局域网方案与故障速查手册第1节网络安全方案2656.1网络安全方案6.1.1操作系统安全方案WindowsServer2003安全方案MicrosoftWindowsServer2003家族安全模型的主要功能是“用户身份验证”和“访问控制”,其安全基础是WindowsServer2003的ActiveDirec-tory(目录服务),通过ActiveDirectory和WindowsServer2003中相关的服务组件以及支持WindowsServer2003ActiveDirectory的一些其他的服务,如Exchange2003、ISAServer等相关服务软件,可以组成功能强大而又比较安全的企业网络。1.设置密码策略使用WindowsServer2003的网络和Windows2000不同,不能使用空白的密码或使用极为简单的密码,必须设置增强的密码。为了网络的安全,可以强制统一为WindowsServer2003的网络中设置使用强密码。依次打开“ActiveDirectory用户和计算机”→“ActiveDirectory用户和计算机”窗口,选中域控制器,右击并选择快捷菜单中的“属性”选项,打开域的属性对话框,选择“组策略”选项。单击“编辑”按钮,显示出“组策略编辑器”对话框。在该窗口左侧列表框中,依次展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“密码策略”,然后就可以设置密码策略,如图6-1所示。图6-1设置密码策略在窗口右侧列表框中,右击要设置的选项,选择快捷菜单中的属性,即可设置该项参数。当启用“密码必须符合复杂性要求”选项时,对密码的要求如下:☆长度至少有七个字符。☆不包含用户名、真实姓名或公司名称。☆不包含完整的字典词汇。☆与先前的密码大不相同。递增密码(Password1、Password2、Password3…)不能算作强密码。同时必须满足如下的4个要求中的3个:☆大写字母☆小写字母☆数字0123456789☆键盘上的符号(键盘上所有未定义为字母和数字的字符),包括`~!@#$%^&☆()_+-={}|[]\:;'?,./“密码长度最小值”选项,用来设置密码的长度,该值的大小可以在0到14之间,当设置为0时,表示可以不用设置密码。“密码最长使用期限”选项,用来设置必须更换密码的频率,当达到设置值时,用户必须更改密码。此值可以在0到999天之间进行设置,当值为0时,表示密码永不过期。“密码最短使用期限”选项,设置该密码更改前必须使用的时间。通过设置此项值,可以阻止用户重复快速更换密码,从而避开“强制密码历史”策略。此值的大小可以在0到998天之间。“强制密码历史”选项,设置先前已用密码的数量,以防止用户需要改变密码时,重复使用相同的密码。设置值为0到24,此值为0时表示不保留密码记录。为了安全,必须启用该项策略并设置各项参数。2.账户锁定策略如果有人用猜测的方法,不断尝试用某一用户名和密码登录,就有可能猜对而非法登录服务器。在预防这种情况,可以启用账户锁定策略。在“组策略编辑器”对话框中,依次打开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“账户锁定策略”,如图6-2所示,在这里进行设置。“复位账户锁定计数器”选项用来定义账户锁定计数器被重置为0的频率。如果该策略设置为60分钟,在最后一次失败登录尝试后60分钟,账户锁定局域网方案与故障速查手册第6章网络安全方案与故障266计数器将被重置为0。此值可以在0到99999分之间进行设置。在WindowsServer2003中,这一项默认是没有设置,为了安全,推荐启用这一项,根据安全强度,启用账户锁定策略。“账户锁定时间”选项,当一个账户被锁定了时间后,在达到锁定时间之前,将一直被锁定。此值在0到99999分钟之间设置,当值设置为0时,表示该账户一直被锁定,直到管理员手工重新对其进行设置。“账户锁定值”选项,定义一个账户在被锁定之前允许的不正确登录的尝试次数。此值在0到999之间进行设置,值为0时,表示不锁定。3.审核策略启用审核策略时,在系统的“事件查看器”上可以记录在网络上访问特定资源或执行特定操作的用户。依次打开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”,显示如图6-3所示“审核策略”窗口。图6-3“审核策略”窗口在系统默认状态下,审核策略各个选项均为“没有定义”状态,若要对它进行设置,可以右击某选项,选择快捷菜单中的“属性”选项,显示属性对话框。选中“定义这些策略设置”复选项,就可以审核这些操作了。审核策略包括如下的内容,可以根据网络的需要或实际情况进行设置和选择:☆“审核策略更改”。该审核在改变一个组策略中的当地策略时发生。它包括用户权力、审核策略或安全选项的改变。☆“审核登录事件”,该审核记录一个用户验证本地计算机或ActiveDirectory的时间。这包括在一台计算机上进行物理登录或和这台计算机建立网络连接。☆“审核对象访问”。该审核记录一个用户获得对一个文件、文件夹或打印机的访问的时间。管理员必须配置对特定的文件、文件夹或打印机的审核。☆“审核过程跟踪”。该审核在应用程序执行一个动作时进行。该设置用于确定在操作时应用程序需要访问哪些文件和注册表项。☆“审核目录服务访问”。该审核在一个用户获取对一个ActiveDirectory对象访问权时发生。为了登录这种类型的访问,您必须配置专门的ActiveDirectory审核对象。☆“审核特权使用”。该审核在用户行使用户权力时发生,如改变系统时间或一个管理员取得对某文件的拥有权。☆“审核系统事件”。该审核在服务器被重新启动或关闭时发生。该审核也在这台计算机的安全日志被重置时发生。☆“审核账户登录事件”。当用户登录到计算机时,用户登录事件将被进行记录。如果用户登录到本地计算机,该事件将记录在这台计算机的审核日志中。如果用户登录到一个域中,负责验证的域控制器会记录账户登录事件。☆“审核账户管理”。该审核在用户被创建、改变,或者用户账户或组被删除时发生。它也在用户账户被改名、禁用或激活及密码被重置和改变时发生。4.其他安全措施可以通过限制网络适配卡所使用的协议数量来提高系统的安全性。减少系统上运行服务程序数目可以降低管理失误的几率。利用控制面板中的服务程序可以禁用那些Internet服务器所不需要的服务。图6-2账户锁定策略局域网方案与故障速查手册第1节网络安全方案267●删除不需要的协议删除所有与Internet或Intranet服务无关的网络协议(如IPX/SPX协议)。通常情况下,只保留TCP/IP协议即可。●禁用不需要的端口所有网络攻击都必须借助于端口才能完成,因此,开放的端口数量越少,服务器也就越安全。所以,除了实现服务所必须开放的端口外,关闭一切多余的端口。打开“Internet协议(TCP/IP)属性”对话框,单击“高级”按钮,显示“高级TCP/IP设置”对话框。选择“选项”选项卡,在“可选的设置”列表中选择“TCP/IP设置”,并单击“属性”按钮,显示如图6-4所示“TCP/IP筛选”对话框。设置允许通过的TCP或UDP端口号。图6-4“TCP/IP筛选”对话框●删除不需要的服务许多服务器允许远程用户通过Telnet等方式登录,并可在控制台上执行一系列操作,如装载和卸载模块,安装和删除软件等等。事实上,在便利管理员远程管理的同时,也给非法用户访问和控制服务器带来了可乘之机。另外,提供的网络服务越多,漏洞也就越多,被攻击的可能性也就越大。因此,除了必需的服务外,应当禁用或删除其他所有不必要的服务,以最大限度地保障服务器的安全。在“服务”窗口中可完成该工作。针对网络中存在的种种安全隐患,我们不妨采用以上安全策略以最大限度地保障网络安全。当然,完全杜绝漏洞几乎是不可能的事情,因为漏洞不可能全部在被发现和被利用之前而得到弥补,这正是到目前为止,几乎所有著名的网站都被成功攻击的原因之所在。网络安全策略主要包括两大部分,即访问控制策略和信息加密策略。访问控制策略是网络安全防范和保护的主要策略,也是维护网络系统安全、保护网络资源的重要手段,用以保证网络资源不被非法使用和非常访问。信息加密策略主要是一种补救手段,也就是说,即使信息在传输过程中被截获,也将由于不能解密而无法读取,从而保证数据的完全。虽然各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。Windows2000Server安全方案默认状态下,Windows2000Server系统有许多潜在的安全问题,因此,必须全面关注有关安全的各个方面,从而将安全风险降到最低。1.文件系统☆选择NTFS。WindowsServer的文件系统一定要选用NTFS。NTFS的分区格式远比FAT分区格式来得安全,在NTFS格式下,用户可以对不同的文件夹设置不同的权限,增强服务器的安全性。☆一步到位。在硬盘分区时一步到位,把分区都分成NTFS格式,不要先选择FAT32格式,再转换至NTFS格式。否则,不仅容易导致数据丢失,还会出现系统错误,甚至系统崩溃。☆事先杀毒。由于NTFS分区格式的特殊性,用户无法通过软盘启动进行杀毒,所以,一定要在系统安装前做好防毒工作。2.系统安装☆版本选择。在语言不成为障碍的情况下,请一定使用英文版。中文版的Bug远远多于英文版,而补丁一般至少还会迟半个月(也就是说一般微软公布了漏洞后你的服务器还会有半个月处于无保护状态)。☆一个系统。每台服务器只安装一个系统,才不会使居心不良的人有可乘之机,增强了服务器的安全性。☆安装目录。操作系统安装时,系统文件不要装在默认的目录(WINNT),要选择安装一个新的目录进行安装。☆多个分区。至少建立两个分区,一个系统分区,一个应用程序分区。这是因为,微软的IIS(InternetIhformationServer)经常会有漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏,甚至让入侵者远程获取管理权。Web目录和系统不要放在同一个分区,防止有人通过Web权限漏洞,访问系统文件、文件夹。局域网方案与故障速查手册第6章网络安全方案与故障268☆安装完操作系统,一定要先更新系统必要的补丁,直到没有补丁可更新。此外,还应当经常执行WindowsUpdate程序,及时更新系统补丁。☆组件定制。Windows2000在默认情况下会安装一些常用的组件,但是正是这个默认安装是非常危险的,根据安全原则“最少的服务+最小的权限=最大的安全”,只安装确实需要的服务即可。这里特别提醒注意的是“IndexingService”、“FrontPage2000ServerExtensions”、“InternetServiceManager”这几个危险服务。☆安装顺序的选择。不要觉得只要能装上系统,就算完事了,其实Windows2000的安装顺序是非常重要的。首先,要注意接入网络的时间。Windows2000在安装时有一个漏洞,就是在输入Administrator的密码后,系统会建立“$ADMIN”的共享,但是并没有用刚输入的密码来保护它,这种情况一直会持续到计算机再次启动。在此期间,任何人都可以通过“$ADMIN”进入系统;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器还到处是漏洞,非常容易从外部侵入。因此,在完全安装并配置好Windows2000Server之前,一定不要把主机接入网络。其次,注意补丁的安装。补丁应该在所有应用程序安装完之后再安装,因为补丁程序往往要替换或修改某些系统文件,如果先安装补丁的话可能无法起到应有的效果。☆尽量不安装与网络服务不相关的其他软件。☆禁用一些没有必要的系统服务和网络服务。3.账户设置☆建立尽可能少的有效账户,多余的账号一律删除,多一个账户就多一份安全隐患。☆将Administrator超级管理员修改为其他名称,并设置不少于16位的管理员密码。实施管理工作时,不要使用该用户。☆创建一个新的管理员账号,用于服务器的管理和维护。账号