操作系統(tǒng)是計(jì)算機(jī)資源的直接管理者,操作系統(tǒng)的安全是整個(gè)計(jì)算機(jī)系統(tǒng)安全的基礎(chǔ),沒(méi)有操作系統(tǒng)的安全,就談不上主機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的安全性,就不可能真正解決數(shù)據(jù)庫(kù)安全、網(wǎng)絡(luò)安全和其他應(yīng)用軟件的安全問(wèn)題。
　　 Windows Server 2003操作系統(tǒng)是一套成熟的操作系統(tǒng),所有系統(tǒng)管理員都已經(jīng)認(rèn)識(shí)到系統(tǒng)安全是網(wǎng)絡(luò)安全的基礎(chǔ)防線,操作系統(tǒng)安裝完成后,要使該系統(tǒng)更加安全必須對(duì)其進(jìn)行加固。除了必要的漏洞修復(fù)、補(bǔ)丁安裝之外,啟用Windows防火墻、啟用安全策略,都是安全管理的一部分,密碼管理、賬戶管理和NTFS權(quán)限應(yīng)用將是保護(hù)系統(tǒng)安全的基本措施。
　　
　　1 Windows Server 2003自身安全策略
　　
　　作為一個(gè)企業(yè)的系統(tǒng)管理員或者網(wǎng)絡(luò)管理員,通過(guò)制定一套Windows 2003操作系統(tǒng)自身安全策略以及相關(guān)的服務(wù)可以加強(qiáng)操作系統(tǒng)的安全,能夠使企業(yè)和終端用戶將風(fēng)險(xiǎn)降到最近,做到未雨綢繆。
　　1.1 系統(tǒng)漏洞
　　系統(tǒng)漏洞又被稱為“安全缺陷”或者“系統(tǒng)BUG”,同時(shí)也成為黑客為了達(dá)到他們的攻擊目的而尋找的一個(gè)攻擊入口。據(jù)統(tǒng)計(jì),一臺(tái)未打補(bǔ)丁的系統(tǒng),接入互聯(lián)網(wǎng)后,不到2分鐘就會(huì)受到各種漏洞所攻擊,并導(dǎo)致計(jì)算機(jī)中毒或崩潰。
　　造成系統(tǒng)漏洞的原因是多方面的,但主要包括兩個(gè)方面的內(nèi)容:不安全的服務(wù),配置與初始化錯(cuò)誤。
　　1.1.1 不安全服務(wù)
　　Windows服務(wù)可以看做是運(yùn)行后臺(tái)的應(yīng)用程序,每次啟動(dòng)Windows時(shí),都會(huì)有很多服務(wù)被調(diào)入到系統(tǒng)內(nèi)存當(dāng)中,系統(tǒng)默認(rèn)開(kāi)啟的很多服務(wù)是不必要的,多余的服務(wù)會(huì)給系統(tǒng)帶來(lái)一定的安全隱患,所以應(yīng)該根據(jù)自身的需求把多余的服務(wù)停止掉。
　　例如,像系統(tǒng)當(dāng)中的Remote Registry服務(wù),它是一個(gè)能夠遠(yuǎn)程修改注冊(cè)表的服務(wù)。知道管理員賬號(hào)和密碼的人遠(yuǎn)程訪問(wèn)注冊(cè)表是很容易的。打開(kāi)注冊(cè)表編輯器,選擇“文件”菜單中的“連接網(wǎng)絡(luò)注冊(cè)表”選頂,在“選擇計(jì)算機(jī)”對(duì)話框里的“輸入要選擇的對(duì)象名稱”下的輸入框中輸入對(duì)方的IP地址,單擊“確定”按鈕便會(huì)出現(xiàn)一個(gè)“輸入網(wǎng)絡(luò)密碼”對(duì)話框,輸入管理員帳號(hào)和密碼,單擊“確定”按鈕后就可以對(duì)目標(biāo)機(jī)器的注冊(cè)表進(jìn)行修改了。不少木馬后門程序可以通過(guò)此服務(wù)來(lái)修改目標(biāo)機(jī)器的注冊(cè)表,建議大家禁用該項(xiàng)服務(wù)。
　　1.1.2 配置和初始化錯(cuò)誤
　　Windows系統(tǒng)包含許多默認(rèn)的設(shè)置和選項(xiàng),允許管理員進(jìn)行更復(fù)雜的管理。這些系統(tǒng)默認(rèn)值可以被有經(jīng)驗(yàn)的黑客利用來(lái)滲透系統(tǒng)。例如,Windows系統(tǒng)出于管理的目的自動(dòng)地建立一些共享,包括C$、D$和系統(tǒng)其他一些邏輯分區(qū)的默認(rèn)共享,要訪問(wèn)這些隱形的分區(qū)可以在地址欄中鍵入“\\計(jì)算機(jī)名稱\\共享名$”或者使用映射網(wǎng)絡(luò)驅(qū)動(dòng)器將其映射成本地的硬盤,成為了黑客常見(jiàn)的攻擊目標(biāo)。因此,那些系統(tǒng)自主創(chuàng)建的默認(rèn)共享應(yīng)該謹(jǐn)慎使用。我們可以通過(guò)建立一個(gè)啟動(dòng)腳本將系統(tǒng)默認(rèn)的共享刪除。打開(kāi)一個(gè)新記事本,在其中輸入“net share C$ /del”,“net share D$ /del”, “net share ADMIN$ /del”,保存并命名為“delshare.bat”。然后將此文件拖放到“開(kāi)始” → “程序” → “啟動(dòng)”中,下次開(kāi)機(jī)時(shí)就會(huì)刪除Windows的C盤、D盤以及ADMIN默認(rèn)共享。
　　1.2 身份驗(yàn)證
　　身份驗(yàn)證是實(shí)現(xiàn)計(jì)算機(jī)安全的基礎(chǔ),鑒別用戶身份最常見(jiàn)也是最簡(jiǎn)單的方法就是用戶名和口令認(rèn)證,用戶名和口令的組合方式在認(rèn)證強(qiáng)度上也有強(qiáng)明弱。Windows2003身份驗(yàn)證分兩部分執(zhí)行:交互式登錄和網(wǎng)絡(luò)身份驗(yàn)證。用戶身份驗(yàn)證的成功與否同時(shí)取決于這兩個(gè)過(guò)程。
　　1.2.1 交互式登錄
　　交互式登錄過(guò)程向域賬戶或本地計(jì)算機(jī)確認(rèn)用戶的身份。這一過(guò)程根據(jù)用戶賬戶的類型而不同。使用域帳戶,用戶可以通過(guò)存儲(chǔ)在Active Directory中的單一注冊(cè)憑據(jù)使用密碼登錄到網(wǎng)絡(luò)。如果登錄成功,被授權(quán)的用戶就可以訪問(wèn)該域以及任何信任域中的資源。使用本地計(jì)算機(jī)帳戶,用戶可以通過(guò)存儲(chǔ)在安全帳戶管理器(SAM,本地安全賬戶數(shù)據(jù)庫(kù))中的憑證登錄到本地計(jì)算機(jī)。
　　1.2.2 網(wǎng)絡(luò)身份驗(yàn)證
　　網(wǎng)絡(luò)身份驗(yàn)證確認(rèn)用戶對(duì)于試圖訪問(wèn)的任意網(wǎng)絡(luò)服務(wù)的身份。為了提供這種類型的身份驗(yàn)證,Windows 2003安全系統(tǒng)支持多種不同的身份驗(yàn)證機(jī)制,包括Kerberos V5、安全套接字層/傳輸層安全(SSL/TLS)以及為了與Windows NT 4.0兼容而提供的NTLM。
　　1.3 賬戶管理
　　賬戶和密碼是操作系統(tǒng)的安全基礎(chǔ),賬戶和密碼提供了身份驗(yàn)證,并為進(jìn)一步訪問(wèn)控制提供了條件。以Windows 2003操作系統(tǒng)為例,帳戶和密碼存放在專門的賬戶數(shù)據(jù)庫(kù)中。獨(dú)立的計(jì)算機(jī)上的賬戶和密碼的數(shù)據(jù)庫(kù)文件是SAM。
　　管理本地帳戶和密碼使用的是“計(jì)算機(jī)管理”工具。
　　如果使用了Windows的活動(dòng)目錄技術(shù),帳戶和密碼的驗(yàn)證是集中到域控制器上進(jìn)行的。域控制器上的帳戶數(shù)據(jù)庫(kù)為ntds.dit。管理活動(dòng)目錄中的賬戶和密碼使用的是“Active Directory用戶和計(jì)算機(jī)”。

　　如果使用弱口令,很容易受到暴力攻擊或字典攻擊。
　　一個(gè)“強(qiáng)壯”的密碼應(yīng)該注意遵守如下的規(guī)則:
　　① 密碼中混合了大寫字母、小寫字母、數(shù)字、非字母數(shù)字的字符,如標(biāo)點(diǎn)符號(hào)等;不要使用普通的名字或昵稱。
　�、� 不要使用個(gè)人信息作為密碼,如生日或者電話號(hào)碼等,同時(shí)不要使用大家熟悉的單詞(如microsoft)、熟悉的鍵盤順序(如qwert)、熟悉的數(shù)字(如2003、2000)等。
　　③ 給所有用戶賬號(hào)一人復(fù)雜的口令(系統(tǒng)賬號(hào)除外),長(zhǎng)度最少在8位以上。
　　④ 口令必須定期更改(建議至少兩周改一次),最好記在心里,應(yīng)避免在紙上做記錄。
　�、� 不要共享個(gè)人用戶密碼。
　　⑥ 需要訪問(wèn)多個(gè)服務(wù)平時(shí),要采用多個(gè)密碼。
　　另外,在Windows中可以使用管理工具中的本地安全策略或者域安全策略來(lái)強(qiáng)制密碼安全。
　　常見(jiàn)的幾種有效的保障賬戶安全的措施有以下幾項(xiàng):
　　① 賬號(hào)重命名:一些默認(rèn)的賬戶很容易成為黑客攻擊的實(shí)驗(yàn)?zāi)繕?biāo),例如Administrator、Gusest等。對(duì)它們重命名可以降低受到暴力和字典攻擊的可能性。
　�、� 密碼策略:在密碼策略中,可以啟用密碼的復(fù)雜性要求,設(shè)置密碼升序的最小值,強(qiáng)制密碼歷史記錄等都可以有效地提高密碼的安全性。
　�、� 賬戶鎖定策略:使用賬戶鎖定策略可以讓黑客用“窮舉法”嘗試密碼時(shí)失效,因?yàn)榭梢栽O(shè)置賬戶鎖定的閾值,當(dāng)嘗試了3次或者5次登錄后系統(tǒng)可以認(rèn)為這是黑客的暴力攻擊而鎖定賬戶。需要注意的是不僅要設(shè)置鎖定的閾值,還應(yīng)該設(shè)置復(fù)位的計(jì)數(shù)器。因?yàn)槿绻�不讓賬戶復(fù)位,那么正常的用戶有也無(wú)法使用該賬戶登錄。這就是如同是黑客實(shí)施了一個(gè)拒絕服務(wù)攻擊。
　　1.4 權(quán)限管理
　　權(quán)限是指與計(jì)算機(jī)上或網(wǎng)絡(luò)上的對(duì)象(如文件和文件夾)關(guān)聯(lián)的規(guī)則。權(quán)限確定是否可以訪問(wèn)某個(gè)對(duì)象以及可以對(duì)它執(zhí)行哪些操作。一些管理員在為一些特殊用戶配置一些具體應(yīng)用時(shí)總喜歡直接把這些用戶添加到Administrators組中,這個(gè)組具有最高權(quán)限。但卻給網(wǎng)絡(luò)帶來(lái)了極大的安全隱患。建議采取最小權(quán)限原則,給用戶分配一個(gè)恰好滿足其工作需要的權(quán)限。
　　作為安全的管理者,文件和文件夾的權(quán)限管理是工作中的重點(diǎn),理論上說(shuō),具有越高權(quán)限的用戶越危險(xiǎn)。一般說(shuō)來(lái),在企業(yè)網(wǎng)絡(luò)用戶賬戶的權(quán)限分配上遵守兩個(gè)原則:高權(quán)限用戶越少越好,用戶權(quán)限越低越好(當(dāng)然是在滿足正常工作需要的前提下),不要盲目地追求簡(jiǎn)單,為本不需要那么高權(quán)限的用戶分配高權(quán)限。例如,在Windows Server 2003中建立文件的權(quán)限時(shí)應(yīng)該首先實(shí)現(xiàn)NTFS文件系統(tǒng)。一旦實(shí)施了NTFS文件系統(tǒng),就可以針對(duì)用戶和組實(shí)現(xiàn)更加細(xì)致的權(quán)限分配。
　　1.5 日志管理
　　日志文件記錄著Windows系統(tǒng)及其各種服務(wù)運(yùn)行的每個(gè)細(xì)節(jié),對(duì)于系統(tǒng)管理以及網(wǎng)絡(luò)管理相當(dāng)重要,所以務(wù)必要開(kāi)啟相關(guān)應(yīng)用或服務(wù)的日志記錄功能。
　　在Windows系統(tǒng)中查看日志文件很簡(jiǎn)單。單擊“開(kāi)始”→“設(shè)置”→“控制面板”→“管理工具”→“事件查看器”命令,在事件查看器窗口左欄中列出本機(jī)包含的日類型,如應(yīng)用程序、安全、系統(tǒng)等。查看某個(gè)日志記錄也很簡(jiǎn)單,在左欄中選中某個(gè)類型的日志,如應(yīng)用程序,接著在右欄中列出該類型日志的所有記錄,雙擊其中某個(gè)記錄,彈出“事件屬性”對(duì)話框,顯示出該記錄的詳細(xì)信息,這樣就能準(zhǔn)確地掌握系統(tǒng)中到底發(fā)生了什么事情,是否影響系統(tǒng)的正常運(yùn)行,一旦出現(xiàn)問(wèn)題,即時(shí)查找排除。
　　如果系統(tǒng)中的事件建立了審核策略,該事件操作的成功與否都將被記錄到相應(yīng)的日志文件中。當(dāng)非法用戶探測(cè)系統(tǒng)信息的時(shí)候,就會(huì)在安全日志里迅速地記下計(jì)算機(jī)被探測(cè)時(shí)所用的用戶名、時(shí)間等。例如,系統(tǒng)管理員每天所進(jìn)行的數(shù)據(jù)備份,一旦哪一天數(shù)據(jù)備份不成功,如果啟用了日志記錄功能,就會(huì)在日志文件中記錄是什么時(shí)候、什么原因?qū)е虏怀晒?從而可以很方便地找到故障原因并及時(shí)解決。

關(guān)鍵詞：口令   管理工具