Win2000系統(tǒng)安全隱患與防范詳解

1、Win 2000系統(tǒng)安全隱患與防X詳解來(lái)源:eNetWindows 2000 Server操作系統(tǒng)是目前在PC服務(wù)器上廣泛應(yīng)用的操作系統(tǒng)。本文分析 了操作系統(tǒng)在安裝和運(yùn)行過(guò)程中存在的安全隱患，提出了相應(yīng)的防X措施，提高了系統(tǒng)安全 性和抗病毒攻擊能力。關(guān)鍵詞：操作系統(tǒng)安全隱患防X眾所周知，微軟公司的Windows 2000 Server操作系統(tǒng)因其操作方便、功能強(qiáng)大而受 到廣大用戶(hù)的認(rèn)可，越來(lái)越多的應(yīng)用系統(tǒng)運(yùn)行在Windows 2000 Server操作系統(tǒng)上。在日常 工作中，有的管理員在安裝和配置操作系統(tǒng)時(shí)不注意做好安全防X工作，導(dǎo)致系統(tǒng)安裝結(jié)束 T.計(jì)算機(jī)病毒也入侵到操作系統(tǒng)里了。如何才能搭

2、建一個(gè)安全的操作系統(tǒng)是安全管理人員 所關(guān)心的一個(gè)問(wèn)題。一、操作系統(tǒng)安全隱患分析（一）安裝隱患在一臺(tái)服務(wù)器上安裝Windows 2000 Server操作系統(tǒng)時(shí)，主要存在以下隱患：1、將服務(wù)器接入網(wǎng)絡(luò)內(nèi)安裝。Windows2000 Server操作系統(tǒng)在安裝時(shí)存在一個(gè)安全漏 洞，當(dāng)輸入Administrator密碼后，系統(tǒng)就自動(dòng)建立了 ADMIM$的共享，但是并沒(méi)有用剛剛 輸入的密碼來(lái)保護(hù)它，這種情況一直持續(xù)到再次啟動(dòng)后，在此期間，任何人都可以通過(guò) ADMIN$進(jìn)入這臺(tái)機(jī)器：同時(shí)，只要安裝一結(jié)束，各種服務(wù)就會(huì)自動(dòng)運(yùn)行，而這時(shí)的服務(wù)器是 滿(mǎn)身漏洞，計(jì)算機(jī)病毒非常容易侵入。因此，將服務(wù)器接入網(wǎng)絡(luò)內(nèi)安

3、裝是非常錯(cuò)誤的。2、操作系統(tǒng)與應(yīng)用系統(tǒng)共用一個(gè)磁盤(pán)分區(qū)。在安裝操作系統(tǒng)時(shí)，將操作系統(tǒng)與應(yīng)用系 統(tǒng)安裝在同一個(gè)磁盤(pán)分區(qū)，會(huì)導(dǎo)致一旦操作系統(tǒng)文件泄需時(shí)，攻擊者可以通過(guò)操作系統(tǒng)漏洞 獲取應(yīng)用系統(tǒng)的訪問(wèn)權(quán)限，從而影響應(yīng)用系統(tǒng)的安全運(yùn)行。3、采用FAT32文件格式安裝。FAT32文件格式不能限制用戶(hù)對(duì)文件的訪問(wèn)，這樣可以 導(dǎo)致系統(tǒng)的不安全。4、采用缺省安裝。缺省安裝操作系統(tǒng)時(shí)，會(huì)自動(dòng)安裝一些有安全隱患的組件，女口： IIS、 DHCP、DNS等，導(dǎo)致系統(tǒng)在安裝后存在安全漏洞。5、系統(tǒng)補(bǔ)丁安裝不及時(shí)不全而。在系統(tǒng)安裝完成后，不及時(shí)安裝系統(tǒng)補(bǔ)丁程序，導(dǎo)致 病毒侵入。（二）運(yùn)行隱患在系統(tǒng)運(yùn)行過(guò)程中，主要存在以

4、下隱患：1、默認(rèn)共享。系統(tǒng)在運(yùn)行后，會(huì)自動(dòng)創(chuàng)建一些隱藏的共享。一是C$ D$ E$每個(gè)分區(qū) 的根共享目錄。二是ADMINS遠(yuǎn)程管理用的共享目錄。三是IPCS空連接。四是NetLogon 共享。五是其它系統(tǒng)默認(rèn)共享，如：FAX$、PRINTS共享等。這些默認(rèn)共享給系統(tǒng)的安全運(yùn)行 帶來(lái)了很大的隱患。2、默認(rèn)服務(wù)。系統(tǒng)在運(yùn)行后，自動(dòng)啟動(dòng)了許多有安全隱患的服務(wù)，如:Telnet services. DHCP Client、DNS Clients Print spoolerx Remote Registry services （選程修改注冊(cè)表 服務(wù)）、SNMPServices、Terminal Serv

5、ices等。這些服務(wù)在實(shí)際工作中如不需要，可以 禁用。3、安全策略。系統(tǒng)運(yùn)行后，默認(rèn)情況下，系統(tǒng)的安全策略是不啟作用的，這降低了系 統(tǒng)的運(yùn)行安全性。4、管理員XX。系統(tǒng)在運(yùn)行后，Administrator用戶(hù)的XX是不能被停用的，這意味著 攻擊者可以一遍又一遍的嘗試猜測(cè)這個(gè)賬號(hào)的口令。此外，設(shè)置簡(jiǎn)單的用戶(hù)XX 口令也給系 統(tǒng)的運(yùn)行帶來(lái)了隱患。5、頁(yè)而文件。頁(yè)而文件是用來(lái)存儲(chǔ)沒(méi)有裝入內(nèi)存的程序和數(shù)據(jù)文件部分的隱藏文件。 頁(yè)面文件中可能含有一些敏感的資料，有可能造成系統(tǒng)信息的泄霸。6、共享文件。默認(rèn)狀態(tài)下，每個(gè)人對(duì)新創(chuàng)建的文件共享都擁有完全控制權(quán)限，這是非 常危險(xiǎn)的，應(yīng)嚴(yán)格限制用戶(hù)對(duì)共享文件的訪問(wèn)

6、。7、Dump文件。Dump文件在系統(tǒng)朋潰和藍(lán)屏的時(shí)候是一份很有用的查找問(wèn)題的資料。 然而，它也能夠給攻擊者提供一些敏感信息，比如一些應(yīng)用程序的口令等，造成信息泄露。8、WEB服務(wù)。系統(tǒng)本身自帶的IIS服務(wù)、FTP服務(wù)存在安全隱患，容易導(dǎo)致系統(tǒng)被攻 擊。二、安全防X對(duì)策（-）安裝對(duì)策在進(jìn)行系統(tǒng)安裝時(shí)，采取以下對(duì)策：1、在完全安裝、配置好操作系統(tǒng)，給系統(tǒng)全部安裝系統(tǒng)補(bǔ)丁之前，一泄不要把機(jī)器接 入網(wǎng)絡(luò)。2、在安裝操作系統(tǒng)時(shí)，建議至少分三個(gè)磁盤(pán)分區(qū)。第一個(gè)分區(qū)用來(lái)安裝操作系統(tǒng)，第 二分區(qū)存放IIS、FTP和各種應(yīng)用程序，第三個(gè)分區(qū)存放重要的數(shù)據(jù)和日志文件。3、采用NTFS文件格式安裝操作系統(tǒng)，可以保

7、證文件的安全，控制用戶(hù)對(duì)文件的訪問(wèn) 權(quán)限。4、在安裝系統(tǒng)組件時(shí)，不要采用缺省安裝，刪除系統(tǒng)缺省選中的IIS、DHCP、DNS等 服務(wù)。5、在安裝完操作系統(tǒng)后，應(yīng)先安裝在其上面的應(yīng)用系統(tǒng)，后安裝系統(tǒng)補(bǔ)丁。安裝系統(tǒng) 補(bǔ)丁一定要全而。（二）運(yùn)行對(duì)策在系統(tǒng)運(yùn)行時(shí)，采取以下對(duì)策：1、關(guān)閉系統(tǒng)默認(rèn)共享方法一：采用批處理文件在系統(tǒng)啟動(dòng)后自動(dòng)刪除共享。首選在Cmd提示符下輸入“Net Share”命令，査看系統(tǒng)自動(dòng)運(yùn)行的所有共享目錄。然后建立一個(gè)批處理文件SHAREDEL.BAT, 將該批處理文件放入汁劃任務(wù)中，設(shè)為每次開(kāi)機(jī)時(shí)運(yùn)行。文件內(nèi)容如下：NET SHARE C$ /DELETENET SHARE D$

8、 /DELETENET SHARE E$ /DELETENET SHARE IPC$ /DELETENET SHARE ADMIN$ /DELETE方法二：修改系統(tǒng)注冊(cè)表，禁止默認(rèn)共享功能。在Local_Machine System CurrentControlSetServicesLanmanserverparameters 卜-新建一個(gè)雙字節(jié)項(xiàng) “ auto share serverM ,其值為"0" »2、刪除多余的不需要的網(wǎng)絡(luò)協(xié)議刪除網(wǎng)絡(luò)協(xié)議中的 NWLink NetBIOS 協(xié)議，NWLink IPX/SPX./NetBIOS 協(xié)議，NeBEUI PRO

9、tocol協(xié)議和服務(wù)等，只保留TCP/IP網(wǎng)絡(luò)通訊協(xié)議。3、關(guān)閉不必要的有安全隱患的服務(wù)用戶(hù)可以根據(jù)實(shí)際情況，關(guān)閉表1中所示的系統(tǒng)自動(dòng)運(yùn)行的有安全隱忠的服務(wù)。1服務(wù)名稱(chēng)更改操作DHCP Client停止并禁用DNS Client停止并禁用1Prin.t spooler停止并禁用Remote Registry services停止并禁用SMP Servi aes晤止并禁用Telnet services禁用Terminal Services禁用表1需要關(guān)閉的服務(wù)表4、啟用安全策略安全策略包括以下五個(gè)方而：（1）XX鎖泄策略。設(shè)置XX鎖泄閥值，5次無(wú)效登錄后，即鎖左XX。（2）密碼策略。一是密碼必須

10、符合復(fù)雜性要求，即密碼中必須包括字母、數(shù)字以及特 殊字符，如：上檔鍵上的+_ O *&$#!?><” ：等特殊字符。二是服務(wù)器密碼長(zhǎng)度最少設(shè) 置為8位字符以上。三是密碼最長(zhǎng)保留期。一般設(shè)置為1至3個(gè)月，即3090天。四是密 碼最短存留期：3天。四是強(qiáng)制密碼歷史：0個(gè)記住的密碼。五是“為域中所有用戶(hù)使用可 還原的加密來(lái)儲(chǔ)存密碼”，停用。（3）審核策略。默認(rèn)安裝時(shí)是關(guān)閉的。激活此功能有利于管理員很好的掌握機(jī)器的狀 態(tài)，有利于系統(tǒng)的入侵檢測(cè)?？梢詮娜罩局辛私獾綑C(jī)器是否在被人蠻力攻擊、非法的文件訪 問(wèn)等等。開(kāi)啟安全審核是系統(tǒng)最基本的入侵檢測(cè)方法。當(dāng)攻擊者嘗試對(duì)用戶(hù)的系統(tǒng)進(jìn)行某些 方

11、式（如嘗試用戶(hù)口令，改變賬號(hào)策略，未經(jīng)許可的文件訪問(wèn)等等）入侵的時(shí)候，都會(huì)被安 全審核記錄下來(lái)。避免不能及時(shí)察覺(jué)系統(tǒng)遭受入侵以致系統(tǒng)遭到破壞。建議至少審核登錄事 件、XX登錄事件、XX管理三個(gè)事件。（4）“用戶(hù)權(quán)利指派”。在'用戶(hù)權(quán)利指派”中，將“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”權(quán)限設(shè) 垃為禁止任何人有此權(quán)限，防止黑客從遠(yuǎn)程關(guān)閉系統(tǒng)。（5）“安全選項(xiàng)”。在“安全選項(xiàng)”中，將“對(duì)匿名連接的額外限制”權(quán)限改為“不 允許枚舉SAMXX和共享”。也可以通過(guò)修改注冊(cè)表中的值來(lái)禁止建立空連接，將 Local_Machine SystemCurrentControlSetControl LSA-Restrict

12、Anonymous 的值改為“”。如在LSA目錄下如無(wú)該鍵值，可以新建一個(gè)雙字節(jié)值，名為“restrictanonymous” , 值為“1”，十六進(jìn)制。此舉可以有效地防止利用IPC$空連接枚舉SAMXX和共享資源，造成 系統(tǒng)信息的泄露。5、加強(qiáng)對(duì)Admini stratorXX和Gue st XX的管理監(jiān)控將AdministratorXX重新命乞，創(chuàng)建一個(gè)陷阱賬號(hào)，名為44Administrator" , 口令為 10位以上的復(fù)雜口令，英權(quán)限設(shè)世成最低，即：將其設(shè)為不隸屬于任何一個(gè)組，并通過(guò)安 全審核，借此發(fā)現(xiàn)攻擊者的入侵企圖。設(shè)這2個(gè)管理員用賬號(hào)，一個(gè)具有一般權(quán)限，用來(lái)處 理一些

13、日常事物；另一個(gè)具有Administrators權(quán)限，只在需要的時(shí)候使用。修改Guest用 戶(hù)口令為復(fù)雜口令，并禁用GUEST用戶(hù)XX。6、禁止使用共享嚴(yán)格限制用戶(hù)對(duì)共享目錄和文件的訪問(wèn)，無(wú)特殊情況，嚴(yán)禁通過(guò)共享功能訪問(wèn)服務(wù)器。7、淸除頁(yè)面文件修改注冊(cè)表 HKLMSYSTEMCurrentControlSetControl Session ManagerMemory Management中* ClearPageF i 1 e At Shutdown "的值為"1”，可以禁止系統(tǒng)產(chǎn)生頁(yè)而文件， 防止信息泄露。8、淸除Dump文件打開(kāi)控制而板一系統(tǒng)屬性一髙級(jí)一啟動(dòng)和故障恢復(fù)，將

14、'寫(xiě)入調(diào)試信息”改成“無(wú)”， 可以淸除Dump文件，防止信息泄霸。9、WEB服務(wù)安全設(shè)置確需提供WEB服務(wù)和FTP服務(wù)的，建議采取以下措施：（1）IIS-WEB服務(wù)。在安裝時(shí)不要選擇IIS服務(wù)，安裝完畢后，手動(dòng)添加該服務(wù)，將 其安裝目錄設(shè)為如D:INTE等任意字符，以加大安全性。刪除INTERNET服務(wù)管理器，刪除 樣本頁(yè)而和腳本，卸載INTERNET打印服務(wù)，刪除除ASP外的應(yīng)用程序映射。針對(duì)不同類(lèi)型 文件建立不同文件夾并設(shè)置不同權(quán)限。對(duì)腳本程序設(shè)為純腳本執(zhí)行許可權(quán)限，二進(jìn)制執(zhí)行文 件設(shè)為腳本和可執(zhí)行程序權(quán)限，靜態(tài)文件設(shè)為讀權(quán)限。對(duì)安全掃描出的CGI漏洞文件要及時(shí) 刪除。（2）FTP

15、文件傳輸服務(wù)。不要使用系統(tǒng)自帶的FTP服務(wù)，該服務(wù)與系統(tǒng)賬戶(hù)集成認(rèn)證, 一旦密碼泄漏后果十分嚴(yán)重。建議利用第三方軟件SERV-U提供FTP服務(wù)，該軟件用戶(hù)管理 獨(dú)立進(jìn)行，并采用單向hash函數(shù)（MD5）加密用戶(hù)口令，加密后的口令保存在Servl'Daemon. ini 或是注冊(cè)表中。用戶(hù)采用多權(quán)限和模擬域進(jìn)行權(quán)限管理。虛擬路徑和物理路徑可以隨時(shí)變換。 利用IP規(guī)則，用戶(hù)權(quán)限，用戶(hù)域，用戶(hù)口令多重保護(hù)防止非法入侵。利用攻擊規(guī)則可以自 動(dòng)封閉拒絕攻擊，密碼猜解發(fā)起計(jì)算機(jī)的IP并計(jì)入黑。三、結(jié)束語(yǔ)以上是筆者根據(jù)多年的工作經(jīng)驗(yàn)總結(jié)的一點(diǎn)心得，有些地方研究的還不夠深入，希望 本文能給操作系統(tǒng)安全防X工作提