淺談Windonws2000作業系統的安全隱患

一、伺服器作業系統Windows 2000 Server的安全隱患分析

（一）安裝隱患

在一臺伺服器上安裝Windows 2000 Server操作系統時，主要存在以下隱患：

1、將伺服器接入網路內安裝。Windows2000 Server作業系統在安裝時存在一個安全漏洞，當輸入Administrator密碼後，系統就自動建立了ADMIN$的共享，但是並沒有用剛剛輸入的密碼來保護它，這種情況一直持續到再次啟動後，在此期間，任何人都可以通過ADMIN$進入這臺機器；同時，只要安裝一結束，各種服務就會自動執行，而這時的伺服器是滿身漏洞，計算機病毒非常容易侵入。因此，將伺服器接入網路內安裝是非常錯誤的。

2、作業系統與應用系統共用一個磁碟分割槽。在安裝作業系統時，將作業系統與應用系統安裝在同一個磁碟分割槽，會導致一旦作業系統檔案洩露時，攻擊者可以通過作業系統漏洞獲取應用系統的訪問許可權，從而影響應用系統的安全執行。

3、採用FAT32檔案格式安裝。FAT32檔案格式不能限制使用者對檔案的訪問，這樣可以導致系統的不安全。

4、採用預設安裝。預設安裝作業系統時，會自動安裝一些有安全隱患的元件，如：IIS、DHCP、DNS等，導致系統在安裝後存在安全漏洞。

5、系統補丁安裝不及時不全面。在系統安裝完成後，不及時安裝系統補丁程式，導致病毒侵入。

（二）執行隱患

在系統執行過程中，主要存在以下隱患：

1、預設共享。系統在執行後，會自動建立一些隱藏的共享。一是C$ D$ E$ 每個分割槽的根共享目錄。二是ADMIN$ 遠端管理用的共享目錄。三是IPC$ 空連線。四是NetLogon共享。五是其它系統預設共享，如：FAX$、PRINT$共享等。這些預設共享給系統的安全執行帶來了很大的隱患。

2、預設服務。系統在執行後，自動啟動了許多有安全隱患的服務，如：Telnet services、DHCP Client、DNS Client、Print spooler、Remote Registry services（選程修改登錄檔服務）、SNMP Services 、Terminal Services 等。這些服務在實際工作中如不需要，可以禁用。

3、安全策略。系統執行後，預設情況下，系統的安全策略是不啟作用的，這降低了系統的執行安全性。

4、管理員帳號。系統在執行後，Administrator使用者的帳號是不能被停用的，這意味著攻擊者可以一遍又一遍的嘗試猜測這個賬號的口令。此外，設定簡單的使用者帳號口令也給系統的執行帶來了隱患。

5、頁面檔案。頁面檔案是用來儲存沒有裝入記憶體的程式和資料檔案部分的隱藏檔案。頁面檔案中可能含有一些敏感的資料，有可能造成系統資訊的.洩露。

6、共享檔案。預設狀態下，每個人對新建立的檔案分享都擁有完全控制權限，這是非常危險的，應嚴格限制使用者對共享檔案的訪問。

7、Dump檔案。Dump檔案在系統崩潰和藍屏的時候是一份很有用的查詢問題的資料。然而，它也能夠給攻擊者提供一些敏感資訊，比如一些應用程式的口令等，造成資訊洩露。

8、WEB服務。系統本身自帶的IIS服務、FTP服務存在安全隱患，容易導致系統被攻擊。

二、伺服器作業系統Windows 2000 Server的安全防範對策

（一）安裝對策

在進行系統安裝時，採取以下對策：

1、在完全安裝、配置好作業系統，給系統全部安裝系統補丁之前，一定不要把機器接入網路。

2、在安裝作業系統時，建議至少分三個磁碟分割槽。第一個分割槽用來安裝作業系統，第二分割槽存放IIS、FTP和各種應用程式，第三個分割槽存放重要的資料和日誌檔案。

3、採用NTFS檔案格式安裝作業系統，可以保證檔案的安全，控制使用者對檔案的訪問許可權。

4、在安裝系統元件時，不要採用預設安裝，刪除系統預設選中的IIS、DHCP、DNS等服務。

5、在安裝完作業系統後，應先安裝在其上面的應用系統，後安裝系統補丁。安裝系統補丁一定要全面。

（二）執行對策

在系統執行時，採取以下對策：

1、關閉系統預設共享

方法一：採用批處理檔案在系統啟動後自動刪除共享。 首選在Cmd提示符下輸入“Net Share”命令，檢視系統自動執行的所有共享目錄。然後建立一個批處理檔案，將該批處理檔案放入計劃任務中，設為每次開機時執行。檔案內容如下：

NET SHARE C$ /DELETE

NET SHARE D$ /DELETE

NET SHARE E$ /DELETE

NET SHARE IPC$ /DELETE

NET SHARE ADMIN$ /DELETE

方法二：修改系統登錄檔，禁止預設共享功能。在Local_Machine System CurrentControlSetServicesLanmanserverparameters下新建一個雙位元組項“auto shareserver”，其值為“0”。

2、刪除多餘的不需要的網路協議

刪除網路協議中的NWLink NetBIOS協議，NWLink IPX/SPX/NetBIOS 協議，NeBEUI PROtocol協議和服務等，只保留TCP/IP網路通訊協議。

3、關閉不必要的有安全隱患的服務

使用者可以根據實際情況，關閉表1中所示的系統自動執行的有安全隱患的服務

4、啟用安全策略

安全策略包括以下五個方面：

（1）帳號鎖定策略。設定帳號鎖定閥值，5次無效登入後，即鎖定帳號。

（2）密碼策略。一是密碼必須符合複雜性要求，即密碼中必須包括字母、數字以及特殊字元，如：上檔鍵上的+_（）*&^%$#@!?><”:{} 等特殊字元。二是伺服器密碼長度最少設定為8位字元以上。三是密碼最長保留期。一般設定為1至3個月，即30－90天。四是密碼最短存留期：3天。四是強制密碼歷史：0個記住的密碼。五是“為域中所有使用者使用可還原的加密來儲存密碼”，停用。

（3）稽核策略。預設安裝時是關閉的。啟用此功能有利於管理員很好的掌握機器的狀態，有利於系統的入侵檢測。可以從日誌中瞭解到機器是否在被人蠻力攻擊、非法的檔案訪問等等。開啟安全稽核是系統最基本的入侵檢測方法。當攻擊者嘗試對使用者的系統進行某些方式（如嘗試使用者口令,改變賬號策略，未經許可的檔案訪問等等）入侵的時候，都會被安全稽核記錄下來。避免不能及時察覺系統遭受入侵以致系統遭到破壞。建議至少稽核登入事件、帳戶登入事件、帳戶管理三個事件。

（4）“使用者權利指派”。在“使用者權利指派”中，將“從遠端系統強制關機”許可權設定為禁止任何人有此許可權，防止黑客從遠端關閉系統。

（5）“安全選項”。在“安全選項”中，將“對匿名連線的額外限制”許可權改為“不允許列舉SAM帳號和共享”。也可以通過修改登錄檔中的值來禁止建立空連線，將Local_Machine SystemCurrentControlSet Control LSA-RestrictAnonymous 的值改為“1”。如在LSA目錄下如無該鍵值，可以新建一個雙位元組值，名為“restrictanonymous”，值為“1”，十六進位制。此舉可以有效地防止利用IPC$空連線列舉SAM帳號和共享資源，造成系統資訊的洩露。

5、加強對Administrator帳號和Guest帳號的管理監控

將Administrator帳號重新命名，建立一個陷阱賬號，名為“Administrator”，口令為10位以上的複雜口令，其許可權設定成最低，即：將其設為不隸屬於任何一個組，並通過安全稽核，藉此發現攻擊者的入侵企圖。設定2個管理員用賬號，一個具有一般許可權，用來處理一些日常事物；另一個具有Administrators 許可權，只在需要的時候使用。修改Guest使用者口令為複雜口令，並禁用GUEST使用者帳號。

6、禁止使用共享

嚴格限制使用者對共享目錄和檔案的訪問，無特殊情況，嚴禁通過共享功能訪問伺服器。

7、清除頁面檔案

修改登錄檔HKLMSYSTEM CurrentControlSet Control Session Manager Memory Management中“ClearPageFileAtShutdown”的值為“1”，可以禁止系統產生頁面檔案，防止資訊洩露。

8、清除Dump檔案

開啟控制面板→系統屬性→高階→啟動和故障恢復，將“寫入除錯資訊”改成“無”，可以清除Dump檔案，防止資訊洩露。

9、WEB服務安全設定

確需提供WEB服務和FTP服務的，建議採取以下措施：

（1）IIS-WEB網站服務。在安裝時不要選擇IIS服務，安裝完畢後，手動新增該服務，將其安裝目錄設為如D:INTE等任意字元，以加大安全性。刪除INTERNET服務管理器，刪除樣本頁面和指令碼，解除安裝INTERNET列印服務，刪除除ASP外的應用程式對映。針對不同型別檔案建立不同資料夾並設定不同許可權。對指令碼程式設為純指令碼執行許可許可權，二進位制執行檔案設為指令碼和可執行程式許可權，靜態檔案設為讀許可權。對安全掃描出的CGI漏洞檔案要及時刪除。

（2）FTP檔案傳輸服務。不要使用系統自帶的FTP服務，該服務與系統賬戶整合認證，一旦密碼洩漏後果十分嚴重。建議利用第三方軟體SERV-U 提供FTP服務，該軟體使用者管理獨立進行，並採用單向hash函式（MD5）加密使用者口令，加密後的口令儲存在或是登錄檔中。使用者採用多許可權和模擬域進行許可權管理。虛擬路徑和物理路徑可以隨時變換。利用IP規則，使用者許可權，使用者域，使用者口令多重保護防止非法入侵。利用攻擊規則可以自動封閉拒絕攻擊，密碼猜解發起計算機的IP並計入黑名單。

三、結束語

以上是根據多年的工作經驗總結的一點心得，有些地方研究的還不夠深入，希望本文能給作業系統安全防範工作提供幫助。日常管理工作中，系統管理員還必須及時安裝微軟釋出的最新系統安全漏洞補丁程式，安裝防病毒軟體並及時升級病毒定義庫，來防止計算機病毒的入侵，保障作業系統的安全執行。