第一步:修改管理員帳號和創建陷阱帳號:
修改內建的用戶賬號多年以來,微軟一直在強調最好重命名Administrator賬號并禁用Guest賬號,從而實現更高的安全。在Windows Server 2003中,Guest 賬號是缺省禁用的,但是重命名Administrator賬號仍然是必要的,因為黑客往往會從Administrator賬號入手開始進攻。方法是:打開“本地安全設置”對話框,依次展開“本地策略”→“安全選項”,在右邊窗格中有一個“賬戶:重命名系統管理員賬戶”的策略,雙擊打開它,給Administrator重新設置一個平淡的用戶名,當然,請不要使用Admin之類的名字,改了等于沒改,盡量把它偽裝成普通用戶,比如改成:guestone 。然后新建一個名稱為Administrator的陷阱帳號“受限制用戶”,把它的權限設置成最低,什么事也干不了的那種,并且加上一個超過10位的超級復雜密碼。這樣可以讓那些 Scripts s忙上一段時間了,并且可以借此發現它們的入侵企圖。或者在它的login scripts上面做點手腳。
第二步刪除默認共享存在的危險
Windows2003安裝好以后,系統會創建一些隱藏的共享,你可以在cmd下打 net share 查看他們。網上有很多關于IPC入侵的文章,相信大家一定對它不陌生。所以我們要禁止或刪除這些共享以確保安全,方法是:首先編寫如下內容的批處理文件:
@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share F$ /del
net share admin$ /del
以上批處理內容大家可以根據自己需要修改。保存為delshare.bat,存放到系統所在文件夾下的system32\GroupPolicy\User\Scripts\Logon目錄下。然后在開始菜單→運行中輸gpedit.msc,回車即可打開組策略編輯器。點擊用戶配置→Window設置→腳本(登錄/注銷)→登錄,在出現的“登錄 屬性”窗口中單擊“添加”,會出現“添加腳本”對話框,在該窗口的“腳本名”欄中輸入delshare.bat(如圖1),然后單擊“確定”按鈕即可。這樣就可以通過組策略編輯器使系統開機即執行腳本刪除系統默認的共享。
禁用IPC連接
IPC是Internet Process Connection的縮寫,也就是遠程網絡連接。它是Windows NT/2000/XP/2003特有的功能,其實就是在兩個計算機進程之間建立通信連接,一些網絡通信程序的通信建立在IPC上面。舉個例子來說,IPC就象是事先鋪好的路,我們可以用程序通過這條“路”訪問遠程主機。默認情況下,IPC是共享的,也就是說微軟已經為我們鋪好了路,因此,這種基于IPC的入侵也常常被簡稱為IPC入侵。建立IPC連接不需要任何黑客工具,在命令行里鍵入相應的命令就可以了,不過有個前提條件,那就是你需要知道遠程主機的用戶名和密碼。打開CMD后輸入如下命令即可進行連接:
net use\\ip\ipc$ "password" /user:"usernqme"。我們可以通過修改注冊表來禁用IPC連接。打開注冊表編輯器。找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子鍵,將其值改為1即可禁用IPC連接。
第三步是:重新設置遠程可訪問的注冊表路徑
設置遠程可訪問的注冊表路徑為空,這樣可以有效地防止黑客利用掃描器通過遠程注冊表讀取計算機的系統信息及其它信息。打開組策略編輯器,然后選擇“計算機配置”→“Windows設置”→“安全選項”→“網絡訪問:可遠程訪問的注冊表路徑”及“網絡訪問:可遠程訪問的注冊表”,將設置遠程可訪問的注冊表路徑和子路徑內容設置為空即可。這樣可以有效防止黑客利用掃描器通過遠程注冊表讀取計算機的系統信息及其它信息。(如圖2)
第四步:關閉不需要的端口
大家都知道,139端口是Netbios使用的端口,在以前的Windows版本中,只要不安裝Microsoft網絡的文件和打印共享協議,就可關閉139端口。在Windows Server 2003中,只這樣做是不行的。如果想徹底關閉139端口,方法如下:鼠標右鍵單擊“網絡鄰居”,選擇“屬性”,進入“網絡和撥號連接”,再用鼠標右鍵單擊“本地連接”,選擇“屬性”,打開“本地連接 屬性”頁,然后去掉“Microsoft網絡的文件和打印共享”前面的“√”(如圖3),接下來選中“Internet協議(TCP/IP)”,單擊“屬性”→“高級”→“WINS”,把“禁用TCP/IP上的NetBIOS”選中(如圖3),即大功告成!這樣做還可有效防止SMBCrack之類工具破解和利用網頁得到我們的NT散列。
如果你的機子還裝了IIS,你最好設置一下端口過濾。方法如下:選擇網卡屬性,然后雙擊“Internet協議(TCP/IP)”,在出現的窗口中單擊“高級”按鈕,會進入“高級TCP/IP設置”窗口,接下來選擇“選項”標簽下的“TCP/IP 篩選”項,點“屬性”按鈕,會來到“TCP/IP 篩選”的窗口,在該窗口的“啟用TCP/IP篩選(所有適配器)”前面打上“√”(如圖4),然后根據需要配置就可以了。
比方說如果你只打算瀏覽網頁,則只開放TCP端口80即可,所以可以在“TCP端口”上方選擇“只允許”,然后單擊“添加”按鈕,輸入80再單擊“確定”即可。如果有其他需要可如法炮制。
以上就是初步的安全設置下面在說說其他方面的安全:
(一)重新支持ASP腳本
為了將系統安全隱患降到最低限度,Windows Server 2003操作系統在默認狀態下,是不支持ASP腳本運行的;不過現在許多網頁的服務功能多是通過ASP腳本來實現的,為此,我們很有必要在安全有保障的前提下,讓系統重新支持ASP腳本。具體實現的方法為:
1.在系統的開始菜單中,依次單擊“管理工具”/“Internet信息服務管理器”命令;
2.在隨后出現的Internet信息服務屬性設置窗口中,用鼠標選中左側區域中的“Web服務器設置”
3.接著在對應該選項右側的區域中,用鼠標雙擊“Actives server pages”選項,然后將“任務欄”設置項處的“允許”按鈕單擊一下,系統中的II6就可以重新支持ASP腳本了。
(二)添加站點到“信任區域”
Windows Server 2003操作系統使用了一個安全插件,為用戶提供了增強的安全服務功能,利用該功能你可以自定義網站訪問的安全性。在缺省狀態下,Windows Server 2003操作系統會自動啟用增強的安全服務功能,并將所有被訪問的Internet站點的安全級別設置為“高”。對于頻繁訪問的網站,你可以將其添加到受信任的站點區域中,日后再次訪問它時,系統就不會彈出安全提示框了。
添加站點到“信任區域”的具體做法為:
1.在瀏覽器的地址框中,輸入需要訪問的站點地址,單擊回車鍵,就會自動打開一個安全提示警告窗口;
2.要是不想瀏覽該站點時,直接可以單擊“關閉”按鈕;要是想瀏覽的話,可以單擊“添加”按鈕;
3.在隨后打開的“可信任站點”設置窗口中,你會發現當前被訪問的站點地址已經出現在信任區域文本框中;
4.繼續單擊“添加”按鈕,就能將該站點添加到網站受信任區域中了;下次重新訪問該站點時,瀏覽器就會跳過安全檢查,直接打開該站點的網頁頁面了。
(三)根據需要對系統服務進行控制
服務是一種在系統后臺運行的應用程序類型,它與UNIX后臺程序類似。服務提供了核心操作系統功能,如Web 服務、事件日志記錄、文件服務、幫助和支持、打印、加密和錯誤報告。通過服務管理單元,可管理本地或遠程計算機上的服務。所以并不是所有默認服務都是我們需要的。我們不需要的可以停用、禁用,來釋放系統資源。如果你想更加了解系統的服務,可以到“我的電腦”→“控制面板”→“服務”中查看,每個服務都有完整的描述,或使用Windows 2003的幫助與支持,查閱相關資料。
特別注意:服務賬號
Windows Server 2003在某種程度上最小化服務賬號的需求。即便如此,一些第三方的應用程序仍然堅持傳統的服務賬號。如果可能的話,盡量使用本地賬號而不是域賬號作為服務賬號,因為如果某人物理上獲得了服務器的訪問權限,他可能會轉儲服務器的LSA機密,并泄露密碼。如果你使用域密碼,森林中的任何計算機都可以通過此密碼獲得域訪問權限。而如果使用本地賬戶,密碼只能在本地計算機上使用,不會給域帶來任何威脅。
系統服務
一個基本原則告訴我們,在系統上運行的代碼越多,包含漏洞的可能性就越大。你需要關注的一個重要安全策略是減少運行在你服務器上的代碼。這么做能在減少安全隱患的同時增強服務器的性能。
在Windows 2000中,缺省運行的服務有很多,但是有很大一部分服務在大多數環境中并派不上用場。事實上,Windows 2000的缺省安裝甚至包含了完全操作的IIS服務器。而在Windows Server 2003中,微軟關閉了大多數不是絕對必要的服務。即使如此,還是有一些有爭議的服務缺省運行。
其中一個服務是分布式文件系統(DFS)服務。DFS服務起初被設計簡化用戶的工作。DFS允許管理員創建一個邏輯的區域,包含多個服務器或分區的資源。對于用戶,所有這些分布式的資源存在于一個單一的文件夾中。
我個人很喜歡DFS,尤其因為它的容錯和可伸縮特性。然而,如果你不準備使用DFS,你需要讓用戶了解文件的確切路徑。在某些環境下,這可能意味著更強的安全性。在我看來,DFS的利大于弊。
另一個這樣的服務是文件復制服務(FRS)。FRS被用來在服務器之間復制數據。它在域控制器上是強制的服務,因為它能夠保持SYSVOL文件夾的同步。對于成員服務器來說,這個服務不是必須的,除非運行DFS。
如果你的文件服務器既不是域控制器,也不使用DFS,我建議你禁用FRS服務。這么做會減少黑客在多個服務器間復制惡意文件的可能性。
另一個需要注意的服務是Print Spooler服務(PSS)。該服務管理所有的本地和網絡打印請求,并在這些請求下控制所有的打印工作。所有的打印操作都離不開這個服務,它也是缺省被啟用的。
不是每個服務器都需要打印功能。除非服務器的角色是打印服務器,你應該禁用這個服務。畢竟,專用文件服務器要打印服務有什么用呢?通常地,沒有人會在服務器控制臺工作,因此應該沒有必要開啟本地或網絡打印。
我相信通常在災難恢復操作過程中,打印錯誤消息或是事件日志都是十分必要的。然而,我依然建議在非打印服務器上簡單的關閉這一服務。
信不信由你,PSS是最危險的Windows組件之一。有不計其數的木馬更換其可執行文件。這類攻擊的動機是因為它是統級的服務,因此擁有很高的特權。因此任何侵入它的木馬能夠獲得這些高級別的特權。為了防止此類攻擊,還是關掉這個服務吧!
最后提醒大家,經常到各大網絡安全站點看其最新公告,并急時為系統打上補丁,這樣你的系統會安全許多。
