前言:
2003年5月22日,微软的新一代操作系统Windows Server 2003中文版开始在国内发行。从Windows95一路用到现在,笔者觉得微软在安全方面做的还算是说的过去的,虽然说漏洞很多。2003总体感觉上安全做的还不错,交互式登录、网络身份验证、基于对象的访问控制、比较完整的安全策略、数据加密保护……笔者这里要谈的这款Windows Server 2003是按默认安装的,机器配置一般。目的是通过下面介绍的安全配置,使其安全性大大加强。昨天我们刊登了上半部份,今天刊登下半部份的内容。
三、高级安全设置
1.禁止不必要的服务,杜绝隐患。
服务从本质上说也只是一个程序而已,它与其他程序所不同的地方在于它提供一种特殊的功能来支持系统完成特定的工作。Windows Server 2003安装完后默认有84项服务,默认随系统启动的有36项。这里面每一项服务是否安全,特别是那些随系统启动的服务是否有被利用的可能性,这对安全来说了非常重要的。在Windows Server 2003发行后不到2个月就被人发现有了一个基于一项默认服务的漏洞,幸好这个漏洞对Windows Server 2003的危害程度较低,而且这项服务默认状态下是关闭的。下面笔者就结合自己的经验,谈一谈如何安全地配置好系统的所有服务。
从“管理工具”里打开“服务”,图20。可以看到系统所有服务的具体情况。这里仅以典型的Remote Registry服务为例介绍,目的在于提供一个安全配置服务的方法。在服务列表里找到Remote Registry服务,可以看到左面空白部分对这一服务的解释为“使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表……”,可以看出,正常情况下并不需要这项服务,而且如果启用这项服务还可能给系统带来安全隐患,所以必须禁用。双击Remote Registry服务进入其属性设置,图21。在“启动类型”里把默认的“自动”修改为“禁用”,最后确定即可。当此服务被关闭后,一切和注册表有关的远程行为都被终止,这也使得一些恶意网页对本地注册表的修改成了泡影,网上的恶意用户也别想对注册表进行修改和设置,大大降低了系统被破坏和被中上木马的几率,达到了维护系统安全的目的。
图 20
图 21
一个有趣的现象是,微软对Windows Installer服务的介绍中,竟然出现了错别字!!呵呵,图22。
图 22
回到“用户”,双击刚建立好的新帐户进入其属性,把默认的全名删除。再在“隶属于”标签里把他从默认所属的Users组里删除后确定,图34。
图 34
看看图35,如果你是入侵者,你能分辨出来那个才是真正的系统管理员吗?谁能想到新建的帐户已经不是系统管理员,而成为不属于任何组的没有任何权限的新成员呢?入侵者会花无数的精力来想办法弄多它的密码的,呵呵。让他去忙吧。
图 35
3.其他需要注意的地方。
随时警惕系统、安全、和应用程序的日志,警惕注册表启动项的变化、警惕用户帐户等敏感的地方是保证你系统安全的必要条件。经常备份数据以应付灾难性事故。用户和权限的分配应当本着最小权限原则,即在不影响用户正常使用的情况下,为其分配最小的权限。感觉有时候也是很重要的,系统突然变慢就要先凭感觉判断一下是否感染了病毒等。系统安全就如同计划生育,是个长期性的工作,就算你配置的再好的系统,也可能被人利用新的漏洞攻破,这就使得管理员必须随时学习。
后记:
通过笔者一段时间的使用,Windows Server 2003给人的总体感觉还是不错的。它的启动速度比2000和XP都快,系统内新加了许多好用的Dos 新功能。如使用Defrag命令进行磁盘碎片整理;使用Diskpart命令管理磁盘、分区或卷;使用Taskkill命令管理系统进程;使用Logman命令创建和管理时间跟踪会话日志和性能日志。作为一个Server版本,Windows Server 2003新增的“分布式文件系统”(即DFS)可以将分布在域上多个服务器上的文件集中到一个逻辑名称的空间中,用户只需要访问一个驱动器即可访问到所有的共享文件。Windows Server 2003还有许多其他的新功能等着用户的发掘。有兴趣的用户可以到****下载使用版。
但是,随着微软对操作系统的开发速度越来越快,WS对硬件的要求也越来越高,建议配置CPU主频为550MHz,内存256MB,硬盘系统分区2G,显示器分辨律800*600。这使得一些配置较老的用户面对如此诱人的新操作系统望而却步。而另一些已经使用上的用户,他们的问题在于,许多硬件都没有Windows Server 2003下的驱动程序,有的可以用2000或XP的代替,但有的就不行。笔者一块原不需要驱动的网卡不能被识别,使用2000或XP的驱动仍无济于事。
总的来说,Windows Server 2003的性能还是不错的,它是微软公司公开宣布重视产品安全后发布的第一款操作系统,它曾经三次被推迟发布时间,部分原因就是为了提高安全和可靠性,很多地方都比以前的版本有了改善。比如关机时要记载关机理由,下载时会提示可能为危险文件……这些都是以前的版本没有的新事物。另外,上网的朋友应该有随系统启动的病毒防火墙,随时防御病毒和木马的袭击。对于系统的各项安全配置,只要使用者能灵活运用,取长补短,再加之有较好的安全意识,作为普通的用户来说,其安全性完全可以满足你的要求。
返回列表
