第13章WindowsServer2003安全管理

1、第16章 Windows Server 2003安全管理 本章學(xué)習(xí)目標(biāo) 本章主要講解Windows Server 2003服務(wù)器安全配置與管理，保證服務(wù)器自身安全，提供可靠服務(wù)。通過(guò)本章學(xué)習(xí)，讀者應(yīng)該掌握以下知識(shí)： Windows Server 2003安全策略； Windows Server 2003安全配置和分析； 管理安全性模板； Windows Server 2003安全性措施。網(wǎng)絡(luò)安全策略 網(wǎng)絡(luò)安全策略主要包括兩大部分，即訪問(wèn)控制策略和信息加密策略。訪問(wèn)控制策略是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段，用以保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)。信息加密策

2、略保證數(shù)據(jù)傳輸中的安全，即保證數(shù)據(jù)完整性和機(jī)密性。各種安全策略相互配合才能實(shí)現(xiàn)對(duì)系統(tǒng)的全面保護(hù)。16.1 Windows Server 2003安全策略 Windows Server 2003安全策略定義了用戶在使用計(jì)算機(jī)、運(yùn)行應(yīng)用程序和訪問(wèn)網(wǎng)絡(luò)等方面的行為，通過(guò)這些約束避免對(duì)網(wǎng)絡(luò)安全性的有意或無(wú)意的傷害。 安全策略是一個(gè)事先定義好的一系列應(yīng)用計(jì)算機(jī)的行為準(zhǔn)則，應(yīng)用這些安全策略保證用戶有一致的工作方式，防止用戶破壞計(jì)算機(jī)上的各種重要的配置，保護(hù)網(wǎng)絡(luò)上的敏感數(shù)據(jù)。 在Windows Server 2003中安全策略分為“本地安全設(shè)置”和“組策略”兩種。本地安全設(shè)置實(shí)現(xiàn)基于單個(gè)計(jì)算機(jī)的安全性，對(duì)于

3、較小的企業(yè)或組織，或者是在網(wǎng)絡(luò)中沒(méi)有應(yīng)用活動(dòng)目錄的網(wǎng)絡(luò)，通常使用本地安全設(shè)置；而組策略可以在站點(diǎn)、OU（組織單元）或域的范圍內(nèi)實(shí)現(xiàn)，通常應(yīng)用于較大規(guī)模并且實(shí)施活動(dòng)目錄的網(wǎng)絡(luò)中。16.2 Windows Server 2003安全配置和分析 (1) 打開(kāi)“開(kāi)始”/“管理工具”程序組，運(yùn)行“本地安全設(shè)置”應(yīng)用程序。在“本地安全設(shè)置”窗口的左側(cè)的樹(shù)型窗口中單擊“+”號(hào)來(lái)擴(kuò)展條目，如圖16-1所示，進(jìn)行相應(yīng)的設(shè)置 16.2 Windows Server 2003安全配置和分析 (2)圖16- 1 安全設(shè)置16.2 Windows Server 2003安全配置和分析 (3) 例如，用戶可以設(shè)置密碼的安

4、全策略，選中“賬戶策略”/“密碼策略”，然后在右邊的窗口中選擇要設(shè)置的選項(xiàng)，如選中“密碼長(zhǎng)度最小值”，在這里可以設(shè)置密碼的長(zhǎng)度最少為8個(gè)字符。 又如，選擇安全設(shè)置中的“本地策略”/“安全選項(xiàng)”，可以設(shè)置交互登錄方式，如不需按CTRL+ALT+DEL組合鍵，如圖16-2所示。雙擊該項(xiàng)目并設(shè)置成“已啟用”即可。 16.2 Windows Server 2003安全配置和分析 (4)圖16-2 安全選項(xiàng)設(shè)置 16.3 管理安全性模板 (1) Windows Server 2003中包含了許多安全模板，分別適用于不同的安全需求。利用這些模板，用戶可以簡(jiǎn)化策略的設(shè)定和實(shí)施操作。它們通常包含了大多數(shù)的安全

5、設(shè)定，用戶也可以按照需要繼續(xù)配置，以適應(yīng)一個(gè)具體網(wǎng)絡(luò)的需要。Windows Server 2003提供了四種安全級(jí)別的模板：基本、兼容、安全和高度安全，它們存放在%SystemRoot%securitytemplates文件夾中。 16.3 管理安全性模板 (2) 1基本（Basic） 該級(jí)別的模板為Windows Server 2003定義的默認(rèn)安全級(jí)別，可以用作基礎(chǔ)配置。setup security.inf 模板文件是在安裝期間針對(duì)每臺(tái)計(jì)算機(jī)創(chuàng)建的。取決于所進(jìn)行的安裝是完整安裝還是升級(jí)，該模板在不同的計(jì)算機(jī)中可能不同。Setup security.inf 代表了在安裝操作系統(tǒng)期間所應(yīng)用的默

6、認(rèn)安全設(shè)置，包括對(duì)系統(tǒng)驅(qū)動(dòng)器的根目錄的文件權(quán)限。它可以用在服務(wù)器或客戶機(jī)上，但不能應(yīng)用于域控制器。此模板的某些部分可應(yīng)用于故障恢復(fù)。16.3 管理安全性模板 (3) 2兼容（Compatible） 提供比基本模板更高的安全級(jí)別，但仍然努力兼容標(biāo)準(zhǔn)的商用應(yīng)用程序的所有功能，使之仍然可以有效的運(yùn)行。該模板為兼容工作站或服務(wù)器模板，模板文件是compatws.inf。16.3 管理安全性模板 (4) 3安全（Secure） 當(dāng)安全性被視為重要的考慮因素時(shí)應(yīng)選用此類模板。這種模板提供多種安全性，可能會(huì)影響一些商用應(yīng)用程序某些功能的運(yùn)行。其中包括：安全的工作站或服務(wù)器模板securews.inf和安全的

7、DC（域控制器）模板securedc.inf。16.3 管理安全性模板 (5) 4高度安全（high） 提供預(yù)定義下的最高安全性，安全性被視為首要考慮的因素時(shí)選用此類模板。該級(jí)別模板不會(huì)考慮應(yīng)用程序是否會(huì)受到這些設(shè)定的影響，因此要慎重。模板包括高安全的工作站或服務(wù)器模板文件hisecdc.inf和高安全的DC模板文件hisecws.inf。 16.3 管理安全性模板 (6) 導(dǎo)入安全模板的步驟如下： 步驟一，打開(kāi)“開(kāi)始”/“管理工具”； 步驟二，運(yùn)行“本地安全策略”應(yīng)用程序，打開(kāi)“本地安全策略”管理窗口； 步驟三，在左側(cè)窗體中選擇根項(xiàng)目“安全設(shè)置”，選擇菜單“操作”/“導(dǎo)入策略”，打開(kāi)“策略導(dǎo)

8、入來(lái)源”對(duì)話框，選擇需要的策略模板文件，如選擇“securedc.inf”,點(diǎn)擊“打開(kāi)”即可完成設(shè)置。16.4 Windows Server 2003安全性措施 (1) 1版本的選擇 Windows Server 2003有各種語(yǔ)言的版本，對(duì)于我們來(lái)說(shuō)，可以選擇英文版或簡(jiǎn)體中文版，如果語(yǔ)言不成為障礙的情況下，可以考慮選擇英文版。因?yàn)槲④沇indows Server 2003中文版的Bug遠(yuǎn)遠(yuǎn)多于英文版，而補(bǔ)丁程序一般還會(huì)推遲至少半個(gè)月。 16.4 Windows Server 2003安全性措施 (2) 2組件的定制 Windows Server 2003在默認(rèn)情況下會(huì)安裝一些常用的組件，但這

9、種默認(rèn)安裝可能帶來(lái)安全隱患。對(duì)于管理員應(yīng)該明確到底需要哪些服務(wù)，只安裝確實(shí)需要的服務(wù)，根據(jù)安全原則，最少的服務(wù)+最小的權(quán)限=最大的安全。典型的WEB服務(wù)器需要的最小組件選擇是：只安裝IIS的Com Files，IIS Snap-In，WWW Server組件。而應(yīng)該謹(jǐn)慎安裝IIS中的其他組件，例如Indexing Service， FrontPage server 2003 Extensions， Internet Service Manager (HTML)等。 16.4 Windows Server 2003安全性措施 () 3正確安裝Windows Server 2003 （1）分區(qū)和邏

10、輯盤的分配 （2）安裝順序的選擇與系統(tǒng)補(bǔ)丁16.4 Windows Server 2003安全性措施 () 4安全配置Windows Server 2003 （1）端口 （2）IIS服務(wù) （3）應(yīng)用程序配置 （4）刪除不需要的服務(wù)16.4 Windows Server 2003安全性措施 (-1) （1）端口 端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口，也是計(jì)算機(jī)的第一道屏障，端口配置正確與否直接影響到主機(jī)的安全。一般來(lái)說(shuō)，比較安全的做法是，只打開(kāi)你需要使用的端口。很多黑客攻擊程序是針對(duì)特定服務(wù)和特定服務(wù)端口的，因此，為了降低遭受黑客攻擊的危險(xiǎn)，應(yīng)該關(guān)閉那些不必要的服務(wù)和服務(wù)端口。16.4 Wind

11、ows Server 2003安全性措施 (4-1)16.4 Windows Server 2003安全性措施 (4-2) （2）IIS服務(wù) IIS是微軟的組件中漏洞最多的一個(gè)，平均兩三個(gè)月就要出一個(gè)漏洞，所以我們應(yīng)該細(xì)致配置IIS。例如，信息服務(wù)發(fā)布目錄Inetpub安裝在非系統(tǒng)分區(qū)上，如D盤，更改名字不用系統(tǒng)默認(rèn)目錄名。在IIS管理器中將主目錄指向你自己設(shè)定的路徑即可。又如，刪除IIS安裝時(shí)默認(rèn)的scripts等虛擬目錄，謹(jǐn)慎建立所需目錄，同時(shí)需要什么權(quán)限開(kāi)什么權(quán)限。特別注意寫權(quán)限和執(zhí)行程序的權(quán)限，沒(méi)有絕對(duì)需要不要給目錄分配這些權(quán)限。16.4 Windows Server 2003安全性措

12、施 (3) （3）應(yīng)用程序配置 刪除IIS管理器中不必要的映射。例如，在IIS管理器中鼠標(biāo)單擊主機(jī)，選擇“網(wǎng)站”，鼠標(biāo)右鍵點(diǎn)擊選擇“屬性”菜單，選擇“主目錄”配置頁(yè)，選擇“配置”，打開(kāi)“應(yīng)用程序配置”對(duì)話框，如圖16-5所示，在“映射”選項(xiàng)頁(yè)中根據(jù)需要可以刪除不必要的應(yīng)用程序類型。選擇“調(diào)試”選項(xiàng)頁(yè)，如圖16-6所示，將腳本錯(cuò)誤消息改為發(fā)送文本，否則ASP出錯(cuò)的時(shí)候用戶將知道你的程序、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)結(jié)構(gòu)。錯(cuò)誤文本可自己定制，設(shè)置好后點(diǎn)按“確定”退出。 16.4 Windows Server 2003安全性措施 (3)16.4 Windows Server 2003安全性措施 (3)16.4 Wi

13、ndows Server 2003安全性措施 () （4）刪除不需要的服務(wù) Windows Server 2003的許多服務(wù)器允許用戶遠(yuǎn)程訪問(wèn)本機(jī)，如用戶通過(guò)Telnet方式登錄等，并可在控制臺(tái)上執(zhí)行一系列操作，如裝載和卸載模塊，安裝和刪除軟件。這雖然帶來(lái)了一些方便，但也給非法用戶訪問(wèn)和控制服務(wù)器帶來(lái)了可乘之機(jī)?？梢酝ㄟ^(guò)以下方法關(guān)掉一些不必要的服務(wù)，選擇“開(kāi)始”/“管理工具”/“服務(wù)”，打開(kāi)如圖16-7所示“服務(wù)”管理窗口，查找并選中要停止的服務(wù)（如Telnet），鼠標(biāo)右鍵單擊選擇“停止”即可。16.4 Windows Server 2003安全性措施 ()16.4 Windows Serve

14、r 2003安全性措施 (5) 5賬號(hào)安全 Windows Server 2003的賬號(hào)安全管理十分重要。首先，Windows Server 2003的默認(rèn)安裝允許任何用戶通過(guò)匿名用戶得到系統(tǒng)所有賬號(hào)、共享列表，這個(gè)本來(lái)是為了方便局域網(wǎng)用戶共享文件的，但是一個(gè)遠(yuǎn)程用戶也可以得到你的用戶列表并從而設(shè)法破解用戶密碼。 16.4 Windows Server 2003安全性措施 (5)16.4 Windows Server 2003安全性措施 () 6安全日志 Windows Server 2003的默認(rèn)安裝是不開(kāi)任何安全審核的。在“本地安全設(shè)置”管理程序的“本地策略”/“審核策略”中設(shè)置相應(yīng)的審核，如圖16-9所示界面。 16.4 Windows Server 2003安全性措施 (6)圖16-9 本地安全設(shè)置16.4 Windows Server 2003安全性措施 (7) 7目錄和文件權(quán)限 （1）權(quán)限是累計(jì)的。 （2）拒絕的權(quán)限要比允許的權(quán)限級(jí)別高（拒絕優(yōu)先） （3）文