Win2000/xp安全隱患與防範

　眾所周知，微軟公司的Windows 2000 Server操作系統因其操作方便、功能強大而受到廣大用戶的認可，越來越多的應用系統運行在Windows 2000 Server操作系統上。在日常工作中，在安裝和配置操作系統時不注意做好安全防範工作，導致系統安裝結束了，計算機病毒也入侵到操作系統里了。如何才能搭建一個安全的Windows操作系統？

　　一、操作系統安全隱患分析

　　（一）安裝隱患

　　在一台伺服器上安裝Windows 2000 Server操作系統時，主要存在以下隱患：

　　1、將伺服器接入網路內安裝。Windows2000 Server操作系統在安裝時存在一個安全漏洞，當輸入Administrator密碼后，系統就自動建立了ADMIN$的共享，但是並沒有用剛剛輸入的密碼來保護它，這種情況一直持續到再次啟動后，在此期間，任何人都可以通過ADMIN$進入這台機器；同時，只要安裝一結束，各種服務就會自動運行，而這時的伺服器是滿身漏洞，計算機病毒非常容易侵入。因此，將伺服器接入網路內安裝是非常錯誤的。

　　2、操作系統與應用系統共用一個磁碟分區。在安裝操作系統時，將操作系統與應用系統安裝在同一個磁碟分區，會導致一旦操作系統文件泄露時，攻擊者可以通過操作系統漏洞獲取應用系統的訪問許可權，從而影響應用系統的安全運行。

　　3、採用FAT32文件格式安裝。FAT32文件格式不能限制用戶對文件的訪問，這樣可以導致系統的不安全。

　　4、採用預設安裝。預設安裝操作系統時，會自動安裝一些有安全隱患的組件，如：IIS、DHCP、DNS等，導致系統在安裝后存在安全漏洞。

　　5、系統補丁安裝不及時不全面。在系統安裝完成後，不及時安裝系統補丁程序，導致病毒侵入。

　　（二）運行隱患

　　在系統運行過程中，主要存在以下隱患：

　　1、默認共享。系統在運行后，會自動創建一些隱藏的共享。一是C$ D$ E$ 每個分區的根共享目錄。二是ADMIN$ 遠程管理用的共享目錄。三是IPC$ 空連接。四是NetLogon共享。五是其它系統默認共享，如：FAX$、PRINT$共享等。這些默認共享給系統的安全運行帶來了很大的隱患。

　　2、默認服務。系統在運行后，自動啟動了許多有安全隱患的服務，如：Telnet services、DHCP Client、DNS Client、Print spooler、Remote Registry services（選程修改註冊表服務）、SNMP　Services 、Terminal Services 等。這些服務在實際工作中如不需要，可以禁用。

　　3、安全策略。系統運行后，默認情況下，系統的安全策略是不啟作用的，這降低了系統的運行安全性。

　　4、管理員帳號。系統在運行后，Administrator用戶的帳號是不能被停用的，這意味著攻擊者可以一遍又一遍的嘗試猜測這個賬號的口令。此外，設置簡單的用戶帳號口令也給系統的運行帶來了隱患。

　　5、頁面文件。頁面文件是用來存儲沒有裝入內存的程序和數據文件部分的隱藏文件。頁面文件中可能含有一些敏感的資料，有可能造成系統信息的泄露。

　　6、共享文件。默認狀態下，每個人對新創建的文件共享都擁有完全控制許可權，這是非常危險的，應嚴格限制用戶對共享文件的訪問。

　　7、Dump文件。Dump文件在系統崩潰和藍屏的時候是一份很有用的查找問題的資料。然而，它也能夠給攻擊者提供一些敏感信息，比如一些應用程序的口令等，造成信息泄露。

　　8、WEB服務。系統本身自帶的IIS服務、FTP服務存在安全隱患，容易導致系統被攻擊。
二、安全防範對策
　　（一）安裝對策
　　在進行系統安裝時，採取以下對策：
　　1、在完全安裝、配置好操作系統，給系統全部安裝系統補丁之前，一定不要把機器接入網路。
　　2、在安裝操作系統時，建議至少分三個磁碟分區。第一個分區用來安裝操作系統，第二分區存放IIS、FTP和各種應用程序，第三個分區存放重要的數據和日誌文件。
　　3、採用NTFS文件格式安裝操作系統，可以保證文件的安全，控制用戶對文件的訪問許可權。
　　4、在安裝系統組件時，不要採用預設安裝，刪除系統預設選中的IIS、DHCP、DNS等服務。
　　5、在安裝完操作系統后，應先安裝在其上面的應用系統，后安裝系統補丁。安裝系統補丁一定要全面。
　　（二）運行對策
　　在系統運行時，採取以下對策：
　　1、關閉系統默認共享
　　方法一：採用批處理文件在系統啟動后自動刪除共享。　首選在Cmd提示符下輸入「Net Share」命令，查看系統自動運行的所有共享目錄。然後建立一個批處理文件SHAREDEL.BAT，將該批處理文件放入計劃任務中，設為每次開機時運行。文件內容如下：
　　NET SHARE C$ /DELETE
　　NET SHARE D$ /DELETE
　　NET SHARE E$ /DELETE
　　……
　　NET SHARE IPC$ /DELETE
　　NET SHARE ADMIN$ /DELETE
　　方法二：修改系統註冊表，禁止默認共享功能。在Local_Machine\ System\ CurrentControlSet\Services\Lanmanserver\parameters下新建一個雙位元組項「auto shareserver」，其值為「0」。
　　2、刪除多餘的不需要的網路協議
　　刪除網路協議中的NWLink NetBIOS協議，NWLink IPX/SPX/NetBIOS 協議，NeBEUI PROtocol協議和服務等，只保留TCP/IP網路通訊協議。
　　3、關閉不必要的有安全隱患的服務
　　用戶可以根據實際情況，關閉表1中所示的系統自動運行的有安全隱患的服務

表1　需要關閉的服務表
　4、啟用安全策略

　　安全策略包括以下五個方面：

　　（1）帳號鎖定策略。設置帳號鎖定閥值，5次無效登錄后，即鎖定帳號。

　　（2）密碼策略。一是密碼必須符合複雜性要求，即密碼中必須包括字母、數字以及特殊字元，如：上檔鍵上的+_（）*&^%$#@!?><」:{}　等特殊字元。二是伺服器密碼長度最少設置為8位字元以上。三是密碼最長保留期。一般設置為1至3個月，即30－90天。四是密碼最短存留期：3天。四是強制密碼歷史：0個記住的密碼。五是「為域中所有用戶使用可還原的加密來儲存密碼」，停用。

　　（3）審核策略。默認安裝時是關閉的。激活此功能有利於管理員很好的掌握機器的狀態，有利於系統的入侵檢測。可以從日誌中了解到機器是否在被人蠻力攻擊、非法的文件訪問等等。開啟安全審核是系統最基本的入侵檢測方法。當攻擊者嘗試對用戶的系統進行某些方式（如嘗試用戶口令,改變賬號策略，未經許可的文件訪問等等）入侵的時候，都會被安全審核記錄下來。避免不能及時察覺系統遭受入侵以致系統遭到破壞。建議至少審核登錄事件、帳戶登錄事件、帳戶管理三個事件。

　　（4）「用戶權利指派」。在「用戶權利指派」中，將「從遠端系統強制關機」許可權設置為禁止任何人有此許可權，防止黑客從遠程關閉系統。

　　（5）「安全選項」。在「安全選項」中，將「對匿名連接的額外限制」許可權改為「不允許枚舉SAM帳號和共享」。也可以通過修改註冊表中的值來禁止建立空連接，將Local_Machine \System\CurrentControlSet\ Control \LSA-RestrictAnonymous 的值改為「1」。如在LSA目錄下如無該鍵值，可以新建一個雙位元組值，名為「restrictanonymous」，值為「1」，十六進位。此舉可以有效地防止利用IPC$空連接枚舉SAM帳號和共享資源，造成系統信息的泄露。

　　5、加強對Administrator帳號和Guest帳號的管理監控

　　將Administrator帳號重新命名，創建一個陷阱賬號，名為「Administrator」，口令為10位以上的複雜口令，其許可權設置成最低，即：將其設為不隸屬於任何一個組，並通過安全審核，藉此發現攻擊者的入侵企圖。設置2個管理員用賬號，一個具有一般許可權，用來處理一些日常事物；另一個具有Administrators 許可權，只在需要的時候使用。修改Guest用戶口令為複雜口令，並禁用GUEST用戶帳號。

　　6、禁止使用共享

　　嚴格限制用戶對共享目錄和文件的訪問，無特殊情況，嚴禁通過共享功能訪問伺服器。

　　7、清除頁面文件

　　修改註冊表HKLM\SYSTEM\　CurrentControlSet\ Control\ Session Manager\ Memory Management中「ClearPageFileAtShutdown」的值為「1」，可以禁止系統產生頁面文件，防止信息泄露。

　　8、清除Dump文件

　　打開控制面板→系統屬性→高級→啟動和故障恢復，將「寫入調試信息」改成「無」，可以清除Dump文件，防止信息泄露。

　　9、WEB服務安全設置

　　確需提供WEB服務和FTP服務的，建議採取以下措施：

　　（1）IIS-WEB網站服務。在安裝時不要選擇IIS服務，安裝完畢后，手動添加該服務，將其安裝目錄設為如D:\INTE等任意字元，以加大安全性。刪除INTERNET服務管理器，刪除樣本頁面和腳本，卸載INTERNET列印服務，刪除除ASP外的應用程序映射。針對不同類型文件建立不同文件夾並設置不同許可權。對腳本程序設為純腳本執行許可許可權，二進位執行文件設為腳本和可執行程序許可權，靜態文件設為讀許可權。對安全掃描出的CGI漏洞文件要及時刪除。

　　（2）FTP文件傳輸服務。不要使用系統自帶的FTP服務，該服務與系統賬戶集成認證，一旦密碼泄漏後果十分嚴重。建議利用第三方軟體SERV-U提供FTP服務，該軟體用戶管理獨立進行，並採用單向hash函數（MD5）加密用戶口令，加密后的口令保存在ServUDaemon.ini或是註冊表中。用戶採用多許可權和模擬域進行許可權管理。虛擬路徑和物理路徑可以隨時變換。利用IP規則，用戶許可權，用戶域，用戶口令多重保護防止非法入侵。利用攻擊規則可以自動封閉拒絕攻擊，密碼猜解發起計算機的IP並計入黑名單。

　　三、結束語

　　以上是筆者根據多年的工作經驗總結的一點心得，有些地方研究的還不夠深入，希望本文能給操作系統安全防範工作提供幫助。日常管理工作中，系統管理員還必須及時安裝微軟發布的最新系統安全漏洞補丁程序，安裝防病毒軟體並及時升級病毒定義庫，來防止計算機病毒的入侵，保障操作系統的安全運行。