论文导读::网络服务器的应用越来越广泛。现在有很多人认为Windows的漏洞太多。
论文关键词:服务器,安全Windows,漏洞
随着计算机的普及,Internet应用的扩展和深入,网络服务器的应用越来越广泛,网络服务器是网络应用的基础和核心,网络服务器的安全问题,成为网络建设人员迫切需要了解的内容。
现在有很多人认为Windows的漏洞太多,系统安全性差,其实各种系统都有很多漏洞,只不过使用Windows的人最多,不会做各种安全设置,所以才会让很多的人都认为Windows很不安全。其实Windows平台服务器如果真的做好了各项安全设置之后,其安全性绝对不会比Linux系统差。我们可以用以下几种方法来解决这个问题:
一、利用Syskey实现系统双重加密
在Windows 2000/ XP/ 2003 安全帐户管理数据库 (SAM) 存储哈希运算的用户密码的副本。此数据库是使用存储在本地系统密钥加密的。若要保持 SAM 数据库的安全漏洞,Windows 需要密码哈希值进行加密。Windows 将阻止存储的、 未加密的密码哈希值的使用。
使用 SysKey 实用程序可以通过移动在 SAM 数据库关闭基于 Windows 的计算机的加密密钥的另外保护 SAM 数据库。SysKey 实用程序还可用于配置必须输入解密系统密钥,以便 Windows 可以访问在 SAM 数据库的启动密码。使用 SysKey 实用程序来保护 Windows SAM 数据库具体的操作方法如下:
(1) 选择【开始】→【运行】命令,在【打开】下拉文本框中输入“syskey.exe”,然后单击【确定】按钮。
(2) 在【保证Windows NT账户数据库的安全】对话框中提示用户一旦启用加密就不能禁用,选择【启用加密】单选按钮,然后单击【更新】按钮。
(3) 接着系统打开【账户数据库项】对话框,其中有两个选项组:【密码启动】、【系统产生的密码】。【密码启动】是指在系统启动时需要输入一个密码方能启动;【系统产生的密码】是指在软盘上保存启动密码,当系统启动后需要插入该软盘方能启动。由于软盘不易保存,在这里推荐选择【密码启动】单选按钮,并输入一个启动密码。然后单击【确定】按钮。接着系统会弹出一个【成功】对话框,提示账户数据库的开始密码已更改,单击【确定】按钮退出Syskey程序杂志铺。
(4) 当再次启动计算机时,系统就会弹出【Windows 2000启动密码】对话框,并要求用户在【密码】文本框中输入启动密码。
二、配置服务器不响应Ping命令
大家都知道我们通常用Ping命令来检查网络是否畅通,可是这个Ping也能给Windows系统带来严重的后果,那就是Ping攻击即是ICMP攻击,原理是恶意攻击者在一个时段内连续使用Ping命令向目标服务器发送大量的数据包使得计算机的CPU处理不及而使用资源被占尽,从而造成服务器崩溃,这种攻击手法也被称为拒绝服务攻击,它只是拒绝服务攻击中的一种。比如我们使用“Ping –t –l 80000 xxx.xxx.xxx.xxx”命令格式,那么就会造成目标服务器拒绝服务。我们可以用“创建IP安全策略”来配置服务器不响应Ping命令。这样对于那些恶意攻击者所发来的大量数据包都能拦截下来,从而在这方面保证了服务器免受破坏的危险。
三、Windows 2000/XP/2003账号管理
入侵者最基本的攻击方法就是破解系统的密码,如果系统密码被入侵者获取,那么整个主机也将会被入侵者控制漏洞,后果也将不堪设想。我们可以采用“禁止枚举账号”,“Administrator账号更名”,“禁止显示上次登录的用户名”,“ 我们还可以禁用Guest 账号”。下面介绍“禁止枚举账号”的具体设置过程:
(1) 选择【开始】→【设置】→【控制面板】命令,双击【控制面板】窗口中的“管理工具”图标,在打开的“管理工具”窗口中双击【本地安全策略】图标。
(2) 在【本地安全设置】窗口中,依次展开【本地策略】→【安全选项】,然后双击右边窗口【策略】列表下的【对匿名连接额外限制】。
(3) 在打开的【本地安全策略设置】对话框中,单击【本地策略设置】下拉列表框,从中选择【不允许枚举SAM账号和共享】选项 。
四、修改IIS、Apache的Banner实现操作系统版本的隐藏
入侵者在攻击一台目标服务器之前,第一步就是通过查看对方服务器所使用的操作系统及其的版本,然后针对不同的操作系统及其版本对服务器进行攻击。我们可以通过修改IIS、Apache的Banner来隐藏操作系统的版本,从而来达到“瞒天过海”的目的。
五、指定服务器的开放端口
每一项服务都对应相应的端口,比如众如周知的WWW服务的端口是80,smtp是25,ftp是21,win2000安装中默认的都是这些服务开启的。有的非法入侵通过扫描端口,通过已知的系统Bug攻入主机。下面是具体的设置步骤:
(1) 右击桌面上的【网上邻居】图标,在弹出的快捷菜单中选择【属性】命令。
(2) 在打开的【网络和拨号连接】窗口中,右击【本地连接】图标,在弹出的快捷菜单中选择【属性】命令。
(3) 双击【本地连接属性】对话框中的【Internet协议(TCP/IP)】选项。
(4) 在弹出的【Internet协议(TCP/IP)属性】对话框中,单击【高级】按钮。
(5) 在【高级TCP/IP设置】对话框中,双击【TCP/IP筛选】选项。
(6) 这一步最为关键,在打开的【TCP/IP筛选】对话框中漏洞,可以看到在默认情况下服务器允许任何端口及IP协议开放。在此通过在相应的端口及IP协议上选择【只允许】单选按钮即可对TCP端口、UDP端口及IP协议进行封锁、过滤。例如,需要开放TCP的80端口进行Web服务,则在TCP端口上选择【只允许】单选按钮,然后单击【添加】按钮,在打开的【添加筛选器】对话框中的【TCP端口】文本框中输入“80”,然后单击“确定”按钮。
(7) TCP/IP筛选完成后,需要重新启动计算机方才能生效。
六、禁用服务器相关程序
服务器中的有些程序可能成为黑客攻击服务器的入口。把没有必要的程序暂时关闭,可以有效的防范攻击。具体的设置步骤如下:
(1) 在系统的安装目录%systemroot%\system32文件夹下找到CMD.exe程序。
(2) 右击【CMD.exe】程序,在弹出的快捷菜单中选择【属性】命令,然后在【cmd.exe属性】对话框中选择【安全】选项卡(要使用NTFS分区才会用此选项卡)。
(3) 接下来对CMD进行权限分配的设置。这让我们又回想起了臭名昭著的UNICODE漏洞,它让一个稍懂计算机的人都可以通过IE程序来执行被攻击计算机上的CMD.exe程序,比如还有一些ASP木马程序,上传到被攻击的服务器后,便可调动受攻击服务器的CMD.exe程序。因此为了安全我们可以设置为拒绝所有用户来使用CMD.exe程序,然后单击【确定】按钮退出即可生效。
七、删除服务器的默认共享
在Windows服务器系统中,每当服务器启动成功时,系统的C盘、D盘等都会被自动设置成隐藏共享,尽管通过这些默认共享可以让服务器管理维护起来更方便一些;但在享受方便的同时,这些默认共享常常会被一些非法攻击者利用,从而容易给服务器造成安全威胁。删除服务器的默认共享具体设置方法如下:
(1) 选择【开始】→【运行】命令,在【运行】对话框的【打开】下拉列表框中输入“regedit.exe”,单击【确定】按钮,运行注册表编辑器杂志铺。
(2) 在【注册表编辑器】窗口中,依次展开以下键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
(3) 在右边的窗口中新建一个双字节值漏洞,其名称为AutoShareServer,设其数据为0。
八、提高服务器抗拒绝服务攻击能力
所谓拒绝服务,是指在特定攻击发生后, 被攻击的对象不能及时提供给有的服务,基本上,拒绝服务攻击通常利用大量的网络数据包,以瘫痪对方之网络及主机,使得正常的使用者无法获得主机及时的服务。我们可以通过下面的方法来提高服务器抗拒绝服务攻击能力:
(1) 关闭无效网关的检查。当服务器设置了多个网关,在网络不通畅时系统会尝试连接第二个网关,通过关闭它可以优化网络。(2) 禁止响应ICMP重定向报文。 (3) 不允许释放NETBIOS名。(4) 发送验证保持活动数据包。(5) 禁止进行最大包长度路径检测。(6) 启动SYN攻击保护。(7) 同时允许打开的半连接数量。(8) 判断是否存在攻击的触发点。(9) 设置等待SYN-ACK时间。 (10) 设置TCP重传单个数据段的次数。 (11) 设置SYN攻击保护的临界点。 (12) 禁止IP源路由。(13) 限制处于TIME_WAIT状态的最长时间。
结语
总之没有一个系统是绝对安全的,对用户来说主要是要做好防范工作,在平时的使用和维护中不断的完善服务器的安全性能,这样才能做到更加安全。
【参考文献】
[1]龙冬阳.网络安全技术及应用[M].广州:华南理工大学出版社 ,2006.
[2]邹县芳,胡昆鹏.基于Windows平台中的服务器配置与管理[M].北京: 中国铁道出版社,2008.
[3]鲁一力等.Windows网络服务器配置与管理(提高篇)[M].北京: 北京邮电大学出版社.2009.
[4]鞠光明.Windows服务器维护与管理教程与实训(第2版)[M].北京:北京大学出版社.2010
[5]李文池.服务器配置与管理(Windows)[M].北京:清华大学出版社2010.
[6]徐勇.服务器系统的安全加固与管理[J]. 《信息化建设》.2007年11.
[7]薛质,王轶骏,李建华编著.Windows 系统安全原理与技术[M].北京: 清华大学出版社.2005.
[8](美)(Johansson,J.M.),(美)赖利 著,雷程炜,程双剑,金毅 译. 构筑Windows 网络安全:从外围到数据(含光盘)[M]. 北京:电子工业出版社2007.
[9](美)布拉格(Bragg,R.) 著,高猛,蒋凌云 译. Windows Server 2003安全性权威指南[M].北京:清华大学出版社.2007.
[10]欧迪尔著,石朝江等译.黑客札记:Windows安全手册[M].北京:清华大学出版社.2005.
[11](美)约翰逊等著,刘晓辉,陈祎磊译.Windows Server2008安全技术详解[M].北京:人民邮电出版社.2010.
[12]宋西军.Windows服务器管理与维护[M].北京: 北京大学出版社.2009.
[13]蔡毅.Windows漏洞攻击与安全防范[M].北京: 北京大学出版社.2006.
[14]刘晓辉.网络服务器搭建与管理(第2版)[M].北京: 电子工业出版社.2009.
|
