PersonalCorpus 版 (精华区)

发信人: fiag (大饼), 信区: Windows
标  题: Windows2000安全策略设计概要(z)
发信站: 哈工大紫丁香 (Tue May 27 19:20:16 2003)


Windows2000安全策略设计概要
（甘冀平）

任何事物都有一定之规，系统管理员只有建立一套严密的安全规则，才能有效保障操作系
统的稳定运转。本文就Windows2000操作系统的安全策略设计进行概要分析，旨在让大家从
宏观角度了解系统管理员都应在哪些方面执行必要的安全配置，然后根据实际环境再在各
个环节分别扩展，最终创建一个安全的Windows 2000服务器。

确认所有磁盘分区的格式都为NTFS
我们都知道，NTFS分区磁盘具备高强度的访问控制机制，它能够有效地保护数据不被泄漏
与篡改，这是其它格式的分区所不具备的，比如FAT、FAT32或者FAT32x。所以，首先我们
要确保服务器上的每个分区都被创建为NTFS格式。对于已经成为FAT格式的分区，我们可以
使用“convert”程序完整地将之转换为NTFS格式。有一点提醒大家，当使用“convert”
程序时，被转换的磁盘驱动器将被设置为对Everyone的Full控制权限，这将是非常危险的
。要解决这个问题，我们可以使用Windows NT Server Resource Kit中提供的“fixacls”
软件，它能够帮助我们为驱动器重新配置更为合理的权限。

确认“Administrator”帐号具有一个强健的口令
Windows 2000允许我们设置口令的长度可达127位。通常情况下，长口令要比短口令强健，
包含多种字符类型（指口令中包含字母、数字、标点符号或者非打印ASCII码）的口令要比
单一字符类型口令（指口令全部是数字或者全部是字母）强健。所以，要实现最大的保护
工作，就要为“Administrator”帐号创建至少9位长度的口令，并使口令的前7位中至少包
含一个标点符号或者非打印字符（非打印字符是按住ALT键再输入小键盘数字产生的特殊字
符）。而且，如果一个系统管理员管理着多个服务器，那么各服务器的“Administrator”
帐号口令不应该相同。

禁止不需要的服务
安装完Windows 2000 Server后，我们就应该禁止掉该服务器不承担的任何网络服务程序。
特别要考虑的是，服务器是否需要运行任何IIS服务组件，是否需要运行文件和打印机共享
服务。另外，除非特别需要，我们也不要在服务器上安装其他应用程序。比如说，不要安
装电子邮件客户端程序、office产品等等。总之，不是必须运行的程序，不安装！

禁止或删除不需要的用户帐号
我们应该经常查看用户帐号列表，将不怎么使用的帐号坚决禁止，或者干脆删除掉。比如
，禁止Guest帐号。

合理设置文件、目录和注册表的访问权限
根据具体需求，建议对Windows 2000安装后默认文件、目录以及注册表访问权限进行修改
。

删除所有不需要的文件共享
建议删除系统中所有不必要的文件共享服务，降低信息暴露风险。

限制注册表不被匿名访问
默认情况下，注册表可以被远程访问。但我们要限制远程访问的用户，一般情况下只开放
administrators的远程访问权限。要实现这个目的，需要修改注册表，步骤如下：

1、添加下列key：\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePip
eServers\winreg。
2、选择winreg，点击安全（Security）菜单，再点击权限（Permissions）。
3、设置Administrator的权限为完全控制（Full Control），并确认列表中没有其他用户
或组，点击确定（OK）。 

通过以上对注册表键值的安全许可设置，就控制了哪些用户或组可以远程访问注册表内容
。

限制LAS信息不被匿名访问
LSA 是Local Security Authority的缩写，即本地安全颁发机构，它的功能是负责在本地
计算机上处理用户登录与身份验证。LSA的信息非常重要，我们应该限制匿名用户对LSA的
访问。要实现这个目的，需要修改注册表，步骤如下：

1、创建键值\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\RestrictAn
onymous
2、赋值为1，类型为REG_DWORD 

设置强健的口令策略
对于口令的设置管理，我们应该做到：

1、最小口令长度至少为8。
2、建立适合的最小口令使用期限，一般在1－7天。
3、建立适合的最大口令使用期限，一般不超过42天。
4、设置口令的历史保持次数至少为6，就是说，当前设置的口令不能与最近6次中的任何一
次相同。 

设置用户帐号锁定策略
用户帐号锁定就是指当一个帐号登录失败的次数超过administrator设定的次数，该用户帐
号将被自动禁止使用，直到administrator再次启用它。建议将这个次数设置为3－5之间。
Windows NT资源工具箱（Resource Kit）中有一个程序passprop.exe，它可以帮助我们对
在管理工具中不能访问的帐号进行设置，比如要为administrator帐号设定锁定策略，就执
行下面的命令：

passprop /adminlockout 

重新配置Administrator帐号
Administrator即超级用户，它的权限至高无上，重要性毋庸置疑，同时也是被攻击最多的
对象。我们要对安装后默认的Administrator帐号重新配置，从而达到最大的安全性。建议
采取如下措施：

1、为administrator重新起名，最好是不起眼的名字，比如：myadminok，mygod等等。

2、再次创建一个administrator帐号，但不分配任何权限，以达到诱骗目的。同时经常查
看事件日志文件，检查是否有使用这个帐号的企图，从而及早发现攻击隐患。
3、使用passprop程序为真正的administrator帐号设置帐号锁定策略。
4、禁止本地计算机的administrator帐号。 

安装防病毒软件并及时更新
计算机病毒的危害日益加重，我们必须在服务器上安装防病毒软件，并做到及时更新。


及时安装最新版本的SP和Hotfixes补丁程序
强烈建议及时跟踪Microsoft公司发布SP以及hotfixes的消息，从而根据具体环境，在机器
中安装最新的SP及hotfixes补丁程序。微软公司的产品补丁分为2类：SP（Service Pack）
和HotFixes。SP是集合一段时间发布的HotFixes的大补丁，一般命名为SP1、SP2，一段时
间才发布一次。HotFixes是小补丁，它位于当前SP和下一个SP之间，是为解决微软网站上
最新安全告示（Security bulletin）中的系统漏洞而发布的，一般命名为“MS年份-序号
”，比如MS01-044表示2001第44个HotFixes。

关于SP发布的消息，请访问：
http://www.microsoft.com/windows2000/downloads/servicepacks/
关于hotfixes发布的消息，请访问：
http://www.microsoft.com/technet/security/current.asp 

（责任编辑 吴北 jiaoxq@staff.ccidnet.com）

--
◢ ┏━━━━┓┏━━━┓ ┏━━━━┓ ┏━━━━┓ ◣
   ┃  ┏━━┛┗┓  ┏┛ ┃  ◢◣  ┃ ┃┏━┓¤┃   
   ┃  ┗━┓    ┃  ┃   ┃  ◥◤  ┃ ┃┃■┗┳┫   
   ┃  ┏━┛    ┃  ┃   ┃  ┏┓  ┃ ┃┗┓■┃┃   
   ┃  ┃      ┏┛  ┗┓ ┃  ┃┃  ┃ ┃  ┗━┛┃   
◥ ┗━┛      ┗━━━┛ ┗━┛┗━┛ ┗━━━━┛ ◤

※ 来源:．哈工大紫丁香 bbs.hit.edu.cn [FROM: 210.46.79.225]