首页 运维技术

Windows服务器操作系统安全配置方案

发布时间:2015年05月25日评论数：抢沙发阅读数：10521

Windows服务器操作系统：Windows NT(New Technology)是微软公司第一个真正意义上的网络操作系统，发展经过NT3.0，NT40，NT5.0(Windows 2000)和NT6.0(Windows2003)，NT6.1(windows2008)等众多版本，并逐步占据了广大的中小网络操作系统的市场。

Windows NT众多版本的操作系统使用了与Windows 9X完全一致的用户界面和完全相同的操作方法，使用户使用起来比较方便。与Windows 9X相比，Windows NT的网络功能更加强大并且安全。

一、Windows NT系列操作系统具有以下三方面的优点。

(1)支持多种网络协议：-由于在网络中可能存在多种客户机，如Windows 95/98，Apple Macintosh，Unix，OS/2等等，而这些客户机可能使用了不同的网络协议，如TCP/IP协议，IPX/SPX等。Windows NT系列操作支持几乎所有常见的网络协议。

(2)内置Internet功能：-内置IIS(Internet Information Server)，可以使网络管理员轻松的配置WWW和FTP等服务。

(3)支持NTFS文件系统：-NT同时支持FAT和NTFS的磁盘分区格式。使用NTFS的好处主要是可以提高文件管理的安全性，用户可以对NTFS系统中的任何文件，目录设置权限，这样当多用户同时访问系统的时候，可以增加文件的安全性。

二、Windows NT系列操作系统操作系统安全配置方案

安全配置方案初级篇

安全配置方案初级篇主要介绍常规的操作系统安全配置，包括十二条基本配置原则:

(1)物理安全，(2)停止Guest帐号，(3)限制用户数量(4)创建多个管理员帐号，(5)管理员帐号改名(6)陷阱帐号，(7)更改默认权限，(8)设置安全密码(9)屏幕保护密码，(10)使用NTFS分区(11)运行防毒软件，(12)确保备份盘安全。

1、物理安全

服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱，键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在安全的地方。

2、停止Guest帐号

在计算机管理的用户里面把Guest帐号停用，任何时候都不允许Guest帐号登陆系统。为了保险起见，最好给Guest 加一个复杂的密码，包含特殊字符，数字，字母的长字符串。用它作为Guest帐号的密码。并且修改Guest帐号的属性，设置拒绝远程访问。

3、限制用户数量

去掉所有的测试帐户，共享帐号和普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。帐户很多是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。对于Windows NT/2000主机，如果系统帐户超过10个，一般能找出一两个弱口令帐户，所以帐户数量不要大于10个。

4、多个管理员帐号

虽然这点看上去和上面有些矛盾，但事实上是服从上面规则的。创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物，另一个拥有Administrator权限的帐户只在需要的时候使用。因为只要登录系统以后，密码就存储再WinLogon进程中，当有其他用户入侵计算机的时候就可以得到登录用户的密码，尽量减少Administrator登录的次数和时间。

5、管理员帐号改名

Windows 2000中的Administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成:guestone。具体操作的时候只要选中帐户名改名就可以了。

6 陷阱帐号

所谓的陷阱帐号是创建一个名为”Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些企图入侵者忙上一段时间了，并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组。

7、更改默认权限

共享文件的权限从”Everyone”组改成”授权用户”。”Everyone”在Windows 2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候不要把共享文件的用户设置成”Everyone”组。包括打印共享，默认的属性就是”Everyone”组的，一定不要忘了改。设置某文件夹共享默认设置。

8、安全密码

一些网络管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的字符做用户名，然后又把这些帐户的密码设置得比较简单，这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。这里给好密码下了个定义:安全期内无法破解出来的密码就是好密码，也就是说，如果得到了密码文档，必须花43天或者更长的时间才能破解出来，密码策略是42天必须改密码。

9、屏幕保护密码

设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。将屏幕保护的选项”密码保护”选中就可以了，并将等待时间设置为最短时间”1秒”。

10、NTFS分区

把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT，FAT32的文件系统安全得多。

11、防毒软件

Windows 2000/NT服务器一般都没有安装防毒软件的，一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。要经常升级病毒库。

12、备份盘的安全

一旦系统资料被黑客破坏，备份盘将是恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。把资料备份放在多台服务器上。

安全配置方案中级篇

安全配置方案中级篇主要介绍操作系统的安全策略配置，包括十条基本配置原则:

(1)操作系统安全策略；(2)关闭不必要的服务；(3)关闭不必要的端口；(4)开启审核策略；(5)开启密码策略；(6)开启帐户策略；(7)备份敏感文件；(8)不显示上次登陆名；(9)禁止建立空连接；(10)下载最新的补丁。

1、操作系统安全策略

利用Windows 2000的安全配置工具来配置安全策略，微软提供了一套的基于管理控制台的安全配置和分析工具，可以配置服务器的安全策略。在管理工具中可以找到”本地安全策略”。可以配置四类安全策略:帐户策略，本地策略，公钥策略和IP安全策略。在默认的情况下，这些策略都是没有开启的。

2、关闭不必要的服务

Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果开了，要确认已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。

Windows2000可禁用的服务

服务名说明

Computer Browser维护网络上计算机的最新列表以及提供这个列表

Task scheduler允许程序在指定时间运行

Routing and Remote　Access在局域网以及广域网环境中为企业提供路由服务

Removable storage管理可移动媒体，驱动程序和库

Remote Registry Service允许远程注册表操作

Print Spooler将文件加载到内存中以便以后打印。要用打印机的用户不能禁用这项服务

IPSEC Policy Agent管理IP安全策略以及启动

ISAKMP/Oakley(IKE)和IP安全驱动程序

Distributed Link Tracking　Client当文件在网络域的NTFS卷中移动时发送通知

Com+ Event System提供事件的自动发布到订阅COM组件

3、关闭不必要的端口

关闭端口意味着减少功能，如果服务器安装在防火墙的后面，被入侵的机会就会少一些，但是不可以认为高枕无忧了。用端口扫描器扫描系统所开放的端口，在Winnt\system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。该文件用记事本打开。

设置本机开放的端口

设置本机开放的端口和服务，在IP地址设置窗口中点击按钮”高级”。在出现的对话框中选择选项卡”选项”，选中”TCP/IP筛选”，点击按钮”属性”。

一台Web服务器只允许TCP的80端口通过就可以了。TCP/IP筛选器是Windows自带的防火墙，功能比较强大，可以替代防火墙的部分功能。

4、开启审核策略

安全审核是Windows 2000最基本的入侵检测方法。当有人尝试对系统进行某种方式(如尝试用户密码，改变帐户策略和未经许可的文件访问等等)入侵的时候，都会被安全审核记录下来。

必须开启的审核如下表:

审核系统登陆事件成功，失败

审核帐户管理成功，失败

审核登陆事件成功，失败

审核对象访问，成功

审核策略更改成功，失败

审核特权使用成功，失败

审核系统事件成功，失败

审核策略默认设置，审核策略在默认的情况下都是没有开启的。双击审核列表的某一项，出现设置对话框，将复选框”成功”和”失败”都选中。

5、开启密码策略

密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略如表所示

密码复杂性要求启用

密码长度最小值6位

密码最长存留期15天

强制密码历史5个

设置密码策略

设置选项。

6、开启帐户策略

开启帐户策略可以有效的防止字典式攻击，设置如表所示。

策略设置

复位帐户锁定计数器30分钟

帐户锁定时间30分钟

帐户锁定阈值5次

7、备份敏感文件

把敏感文件存放在另外的文件服务器中;把一些重要的用户数据(文件，数据表和项目文件等)存放在另外一个安全的服务器中，并且经常备份它们。

8、不显示上次登录名

默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户名，本地的登陆对话框也是一样。黑客们可以得到系统的一些用户名，进而做密码猜测。修改注册表禁止显示上次登录名，在HKEY_LOCAL_MACHINE主键下修改子键:Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Dont　DisplayLastUserName，将键值改成1。

9、禁止建立空连接

默认情况下，任何用户通过空连接连上服务器，进而可以枚举出帐号，猜测密码。可以通过修改注册表来禁止建立空连接。在HKEY_LOCAL_MACHINE主键下修改子键:System\CurrentControlSet\Control\LSA\RestrictAnonymous，将键值改成”1″即可。

10、下载最新的补丁

很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出了很久了，还放着服务器的漏洞不补给人家当靶子用。经常访问微软和一些安全站点，下载最新的Service Pack和漏洞补丁，是保障服务器长久安全的唯一方法。

安全配置方案高级篇

高级篇介绍操作系统安全信息通信配置，包括十四条配置原则:

(1)关闭DirectDraw；(2)关闭默认共享；(3)禁用Dump File；(4)文件加密系统；(5)加密Temp文件夹；(6)锁住注册表；(7)关机时清除文件；(8)禁止软盘光盘启动；(9)使用智能卡；(10)使用IPSec；(11)禁止判断主机类型；(12)抵抗DDOS；(13)禁止Guest访问日志；(14)数据恢复软件。

1、关闭DirectDraw。

C2级安全标准对视频卡和内存有要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏)，但是对于绝大多数的商业站点都是没有影响的。在HKEY_LOCAL_MACHINE主键下修改子键:SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout，将键值改为”0″即可。

2、关闭默认共享

Windows 2000安装以后，系统会创建一些隐藏的共享，可以在DOS提示符下输入命令Net Share 查看。禁止这些共享，打开管理工具>计算机管理>共享文件夹>共享，在相应的共享文件夹上按右键，点”停止共享”即可。

3、禁用Dump文件

在系统崩溃和蓝屏的时候，Dump文件是一份很有用资料，可以帮助查找问题。然而，也能够给黑客提供一些敏感信息，比如一些应用程序的密码等需要禁止它，打开控制面板>系统属性>高级>启动和故障恢复，把写入调试信息改成无。

4 文件加密系统

Windows2000强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。微软公司为了弥补Windows NT 4.0的不足，在Windows 2000中，提供了一种基于新一代NTFS:NTFS V5(第5版本)的加密文件系统(Encrypted File System，简称EFS)。EFS实现的是一种基于公共密钥的数据加密方式，利用了Windows 2000中的CryptoAPI结构。

5、加密Temp文件夹

一些应用程序在安装和升级的时候，会把一些数据拷贝到Temp文件夹，但是当程序升级完毕或关闭的时候，并不会自己清除Temp文件夹的内容。所以，给Temp文件夹加密可以多一层保护。

6 锁住注册表在Windows2000中，只有Administrators和Backup Operators才有从网络上访问注册表的权限。当帐号的密码泄漏以后，黑客也可以在远程访问注册表，当服务器放到网络上的时候，一般需要锁定注册表。修改Hkey_current_user下的子键Software\microsoft\windows\currentversion\Policies\system把DisableRegistryTools的值该为0，类型为DWORD。

7、关机时清除文件页面文件也就是调度文件，是Windows 2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中可能含有另外一些敏感的资料。要在关机的时候清除页面文件，可以编辑注册表修改主键HKEY_LOCAL_MACHINE下的子键:-SYSTEM\CurrentControlSet\Control\Session Manager\Memory　Management-把ClearPageFileAtShutdown的值设置成1。

8、禁止软盘光盘启动

一些第三方的工具能通过引导系统来绕过原有的安全机制。比如一些管理员工具，从软盘上或者光盘上引导系统以后，就可以修改硬盘上操作系统的管理员密码。如果服务器对安全要求非常高，可以考虑使用可移动软盘和光驱，把机箱锁起来仍然不失为一个好方法。

9 使用智能卡

对于密码，总是使安全管理员进退两难，容易受到一些工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

10、使用IPSec

正如其名字的含义，IPSec提供IP数据包的安全性。IPSec提供身份验证，完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。

11、禁止判断主机类型

黑客利用TTL(Time-To-Live，生存时间)值可以鉴别操作系统的类型，通过Ping指令能判断目标主机类型。Ping的用处是检测目标主机是否连通。许多入侵者首先会Ping一下主机，因为攻击某一台计算机需要根据对方的操作系统，是Windows还是Unix。如过TTL值为128就可以认为你的系统为Windows 2000。从表中可以看出，TTL值为128，说明改主机的操作系统是Windows 2000操作系统。下表给出了一些常见操作系统的对照值。

操作系统类型TTL返回值

Windows 2000128

Windows NT107

win9×128 or 127

solaris252

IRIX240

AIX247

Linux241 or 240

修改TTL的值，入侵者就无法入侵电脑了。比如将操作系统的TTL值改为111，修改主键HKEY_LOCAL_MACHINE的子键:SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS新建一个双字节项。

修改TTL的值，在键的名称中输入”defaultTTL”，然后双击改键名，选择单选框”十进制”，在文本框中输入111。

修改TTL的值，设置完毕重新启动计算机，再用Ping指令，发现TTL的值已经被改成111了。

12、抵抗DDOS