2008年4月8日星期二

安全配置方案中级篇

安全配置方案中级篇
主要介绍操作系统的安全策略配置,包括十条基本配置原则: 操作系统安全策略、关闭不必要的服务 关闭不必要的端口、开启审核策略 开启密码策略、开启帐户策略、备份敏感文件 不显示上次登陆名、禁止建立空连接和下载最新的补丁 1 操作系统安全策略 利用 Windows 2000 的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略。 在管理工具中可以找到 “ 本地安全策略 ” ,主界面如图所示。 可以配置四类安全策略:帐户策略、本地策略、公钥策略和 IP 安全策略。在默认的情况下,这些策略都是没有开启的。 2 关闭不必要的服务 Windows 的 Terminal Services (终端服务)和 IIS ( Internet 信息服务)等都可能给系统带来安全漏洞。 为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务。 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。 Windows 及 WINXP 作为可禁用的服务及其相关说明如下表所示。 服务名 说明 Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 Removable storage 管理可移动媒体、驱动程序和库 Remote Registry Service 允许远程注册表操作 Print Spooler 将文件加载到内存中以便以后打印。要用打印机的用户不能禁用这项服务 IPSEC Policy Agent 管理 IP 安全策略以及启动 ISAKMP/Oakley(IKE) 和 IP 安全驱动程序 Distributed Link Tracking Client 当文件在网络域的 NTFS 卷中移动时发送通知 Com+ Event System 提供事件的自动发布到订阅 COM 组件 3 关闭不必要的端口 关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了。 用端口扫描器扫描系统所开放的端口,在 Winnt\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。该文件用记事本打开如图所示。 设置本机开放的端口和服务,在 IP 地址设置窗口中点击按钮 “ 高级 ” ,如图所示。 在出现的对话框中选择选项卡 “ 选项 ” ,选中 “TCP/IP 筛选 ” ,点击按钮 “ 属性 ” ,如图所示。 设置端口界面如图所示。 一台Web服务器只允许TCP的80端口通过就可以了。个人计算机可以不使用,我们说的禁止端口就可以在这里进行。而不用防火墙来进行!.TCP/IP筛选器是Windows自带的防火墙,功能比较强大,可以替代防火墙的部分功能。根据HACK提示还得允许DNS的53口。但是前提是你的这台服务器是DNS服务器。否则可以不开4 开启审核策略 安全审核是 Windows 2000 最基本的入侵检测方法。当有人尝试对系统进行某种方式(如尝试用户密码,改变帐户策略和未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。 很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。表 2 的这些审核是必须开启的,其他的可以根据需要增加。 审核策略在默认的情况下都是没有开启的,如图所示。 双击审核列表的某一项,出现设置对话框,将复选框 “ 成功 ” 和 “ 失败 ” 都选中,如图所示。 5 开启密码策略 密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略如表所示 策略 设置 密码复杂性要求 启用 密码长度最小值 6 位 密码最长存留期 15 天 强制密码历史 5 个 设置选项如图所示。 6 开启帐户策略 开启帐户策略可以有效的防止字典式攻击,设置如表所示。 策略 设置 复位帐户锁定计数器 30 分钟 帐户锁定时间 30 分钟 帐户锁定阈值 5 次 设置帐户策略 设置的结果如图所示。 7 备份敏感文件 把敏感文件存放在另外的文件服务器中,虽然服务器的硬盘容量都很大,但是还是应该考虑把一些重要的用户数据(文件,数据表和项目文件等)存放在另外一个安全的服务器中,并且经常备份它们 8 不显示上次登录名 默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户名,本地的登陆对话框也是一样。黑客们可以得到系统的一些用户名,进而做密码猜测。 修改注册表禁止显示上次登录名,在 HKEY_LOCAL_MACHINE 主键下修改子键: Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName ,将键值改成 1 ,如图所示。 9 禁止建立空连接 默认情况下,任何用户通过空连接连上服务器,进而可以枚举出帐号,猜测密码。 可以通过修改注册表来禁止建立空连接。在 HKEY_LOCAL_MACHINE 主键下修改子键: System\CurrentControlSet\Control\LSA\RestrictAnonymous ,将键值改成 “ 1” 即可。如图所示。 10 下载最新的补丁 很多初学者没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着漏洞不补给人家当靶子用。 谁也不敢保证数百万行以上代码的 Windows 不出一点安全漏洞。 经常访问微软和一些安全站点,下载最新的 Service Pack 和漏洞补丁,是保障服务器长久安全的唯一方法。 点开始-windows update去打上最新补丁

没有评论: