眾所周知,微軟公司的Windows 2000 Server操作系統(tǒng)因其操作方便、功能強(qiáng)大而受到廣大用戶的認(rèn)可,越來越多的應(yīng)用系統(tǒng)運(yùn)行在Windows 2000 Server操作系統(tǒng)上。在日常工作中,有的管理員在安裝和配置操作系統(tǒng)時不注意做好安全防范工作,導(dǎo)致系統(tǒng)安裝結(jié)束了,計算機(jī)病毒也入侵到操作系統(tǒng)里了。如何才能搭建一個安全的操作系統(tǒng)是安全管理人員所關(guān)心的一個問題。
操作系統(tǒng)安全隱患分析
一 安裝隱患
在一臺服務(wù)器上安裝Windows 2000 Server操作系統(tǒng)時,主要存在以下隱患:
1、將服務(wù)器接入網(wǎng)絡(luò)內(nèi)安裝。Windows2000 Server操作系統(tǒng)在安裝時存在一個安全漏洞,當(dāng)輸入Administrator密碼后,系統(tǒng)就自動建立了ADMIN$的共享,但是并沒有用剛剛輸入的密碼來保護(hù)它,這種情況一直持續(xù)到再次啟動后,在此期間,任何人都可以通過ADMIN$進(jìn)入這臺機(jī)器;同時,只要安裝一結(jié)束,各種服務(wù)就會自動運(yùn)行,而這時的服務(wù)器是滿身漏洞,計算機(jī)病毒非常容易侵入。因此,將服務(wù)器接入網(wǎng)絡(luò)內(nèi)安裝是非常錯誤的。
2、操作系統(tǒng)與應(yīng)用系統(tǒng)共用一個磁盤分區(qū)。在安裝操作系統(tǒng)時,將操作系統(tǒng)與應(yīng)用系統(tǒng)安裝在同一個磁盤分區(qū),會導(dǎo)致一旦操作系統(tǒng)文件泄露時,攻擊者可以通過操作系統(tǒng)漏洞獲取應(yīng)用系統(tǒng)的訪問權(quán)限,從而影響應(yīng)用系統(tǒng)的安全運(yùn)行。
3、采用FAT32文件格式安裝。FAT32文件格式不能限制用戶對文件的訪問,這樣可以導(dǎo)致系統(tǒng)的不安全。
4、采用缺省安裝。缺省安裝操作系統(tǒng)時,會自動安裝一些有安全隱患的組件,如:IIS、DHCP、DNS等,導(dǎo)致系統(tǒng)在安裝后存在安全漏洞。
5、系統(tǒng)補(bǔ)丁安裝不及時不全面。在系統(tǒng)安裝完成后,不及時安裝系統(tǒng)補(bǔ)丁程序,導(dǎo)致病毒侵入。
二 運(yùn)行隱患
在系統(tǒng)運(yùn)行過程中,主要存在以下隱患:
1、默認(rèn)共享。系統(tǒng)在運(yùn)行后,會自動創(chuàng)建一些隱藏的共享。一是C$ D$ E$ 每個分區(qū)的根共享目錄。二是ADMIN$ 遠(yuǎn)程管理用的共享目錄。三是IPC$ 空連接。四是NetLogon共享。五是其它系統(tǒng)默認(rèn)共享,如:FAX$、PRINT$共享等。這些默認(rèn)共享給系統(tǒng)的安全運(yùn)行帶來了很大的隱患。
2、默認(rèn)服務(wù)。系統(tǒng)在運(yùn)行后,自動啟動了許多有安全隱患的服務(wù),如:Telnet services、DHCP Client、DNS Client、Print spooler、Remote Registry services(選程修改注冊表服務(wù))、SNMP Services 、Terminal Services 等。這些服務(wù)在實(shí)際工作中如不需要,可以禁用。
3、安全策略。系統(tǒng)運(yùn)行后,默認(rèn)情況下,系統(tǒng)的安全策略是不啟作用的,這降低了系統(tǒng)的運(yùn)行安全性。
4、管理員帳號。系統(tǒng)在運(yùn)行后,Administrator用戶的帳號是不能被停用的,這意味著攻擊者可以一遍又一遍的嘗試猜測這個賬號的口令。此外,設(shè)置簡單的用戶帳號口令也給系統(tǒng)的運(yùn)行帶來了隱患。
5、頁面文件。頁面文件是用來存儲沒有裝入內(nèi)存的程序和數(shù)據(jù)文件部分的隱藏文件。頁面文件中可能含有一些敏感的資料,有可能造成系統(tǒng)信息的泄露。
6、共享文件。默認(rèn)狀態(tài)下,每個人對新創(chuàng)建的文件共享都擁有完全控制權(quán)限,這是非常危險的,應(yīng)嚴(yán)格限制用戶對共享文件的訪問。
7、Dump文件。Dump文件在系統(tǒng)崩潰和藍(lán)屏的時候是一份很有用的查找問題的資料。然而,它也能夠給攻擊者提供一些敏感信息,比如一些應(yīng)用程序的口令等,造成信息泄露。
8、WEB服務(wù)。系統(tǒng)本身自帶的IIS服務(wù)、FTP服務(wù)存在安全隱患,容易導(dǎo)致系統(tǒng)被攻擊。
安全防范對策
一 安裝對策
在進(jìn)行系統(tǒng)安裝時,采取以下對策:
1、在完全安裝、配置好操作系統(tǒng),給系統(tǒng)全部安裝系統(tǒng)補(bǔ)丁之前,一定不要把機(jī)器接入網(wǎng)絡(luò)。
2、在安裝操作系統(tǒng)時,建議至少分三個磁盤分區(qū)。第一個分區(qū)用來安裝操作系統(tǒng),第二分區(qū)存放IIS、FTP和各種應(yīng)用程序,第三個分區(qū)存放重要的數(shù)據(jù)和日志文件。
3、采用NTFS文件格式安裝操作系統(tǒng),可以保證文件的安全,控制用戶對文件的訪問權(quán)限。
4、在安裝系統(tǒng)組件時,不要采用缺省安裝,刪除系統(tǒng)缺省選中的IIS、DHCP、DNS等服務(wù)。
5、在安裝完操作系統(tǒng)后,應(yīng)先安裝在其上面的應(yīng)用系統(tǒng),后安裝系統(tǒng)補(bǔ)丁。安裝系統(tǒng)補(bǔ)丁一定要全面。
二 運(yùn)行對策
在系統(tǒng)運(yùn)行時,采取以下對策:
1、關(guān)閉系統(tǒng)默認(rèn)共享
方法一:采用批處理文件在系統(tǒng)啟動后自動刪除共享。 首選在Cmd提示符下輸入“Net Share”命令,查看系統(tǒng)自動運(yùn)行的所有共享目錄。然后建立一個批處理文件SHAREDEL.BAT,將該批處理文件放入計劃任務(wù)中,設(shè)為每次開機(jī)時運(yùn)行。文件內(nèi)容如下:
NET SHARE C$ /DELETE NET SHARE D$ /DELETE NET SHARE E$ /DELETE …… NET SHARE IPC$ /DELETE NET SHARE ADMIN$ /DELETE |
方法二:修改系統(tǒng)注冊表,禁止默認(rèn)共享功能。在Local_Machine\ System\ CurrentControlSet\Services\Lanmanserver\parameters下新建一個雙字節(jié)項(xiàng)“auto shareserver”,其值為“0”。
| 共2頁: 1 [2] 下一頁 | ||||
|
