打造安全的Windows 2003系統(tǒng)(上)
前言:
2003年5月22日,微軟的新一代操作系統(tǒng)Windows Server 2003中文版開始在國內(nèi)發(fā)行。從Windows95一路用到現(xiàn)在,筆者覺得微軟在安全方面做的還算是說的過去的,雖然說漏洞很多。2003總體感覺上安全做的還不錯,交互式登錄、網(wǎng)絡(luò)身份驗證、基于對象的訪問控制、比較完整的安全策略、數(shù)據(jù)加密保護(hù)……筆者這里要談的是如何通過安全的配置,使Windows Server 2003安全性大大加強(qiáng)。
一、安裝過程中的安全問題
1.NTFS系統(tǒng)。
老生長談的話題了。NTFS系統(tǒng)為一種高級的文件系統(tǒng),提供了性能、安全、可靠性以及未在任何FAT格式版本中提供的高級功能,通過它可以實現(xiàn)任意文件及文件夾的加密和權(quán)限設(shè)置(這是最直觀的安全設(shè)置了),磁盤配額和壓縮等高級功能。通過它,你還可以更好的利用磁盤空間,提高系統(tǒng)運行速度……自WindowsNT系統(tǒng)以來,使用NTFS系統(tǒng)已經(jīng)逐漸成了一種共識。為了體驗NTFS系統(tǒng)帶來的這些免費的優(yōu)惠,筆者特意把硬盤所有分區(qū)都轉(zhuǎn)成了NTFS系統(tǒng)。如果你在安裝時不選用NTFS系統(tǒng),那么后面的很多安全配置如用戶權(quán)限設(shè)置等你將都不能實現(xiàn)。
2.安裝過程中有關(guān)安全的提示。
在安裝過程中需要輸入Administrator密碼,新的Windows Server 2003提供了一個比較成熟的密碼規(guī)則,當(dāng)你輸入的密碼不符合規(guī)則時,就會以圖片形式出現(xiàn)如下提示(由于安裝未完成,不能抓圖,請諒解。內(nèi)容已經(jīng)抄下來了):
您已經(jīng)指定的管理員帳戶的密碼不符合密碼的條件,建議使用的密碼應(yīng)符合下列條件之中的前二個及至少三個:
- 至少6個字符 - 不包含'Administrator'或'Admin' - 包含大寫字母(A、B、C等等) - 包含小寫字母(a、b、c等等) - 包含數(shù)字(0、1、2等等) - 包含非字母數(shù)字字符(#、&、~等等) 您確定要繼續(xù)使用當(dāng)前密碼嗎?
之所以說是“比較成熟”的密碼規(guī)則,因為就算你的密碼設(shè)置不符合此規(guī)則也能照樣順利進(jìn)行下一步安裝,這就為以后的系統(tǒng)安全埋下了隱患。但總的來說,有了這一規(guī)則就已經(jīng)很不錯了,以前的版本沒有,就出現(xiàn)了N多空密碼的很快淪為肉雞的機(jī)器。相信有了這一提示后,可以在很大程度上減小這種現(xiàn)象。
3.在完全配置完成后不要把機(jī)器接到網(wǎng)絡(luò)中(包括局域網(wǎng)),因為這時候你滿的漏洞的機(jī)器隨時等候別人的“照顧”,只要有人連接上來,就是Admin權(quán)限。這一點相信了解安全的朋友都知道。
在整個安裝過程中需要注意的基本就這么多了。另外,不知道大家有沒有注意到,按默認(rèn)安裝后,系統(tǒng)根目錄下多出來一個0字節(jié)的wmpub文件夾,里面又有一個0字節(jié)的wmiislog文件夾。后來發(fā)現(xiàn)有一個不明程序在使用這個wmiislog文件夾,但到底是什么程序,有什么用途用還不清楚,不知道是否和安全有關(guān),能否被利用。請知道的朋友告知一聲。
二、初級安全配置1.關(guān)閉默認(rèn)的磁盤共享,修改組或用戶對磁盤的控制權(quán)限。
安裝完成后,默認(rèn)是共享了所有硬盤分區(qū)的,還包括提供遠(yuǎn)程IPC和遠(yuǎn)程管理的兩個共享:IPC$和ADMIN$,這就為以后的系統(tǒng)安全埋下了隱患,圖1。解決這個問題有很多辦法,這里介紹一種簡單可行的解決方案。從“計算機(jī)管理”里打開“服務(wù)”(或者在運行里鍵入Services.msc回車),在里面找到Server服務(wù),雙擊打開其屬性,并設(shè)置為“禁用”即可,圖2。Server服務(wù)是系統(tǒng)默認(rèn)的和共享有關(guān)的服務(wù),支持計算機(jī)通過網(wǎng)絡(luò)的文件、打印和命名管道共享,禁用此服務(wù)后,一切基于此服務(wù)的其他服務(wù)也同時被禁止,包括Computer Browser和Distributed File Sysetm兩個服務(wù)。前一個服務(wù)是Windows Server 2003的新服務(wù),利用它可以把分散的共享合并成一個邏輯名稱空間并在網(wǎng)絡(luò)上管理這些邏輯卷,這能大大方便用戶使用和管理那些分散的共享。后一個服務(wù)用來維護(hù)網(wǎng)絡(luò)上計算機(jī)的更新列表,并將列表提供給計算機(jī)指定瀏覽,如果停止此服務(wù),則列表就不會被更新或維護(hù)。當(dāng)禁用Server服務(wù)后,這兩個服務(wù)就不能使用。
圖 1 圖 2
另外,默認(rèn)Everyone組用戶對所有共享擁有完全的控制權(quán),這也是非常危險的,任何人只要訪問共享,就可以完全控制此共享,這當(dāng)然是不符合安全要求的,圖3。解決的辦法也很簡單,修改共享的安全屬性,刪除Everyone組或修改其訪問權(quán)限即可。首先在共享上點右鍵打開其屬性,在“安全”標(biāo)簽里可以看到此時可以訪問此共享的組或用戶情況,圖3,下面的框顯示的是被選中組或用戶所擁有的權(quán)限。這里可以看到Everyone組擁有完全控制權(quán)。現(xiàn)在我們可以根據(jù)自己的實際情況來配置里面的組或用戶擁有的權(quán)限。如果繼續(xù)允許Everyone組用戶訪問,則必須從新設(shè)置其訪問權(quán)限,只需要把“允許”里的權(quán)限后面的方框里的鉤去掉即可。如果要刪除Everyone組,則單擊“刪除”即可。如果需要新添加用戶或組,使其也可以訪問此共享,單擊“高級”按鈕進(jìn)入高級安全設(shè)置,如圖4。再單擊“添加”進(jìn)入用戶選擇,單擊“高級”,選擇“立即查找”就可以找到此計算機(jī)上所有的用戶和組,圖5。這里以Users組為例介紹。首先找到并選中Users組,單擊“確定”進(jìn)入權(quán)限設(shè)置,圖6,這里就可以為Users組用戶選擇共享的權(quán)限,完了確定即可。這時候,Users組用戶也可以訪問此共享,并且擁有為其設(shè)置好的權(quán)限。
圖 3 圖 4 圖 5 圖 6 2.修改組或用戶的訪問權(quán)限,達(dá)到需要的安全要求。
由于在安裝時使用了NTFS系統(tǒng),我們可以對任何文件及文件夾進(jìn)行權(quán)限設(shè)置,使得各組和用戶對某一文件或文件夾的控制權(quán)不同。通過這樣的配置就能達(dá)到一定的安全要求。這里以Tools文件夾為例介紹如何具體配置其安全屬性。首先點右鍵打開其屬性,選擇“安全”標(biāo)簽,可以看到目前可訪問此文件夾的所有用戶,圖7。作為系統(tǒng)管理員,當(dāng)然是擁有完全控制的權(quán)限了,但其他用戶或組就不一定要為其分配這么高的權(quán)限,這不符合安全配置的原則,所以就得修改。仍以Users組為例介紹。單擊“添加”選擇用戶和組,圖8,單擊“高級”,再單擊“立即查找”即可找到當(dāng)前計算機(jī)的所有用戶和組,圖5。選擇Users組后確定。可以看到此時能訪問該文件夾的用戶個組除了原來的Administrator還多了一個Users組用戶,圖9。這里默認(rèn)權(quán)限為讀取和運行、列出文件夾目錄和讀取。根據(jù)不同的安全要求可以為新加的Users組用戶配置其權(quán)限。當(dāng)然你也可以直接按“刪除”把你想要刪除的用戶或組從列表中刪除,這樣他就不在有訪問此文件夾的權(quán)限。
圖 7 圖 8 圖 9
需要注意的幾點:
* 此權(quán)限設(shè)置是基于NTFS系統(tǒng)的,F(xiàn)AT格式的磁盤不能進(jìn)行權(quán)限設(shè)置。 * 對某一文件的安全配置和對文件夾的安全配置完全一樣,從文件的屬性里配置就行了。 * 如果完全刪除了某一文件或文件夾的所有用戶或組,會出現(xiàn)圖10的提示,如果確定,此文件或文件夾就不可訪問,無論你的身份有多高,圖11。只有以Admin身份登錄,從新配置其安全屬性,為其添加新的用戶或組。
圖 10 圖 11
可以看出,通過對文件或文件夾的安全配置,即可達(dá)到對任意文件或文件夾的訪問權(quán)限控制,從而滿足不同的安全需求。
3.利用加密文件系統(tǒng)(EFS),加密文件或文件夾。Windows Server 2003支持利用EFS技術(shù)對任意文件或文件夾進(jìn)行加密,這是一種核心的文件加密技術(shù),基于NTFS系統(tǒng),只有NTFS系統(tǒng)的磁盤才能使用此技術(shù)。加密后的文件或文件夾就不可被除此用戶以外的任何用戶訪問,而無論你的身份有多高。這樣就能更好的保護(hù)自己的敏感數(shù)據(jù)和重要文件。下面以Tools文件夾加密為例介紹。首先右鍵打開其屬性,在“常規(guī)”標(biāo)簽里“選擇“高級”選項進(jìn)入高級屬性,圖12,將“加密內(nèi)容以便保護(hù)數(shù)據(jù)”框選中并確認(rèn),圖13。確定后會出現(xiàn)圖14所示的選項。如果選擇上面一項,則只加密此文件夾,其他用戶雖然不能直接訪問此文件夾,但可以通過其他途徑如直接鍵入完整路徑來訪問里面的內(nèi)容;如果選擇下面一項,則此文件夾內(nèi)所有的文件和文件夾都將被加密。
圖 12 圖 13 圖 14
使用加密文件系統(tǒng)需要注意以下幾點:
* 只有在NTFS系統(tǒng)上才支持?jǐn)?shù)據(jù)加密,如果被加密的數(shù)據(jù)被移動到FAT格式的磁盤上,則會自動解密。 * 將非加密的數(shù)據(jù)移動到已加密的文件夾中,則會被自動加密,而且此過程是不可逆的,即把已加密的文件夾中數(shù)據(jù)移動到此文件夾外,數(shù)據(jù)不會自動解密。 * 無法加密系統(tǒng)文件、已被壓縮過的數(shù)據(jù)和Systemroot文件夾(即安裝目錄的Windows文件夾)。 * 加密數(shù)據(jù)不能防止被刪除或列出目錄,具有訪問權(quán)限的組或用戶即可刪除或列出已加密數(shù)據(jù)的目錄。所以應(yīng)結(jié)合組或用戶權(quán)限設(shè)置,進(jìn)一步保護(hù)好數(shù)據(jù)安全。
4.通過“軟件限制策略”限制任意程序的使用。在計算機(jī)的日常使用中,我們總是需要限制某些用戶執(zhí)行所有或部分程序,通過設(shè)置合理的規(guī)則可以鎖定系統(tǒng)所有或部分程序的運行。另一方面,隨著網(wǎng)絡(luò)、Internet以及電子郵件在日常生活中的使用日益增多,越來越多的病毒和木馬會故意進(jìn)行偽裝來欺騙我們運行它們。而要做出安全的選擇來確定某個程序是否安全是非常困難的。“軟件限制策略”控制未知或不信任的軟件的運行需求,從而從一定程度上達(dá)到預(yù)防病毒和木馬的功效,為營造一個安全的環(huán)境提供了條件。接下來,筆者就介紹一下如何設(shè)置“軟件限制策略”。從“管理工具”里打開“本地安全設(shè)置”,在左側(cè)的窗口里,可以看見“軟件限制策略”,打開后里面包含兩個選項:“安全級別”和“其他規(guī)則”,圖15。
圖 15
在“安全級別”里,如果選擇了“不允許的”作為默認(rèn)項,會出現(xiàn)一個提示框,圖16,確定后,系統(tǒng)會按新的規(guī)則將所有的可執(zhí)行程序設(shè)置為禁用,當(dāng)試圖打開程序時會提示錯誤,圖17。這就達(dá)到了鎖定所有程序的目的。解鎖的辦法當(dāng)然就是還原“不受限的”為默認(rèn)項了。
圖 16 圖 17
在“其他規(guī)則”里,可以定義四種規(guī)則來滿足不同的需求:證書規(guī)則、哈希規(guī)則、Internet區(qū)域規(guī)則、路徑規(guī)則。這里以“路徑規(guī)則”來介紹,其他的用法和作用都基本一樣。首先在“其他規(guī)則”上點右鍵,選擇“新建路徑規(guī)則”,圖18。點“瀏覽”選好具體的文件夾,在安全級別里選擇“不允許的”,然后確定。這樣就達(dá)到了對所選的文件夾內(nèi)所有程序鎖定的目的。此時如果繼續(xù)運行此文件夾內(nèi)的任何程序都回提示錯誤,圖19。同樣在這里可以選擇某個具體的程序來鎖定。
圖 18 圖 19
介紹了基本的使用方法,但這并不能滿足所有的安全需求。有的時候,我們需要只能運行個別程序,硬盤上其他所有的程序都不能運行。如何達(dá)到這個目的呢?首先在“安全級別”里把“不允許的”設(shè)置為默認(rèn),再到“其他規(guī)則”里設(shè)置想運行的程序路徑,并設(shè)置安全級別為“不受限的”。這樣,除了新規(guī)則規(guī)定的程序以外,其他一切程序都不能運行。那么如何利用此規(guī)則做好病毒和木馬的防御工作呢?我們可以在“其他規(guī)則”里設(shè)置新規(guī)則,路徑指向郵件附件保存的路徑,然后把安全級別設(shè)置為“不允許的”即可。
另外,“軟件限制策略”和權(quán)限沒有關(guān)系,如果限制了某個程序不能執(zhí)行,無論你以何身份身份來運行都會提示不能運行。經(jīng)過處理后的程序?qū)h(yuǎn)程登錄的用戶一樣適用。雖然設(shè)置適當(dāng)?shù)陌踩?guī)則可以從一定程度上防御病毒和木馬的襲擊,但切不可把“軟件限制策略”當(dāng)成防病毒軟件來使用,這只是緩兵之計。
網(wǎng)公網(wǎng)安備