中小企业WindowsServer安全异常状态诊断
随着计算机网络应用的飞速发展,微软公司的WindowsServer系列产品因为表现出高可靠性、高效率与较好的经济性,中小企业服务器安装使用它越来越多,但受到资金、人力的影响,安全事件的出现非常频繁,对经常出现的安全异常状态的地方进行了分析,提出了一些解决办法,为现阶段中小企业构建一个相对安全的WindowsServer服务器。
随着计算机网络应用的飞速发展,微软公司的WindowsServer系列产品因为表现出高可靠性、高效率与较好的经济性,中小企业机房的服务器安装使用它是越来越多。操作系统作为计算机系统中最基本、最重要的软件,它在运行过程中可能会出现各种各样的异常状态,这些异常状态往往会带来安全威胁,对服务器内的数据造成破坏。
1计算机安全等级标准
1.1美国可信计算机系统评估准则
1983年美国国防部计算机安全保密中心制订了第一个计算机系统安全评价标准的技术性法规《可信计算机系统评估准则》(TrustedComputerSystemEvaluationCriteria,TCSEC)简称橘皮书。
橘皮书将计算机系统的安全划分为4个等级,安全级别低到高:D级为最小保护,c级分为选择的安全保护cl级和受控的访问环境c2级,B级分为标号安全保护B1级、结构化安全保护B2级和安全域机制B3级,A级为可验证的安全设计。
1.2中国计算机信息系统安全保护等级划分准则
1999年中华人民共和国公安部制定了《汁算机信息系统安全保护等级划分准则》国家标准,已于2001年由国家质量技术监督局发布。这项标准将计算机信息系统安全保护等级划分为5个级别:第1级用户自主保护,第2级系统审计保护,第3级安全标记保护,第4级结构化保护级,第5级访问验证保护级。
2WindowsServer安全诊断项目
作为中小企业WindowsServer用户,操作系统安全是非常重要的,系统管理人员对用户账户和密码、注册表、安全事件、端口和协议的安全作为重点诊断项目。
2.1用户账户和密码设置
2.1.1SAM安全账户安全机制
在WindowsSenrer系统内,SAM安全账户管理器负责保护用户账户名和密码,它是系统注册表的组成部分,它保存在%systemroot%\system32\config、sam中,在域控制器上它保存在活动目录中%systemmot%kntds\ntds.dit。账户密码通过散列并被加密,目前Windows系统采用有4种密码加密技术:Lan—Manager(简称LM)口令散列算法、NTLANManager(简称NTLM)、NTLMv2、KerberosV5。
LanManager口令散列算法对口令的处理采用的14位长度,如口令不足14位就用0把口令补足,对口令中的字母转换成大写字母后将口令分成两组7位的数字,再由这两个7位数字分别生成8位的数据加密钥匙,每个数据加密钥匙又再使用一个魔法数字进行散列加密形成64位的值,将两组64位的值连在一起就构成了LM的128位口令散列。从上面的叙述可看出,如果口令设置在14位以内,则密码破解只需要分开成2个7位来考虑。NTLANManager口令算法对口令的处理先转换成unicode编码,再使用MD4算法将口令加密。对于这两种密码加密技术使用了较弱的密钥和算法,入侵者使用常见的Winternalslocksmith、L0phtcrack5、Elcomsoftadaneedntsecurityexplorer、WindowsXP/2000/NTkey、Johntheripper等密码破解工具就可以轻松破解,所以采用NTLMv2加密技术可以使中小企业WindowsServer更加安全。
2.1.2密码设置要求
管理员对用户账户需要设置安全可靠的密码:
(1)如需要最高级别的安全性,至少设置15个字符:
(2)密码应使用英文字母大小写、数字、字符组合构成:
(3)不要使用相关人员的中英文姓名、用户名、地名、电话号码、常用词汇作为密码:
(4)管理者不要与其他系统密码共享使用:
(5)密码需要定期更换,时间不能太长。
2.1.3其他常见保护方法
对于Administrator账户可以采用重命名的方式进行保护,也可以在使用后注意不要保持在登录状态或直接关闭账户来进行保护。
对于Guest账户可以采用关闭、停用、重命名方式进行保护,也可以根据实际情况将Guest账户列入拒绝从网络访问名单中,防止Guest账户从网络访问服务器、关闭服务器以及查看日志。
使用Syskey实用程序对SAM安全账户数据库文件进行二次加密。
2.2注册表的诊断
对于www.huisheliren.com系统安全要保护注册表各项键值不被恶意修改和对注册表进行访问权限的限制。作为管理员可使用Filemon文件系统监视软件监控文件系统和对I/O系统事件的跟踪,使用RegistryMonitor注册表数据监视软件对注册表进行实时监视,对注册表的读取、修改、出错信息等进行实时记录,并可对记录进行保存、过滤、查找处理,为系统管理诊断注册表带来极大的便利,还可利用ActiveRegistryMonitor工具软件,对Windows注册表进行快照,从而对比出注册表的变化。
2.3安全事件的诊断
(1)WindowsServer可启用安全审核。利用本地安全策略,对计算机使用一些重要操作规程进行审核。例如禁止枚举账号,重命名系统管理员账户名称及禁用来宾账户,定义密码最长存留期,审核对象访问功能可跟踪用户账户访问对象、系统关闭重启、登录尝试等事件。
(2)查看WindowsServer的安全日志。管理员可查看WindowsServer的事件查看器,了解系统运行状态就可对异常状态进行诊断。
(3)使用EventCombMT实用工具提高查看系统安全日志的效率。
2.4端口和协议的安全诊断
系统常用端口和协议,系统管理者要清楚,需要使用的端口就启用,需要使用的协议就安装。
(1)活动的端口及其应用程序运行情况的诊断
使用系统的任务管理器的进程菜单了解,也可使用Tasklist命令、Tlist命令、Netstat命令来显示运行在本地或远程计算机上的所有进程、任务的应用程序和服务列表、显示路由表、显示实际网络连接及每一个网络接口设备的状态信息,通过本机各端口的网络连接隋况,诊断是否有安全异常状态。
(2)端口访问的限制方法
使用WindowsServer的TCP/IP筛选器,根据源或目标IP地址、端口、协议来拒绝或允许访问。启用IntemetConnec—tionFirewall(ICF),它可防止外部入侵者企图访问可能有监听程序运行的端口,可以阻止除自己计算机发起通信的响应之外的所有访问。启动IPSecurity,提供通过加密和身份验证保护访问。
(3)关闭不需要的系统服务
使用WindowsServer的服务控制台关闭不需要的服务。系统管理者应了解WindowsServer的各项系统服务,例如Clip—booksever服务允许通过网络取得系统剪贴板内容的访问权,RemoteRegistry服务可使远程用户修改服务器上的注册表等,这些系统服务都容易被非法使用,如不需要使用则应关闭。
3结语
中小企业服务器的安全因受到资金、人力的影响,安全事件的出现是非常频繁的,通过上面的介绍,是希望在现阶段构建一个相对安全的WindowsServer服务器,从而让企业的网络化建设达到一个比较安全的层次。
安全状态的诊断的方法是多种多样的,完全阻止是很困难的,提高诊断手段总是增加了系统管理的复杂性和成本,所以只有提高安全意识、规范管理制度才能做到真正的安全。
|
|
