户列表，帐户也就安全多了。2.停掉 Guest 帐号：在计算机管理的用户里面把 guest 帐号停用掉，任何时候都不允许 guest 帐号登陆系统。为了保险起见，最好给 guest 加一个复杂的密码。3.限制不必要的用户数量：去掉所有的 dupIicate user 帐户，测试用帐户，共享帐号，普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统

13、的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。4.把 administrator 帐号改名：我们知道，windows 2000 的 administrator 帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把 Administrator 帐户改名可以有效的防止这一点。在 计算机管理用户账号 中右击Administrator 将其改名。当然，不要使用 Admin之类的名字，改了等于没改，尽量把它伪装成普通用户。5.创建一个陷阱帐号：创建一个名为”Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过 l0

14、 位的超级复杂密码。这样让那些 入侵者白忙活。6.不显示上次登录的用户名：打开注册表 HKEY-LOCAL-MACHINE SOFTWARE Microsoft WindowsNT Currentversion WinIogon 项中的 DontDispIayLastUserName，把 REGSZ 的键值改成 l，这样系统不会自动显示上次的登录用户名。（二）用户的目录和文件权限为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，还必须非常小心地设置目录和文件的访问权限，NT 的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户

15、（Everyone 这个组）是完全敞开的，你需要根据应用的需要对权限进行重新设置。l.用户权限的分配：利用用户组来进行权限控制是系统管理员必须具有的优良习惯之一，给不同的用户组分配不同的真正需要的权限是相当重要的。一定要注意权限是累计的：如果一个用户同时属于两个组，那么其就有了这两个组所允许的所有权限。2.目录和文件权限：可以为目录和文件设定用户及用户组组访问权限，但一定要注意拒绝的权限要比允许的权限高（拒绝策略会先执行），如果一个用户属于一个被拒绝访问某个资源的组，那么不管其它的权限设置给他开放了多少权限，他也一定不能访问这个资源；使用拒绝以要小心，任何一个不当的拒绝都有可能造成系统无法正常

16、运行，同时注意文件权限比文件夹权限高；还要注意目录权限与父目录权限以及子目录权限的继承关系。因而设定目录和文件权限一定要小心。3.把共享文件的权限从”everyone”组改成“授权用户”“everyone”在 win2000 中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享，默认的属性就是”everyone”组的，一定不要忘了改。五、预防各种攻击（一）预防拒绝服务（DoS，DeniaI Of Service）攻击：在注册表 HKEYLOCALMACHINE SYSTEM CurrentControISet Ser

17、vices Tcpip Parameters 中更改或新建以下值可以帮助你防御一定强度的 DoS攻击。SynAttackProtectREGDWORD2EnabIePMTUDiscoveryREGDWORD0NoNameReIeaseOnDemandREGDWORDlEnabIeDeadGWDetectREGDWORD084济南教育学院学报KeepaIiveTimeREGDWORD300，000PerformRouterDiscoveryREGDWORD0EnabIeICMPRedirectsREGDWORD0（二）预防 ICMP（Internet ControI Messages Proto

18、coI，网间控制报文协议）攻击：ICMP 的风暴攻击和碎片攻击也是 NT 主机比较头疼的攻击方法，其实应对的方法也很简单，Windows 2000 Server 自带一个“路由和远程访问”工具，在这个工具中，我们可以轻易的定义输入输出包过滤器，例如，设定输入 ICMP 代码 255 丢弃就表示丢弃所有的外来 ICMP 报文。六、防病毒软件在互联网日益发展的今天，网上病毒十分猖獗，选择一款好的防毒软件，并经常升级，是保护系统的最基本的手段。选择防病毒软件时，需综合考虑以下几个方面：（一）其病毒库包括的内容要求有一定的全面性；（二）对病毒库更新快速性；（三）对系统资源的小消耗率；（四）对网络流量的

19、低占有率。推荐使用 Norton antivirus Corporate Edition。总之，安全和系统应用有时是相互矛盾的，如果安全原则妨碍了系统应用，那么这个安全原则也不是一个好的原则。维护网络安全是一项长期任务，不能认为进行了安全配置的主机一定就是安全的，随着网络结构的变化、互联网技术的不断发展，新的漏洞的不断发现，主机的安全状况是随时随地变化着的，要增强安全意识，及时调整安全策略，多留意系统安全方面的问题，尽可能以防为主，遇到问题及时采取对策，才能做到真正意义上的安全。（作者单位：济南职业学院；250001）!（审稿：于晓平；编辑：王振平）（上接第 43 页）项数是 4。由此得到：X

20、（k）=DFT X（n）=1 e !k1 e !4k4.欧拉变换：为方便后续的频谱观察和分析，我们一般要将运算结果写成三角函数的形式，这就需要经过一步欧拉变换。之前可先将等式稍加变化，使之成为适用欧拉公式的形式。X（k）=DFT X（n）=1 e !k1 e !4k=e !2k（e!2k e !2k）e !8k（e!8k e !8k）=e 38!ksin!2ksin!8k欧拉变换是我们在进行数字信号处理的运算中经常要用到的一个数学工具。在这一步计算中，要注意通过代数的变换达到对欧拉变换的灵活运用。5.三角变换：利用三角函数公式继续化简X（k）=DFT X（n）=4e 38!kcos!4cos!

21、8k附欧拉变换公式cos0t=12（e 0t+e 0t）sin0t=2（e 0t e 0t）；R4（n）=1，0n30，其它n以上是整个的求解过程，最后得到结论如下：X（k）=DFT X（n）=4e 38!kcos!4kcos!8k，k=0，1，N 1（3）在（3）式中要注意标明 k 的取值，这样才是一个完整的 DFT 的形式。综上所述，DFT 公式分析要注意“一个公式中、两个限制条件、三个隐含条件”，公式的求解过程可以“五步走”：公式代入、序列化简、等比求和、欧拉变换、三角变换。当然，也可根据实际情况省略去其中的一步或几步。参考文献1数字信号处理 丁玉美、高西全/编著，西安电子科技大学出版社。2高等数学 同济大学数学教研室/编，高等教育出版社。（作者单位：济南职业学院；250001）（审稿：王平；编辑：王振平）94服务器操作系统的安全配置服务器操作系统的安全配置服务器操作系统的安全配置作者：马庆湖作者单位：济南职业学院,250001刊名：济南教育学院学报英文刊名：JOURNAL OF JINAN EDUCATION COLLEGE年，卷(期)：2004(6)本文链接：http:/