前言:
2003年5月22日,微软的新一代操作系统Windows Server 2003中文版开始在国内发行。从Windows95一路用到现在,笔者觉得微软在安全方面做的还算是说的过去的,虽然说漏洞很多。2003总体感觉上安全做的还不错,交互式登录、网络身份验证、基于对象的访问控制、比较完整的安全策略、数据加密保护……笔者这里要谈的是如何通过安全的配置,使Windows Server 2003安全性大大加强。
一、安装过程中的安全问题
1.NTFS系统。
老生长谈的话题了。NTFS系统为一种高级的文件系统,提供了性能、安全、可靠性以及未在任何FAT格式版本中提供的高级功能,通过它可以实现任意文件及文件夹的加密和权限设置(这是最直观的安全设置了),磁盘配额和压缩等高级功能。通过它,你还可以更好的利用磁盘空间,提高系统运行速度……自WindowsNT系统以来,使用NTFS系统已经逐渐成了一种共识。为了体验NTFS系统带来的这些免费的优惠,笔者特意把硬盘所有分区都转成了NTFS系统。如果你在安装时不选用NTFS系统,那么后面的很多安全配置如用户权限设置等你将都不能实现。
2.安装过程中有关安全的提示。
在安装过程中需要输入Administrator密码,新的Windows Server 2003提供了一个比较成熟的密码规则,当你输入的密码不符合规则时,就会以图片形式出现如下提示(由于安装未完成,不能抓图,请谅解。内容已经抄下来了):
您已经指定的管理员帐户的密码不符合密码的条件,建议使用的密码应符合下列条件之中的前二个及至少三个:
- 至少6个字符
- 不包含"Administrator"或"Admin"
- 包含大写字母(A、B、C等等)
- 包含小写字母(a、b、c等等)
- 包含数字(0、1、2等等)
- 包含非字母数字字符(#、&、~等等)
您确定要继续使用当前密码吗?
之所以说是“比较成熟”的密码规则,因为就算你的密码设置不符合此规则也能照样顺利进行下一步安装,这就为以后的系统安全埋下了隐患。但总的来说,有了这一规则就已经很不错了,以前的版本没有,就出现了N多空密码的很快沦为肉鸡的机器。相信有了这一提示后,可以在很大程度上减小这种现象。
3.在完全配置完成后不要把机器接到网络中(包括局域网),因为这时候你满的漏洞的机器随时等候别人的“照顾”,只要有人连接上来,就是Admin权限。这一点相信了解安全的朋友都知道。
在整个安装过程中需要注意的基本就这么多了。另外,不知道大家有没有注意到,按默认安装后,系统根目录下多出来一个0字节的wmpub文件夹,里面又有一个0字节的wmiislog文件夹。后来发现有一个不明程序在使用这个wmiislog文件夹,但到底是什么程序,有什么用途用还不清楚,不知道是否和安全有关,能否被利用。请知道的朋友告知一声。
二、初级安全配置
1.关闭默认的磁盘共享,修改组或用户对磁盘的控制权限。
安装完成后,默认是共享了所有硬盘分区的,还包括提供远程IPC和远程管理的两个共享:IPC$和ADMIN$,这就为以后的系统安全埋下了隐患,图1。解决这个问题有很多办法,这里介绍一种简单可行的解决方案。从“计算机管理”里打开“服务”(或者在运行里键入Services.msc回车),在里面找到Server服务,双击打开其属性,并设置为“禁用”即可,图2。Server服务是系统默认的和共享有关的服务,支持计算机通过网络的文件、打印和命名管道共享,禁用此服务后,一切基于此服务的其他服务也同时被禁止,包括Computer Browser和Distributed File Sysetm两个服务。前一个服务是Windows Server 2003的新服务,利用它可以把分散的共享合并成一个逻辑名称空间并在网络上管理这些逻辑卷,这能大大方便用户使用和管理那些分散的共享。后一个服务用来维护网络上计算机的更新列表,并将列表提供给计算机指定浏览,如果停止此服务,则列表就不会被更新或维护。当禁用Server服务后,这两个服务就不能使用。
图 1
图 2
另外,默认Everyone组用户对所有共享拥有完全的控制权,这也是非常危险的,任何人只要访问共享,就可以完全控制此共享,这当然是不符合安全要求的,图3。解决的办法也很简单,修改共享的安全属性,删除Everyone组或修改其访问权限即可。首先在共享上点右键打开其属性,在“安全”标签里可以看到此时可以访问此共享的组或用户情况,图3,下面的框显示的是被选中组或用户所拥有的权限。这里可以看到Everyone组拥有完全控制权。现在我们可以根据自己的实际情况来配置里面的组或用户拥有的权限。如果继续允许Everyone组用户访问,则必须从新设置其访问权限,只需要把“允许”里的权限后面的方框里的钩去掉即可。如果要删除Everyone组,则单击“删除”即可。如果需要新添加用户或组,使其也可以访问此共享,单击“高级”按钮进入高级安全设置,如图4。再单击“添加”进入用户选择,单击“高级”,选择“立即查找”就可以找到此计算机上所有的用户和组,图5。这里以Users组为例介绍。首先找到并选中Users组,单击“确定”进入权限设置,图6,这里就可以为Users组用户选择共享的权限,完了确定即可。这时候,Users组用户也可以访问此共享,并且拥有为其设置好的权限。
图 3
图 4
图 5
图 6
2.修改组或用户的访问权限,达到需要的安全要求。
由于在安装时使用了NTFS系统,我们可以对任何文件及文件夹进行权限设置,使得各组和用户对某一文件或文件夹的控制权不同。通过这样的配置就能达到一定的安全要求。这里以Tools文件夹为例介绍如何具体配置其安全属性。首先点右键打开其属性,选择“安全”标签,可以看到目前可访问此文件夹的所有用户,图7。作为系统管理员,当然是拥有完全控制的权限了,但其他用户或组就不一定要为其分配这么高的权限,这不符合安全配置的原则,所以就得修改。仍以Users组为例介绍。单击“添加”选择用户和组,图8,单击“高级”,再单击“立即查找”即可找到当前计算机的所有用户和组,图5。选择Users组后确定。可以看到此时能访问该文件夹的用户个组除了原来的Administrator还多了一个Users组用户,图9。这里默认权限为读取和运行、列出文件夹目录和读取。根据不同的安全要求可以为新加的Users组用户配置其权限。当然你也可以直接按“删除”把你想要删除的用户或组从列表中删除,这样他就不在有访问此文件夹的权限。
图 7
图 8
图 9
需要注意的几点:
* 此权限设置是基于NTFS系统的,FAT格式的磁盘不能进行权限设置。
* 对某一文件的安全配置和对文件夹的安全配置完全一样,从文件的属性里配置就行了。
* 如果完全删除了某一文件或文件夹的所有用户或组,会出现图10的提示,如果确定,此文件或文件夹就不可访问,无论你的身份有多高,图11。只有以Admin身份登录,从新配置其安全属性,为其添加新的用户或组。
图 10
图 11
可以看出,通过对文件或文件夹的安全配置,即可达到对任意文件或文件夹的访问权限控制,从而满足不同的安全需求。
3.利用加密文件系统(EFS),加密文件或文件夹。
Windows Server 2003支持利用EFS技术对任意文件或文件夹进行加密,这是一种核心的文件加密技术,基于NTFS系统,只有NTFS系统的磁盘才能使用此技术。加密后的文件或文件夹就不可被除此用户以外的任何用户访问,而无论你的身份有多高。这样就能更好的保护自己的敏感数据和重要文件。下面以Tools文件夹加密为例介绍。首先右键打开其属性,在“常规”标签里“选择“高级”选项进入高级属性,图12,将“加密内容以便保护数据”框选中并确认,图13。确定后会出现图14所示的选项。如果选择上面一项,则只加密此文件夹,其他用户虽然不能直接访问此文件夹,但可以通过其他途径如直接键入完整路径来访问里面的内容;如果选择下面一项,则此文件夹内所有的文件和文件夹都将被加密。
图 12
图 13
