根据美国国家计算机安全中心(NCSC)制定的可信任计算机系统评估标准(TCSEC),Win 2000属于C2级安全级别。但Win 2000如接默认安装且不安装补丁和进行安全配置时,则谈不上是C2级。本文从安装Win 2000操作系统、账号安全管理、网络服务安全管理、数据文件安全管理等几个方面对Win 2000的安全管理进行描述,以使用户的Win 2000系统达到规定的安全级别。
一、 正确安装Win 2000
1.硬盘的分区
在安装Win 2000时,如条件许可,应至少建立两个逻辑分区,一个用作系统分区,另一个用作应用程序分区。尽量修改“我的文档”及“Outlook Express”等应用程序的默认文件夹位置,使其位置不在系统分区。对提供Web服务的机器,可按如下设置分区:
分区1:系统分区,安装系统和重要日志文件。
分区2:提供给IIS使用。
分区3:提供给FTP使用。
分区4:放置其他一些资料文件。
2.组件的定制
不要按Win 2000的默认安装组件,根据安全原则“最少的服务+最小的权限=最大的安全”,只选择确实需要的服务安装即可。
典型Web服务器需要的最小组件是:
公用文件、Internet 服务管理器、WWW服务器。
3.接入网络时间
在安装完成Win 2000操作系统时,不要立即把服务器接入网络,因为这时的服务器还没有打上各种补丁,存在各种漏洞,非常容易感染病毒和被入侵。
补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换或修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。IIS的HotFix要求每次更改IIS的配置时都需要重新安装。
二、账户安全管理
1.账户要尽可能少,并且要经常用一些扫描工具检查系统账户、账户权限及密码。删除已经不再使用的账户。
2.停用Guest账号,并给Guest 加一个复杂的密码。
3.把系统Administrator账号改名,尽量把它伪装成普通用户,名称不要带有Admin字样。
4.不让系统显示上次登录的用户名,具体操作如下:
修改注册表“HKLM\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display
Last User Name”的键值,把REG_SZ 的键值改成1。
三、网络服务安全管理
1.关闭不必要的服务
关闭不必要的服务,一些服务可能会给系统带来安全漏洞,如Win 2000的Terminal Services(终端服务)、IIS和RAS(远程访问服务)等。
2.关闭不必要的端口
当服务器只提供较单一的功能时,可考虑只开放某些端口。
具体方法为:
按顺序打开“网上邻居→属性→本地连接→属性→internet 协议(tcp/ip)→属性→高级→选项→tcp/ip
筛选→属性”,打开Tcp/Ip筛选,添加需要的Tcp、Udp协议即可。
3.禁止建立空连接
默认情况下,任何用户可通过空连接连上服务器,枚举账号并猜测密码。可以通过以下两种方法禁止建立空连接。
(1)修改注册表
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成1。
(2)修改Win 2000的本地安全策略
设置“本地安全策略→本地策略→选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容许枚举SAM账号和共享”。
四、网络服务安全配置
1.终端服务
(1)修改默认端口
终端服务的默认端口为3389,可考虑修改为别的端口。修改方法为:
服务器端:
打开注册表,在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations”处找到类似RDP-TCP的子键,修改PortNumber值。
客户端:
按正常步骤建一个客户端连接,选中这个连接,在“文件”菜单中选择导出,在指定位置会生成一个后缀为.cns的文件。打开该文件,修改“Server Port”值为与服务器端的PortNumber对应的值。然后再导入该文件(方法:菜单→文件→导入),这样客户端就修改了端口。
(2)安全审核
在“管理工具→远程控制服务配置→连接”处,右键点击“RPD-TCP”连接,选择“属性”,在其窗口选中“权限”,点击右下角的“高级”,选择“审核”,增加一个“everyone”组,审核它的“连接”、“断开”、“注销”和“登录”的成功和失败。在“管理工具→日记查看→安全日记”可看到该审核记录。
2.Internet 服务管理器(IIS)安全配置
对IIS服务安全配置如下:
(1) 更改Web服务主目录。右键单击“默认Web站点→属性→主目录→本地路径”,将“本地路径”指向其他目录。
(2) 删除原默认安装的Inetpub目录。
(3) 删除以下虚拟目录: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
(4) 删除不必要的IIS扩展名映射。方法是:右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。如不用到其他映射,只保留.asp、.asa即可。
(5) 备份IIS配置。可使用IIS的备份功能,将设定好的IIS配置全部备份下来,这样就可以随时恢复
IIS的安全配置。
五、数据文件安全管理
1.备份
要经常把重要数据备份到专用的备份服务器,备份完毕后,可将备份服务器与网络隔离。
2.设置文件共享权限
设置共享文件时,要注意把共享文件的权限从“everyone”组改成“授权用户”,包括打印共享。
3.关闭默认共享
Win 2000安装好以后,系统会创建一些隐藏的共享,在cmd下可用net share命令查看它们。要禁止这些共享。操作方法是:打开“管理工具→计算机管理→共享文件夹→共享”,在相应的共享文件夹上按右键,点“停止共享”即可。不当过机器重新启动后,这些共享又会重新开启。
4.防止文件名欺骗
设置以下选项可防止文件名欺骗,如防止以.txt或.exe为后缀的恶意文件被显示为.txt文件,从而使人大意打开该文件: 双击“我的电脑→工具→文件夹选项→查看”,选择“显示所有文件和文件夹”属性设置,去掉“隐藏已知文件类型扩展名”属性设置。
