Windows 2003安全策略的制定

作為Microsoft 最新推出的服務器操作系統，不僅繼承了Windows 2000/XP的易用性和穩定性，而且還提供了更高的硬件支持和更加強大的安全功能，無疑是中小型網絡應用服務器的當然之選。本文就Windows 2003在企業網絡應用中企業帳戶和系統監控方面的安全策略制定作出一些說明，希望能對大家起到拋磚引玉的效果，最終的目標是確保我們的網絡服務器的正常運行。

一、企業賬戶保護安全策略	二、企業系統監控安全策略
1、提高密碼的破解難度	1、啟用系統審核機制
2、啟用賬戶鎖定策略	2、日志監視
3、限制用戶登錄	3、監視開放的端口和連接
4、限制外部連接	4、監視共享
5、限制特權組成員	5、監視進程和系統信息
6、防范網絡嗅探

　　一、企業賬戶保護安全策略

　　用戶賬戶的保護一般 主要圍繞著密碼的保護來進行。為了避免用戶身份由于密碼被破解而被奪取或盜用，通?？刹扇≈T如提高密碼的破解難度、啟用賬戶鎖定策略、限制用戶登錄、限制外部連接以及防范網絡嗅探等措施。

　　1、提高密碼的破解難度

　　提高密碼的破解難度主要是通過采用提高密碼復雜性、增大密碼長度、提高更換頻率等措施來實現，但這常常是用戶很難做到的，對于企業網絡中的一些安全敏感用戶就必須采取一些相關的措施，以強制改變不安全的密碼使用習慣。

　　在Windows系統中可以通過一系列的安全設置，并同時制定相應的安全策略來實現。在Windows Server 2003系統中，可以通過在安全策略中設定“密碼策略”來進行。Window Server 2003系統的安全策略可以根據網絡的情況，針對不同的場合和范圍進行有針對性地設定。例如可以針對本地計算機、域及相應的組織單元來進行設定，這將取決于該策略要影響的范圍。

　　以域安全策略為例，其作用范圍是企業網中所指定域的所有成員。在域管理工具中運行“域安全策略”工具，然后就可以針對密碼策略進行相應的設定。

　　密碼策略也可以在指定的計算機上用“本地安全策略”來設定，同時也可在網絡中特定的組織單元通過組策略進行設定。
2、啟用賬戶鎖定策略

　　賬戶鎖定是指在某些情況下(例如賬戶受到采用密碼詞典或暴力猜解方式的在線自動登錄攻擊)，為保護該賬戶的安全而將此賬戶進行鎖定。使其在一定的時間內不能再次使用，從而挫敗連續的猜解嘗試。

　　Windows2003系統在默認情況下，為方便用戶起見，這種鎖定策略并沒有進行設定，此時，對的攻擊沒有任何限制。只要有耐心，通過自動登錄工具和密碼猜解字典進行攻擊，甚至可以進行暴力模式的攻擊，那么破解密碼只是一個時間和運氣上的問題。賬戶鎖定策略設定的第一步就是指定賬戶鎖定的閾值，即鎖定前該賬戶無效登錄的次數。一般來說，由于操作失誤造成的登錄失敗的次數是有限的。在這里設置鎖定閾值為3次，這樣只允許3次登錄嘗試。如果3次登錄全部失敗，就會鎖定該賬戶。

　　但是，一旦該賬戶被鎖定后，即使是合法用戶也就無法使用了。只有管理員才可以重新啟用該賬戶，這就造成了許多不便。為方便用戶起見，可以同時設定鎖定的時間和復位計數器的時間，這樣以來在3次無效登最后就開始鎖定賬戶，以及鎖定時間為30分鐘。以上的賬戶鎖定設定，可以有效地避免自動猜解工具的攻擊，同時對于手動嘗試者的耐心和信心也可造成很大的打擊。鎖定用戶賬戶常常會造成一些不便，但系統的安全有時更為重要。

　　3、限制用戶登錄

　　對于企業網的用戶還可以通過對其登錄行為進行限制，來保障其戶戶賬戶的安全。這樣以來，即使是密碼出現泄漏，系統也可以在一定程度上將黑客阻擋在外，對于Windows Server 2003網絡來說，運行“Active Directory用戶和計算機”管理工具。 然后選擇相應的用戶，并設置其賬戶屬性。

　　在賬戶屬性對話框中，可以限制其登錄的時間和地點。單擊其中的“登錄時間”按鈕，在這里可以設置允許該用戶登錄的時間，這樣就可防止非工作時間的登錄行為。單擊其中的“登錄到”按鈕，在這里可以設置允許該賬戶從哪些計算機乾地登錄。另外，還可以通過“賬戶”選罾聰拗頻鍬際鋇男形?＠?縭褂謾壩沒П匭胗彌悄蕓ǖ鍬肌保?涂殺苊庵苯郵褂妹藶胙櫓?。?酥?猓?箍梢砸?脛肝蒲櫓さ雀??細竦氖侄巍?/P>

　　4、限制外部連接

　　對于企業網絡來說，通常需要為一些遠程撥號的用戶（業務人員或客戶等)提供撥號接入服務。遠程撥號訪問技術實際上是通過低速的撥號連接來將遠程計算機接入到企業內部的局域網中。由于這個連接無法隱藏，因此常常成為黑客入侵內部網絡的最佳入口。但是，采取一定的措施可以有效地降低風險。

　　對于基于Windows Server 2003的遠程訪問服務器來說，默認情況下將允許具有撥入權限的所有用戶建立連接。因此，安全防范的第一步就是合理地、嚴格地設置用戶賬戶的撥入權限，嚴格限制撥入權限的分配范圍，只要不是必要的就不給予此權限。對于網絡中的一些特殊用戶和固定的分支機構的用戶來說，可通過回撥技術來提高網絡安全性。這里所謂的回撥，是指在主叫方通過驗證后立即掛斷線路，然后再回撥到主叫方的電話上。這樣，即使帳戶及其密碼被破解，也不必有任何擔心。需要注意的是，這里需要開通來電顯示業務。

　　在Windows Server 2003網絡中，如果活動目錄工作在Native-mode(本機模式)下，這時就可以通過存儲在訪問服務器上或Inte.net驗證服務器上的遠程訪問策略來管理。針對各種應用場景的不同，可以設置多種不同的策略。具體的管理比較復雜，由于篇幅有限，大家可參考相關資料，這里就不再作詳細介紹。
5、限制特權組成員

　　在Windows Server 2003網絡中，還有一種非常有效的防范黑客入侵和管理疏忽的輔助手段，這就是利用“受限制的組”安全策略。該策略可保證組成員的組成固定。在域安全策略的管理工具中添加要限制的組，在“組”對話框中鍵入或查找要添加的組。一般要對管理員組等特權組的成員加以限制。下一步就是要配置這個受限制的組的成員。在這里選擇受限制的組的“安全性(S)”選項。然后，就可以管理這個組的成員組成，可以添加或刪除成員， 當安全策略生效后，可防止黑客將后門賬戶添加到該組中。

　　6、防范網絡嗅探

　　由于局域網采用廣播的方式進行通信，因而信息很容易被竊聽。網絡嗅探就是通過偵聽所在網絡中所傳輸的數據來嗅探有價值的信息。對于普通的網絡嗅探的防御并不困難，可通過以下手段來進行：

　　1)采用交換網絡

　　一般情況下，交換網絡對于普通的網絡嗅探手段具有先天的免疫能力。這是由于在交換網絡環境下，每一個交換端口就是一個獨立的廣播域，同時端口之間通過交換機進行橋接，而非廣播。網絡嗅探主要針對的是廣播環境下的通信，因而在交換網絡中就失去作用了。

　　隨著交換網絡技術的普及，網絡嗅探所帶來的威脅也越來越低，但仍不可忽視。通過ARP地址欺騙仍然可以實現一定范圍的網絡嗅探，此外黑客通過入侵一些型號的交換機和路由器仍然可以獲得嗅探的能力。

　　2)加密會話

　　在通信雙方之間建立加密的會話連接也是非常有效的方法，特別是在企業網絡中。這樣，即使黑客成功地進行了網絡嗅探，但由于捕獲的都是密文，因而毫無價值。網絡中進行會話加密的手段有很多，可以通過定制專門的通信加密程序來進行，但是通用性較差。 這時，完善IP通信的安全機制是最根本的解決辦法。

　　由于歷史原因，基于IP的網絡通信技術沒有內建的安全機制。隨著互聯網的發展，安全問題逐漸暴露出來?，F在經過各個方面的努力，標準的安全架構也已經基本形成。那就是IPSec機制，并且它將作為下一代IP網絡標準IPv6的重要組成。IPSec機制在新一代的操作系統中已經得到了很好的支持。在Windows Server 2003系統中，其服務器產品和客戶端產品都提供了對IPSec的支持。從而增強了安全性、可伸縮性以及可用性，同時使部署和管理更加方便。

　　在Windows Server 2003系統的安全策略相關的管理工具集(例如本地安全策略、域安全策略、組策略等)中，都集成了相關的管理工具。為清楚起見，通過Microsoft管理控制臺MMC定制的管理工具來了解一下。

　　具體方法如下：首先在“開始”菜單中單擊“運行”選項，然后鍵入mmc，并同時單擊“確定”按鈕。在“控制臺”菜單中選擇“添加刪除管理單元(M)”命令，然后，單擊其中的“添加”按鈕。 在可用的獨立管理單元中，選擇“IP安全策略管理”選項，雙擊或單擊“添加”按鈕，在這里選擇被該管理單元所管理的計算機，然后單擊“完成”按鈕。關閉添加管理單元的相關窗口，就得到了一個新的管理工具，在這里可以為其命名并保存。

　　此時可以看到已有的安全策略，用戶可以根據情況來添加、修改和刪除相應的IP安全策略。其中Windows Server 2003系統自帶的有以下幾個策略：

　　安全服務器(要求安全設置)；
　　客戶端(只響應)；
　　服務器(請求安全設置)；

　　其中的“客戶端(只響應)”策略是根據對方的要求來決定是否采用IPSec；“服務器(請求安全設置)”策略要求支持IP安全機制的客戶端使用IPSec，但允許不支持IP安全機制的客戶端來建立不安全的連接；而“安全服務器(要求安全設置)”策略則最為嚴格，它要求雙方必須使用IPSec協議。

　　不過，“安全服務器(要求安全設置)”策略默認允許不加密的受信任的通信，因此仍然能夠被竊聽。直接修改此策略或定制專門的策略，就可以實現有效的防范。選擇其中的“所有IP通訊”選項，在這里可以編輯其規則屬性。

　　選擇“篩選器操作”選項卡，選擇其中的“要求安全設置”選項。在此篩選器操作的屬性設置里可以編輯安全措施，在這里將安全措施設置為“高”選項。

　　以上采用IPSec加密數據通信的方法適用于企業網應用，通過部署組策略可以強制網絡中的所有計算機使用IPSec加密通信。當然這種嚴格的限制會帶來一些不便，不過對于系統安全來說是值得的。IPSec還可以應用于VPN技術中，在這里可以對IP隧道中的數據流進行加密。

　　對于不方便大范圍實施IPSec的環境，可以考慮采用VPN。這里的VPN是指虛擬私有網絡。VPN技術是目前實現端對端安全通信的最佳解決方案，它主要適用于客戶端通過開放的網絡與服務器的連接。例如，客戶端通過Internet/Intranet連接到企業或部門的專用網絡。
二、企業系統監控安全策略

　　盡管不斷地在對系統進行修補，但由于軟件系統的復雜性，新的安全漏洞總會層出不窮。因此，除了對安全漏洞進行修補之外，還要對系統的運行狀態進行實時監視，以便及時發現利用各種漏洞的入侵行為。如果已有安全漏洞但還沒有全部得到修補時，這種監視就顯得尤其重要。

　　1、啟用系統審核機制

　　系統審核機制可以對系統中的各類事件進行跟蹤記錄并寫入日志文件，以供管理員進行分析、查找系統和應用程序故障以及各類安全事件。

　　所有的操作系統、應用系統等都帶有日志功能，因此可以根據需要實時地將發生在系統中的事件記錄下來。同時還可以通過查看與安全相關的日志文件的內容，來發現黑客的入侵和入侵后的行為。當然，如果要達到這個目的，就必須具備一些相關的知識。首先必須要學會如何配置系統，以啟用相應的審核機制，并同時使之能夠記錄各種安全事件。

　　對Windows Server 2003的服務器和工作站系統來說，為了不影響系統性能，默認的安全策略并不對安全事件進行審核。從“安全配置和分析”工具用SecEdit安全模板進行的分析結果可知，這些有紅色標記的審核策略應該已經啟用，這可用來發現來自外部和內部的黑客的入侵行為。對于關鍵的應用服務器和文件服務器來說，應同時啟用剩下的安全策略。

　　如果已經啟用了“審核對象訪問”策略，那么就要求必須使用NTFS。NTFS文件系統不僅提供對用戶的訪問控制，而且還可以對用戶的訪問操作進行審核。但這種審核功能，需要針對具體的對象來進行相應的配置。

　　首先在被審核對象“安全”屬性的“高級”屬性中添加要審核的用戶和組。在該對話框中選擇好要審核的用戶后，就可以設置對其進行審核的事件和結果。 在所有的審核策略生效后，就可以通過檢查系統的日志來發現黑客的蛛絲馬跡。
2、日志監視

　　在系統中啟用安全審核策略后，管理員應經常查看安全日志的記錄，否則就失去了及時補救和防御的時機了。除了安全日志外，管理員還要注意檢查各種服務或應用的日志文件。在Windows 2003 IIS 6.0中，其日志功能默認已經啟動，并且日志文件存放的路徑默認在System32/LogFiles目錄下，打開IIS日志文件，可以看到對Web服務器的HTTP請求，IIS6.0系統自帶的日志功能從某種程度上可以成為的得力幫手。

　　3、監視開放的端口和連接

　　對日志的監視只能發現已經發生的入侵事件，但是它對正在進行的入侵和破壞行為無能為力了。這時，就需要管理員來掌握一些基本的實時監視技術。

　　通常在系統被黑客或病毒入侵后，就會在系統中留下類后門。同時它和外界的通信會建立一個Socket會話連接，這樣就可能發現它，netstat命令可以進行會話狀態的檢查，在這里就可以查看已經打開的端口和已經建立的連接。 當然也可以采用一些專用的檢測程序對端口和連接進行檢測，這一類軟件很多。

　　4、監視共享

　　通過共享來入侵一個系統是最為舒服的一種方法了。如果防范不嚴，最簡單的方法就是利用系統隱含的管理共享。因此，只要黑客能夠掃描到的IP和用戶密碼，就可以使用net use命令連接到的共享上。另外，當瀏覽到含有惡意腳本的網頁時，此時計算機的硬盤也可能被共享，因此，監測本機的共享連接是非常重要的。

　　監測本機的共享連接具體方法如下：在Windows Server 2003的計算機中，打開“計算機管理”工具，并展開“共享文件夾”選項。單擊其中的“共享”選項，就可以查看其右面窗口，以檢查是否有新的可疑共享，如果有可疑共享，就應該立即刪?Ａ磽饣箍梢醞ü?≡瘛盎嶧啊毖∠睿?床榭戳?擁交?魎?泄蠶淼幕嶧啊?indows NT/2000的IPC$共享漏洞是目前危害最廣的漏洞之一。黑客即使沒有馬上破解密碼，也仍然可以通過“空連接”來連接到系統上，再進行其他的嘗試。

　　5、監視進程和系統信息

　　對于木馬和遠程監控程序，除了監視開放的端口外，還應通過任務管理器的進程查看功能進行進程的查找。在安裝Windows Server2003的支持工具（從產品光盤安裝）后，就可以獲得一個進程查看工具Process Viewer；通常，隱藏的進程寄宿在其他進程下，因此查看進程的內存映象也許能發現異?！，F在的木馬越來越難發現，常常它會把自己注冊成一個服務，從而避免了在進程列表中現形。因此，我們還應結合對系統中的其他信息的監視，這樣就可對系統信息中的軟件環境下的各項進行相應的檢查。

,

原文轉自：http://www.kjueaiud.com