电脑知识|欧美黑人一区二区三区|软件|欧美黑人一级爽快片淫片高清|系统|欧美黑人狂野猛交老妇|数据库|服务器|编程开发|网络运营|知识问答|技术教程文章 - 好吧啦网

您的位置:首頁技術文章
文章詳情頁

Win 2000系統安全隱患與防范詳解

瀏覽:153日期:2023-08-27 09:58:38

Windows 2000 Server操作系統是目前在PC服務器上廣泛應用的操作系統。本文分析了操作系統在安裝和運行過程中存在的安全隱患,提出了相應的防范措施,提高了系統安全性和抗病毒攻擊能力。

關鍵詞:操作系統安全隱患防范

眾所周知,微軟公司的Windows 2000 Server操作系統因其操作方便、功能強大而受到廣大用戶的認可,越來越多的應用系統運行在Windows 2000 Server操作系統上。在日常工作中,有的管理員在安裝和配置操作系統時不注意做好安全防范工作,導致系統安裝結束了,計算機病毒也入侵到操作系統里了。如何才能搭建一個安全的操作系統是安全管理人員所關心的一個問題。

一、操作系統安全隱患分析

(一)安裝隱患

在一臺服務器上安裝Windows 2000 Server操作系統時,主要存在以下隱患:

1、將服務器接入網絡內安裝。Windows2000 Server操作系統在安裝時存在一個安全漏洞,當輸入Administrator密碼后,系統就自動建立了ADMIN$的共享,但是并沒有用剛剛輸入的密碼來保護它,這種情況一直持續到再次啟動后,在此期間,任何人都可以通過ADMIN$進入這臺機器;同時,只要安裝一結束,各種服務就會自動運行,而這時的服務器是滿身漏洞,計算機病毒非常容易侵入。因此,將服務器接入網絡內安裝是非常錯誤的。

2、操作系統與應用系統共用一個磁盤分區。在安裝操作系統時,將操作系統與應用系統安裝在同一個磁盤分區,會導致一旦操作系統文件泄露時,攻擊者可以通過操作系統漏洞獲取應用系統的訪問權限,從而影響應用系統的安全運行。

3、采用FAT32文件格式安裝。FAT32文件格式不能限制用戶對文件的訪問,這樣可以導致系統的不安全。

4、采用缺省安裝。缺省安裝操作系統時,會自動安裝一些有安全隱患的組件,如:IIS、DHCP、DNS等,導致系統在安裝后存在安全漏洞。

5、系統補丁安裝不及時不全面。在系統安裝完成后,不及時安裝系統補丁程序,導致病毒侵入。

(二)運行隱患

在系統運行過程中,主要存在以下隱患:

1、默認共享。系統在運行后,會自動創建一些隱藏的共享。一是C$ D$ E$ 每個分區的根共享目錄。二是ADMIN$ 遠程管理用的共享目錄。三是IPC$ 空連接。四是NetLogon共享。五是其它系統默認共享,如:FAX$、PRINT$共享等。這些默認共享給系統的安全運行帶來了很大的隱患。

2、默認服務。系統在運行后,自動啟動了許多有安全隱患的服務,如:Telnet services、DHCP ClIEnt、DNS Client、Print spooler、Remote Registry services(選程修改注冊表服務)、SNMPServices 、Terminal Services 等。這些服務在實際工作中如不需要,可以禁用。

3、安全策略。系統運行后,默認情況下,系統的安全策略是不啟作用的,這降低了系統的運行安全性。

4、管理員帳號。系統在運行后,Administrator用戶的帳號是不能被停用的,這意味著攻擊者可以一遍又一遍的嘗試猜測這個賬號的口令。此外,設置簡單的用戶帳號口令也給系統的運行帶來了隱患。

5、頁面文件。頁面文件是用來存儲沒有裝入內存的程序和數據文件部分的隱藏文件。頁面文件中可能含有一些敏感的資料,有可能造成系統信息的泄露。

6、共享文件。默認狀態下,每個人對新創建的文件共享都擁有完全控制權限,這是非常危險的,應嚴格限制用戶對共享文件的訪問。

7、Dump文件。Dump文件在系統崩潰和藍屏的時候是一份很有用的查找問題的資料。然而,它也能夠給攻擊者提供一些敏感信息,比如一些應用程序的口令等,造成信息泄露。

8、WEB服務。系統本身自帶的IIS服務、FTP服務存在安全隱患,容易導致系統被攻擊。 二、安全防范對策

(一)安裝對策

在進行系統安裝時,采取以下對策:

1、在完全安裝、配置好操作系統,給系統全部安裝系統補丁之前,一定不要把機器接入網絡。

2、在安裝操作系統時,建議至少分三個磁盤分區。第一個分區用來安裝操作系統,第二分區存放IIS、FTP和各種應用程序,第三個分區存放重要的數據和日志文件。

3、采用NTFS文件格式安裝操作系統,可以保證文件的安全,控制用戶對文件的訪問權限。

4、在安裝系統組件時,不要采用缺省安裝,刪除系統缺省選中的IIS、DHCP、DNS等服務。

5、在安裝完操作系統后,應先安裝在其上面的應用系統,后安裝系統補丁。安裝系統補丁一定要全面。

(二)運行對策

在系統運行時,采取以下對策:

1、關閉系統默認共享

方法一:采用批處理文件在系統啟動后自動刪除共享。首選在Cmd提示符下輸入“Net Share”命令,查看系統自動運行的所有共享目錄。然后建立一個批處理文件SHAREDEL.BAT,將該批處理文件放入計劃任務中,設為每次開機時運行。文件內容如下:

NET SHARE C$ /DELETE

NET SHARE D$ /DELETE

NET SHARE E$ /DELETE

……

NET SHARE IPC$ /DELETE

NET SHARE ADMIN$ /DELETE

方法二:修改系統注冊表,禁止默認共享功能。在Local_Machine System CurrentControlSetServicesLanmanserverparameters下新建一個雙字節項“auto shareserver”,其值為“0”。

2、刪除多余的不需要的網絡協議

刪除網絡協議中的NWLink NetBIOS協議,NWLink IPX/SPX/NetBIOS 協議,NeBEUI PROtocol協議和服務等,只保留TCP/IP網絡通訊協議。

3、關閉不必要的有安全隱患的服務

用戶可以根據實際情況,關閉表1中所示的系統自動運行的有安全隱患的服務。

表1需要關閉的服務表

4、啟用安全策略

安全策略包括以下五個方面:

(1)帳號鎖定策略。設置帳號鎖定閥值,5次無效登錄后,即鎖定帳號。

(2)密碼策略。一是密碼必須符合復雜性要求,即密碼中必須包括字母、數字以及特殊字符,如:上檔鍵上的+_()*&^%$#@!?><”:{}等特殊字符。二是服務器密碼長度最少設置為8位字符以上。三是密碼最長保留期。一般設置為1至3個月,即30-90天。四是密碼最短存留期:3天。四是強制密碼歷史:0個記住的密碼。五是“為域中所有用戶使用可還原的加密來儲存密碼”,停用。

(3)審核策略。默認安裝時是關閉的。激活此功能有利于管理員很好的掌握機器的狀態,有利于系統的入侵檢測。可以從日志中了解到機器是否在被人蠻力攻擊、非法的文件訪問等等。開啟安全審核是系統最基本的入侵檢測方法。當攻擊者嘗試對用戶的系統進行某些方式(如嘗試用戶口令,改變賬號策略,未經許可的文件訪問等等)入侵的時候,都會被安全審核記錄下來。避免不能及時察覺系統遭受入侵以致系統遭到破壞。建議至少審核登錄事件、帳戶登錄事件、帳戶管理三個事件。

(4)“用戶權利指派”。在“用戶權利指派”中,將“從遠端系統強制關機”權限設置為禁止任何人有此權限,防止黑客從遠程關閉系統。

(5)“安全選項”。在“安全選項”中,將“對匿名連接的額外限制”權限改為“不允許枚舉SAM帳號和共享”。也可以通過修改注冊表中的值來禁止建立空連接,將Local_Machine SystemCurrentControlSetControl LSA-RestrictAnonymous 的值改為“1”。如在LSA目錄下如無該鍵值,可以新建一個雙字節值,名為“restrictanonymous”,值為“1”,十六進制。此舉可以有效地防止利用IPC$空連接枚舉SAM帳號和共享資源,造成系統信息的泄露。

5、加強對Administrator帳號和Guest帳號的管理監控

將Administrator帳號重新命名,創建一個陷阱賬號,名為“Administrator”,口令為10位以上的復雜口令,其權限設置成最低,即:將其設為不隸屬于任何一個組,并通過安全審核,借此發現攻擊者的入侵企圖。設置2個管理員用賬號,一個具有一般權限,用來處理一些日常事物;另一個具有Administrators 權限,只在需要的時候使用。修改Guest用戶口令為復雜口令,并禁用GUEST用戶帳號。

6、禁止使用共享

嚴格限制用戶對共享目錄和文件的訪問,無特殊情況,嚴禁通過共享功能訪問服務器。

7、清除頁面文件

修改注冊表HKLMSYSTEMCurrentControlSetControl Session ManagerMemory Management中“ClearPageFileAtShutdown”的值為“1”,可以禁止系統產生頁面文件,防止信息泄露。

8、清除Dump文件

打開控制面板→系統屬性→高級→啟動和故障恢復,將“寫入調試信息”改成“無”,可以清除Dump文件,防止信息泄露。

9、WEB服務安全設置

確需提供WEB服務和FTP服務的,建議采取以下措施:

(1)IIS-WEB網站服務。在安裝時不要選擇IIS服務,安裝完畢后,手動添加該服務,將其安裝目錄設為如D:INTE等任意字符,以加大安全性。刪除INTERNET服務管理器,刪除樣本頁面和腳本,卸載INTERNET打印服務,刪除除ASP外的應用程序映射。針對不同類型文件建立不同文件夾并設置不同權限。對腳本程序設為純腳本執行許可權限,二進制執行文件設為腳本和可執行程序權限,靜態文件設為讀權限。對安全掃描出的CGI漏洞文件要及時刪除。

(2)FTP文件傳輸服務。不要使用系統自帶的FTP服務,該服務與系統賬戶集成認證,一旦密碼泄漏后果十分嚴重。建議利用第三方軟件SERV-U提供FTP服務,該軟件用戶管理獨立進行,并采用單向hash函數(MD5)加密用戶口令,加密后的口令保存在ServUDaemon.ini或是注冊表中。用戶采用多權限和模擬域進行權限管理。虛擬路徑和物理路徑可以隨時變換。利用IP規則,用戶權限,用戶域,用戶口令多重保護防止非法入侵。利用攻擊規則可以自動封閉拒絕攻擊,密碼猜解發起計算機的IP并計入黑名單。

三、結束語

以上是筆者根據多年的工作經驗總結的一點心得,有些地方研究的還不夠深入,希望本文能給操作系統安全防范工作提供幫助。日常管理工作中,系統管理員還必須及時安裝微軟發布的最新系統安全漏洞補丁程序,安裝防病毒軟件并及時升級病毒定義庫,來防止計算機病毒的入侵,保障操作系統的安全運行。

參考文獻:

(1)歐培中等 《Windows 9x/NT/2000/XP常見漏洞攻擊與防范實戰》 四川電子音像出版中心,2002年5月

(2)微軟公司 《實現Microsoft Windows 2000 Professional和Server》 北京希望電子出版社,2000年10月

(作者單位:山東省臨沂市國家稅務局)

主站蜘蛛池模板: 变频器维修公司_plc维修_伺服驱动器维修_工控机维修 - 夫唯科技 变位机,焊接变位机,焊接变位器,小型变位机,小型焊接变位机-济南上弘机电设备有限公司 | 蜘蛛车-高空作业平台-升降机-高空作业车租赁-臂式伸缩臂叉装车-登高车出租厂家 - 普雷斯特机械设备(北京)有限公司 | 低噪声电流前置放大器-SR570电流前置放大器-深圳市嘉士达精密仪器有限公司 | 阴离子_阳离子聚丙烯酰胺厂家_聚合氯化铝价格_水处理絮凝剂_巩义市江源净水材料有限公司 | 磁粉制动器|张力控制器|气胀轴|伺服纠偏控制器整套厂家--台灵机电官网 | 一航网络-软件测评官网 | 神超官网_焊接圆锯片_高速钢锯片_硬质合金锯片_浙江神超锯业制造有限公司 | 回转支承-转盘轴承-回转驱动生产厂家-洛阳隆达轴承有限公司 | bng防爆挠性连接管-定做金属防爆挠性管-依客思防爆科技 | 智能家居全屋智能系统多少钱一套-小米全套价格、装修方案 | 深圳侦探联系方式_深圳小三调查取证公司_深圳小三分离机构 | 路面机械厂家| 河南膏药贴牌-膏药代加工-膏药oem厂家-洛阳今世康医药科技有限公司 | 聚氨酯保温钢管_聚氨酯直埋保温管道_聚氨酯发泡保温管厂家-沧州万荣防腐保温管道有限公司 | 涂层测厚仪_光泽度仪_uv能量计_紫外辐照计_太阳膜测试仪_透光率仪-林上科技 | 汝成内控-行政事业单位内部控制管理服务商 | PCB接线端子_栅板式端子_线路板连接器_端子排生产厂家-置恒电气 喷码机,激光喷码打码机,鸡蛋打码机,手持打码机,自动喷码机,一物一码防伪溯源-恒欣瑞达有限公司 假肢-假肢价格-假肢厂家-河南假肢-郑州市力康假肢矫形器有限公司 | 安全光栅|射频导纳物位开关|音叉料位计|雷达液位计|两级跑偏开关|双向拉绳开关-山东卓信机械有限公司 | 薪动-人力资源公司-灵活用工薪资代发-费用结算-残保金优化-北京秒付科技有限公司 | 房在线-免费房产管理系统软件-二手房中介房屋房源管理系统软件 | 桥架-槽式电缆桥架-镀锌桥架-托盘式桥架 - 上海亮族电缆桥架制造有限公司 | 圈酒招商网【jiushuitv.com】_酒水招商_代理_加盟平台 | 板框压滤机-隔膜压滤机-厢式压滤机生产厂家-禹州市君工机械设备有限公司 | 英国雷迪地下管线探测仪-雷迪RD8100管线仪-多功能数字听漏仪-北京迪瑞进创科技有限公司 | 换链神器官网-友情链接交换、购买交易于一体的站长平台 | 拖链电缆_柔性电缆_伺服电缆_坦克链电缆-深圳市顺电工业电缆有限公司 | 净化工程_无尘车间_无尘车间装修-广州科凌净化工程有限公司 | 南京兰江泵业有限公司-水解酸化池潜水搅拌机-絮凝反应池搅拌机-好氧区潜水推进器 | 酒吧霸屏软件_酒吧霸屏系统,酒吧微上墙,夜场霸屏软件,酒吧点歌软件,酒吧互动游戏,酒吧大屏幕软件系统下载 | 工业淬火油烟净化器,北京油烟净化器厂家,热处理油烟净化器-北京众鑫百科 | 酒糟烘干机-豆渣烘干机-薯渣烘干机-糟渣烘干设备厂家-焦作市真节能环保设备科技有限公司 | 全自动变压器变比组别测试仪-手持式直流电阻测试仪-上海来扬电气 | 断桥铝破碎机_发动机破碎机_杂铝破碎机厂家价格-皓星机械 | 北京遮阳网-防尘盖土网-盖土草坪-迷彩网-防尘网生产厂家-京兴科技 | 板式换热器_板式换热器价格_管式换热器厂家-青岛康景辉 | 电地暖-电采暖-发热膜-石墨烯电热膜品牌加盟-暖季地暖厂家 | 通辽信息港 - 免费发布房产、招聘、求职、二手、商铺等信息 www.tlxxg.net | 环氧树脂地坪_防静电地坪漆_环氧地坪漆涂料厂家-地壹涂料地坪漆 环球电气之家-中国专业电气电子产品行业服务网站! | 一体化隔油提升设备-餐饮油水分离器-餐厨垃圾处理设备-隔油池-盐城金球环保产业发展有限公司 | 体感VRAR全息沉浸式3D投影多媒体展厅展会游戏互动-万展互动 | 美甲贴片-指甲贴片-穿戴美甲-假指甲厂家--薇丝黛拉 |