Windows系统平台的安全是构建服务器安全的基础,涉及操作系统和应用程序的安装安全、系统服务安全、系统设置安全和用户账户安全等诸多方面。如果我们在系统平台的安全策略上稍加注意,就能在很大程度上杜绝安全漏洞,确保网络服务和数据访问的安全。
1.操作系统安装安全
在安装Windows 2000/XP/2003操作系统时,为提高系统性能,减少不必要的程序或服务运行时所占用的系统资源,同时减少各种程序或服务可能造成的漏洞,建议采用最小化方式安装,只安装网络服务所必须的模块。当产生新的服务需求时,再安装相应的服务模块,并及时进行安全设置。
安装操作系统时应注意以下事项:
● 确保操作系统的来源合法性。不建议使用非正常渠道得到的操作系统安装盘,防止在安装操作系统的同时被安装木马或者间谍软件,堤防其中隐藏有被恶意修改的后门程序。
● 将操作系统安装在一个干净的系统分区中。在安装之前,确定磁盘中所有的数据都删除干净,磁盘完好无损,并最好将涉及的磁盘全部格式化。
● 在操作系统安装完成但没有正式运行前,保证系统在安装的过程中不与任何公共的系统相连。如果需要进行网络安装,须确保服务器在一个独立可信并且是绝对安全的网段中。
● 使用NTFS分区作为系统文件的分区标准。NTFS是真正的日志性文件系统,使用日志和检查点信息,即使在系统崩溃或者电源故障的时候也能保证文件系统的一致性。
● 对于服务器而言,建议在安装时不要选择任何组件,在实际需要组件支持的时候,再定制安装。
● 为Administrator系统管理员设置一个足够强的密码。
2.Internet防火墙系统
目前,Internet网络上受攻击的数量直线上升,计算机使用者随时都可能遭到各种恶意攻击,这些攻击可能导致的后果是上网账号被窃取、银行账号被盗用、电子邮件密码被修改、财务数据被利用、机密档案丢失、隐私曝光等,甚至黑客通过远程控制,删除服务器上所有的资料数据,使整个计算机网络体系全面崩溃。
Internet连接防火墙(Internet Connection Firewall,ICF)是用来限制哪些信息可以从企业网络进入互联网,以及从互联网进入企业网络的Windows组件,它内置于Windows Server 2003中。当建立一个新的网络连接时,向导将自动提问是否要激活ICF。除此之外,还可以手工方式启用并配置ICF。
由于ICF是通过记录本机的IP请求来确定外来的IP数据包是否“合法”,因此,只有本机的IP提出请求之后,外部的数据包才可以进来,这是一种被动的防火墙。但是,对于服务器而言,由于必须为外部网络提供网络服务,而IP数据包不是由服务器先发出来的,因此,在标准配置下,ICF不能提供网络服务。如果既要启用ICF,又要提供网络服务,就必须对相应服务的端口进行设置,其步骤如下:
在网络连接“属性”对话框“高级”选项卡的“Windows防火墙”选项区域,单击“设置”按钮,弹出“Windows防火墙”对话框,再切换至“例外”选项卡(如图1所示),直接在“程序和服务”列表框选中欲提供的网络服务即可。如果欲提供网络服务的端口没有显示在列表框中,则可以单击“添加端口”按钮,增加网络服务所使用的TCP或UDP端口。
在“高级”选项卡单击“ICMP”选项区域的“设置”按钮,显示如图2所示“ICMP设置”对话框。为了避免恶意用户使用Ping命令攻击服务器,除了“允许传入的回显请求”以后,禁用所有的Ping应用。
使用防火墙可以帮计算机系统拦截一些来历不明、有害敌意访问或攻击行为。目前的防火墙产品很多,包括硬件产品和软件产品,用户可以根据实际情况选择一款适合自己使用的防火墙产品。在安装及使用防火墙时,应注意以下事项:
● 设置防火墙网络访问策略。
● 设置指定的端口访问。
● 本地的应用程序许可访问的资源。
● 建议配置成系统启动时自动启动防火墙。
● 保存日志信息。
提示:如果财力允许,最好在局域网的互联网接口处设置硬件防火墙。
3.安全配置向导
安全配置向导(SCW)可以缩小受攻击面,使用SCW可以确定服务器的一个或多个角色所需的最少功能,并禁用不必要的功能。
SCW将执行下列操作:
● 禁用不需要的服务。
● 阻止未使用的端口。
● 允许对打开的端口进一步实施地址或安全限制。
● 禁止不需要的Internet信息服务(IIS) Web扩展。
● 减少对服务器消息块和轻型目录访问协议(LDAP)的协议公开。
提示:安装Service Pack 1后,通过“Windows组件向导”即可安装“安全配置向导”组件。
4.防病毒系统
病毒对电脑使用者来说可是“苛政猛于虎”,相信任何一位计算机使用者都深知其危害。为了避免病毒对系统的破坏,应注意以下事项:
● 操作系统安装完成后,在接入网络环境前,立即安装防病毒软件,同时安装最新的防病毒软件病毒库。
● 确认防病毒软件来源的合法性、完整性,以及可升级性。
● 运行防病毒程序的病毒实时监测功能,同时配置防病毒软件的自动更新、扫描、受感染病毒文件的处理方式等参数设置。
● 对刚安装完成的操作系统进行一次完整的系统磁盘病毒扫描。
● 在系统运营后,经常查看防病毒软件产生的日志文件。
注意:在设置期间,不要接入Internet网络进行病毒库的自动更新。设置完成后接入互联网,不建议使用互联网上浏览器模式的病毒扫描功能。
5.防间谍系统
间谍软件是一个广义的概念,通常被描述为驻留于计算机硬盘中不受欢迎的程序。它们通常在计算机用户从互联网上下载软件时出现,还可以通过电子邮件或者点对点应用程序(如即时通讯和音乐文件共享软件)的方式传播。
目前的防间谍软件产品很多,用户可以根据实际情况选择一款适合自己使用的防间谍软件产品。同时,要注意软件来源的合法性和安全性,以及间谍软件代码更新库的升级能力。
在安装防间谍软件时应注意以下事项:
● 建议配置成系统启动时自动启动防间谍软件。
● 定制自动更新间谍软件代码库。
● 定制系统扫描的完整信息。
● 启动实时监视系统。
● 定制应用程序许可策略。
● 保存并定期查看日志信息。
6.配置系统服务最小化
安装操作系统的同时,也会自动安装大量服务。但是,运行的服务越多,可能隐藏的安全漏洞也越多,同时还会占用大量的系统资源。因此,凡是不需要的服务,最好将其禁用。
配置系统服务时应注意以下事项:
● 根据服务的描述以及业务的需求,确定是否使用此服务。
● 禁止或者设置成手动启动的方式处理系统非必需的服务。
● 如果对某个服务可能造成的影响不了解,则应该在测试环境中测试验证通过以后,再在应用环境中部署。
● 对于安装应用程序同步安装的服务,如无必要,应将其关闭。
7.更新安全补丁
安装最新的服务包补丁程序,可以修补系统漏洞,避免受病毒和木马的攻击。因此,用户需要为Windows操作系统按照不同的语言版本,选择不同的程序Service Pack包,并且一定要从可信的渠道获得,例如从微软的站点下载等。同时,微软提供了Update程序,用户可以直接连接到微软的安全更新网站,获取最新更新的安全补丁程序,用来弥补最新出现的安全漏洞。
补丁程序的安装方法很简单,使用浏览器连接到微软的更新网站上即可下载安装。微软提供的Update的网址是http://update.microsoft.com。
注意:强烈建议及时为操作系统安装最新的补丁程序,如有可能,单独下载最新的补丁程序,在测试环境下验证没有任何问题后再发布到使用的服务器上。
