中小企業(yè)Windows Server安全異常狀態(tài)診斷

中小企業(yè)WindowsServer安全異常狀態(tài)診斷隨著計算機網(wǎng)絡應用的飛速發(fā)展,微軟公司的WindowsServer系列產品因為表現(xiàn)出高可靠性、高效率與較好的經濟性,中小企業(yè)服務器安裝使用它越來越多,但受到資金、人力的影響,安全事件的出現(xiàn)非常頻繁,對經常出現(xiàn)的安全異常狀態(tài)的地方進行了分析,提出了一些解決辦法,為現(xiàn)階段中小企業(yè)構建一個相對安全的WindowsServer服務器。隨著計算機網(wǎng)絡應用的飛速發(fā)展，微軟公司的WindowsServer系列產品因為表現(xiàn)出高可靠性、高效率與較好的經濟性，中小企業(yè)機房的服務器安裝使用它是越來越多。操作系統(tǒng)作為計算機系統(tǒng)中最基本、最重要的軟件，它在運行過程中可能會出現(xiàn)各種各樣的異常狀態(tài)，這些異常狀態(tài)往往會帶來安全威脅，對服務器內的數(shù)據(jù)造成破壞。1計算機安全等級標準1．1美國可信計算機系統(tǒng)評估準則1983年美國國防部計算機安全保密中心制訂了第一個計算機系統(tǒng)安全評價標準的技術性法規(guī)《可信計算機系統(tǒng)評估準則》(TrustedComputerSystemEvaluationCriteria，TCSEC)簡稱橘皮書。橘皮書將計算機系統(tǒng)的安全劃分為4個等級，安全級別低到高：D級為最小保護，c級分為選擇的安全保護cl級和受控的訪問環(huán)境c2級，B級分為標號安全保護B1級、結構化安全保護B2級和安全域機制B3級，A級為可驗證的安全設計。1．2中國計算機信息系統(tǒng)安全保護等級劃分準則1999年中華人民共和國公安部制定了《汁算機信息系統(tǒng)安全保護等級劃分準則》國家標準，已于2001年由國家質量技術監(jiān)督局發(fā)布。這項標準將計算機信息系統(tǒng)安全保護等級劃分為5個級別：第1級用戶自主保護，第2級系統(tǒng)審計保護，第3級安全標記保護，第4級結構化保護級，第5級訪問驗證保護級。2WindowsServer安全診斷項目作為中小企業(yè)WindowsServer用戶，操作系統(tǒng)安全是非常重要的，系統(tǒng)管理人員對用戶賬戶和密碼、注冊表、安全事件、端口和協(xié)議的安全作為重點診斷項目。2．1用戶賬戶和密碼設置2．1．1SAM安全賬戶安全機制在WindowsSenrer系統(tǒng)內，SAM安全賬戶管理器負責保護用戶賬戶名和密碼，它是系統(tǒng)注冊表的組成部分，它保存在％systemroot％＼system32＼config、sam中，在域控制器上它保存在活動目錄中％systemmot％kntds＼ntds．dit。賬戶密碼通過散列并被加密，目前Windows系統(tǒng)采用有4種密碼加密技術：Lan—Manager(簡稱LM)口令散列算法、NTLANManager(簡稱NTLM)、NTLMv2、KerberosV5。LanManager口令散列算法對口令的處理采用的14位長度，如口令不足14位就用0把口令補足，對口令中的字母轉換成大寫字母后將口令分成兩組7位的數(shù)字，再由這兩個7位數(shù)字分別生成8位的數(shù)據(jù)加密鑰匙，每個數(shù)據(jù)加密鑰匙又再使用一個魔法數(shù)字進行散列加密形成64位的值，將兩組64位的值連在一起就構成了LM的128位口令散列。從上面的敘述可看出，如果口令設置在14位以內，則密碼破解只需要分開成2個7位來考慮。NTLANManager口令算法對口令的處理先轉換成unicode編碼，再使用MD4算法將口令加密。對于這兩種密碼加密技術使用了較弱的密鑰和算法，入侵者使用常見的Winternalslocksmith、L0phtcrack5、Elcomsoftadaneedntsecurityexplorer、WindowsXP／2000／NTkey、Johntheripper等密碼破解工具就可以輕松破解，所以采用NTLMv2加密技術可以使中小企業(yè)WindowsServer更加安全。2．1．2密碼設置要求管理員對用戶賬戶需要設置安全可靠的密碼：(1)如需要最高級別的安全性，至少設置15個字符：(2)密碼應使用英文字母大小寫、數(shù)字、字符組合構成：(3)不要使用相關人員的中英文姓名、用戶名、地名、電話號碼、常用詞匯作為密碼：(4)管理者不要與其他系統(tǒng)密碼共享使用：(5)密碼需要定期更換，時間不能太長。2．1．3其他常見保護方法對于Administrator賬戶可以采用重命名的方式進行保護，也可以在使用后注意不要保持在登錄狀態(tài)或直接關閉賬戶來進行保護。對于Guest賬戶可以采用關閉、停用、重命名方式進行保護，也可以根據(jù)實際情況將Guest賬戶列入拒絕從網(wǎng)絡訪問名單中，防止Guest賬戶從網(wǎng)絡訪問服務器、關閉服務器以及查看日志。使用Syskey實用程序對SAM安全賬戶數(shù)據(jù)庫文件進行二次加密。2．2注冊表的診斷對于系統(tǒng)安全要保護注冊表各項鍵值不被惡意修改和對注冊表進行訪問權限的限制。作為管理員可使用Filemon文件系統(tǒng)監(jiān)視軟件監(jiān)控文件系統(tǒng)和對I／O系統(tǒng)事件的跟蹤，使用RegistryMonitor注冊表數(shù)據(jù)監(jiān)視軟件對注冊表進行實時監(jiān)視，對注冊表的讀取、修改、出錯信息等進行實時記錄，并可對記錄進行保存、過濾、查找處理，為系統(tǒng)管理診斷注冊表帶來極大的便利，還可利用ActiveRegistryMonitor工具軟件，對Windows注冊表進行快照，從而對比出注冊表的變化。2．3安全事件的診斷(1)WindowsServer可啟用安全審核。利用本地安全策略，對計算機使用一些重要操作規(guī)程進行審核。例如禁止枚舉賬號，重命名系統(tǒng)管理員賬戶名稱及禁用來賓賬戶，定義密碼最長存留期，審核對象訪問功能可跟蹤用戶賬戶訪問對象、系統(tǒng)關閉重啟、登錄嘗試等事件。(2)查看WindowsServer的安全日志。管理員可查看WindowsServer的事件查看器，了解系統(tǒng)運行狀態(tài)就可對異常狀態(tài)進行診斷。(3)使用EventCombMT實用工具提高查看系統(tǒng)安全日志的效率。2．4端口和協(xié)議的安全診斷系統(tǒng)常用端口和協(xié)議，系統(tǒng)管理者要清楚，需要使用的端口就啟用，需要使用的協(xié)議就安裝。(1)活動的端口及其應用程序運行情況的診斷使用系統(tǒng)的任務管理器的進程菜單了解，也可使用Tasklist命令、Tlist命令、Netstat命令來顯示運行在本地或遠程計算機上的所有進程、任務的應用程序和服務列表、顯示路由表、顯示實際網(wǎng)絡連接及每一個網(wǎng)絡接口設備的狀態(tài)信息，通過本機各端口的網(wǎng)絡連接隋況，診斷是否有安全異常狀態(tài)。(2)端口訪問的限制方法使用WindowsServer的TCP／IP篩選器，根據(jù)源或目標IP地址、端口、協(xié)議來拒絕或允許訪問。啟用IntemetConnec—tionFirewall(ICF)，它可防止外部入侵者企圖訪問可能有監(jiān)聽程序運行的端口，可以阻止除自己計算機發(fā)起通信的響應之外的所有訪問。啟動IPSecurity，提供通過加密和身份驗證保護訪問。(3)關閉不需要的系統(tǒng)服務使用WindowsServer的服務控制臺關閉不需要的服務。系統(tǒng)管理者應了解WindowsServer的各項系統(tǒng)服務，例如Clip—booksever服務允許通過網(wǎng)絡取得系統(tǒng)剪貼板內容的訪問權，RemoteRegistry服務可使遠程用戶修改服務器上的注冊表等，這些系統(tǒng)服務都容易被非法使用，如不需要使用則應關閉。3結語中小企業(yè)服務器的安全因受到資金、人