操作系统是计算机资源的直接管理者,操作系统的安全是整个计算机系统安全的基础,没有操作系统的安全,就谈不上主机系统和网络系统的安全性,就不可能真正解决数据库安全、网络安全和其他应用软件的安全问题。
　　 Windows Server 2003操作系统是一套成熟的操作系统,所有系统管理员都已经认识到系统安全是网络安全的基础防线,操作系统安装完成后,要使该系统更加安全必须对其进行加固。除了必要的漏洞修复、补丁安装之外,启用Windows防火墙、启用安全策略,都是安全管理的一部分,密码管理、账户管理和NTFS权限应用将是保护系统安全的基本措施。
　　
　　1 Windows Server 2003自身安全策略
　　
　　作为一个企业的系统管理员或者网络管理员,通过制定一套Windows 2003操作系统自身安全策略以及相关的服务可以加强操作系统的安全,能够使企业和终端用户将风险降到最近,做到未雨绸缪。
　　1.1 系统漏洞
　　系统漏洞又被称为“安全缺陷”或者“系统BUG”,同时也成为黑客为了达到他们的攻击目的而寻找的一个攻击入口。据统计,一台未打补丁的系统,接入互联网后,不到2分钟就会受到各种漏洞所攻击,并导致计算机中毒或崩溃。
　　造成系统漏洞的原因是多方面的,但主要包括两个方面的内容:不安全的服务,配置与初始化错误。
　　1.1.1 不安全服务
　　Windows服务可以看做是运行后台的应用程序,每次启动Windows时,都会有很多服务被调入到系统内存当中,系统默认开启的很多服务是不必要的,多余的服务会给系统带来一定的安全隐患,所以应该根据自身的需求把多余的服务停止掉。
　　例如,像系统当中的Remote Registry服务,它是一个能够远程修改注册表的服务。知道管理员账号和密码的人远程访问注册表是很容易的。打开注册表编辑器,选择“文件”菜单中的“连接网络注册表”选顶,在“选择计算机”对话框里的“输入要选择的对象名称”下的输入框中输入对方的IP地址,单击“确定”按钮便会出现一个“输入网络密码”对话框,输入管理员帐号和密码,单击“确定”按钮后就可以对目标机器的注册表进行修改了。不少木马后门程序可以通过此服务来修改目标机器的注册表,建议大家禁用该项服务。
　　1.1.2 配置和初始化错误
　　Windows系统包含许多默认的设置和选项,允许管理员进行更复杂的管理。这些系统默认值可以被有经验的黑客利用来渗透系统。例如,Windows系统出于管理的目的自动地建立一些共享,包括C$、D$和系统其他一些逻辑分区的默认共享,要访问这些隐形的分区可以在地址栏中键入“\\计算机名称\\共享名$”或者使用映射网络驱动器将其映射成本地的硬盘,成为了黑客常见的攻击目标。因此,那些系统自主创建的默认共享应该谨慎使用。我们可以通过建立一个启动脚本将系统默认的共享删除。打开一个新记事本,在其中输入“net share C$ /del”,“net share D$ /del”, “net share ADMIN$ /del”,保存并命名为“delshare.bat”。然后将此文件拖放到“开始” → “程序” → “启动”中,下次开机时就会删除Windows的C盘、D盘以及ADMIN默认共享。
　　1.2 身份验证
　　身份验证是实现计算机安全的基础,鉴别用户身份最常见也是最简单的方法就是用户名和口令认证,用户名和口令的组合方式在认证强度上也有强明弱。Windows2003身份验证分两部分执行:交互式登录和网络身份验证。用户身份验证的成功与否同时取决于这两个过程。
　　1.2.1 交互式登录
　　交互式登录过程向域账户或本地计算机确认用户的身份。这一过程根据用户账户的类型而不同。使用域帐户,用户可以通过存储在Active Directory中的单一注册凭据使用密码登录到网络。如果登录成功,被授权的用户就可以访问该域以及任何信任域中的资源。使用本地计算机帐户,用户可以通过存储在安全帐户管理器(SAM,本地安全账户数据库)中的凭证登录到本地计算机。
　　1.2.2 网络身份验证
　　网络身份验证确认用户对于试图访问的任意网络服务的身份。为了提供这种类型的身份验证,Windows 2003安全系统支持多种不同的身份验证机制,包括Kerberos V5、安全套接字层/传输层安全(SSL/TLS)以及为了与Windows NT 4.0兼容而提供的NTLM。
　　1.3 账户管理
　　账户和密码是操作系统的安全基础,账户和密码提供了身份验证,并为进一步访问控制提供了条件。以Windows 2003操作系统为例,帐户和密码存放在专门的账户数据库中。独立的计算机上的账户和密码的数据库文件是SAM。
　　管理本地帐户和密码使用的是“计算机管理”工具。
　　如果使用了Windows的活动目录技术,帐户和密码的验证是集中到域控制器上进行的。域控制器上的帐户数据库为ntds.dit。管理活动目录中的账户和密码使用的是“Active Directory用户和计算机”。

　　如果使用弱口令,很容易受到暴力攻击或字典攻击。
　　一个“强壮”的密码应该注意遵守如下的规则:
　　① 密码中混合了大写字母、小写字母、数字、非字母数字的字符,如标点符号等;不要使用普通的名字或昵称。
　　② 不要使用个人信息作为密码,如生日或者电话号码等,同时不要使用大家熟悉的单词(如microsoft)、熟悉的键盘顺序(如qwert)、熟悉的数字(如2003、2000)等。
　　③ 给所有用户账号一人复杂的口令(系统账号除外),长度最少在8位以上。
　　④ 口令必须定期更改(建议至少两周改一次),最好记在心里,应避免在纸上做记录。
　　⑤ 不要共享个人用户密码。
　　⑥ 需要访问多个服务平时,要采用多个密码。
　　另外,在Windows中可以使用管理工具中的本地安全策略或者域安全策略来强制密码安全。
　　常见的几种有效的保障账户安全的措施有以下几项:
　　① 账号重命名:一些默认的账户很容易成为黑客攻击的实验目标,例如Administrator、Gusest等。对它们重命名可以降低受到暴力和字典攻击的可能性。
　　② 密码策略:在密码策略中,可以启用密码的复杂性要求,设置密码升序的最小值,强制密码历史记录等都可以有效地提高密码的安全性。
　　③ 账户锁定策略:使用账户锁定策略可以让黑客用“穷举法”尝试密码时失效,因为可以设置账户锁定的阈值,当尝试了3次或者5次登录后系统可以认为这是黑客的暴力攻击而锁定账户。需要注意的是不仅要设置锁定的阈值,还应该设置复位的计数器。因为如果不让账户复位,那么正常的用户有也无法使用该账户登录。这就是如同是黑客实施了一个拒绝服务攻击。
　　1.4 权限管理
　　权限是指与计算机上或网络上的对象(如文件和文件夹)关联的规则。权限确定是否可以访问某个对象以及可以对它执行哪些操作。一些管理员在为一些特殊用户配置一些具体应用时总喜欢直接把这些用户添加到Administrators组中,这个组具有最高权限。但却给网络带来了极大的安全隐患。建议采取最小权限原则,给用户分配一个恰好满足其工作需要的权限。
　　作为安全的管理者,文件和文件夹的权限管理是工作中的重点,理论上说,具有越高权限的用户越危险。一般说来,在企业网络用户账户的权限分配上遵守两个原则:高权限用户越少越好,用户权限越低越好(当然是在满足正常工作需要的前提下),不要盲目地追求简单,为本不需要那么高权限的用户分配高权限。例如,在Windows Server 2003中建立文件的权限时应该首先实现NTFS文件系统。一旦实施了NTFS文件系统,就可以针对用户和组实现更加细致的权限分配。
　　1.5 日志管理
　　日志文件记录着Windows系统及其各种服务运行的每个细节,对于系统管理以及网络管理相当重要,所以务必要开启相关应用或服务的日志记录功能。
　　在Windows系统中查看日志文件很简单。单击“开始”→“设置”→“控制面板”→“管理工具”→“事件查看器”命令,在事件查看器窗口左栏中列出本机包含的日类型,如应用程序、安全、系统等。查看某个日志记录也很简单,在左栏中选中某个类型的日志,如应用程序,接着在右栏中列出该类型日志的所有记录,双击其中某个记录,弹出“事件属性”对话框,显示出该记录的详细信息,这样就能准确地掌握系统中到底发生了什么事情,是否影响系统的正常运行,一旦出现问题,即时查找排除。
　　如果系统中的事件建立了审核策略,该事件操作的成功与否都将被记录到相应的日志文件中。当非法用户探测系统信息的时候,就会在安全日志里迅速地记下计算机被探测时所用的用户名、时间等。例如,系统管理员每天所进行的数据备份,一旦哪一天数据备份不成功,如果启用了日志记录功能,就会在日志文件中记录是什么时候、什么原因导致不成功,从而可以很方便地找到故障原因并及时解决。

关键词：口令   管理工具