前言：

2003年5月22日，微軟的新一代操作系統(tǒng)Windows Server 2003中文版開始在國內(nèi)發(fā)行。從Windows95一路用到現(xiàn)在，筆者覺得微軟在安全方面做的還算是說的過去的，雖然說漏洞很多。2003總體感覺上安全做的還不錯(cuò)，交互式登錄、網(wǎng)絡(luò)身份驗(yàn)證、基于對象的訪問控制、比較完整的安全策略、數(shù)據(jù)加密保護(hù)……筆者這里要談的這款Windows Server 2003是按默認(rèn)安裝的，機(jī)器配置一般。目的是通過下面介紹的安全配置，使其安全性大大加強(qiáng)。昨天我們刊登了上半部份，今天刊登下半部份的內(nèi)容。

三、高級(jí)安全設(shè)置

1．禁止不必要的服務(wù)，杜絕隱患。服務(wù)從本質(zhì)上說也只是一個(gè)程序而已，它與其他程序所不同的地方在于它提供一種特殊的功能來支持系統(tǒng)完成特定的工作。Windows Server 2003安裝完后默認(rèn)有84項(xiàng)服務(wù)，默認(rèn)隨系統(tǒng)啟動(dòng)的有36項(xiàng)。這里面每一項(xiàng)服務(wù)是否安全，特別是那些隨系統(tǒng)啟動(dòng)的服務(wù)是否有被利用的可能性，這對安全來說了非常重要的。在Windows Server 2003發(fā)行后不到2個(gè)月就被人發(fā)現(xiàn)有了一個(gè)基于一項(xiàng)默認(rèn)服務(wù)的漏洞，幸好這個(gè)漏洞對Windows Server 2003的危害程度較低，而且這項(xiàng)服務(wù)默認(rèn)狀態(tài)下是關(guān)閉的。下面筆者就結(jié)合自己的經(jīng)驗(yàn)，談一談如何安全地配置好系統(tǒng)的所有服務(wù)。

從“管理工具”里打開“服務(wù)”，圖20。可以看到系統(tǒng)所有服務(wù)的具體情況。這里僅以典型的Remote Registry服務(wù)為例介紹，目的在于提供一個(gè)安全配置服務(wù)的方法。在服務(wù)列表里找到Remote Registry服務(wù)，可以看到左面空白部分對這一服務(wù)的解釋為“使遠(yuǎn)程用戶能修改此計(jì)算機(jī)上的注冊表設(shè)置。如果此服務(wù)被終止，只有此計(jì)算機(jī)上的用戶才能修改注冊表……”，可以看出，正常情況下并不需要這項(xiàng)服務(wù)，而且如果啟用這項(xiàng)服務(wù)還可能給系統(tǒng)帶來安全隱患，所以必須禁用。雙擊Remote Registry服務(wù)進(jìn)入其屬性設(shè)置，圖21。在“啟動(dòng)類型”里把默認(rèn)的“自動(dòng)”修改為“禁用”，最后確定即可。當(dāng)此服務(wù)被關(guān)閉后，一切和注冊表有關(guān)的遠(yuǎn)程行為都被終止，這也使得一些惡意網(wǎng)頁對本地注冊表的修改成了泡影，網(wǎng)上的惡意用戶也別想對注冊表進(jìn)行修改和設(shè)置，大大降低了系統(tǒng)被破壞和被中上木馬的幾率，達(dá)到了維護(hù)系統(tǒng)安全的目的。

一個(gè)有趣的現(xiàn)象是，微軟對Windows Installer服務(wù)的介紹中，竟然出現(xiàn)了錯(cuò)別字！！

2．改變遠(yuǎn)程控制的默認(rèn)模式。對于個(gè)人用戶來說，終端服務(wù)（不同與上面介紹過的服務(wù)）一般來說是不適用的，它的危險(xiǎn)性遠(yuǎn)大于它帶來的幫助，它允許從網(wǎng)絡(luò)中的任何虛擬計(jì)算機(jī)上管理你的機(jī)器。看看微軟的說明：可使用運(yùn)行 Windows Server 2003家族操作系統(tǒng)的任何計(jì)算機(jī)，通過“管理遠(yuǎn)程桌面”，來遠(yuǎn)程管理服務(wù)器。使用系統(tǒng)自帶的“遠(yuǎn)程桌面連接”即可完成連接和控制，圖23。所以，對于普通用戶來說，必須禁止終端服務(wù)。從“管理工具”中進(jìn)入“終端服務(wù)配置”，在連接上點(diǎn)右鍵選擇其屬性，圖24。在連接屬性上選擇“遠(yuǎn)程控制”標(biāo)簽，選中“不允許遠(yuǎn)程控制”后確定，圖25。通過這樣的修改，即可避免遠(yuǎn)程用戶的非法連接。

3．配置本地安全設(shè)置。

雖然微軟聲稱Windows Server 2003按默認(rèn)安裝后其安全性很強(qiáng)，但筆者發(fā)現(xiàn)其實(shí)不然，也有很多地方需要經(jīng)過細(xì)心配置才能達(dá)到所需要的安全性。“本地安全設(shè)置”就是需要好好配置的一塊地方。

從“管理工具”里打開“本地安全設(shè)置”，圖26。其中的密碼策略、帳戶鎖定策略、審核策略、擁護(hù)權(quán)限分配、安全選項(xiàng)等都需要仔細(xì)配置。筆者以“用戶權(quán)限分配”為例介紹方法。選中“用戶權(quán)限分配”后可以看到可進(jìn)行某一行為的所有默認(rèn)組，如圖26中第七項(xiàng)，可以看到一共有5個(gè)組的用戶擁有從遠(yuǎn)程訪問計(jì)算機(jī)的權(quán)限，這是不符合我們的安全要求的，需要從新配置。雙擊這一項(xiàng)打開其屬性，圖27。這里可以刪除Everyone、Power Users和Users組，或者也可以單擊“添加用戶或組”來從新確定可從遠(yuǎn)程訪問此計(jì)算機(jī)的用戶或組。參考圖5和圖8。

上面所介紹的只是方法，具體要設(shè)置那些行為的權(quán)限，就要看用戶的具體情況了。雖然這需要有較大的耐心一項(xiàng)一項(xiàng)的配置，但它卻是一勞永逸的做法。另外圖26所示的每一項(xiàng)策略，都需要具體配置，這樣才能打造出一道堅(jiān)不可摧的系統(tǒng)防線。

四、一些安全常識(shí)和注意事項(xiàng)

1．杜絕基于Guest帳戶的系統(tǒng)入侵。

很多文章中都介紹過如何利用Guest用戶得到Admin權(quán)限的方法，思路和手段不局一格，看了讓人不禁叫絕。為什么會(huì)出現(xiàn)這樣的問題呢？如何解決這個(gè)問題呢？

Guest用戶作為一個(gè)來賓帳戶，他的權(quán)限是很低的，而且默認(rèn)密碼為空，這就使得入侵者可以利用種種途徑，通過Guest登錄并最終拿到Admin權(quán)限。如何做到這一點(diǎn)不在本文討論的范圍內(nèi)，這里只介紹如何防御這種基于Guest的入侵。通過對入侵者行為的分析，筆者發(fā)現(xiàn)進(jìn)禁用或徹底刪除Guest帳戶是最好最根本的辦法。但在某些必須得使用到Guest帳戶的情況下，就需要通過其他途徑來做好防御工作了。首先是要給Guest加一個(gè)強(qiáng)的密碼，這一步可在“管理工具”----“計(jì)算機(jī)管理”----“本地用戶和組”----“用戶”里面設(shè)置。然后，按照初級(jí)安全配置里面介紹的方法，詳細(xì)設(shè)置Guest帳戶對物理路徑的訪問權(quán)限。

2．為Administrator用戶改名，并設(shè)置復(fù)雜密碼。

Administrator帳戶擁有最高的系統(tǒng)權(quán)限，一旦此帳戶被人利用，后果不堪設(shè)想。這就使得必須加強(qiáng)此帳戶的管理，首先當(dāng)然也是為其設(shè)置一個(gè)強(qiáng)大復(fù)雜的密碼。下來筆者介紹重新配置Administrator帳戶欺騙入侵者的方法。

打開“管理工具”----“本地安全設(shè)置”，打開其“本地策略”中的“安全選項(xiàng)”，在最后面可以看到有一項(xiàng)帳戶策略：重命名系統(tǒng)管理員帳戶，圖29。雙擊此策略進(jìn)入其屬性即可修改，圖30。這里修改為54master。

打開“管理工具”----“計(jì)算機(jī)管理”----“本地用戶和組”----“用戶”，圖31。雙擊Administrator進(jìn)入其屬性，記下其描述，圖32，并從新修改為其他描述。然后在“用戶”上單擊右鍵，選擇“新用戶”，寫上如圖33所示資料后確定。

回到“用戶”，雙擊剛建立好的新帳戶進(jìn)入其屬性，把默認(rèn)的全名刪除。再在“隸屬于”標(biāo)簽里把他從默認(rèn)所屬的Users組里刪除后確定。

看看圖35，如果你是入侵者，你能分辨出來那個(gè)才是真正的系統(tǒng)管理員嗎？誰能想到新建的帳戶已經(jīng)不是系統(tǒng)管理員，而成為不屬于任何組的沒有任何權(quán)限的新成員呢？入侵者會(huì)花無數(shù)的精力來想辦法弄多它的密碼的，呵呵。讓他去忙吧。

3．其他需要注意的地方。隨時(shí)警惕系統(tǒng)、安全、和應(yīng)用程序的日志，警惕注冊表啟動(dòng)項(xiàng)的變化、警惕用戶帳戶等敏感的地方是保證你系統(tǒng)安全的必要條件。經(jīng)常備份數(shù)據(jù)以應(yīng)付災(zāi)難性事故。用戶和權(quán)限的分配應(yīng)當(dāng)本著最小權(quán)限原則，即在不影響用戶正常使用的情況下，為其分配最小的權(quán)限。感覺有時(shí)候也是很重要的，系統(tǒng)突然變慢就要先憑感覺判斷一下是否感染了病毒等。系統(tǒng)安全就如同計(jì)劃生育，是個(gè)長期性的工作，就算你配置的再好的系統(tǒng)，也可能被人利用新的漏洞攻破，這就使得管理員必須隨時(shí)學(xué)習(xí)。

后記：通過筆者一段時(shí)間的使用，Windows Server 2003給人的總體感覺還是不錯(cuò)的。它的啟動(dòng)速度比2000和XP都快，系統(tǒng)內(nèi)新加了許多好用的Dos 新功能。如使用Defrag命令進(jìn)行磁盤碎片整理；使用Diskpart命令管理磁盤、分區(qū)或卷；使用Taskkill命令管理系統(tǒng)進(jìn)程；使用Logman命令創(chuàng)建和管理時(shí)間跟蹤會(huì)話日志和性能日志。作為一個(gè)Server版本，Windows Server 2003新增的“分布式文件系統(tǒng)”（即DFS）可以將分布在域上多個(gè)服務(wù)器上的文件集中到一個(gè)邏輯名稱的空間中，用戶只需要訪問一個(gè)驅(qū)動(dòng)器即可訪問到所有的共享文件。Windows Server 2003還有許多其他的新功能等著用戶的發(fā)掘。有興趣的用戶可以到****下載使用版。

但是，隨著微軟對操作系統(tǒng)的開發(fā)速度越來越快，WS對硬件的要求也越來越高，建議配置CPU主頻為550MHz，內(nèi)存256MB，硬盤系統(tǒng)分區(qū)2G，顯示器分辨律800*600。這使得一些配置較老的用戶面對如此誘人的新操作系統(tǒng)望而卻步。而另一些已經(jīng)使用上的用戶，他們的問題在于，許多硬件都沒有Windows Server 2003下的驅(qū)動(dòng)程序，有的可以用2000或XP的代替，但有的就不行。筆者一塊原不需要驅(qū)動(dòng)的網(wǎng)卡不能被識(shí)別，使用2000或XP的驅(qū)動(dòng)仍無濟(jì)于事。

總的來說，Windows Server 2003的性能還是不錯(cuò)的，它是微軟公司公開宣布重視產(chǎn)品安全后發(fā)布的第一款操作系統(tǒng)，它曾經(jīng)三次被推遲發(fā)布時(shí)間，部分原因就是為了提高安全和可靠性，很多地方都比以前的版本有了改善。比如關(guān)機(jī)時(shí)要記載關(guān)機(jī)理由，下載時(shí)會(huì)提示可能為危險(xiǎn)文件……這些都是以前的版本沒有的新事物。另外，上網(wǎng)的朋友應(yīng)該有隨系統(tǒng)啟動(dòng)的病毒防火墻，隨時(shí)防御病毒和木馬的襲擊。對于系統(tǒng)的各項(xiàng)安全配置，只要使用者能靈活運(yùn)用，取長補(bǔ)短，再加之有較好的安全意識(shí)，作為普通的用戶來說，其安全性完全可以滿足你的要求。