詳解Win2000的安全設定(轉)

詳解Win2000的安全設定(轉)[@more@]

隨著Windows的不斷升級，WinDWOS的安全性也越來越強，但時至今日的Win2000的安全性如果不進行全面有效的設定，在網路社會的今天仍顯得那麼不堪一擊。然而用過Win2000系統的朋友都知道，Win2000是Windows系統的一次大升級，它變得不再是那麼簡單明瞭了，要全面掌握了還真不容易，要談到以前較少涉及的安全性設定問題那更是顯得無從下手。　

　　其實Win2000的安全性設定在從我們安裝Win2000時一開始就在一點一滴地進行，當我們安裝完Win2000軟體重新啟動後系統還會自動彈出一些設定專案，光這些就足以嚇倒一些新手了。下面我就我在應用和維護Win2000系統中積累的一些經驗作一介紹，希望對各位在應用Win2000中有些幫助，不敢講按我下面所講Win2000系統就萬無一失，至少不會千創百孔。

一、系統的安裝　

　　在上面我講了，Win2000的安全設定其實早在一開始我們進行Win2000系統安裝的同時就開始了，我們千萬不能以老眼光看待新事物，在Win2000安裝完重啟後系統會自動彈出一個對話方塊，要求我們設定一大堆專案，在這一大堆專案中有相當一部分都與Win2000的安全設定有關。這不要說對於以前用慣了Win9X系統的朋友覺得無從下手，就是象我這樣以前用NT的老朋友也一時難以接受。然而這些專案設定不好，輕則某些功能不能達到目的，重則在系統網路中根本無法使用。

　　在系統安裝過程中主要要注意以下幾點：

　　1、硬碟的分割槽

　　至少建立兩個邏輯分割槽，一個用作系統分割槽，另一個用作應用程式分割槽，現在的硬碟是越來越大，一般最好分三個至四個分割槽，這樣就可以把自己的檔案單獨放在一個分割槽中。

　　再就是所有的分割槽應最好都是NTFS格式，因為這種檔案格式的分割槽在安全性方面更加有保障，至少是系統分割槽中應是如此。同時象微軟的IIS、Outlook、Exchange　Server等軟體經常會有漏洞，如果把軟體與系統安裝在同一個驅動器會導致系統檔案的洩漏，甚至讓入侵者遠端獲取管理權。　

2、系統版本的選擇　

　　我們知道在目前Windows系統中，都是先有英文版，然後才有各國其它語言的版本，也就是說Windows系統的核心語言是英語，這樣相對來說它的核心版本理應比它的編譯版本中的BUG少許多，事實也是如此，特別是在安全設定方面，不僅Win2000如此，原來的NT，甚至Win9X同樣存在這樣的問題，只不過在NT4.0或Win9X中影響不是這麼大，很少引起人注意而已！這主要是由不同語言的相容性引起的，這一點是很難克服的。

　　打個最簡單的經喻，就象我們要翻譯一篇英文文章一樣，我們不可能做到百分百地與原文意思一致，更何況這麼大一個系統，不知要寫多少行的程式！所以如果是在單位網路中用Win2000，最好還是選用原英文版的，這樣選擇的好處還在於將來升級、加補丁也遠比其它語言版本快許多！

　　3、正確的網路接入時間

　　我們都有這樣一個壞習慣，那就是在安裝系統之前我們會把一切硬體都連線好，這主要是方便系統的安裝，但在安裝Win2000系統時要注意，我們最好在系統未全部安裝完全之前不要連入網路，特別是Internet。因為Win2000在安裝時有一個漏洞，就是在輸入使用者管理員賬號“Administrator”的密碼後，系統會建立“$ADMIN”的共享賬號碼，但是並沒有用剛輸入的密碼來保護它，這種情況一直會持續到計算機再次啟動。在此期間，任何人都可以透過“$ADMIN”進入系統；同時，只要安裝一完成，各種服務就會自動執行，而這時的伺服器還到處是漏洞，非常容易從外部侵入。

　　因此，在完全安裝並配置好Win2000　Server之前，一定不要把主機接入網路。　

　　

二、　系統及應用軟體安全設定　

　　（一）、使用者賬號的安全設定　

　　在一個區域網中，正確有效地設定各不同組使用者賬號的許可權，是確保網路安全的首要因素。至於如何設定使用者訪問許可權我想大家都非常清楚，我不再多講，我只是想說明的一點就是，Win2000的預設安裝允許所有使用者透過空使用者名稱和空密碼得到系統所有賬號和共享列表，這本來是為了方便區域網使用者共享資源和檔案的，但是，同時任何一個遠端使用者也可以透過同樣的方法得到你的使用者列表，並可能使用暴力法破解使用者密碼給整個網路帶來破壞，這是整個網路中的最大不安全因素之一。

當然我們不是沒有辦法來控制這一不安全因素所帶來的負面影響，我們可以有以下方法：

　　1、改登錄檔

　　在登錄檔中的HEKY_Local_MachineSystemCurrentControlSetControlLsa中有一個鍵值是用來禁止空使用者連線的，那就是RestrictAnonymous　（匿名登入的限制），如果沒有這個主鍵值我們可以自己新增，系統的預設值為“0”.我們只要把這個主鍵值設為“1”即可，這樣Win2000系統就不能用空使用者賬號來進行登入。

　　2、設定安全策略

　　Win2000的本地安全策略裡（如果你已轉換成域伺服器就是在“域伺服器安全和域安全策略”裡）也有RestrictAnonymous（匿名連線的額外限制）這樣的選項.

雙擊這個選項，即可看到在這個選項中我們可以有三個選項，分別是：

　　1）、無，依賴於預設許可許可權

　　2）、不允許列舉SAM賬號和共享　

　　3）、沒有顯式匿名許可權就不允許訪問

　　第一項是系統預設的，沒有任何限制，遠端使用者可以以匿名賬號登入到你的伺服器，知道你機器上所有的賬號、組資訊、共享目錄、網路傳輸列表(NetServerTransportEnum)等，對伺服器來說這樣的設定非常危險。第二項是隻允許非NULL（空）使用者存取SAM賬號資訊和共享資訊。第三項只有Win2000才支援，需要注意的是，如果使用了這個值，就不能再有共享資源了，所以還是推薦把數值設為“1”比較好。　

　　其實在本地安全策略中我們還有許多安全選項可以設定，相信多數對Win2000有一定認識人朋友都可以按照選取項的標題來有效設定所需要的項。特別是要對上圖示註的選項，有關Win2000的檔案加密與數字簽名可參考我的另一篇稿件——《Win2000的檔案加密與數字簽名》,　另一個要注意的是在上圖中我們只可對“本地設定”進行設定，“有效設定”只有當設定完成後重啟系統後由系統自己完成。

　　3、檔案和資料夾許可權的設定　

　　我們知道NT系統的安全性在本地網路中最主要還是可以自由設定各使用者、檔案和資料夾的訪問許可權來保證的。為了控制好伺服器上使用者的許可權，同時也為了預防以後可能的入侵和溢位，必須安全有效地設定資料夾和檔案的訪問許可權。NT的訪問許可權分為：讀取、寫入、讀取及執行、修改、列目錄、完全控制。在預設的情況下，大多數的資料夾和檔案對所有使用者（Everyone這個組）是完全控制的（Full　Control），這根本不能滿足不同網路的許可權設定需求，所以你還需要根據應用的需要進行重新設定。

　　要正確有效地設定好系統檔案或資料夾的訪問許可權，必需注意NTFS資料夾和檔案許可權有如下屬性：

　　⑴、許可權具有繼承性

　　許可權的繼承性就是下級資料夾的許可權設定在未重設之前是繼承其上一級檔案的許可權設定的，更明瞭地說就是如果一個使用者對某一資料夾具有“讀取”的許可權，那這個使用者對這個資料夾的下級資料夾同樣具有“讀取”的許可權，除非你打斷這種繼承關係，重新設定。但要注意的是這僅是對靜態的檔案許可權來講，對於檔案或資料夾的移動或複製，其許可權的繼承性又如何呢？請看下文：

　　a、　在同一NTFS分割槽間複製或移動

　　在同一NTFS分割槽間複製到不同資料夾時，它的訪問許可權是和原檔案或資料夾的訪問許可權不一樣。但在同一NTFS分割槽間移動一檔案或資料夾其訪問許可權保持不變，繼承原先未移動前的訪問的許可權。

　　b、在不同NTFS分割槽間複製或移動

　　在不同NTFS分割槽間複製檔案或資料夾訪問許可權會隨之改變，複製的檔案不是繼承原許可權，而是繼承目標（新）資料夾的訪問許可權。同樣如果是在不同NTFS分割槽間移動檔案或資料夾則問許可權隨著移動而改變，也是繼承移動後所在資料夾的許可權。

　　c、從NTFS分割槽複製或移動到FAT格式分割槽

　　因為FAT格式的檔案或資料夾根本沒有許可權設定項，所以原來檔案或資料夾也就再沒有訪問許可權了，

　　⑵、許可權具有累加性

　　許可權的累加性具體雙表現在以下幾個方面：

　　a、工作組許可權由組中各使用者許可權累加決定

　　如一個組GROUP1中有兩個使用者USER1、USER2，他們同時對某檔案或資料夾的訪問許可權分別為“只讀”型的和“寫入”型的，那麼組GROUP1對該檔案或資料夾的訪問許可權就為USER1和USER2的訪問許可權之和，實際上是取其最大的那個，即“只讀”+“寫入”=“寫入”。

　　b、使用者許可權由所屬組許可權的累決定

　　如一個使用者USER1同屬於組GROUP1和GROUP2，而GROUP1對某一檔案或資料夾的訪問許可權為“只讀”型的，而GROUP2對這一檔案或資料夾的訪問許可權為“完全控制”型的，則使用者USER1對該檔案或資料夾的訪問許可權為兩個組許可權累加所得，即：“只讀”+“完全控制”=“完全控制”。

　　⑶、許可權的優先性

　　許可權的這一特性又包含兩種子特性，其一是檔案的訪問許可權優先資料夾的許可權，也就是說檔案許可權可以越過資料夾的許可權，不顧上一級資料夾的設定。另一特性就是“拒絕”許可權優先其它許可權，也就是說“拒絕”許可權可以越過其它所有其它許可權，一旦選擇了“拒絕”許可權，則其它許可權也就不能取任何作用，相當於沒有設定，下面就具體講一下這兩種子特性。

　　a、檔案許可權優先資料夾許可權

　　如果一使用者USER1對資料夾Folder　A的訪問許可權為只讀型別的，在這個資料夾下面有一個Fiel1檔案，我們可以對這個檔案Fiel1設定許可權為“完全控制”型，而不顧它的上一級檔案Folder　A的許可權設定情況。

　　b、“拒絕”許可權優先其它許可權

　　這種情況我們可舉這們一個例子，就是一個使用者USER1同屬於組GROUP1和組GROUP2，其中組GROUP1對一個檔案File1（或資料夾）的訪問許可權為“完全控制”，而使用者GROUP2對這個檔案File1的訪問許可權設定為“拒絕訪問”，那麼根據這個特性USER1對檔案File1的訪問許可權為“拒絕訪問”型別，而不管工作組GROUP1對這個檔案設定什麼許可權。

　　⑷、訪問許可權和共享許可權的交叉性

　　當同一資料夾在為某一使用者設定了共享許可權的同時又為使用者設定了該資料夾的訪問許可權，且所設許可權不一致時，它的取捨原則是取兩個許可權的交集，也即最嚴格、最小的那種許可權。如資料夾Folder　A　為使用者USER1設定的共享許可權為“只讀”，同時資料夾Folder　A為使用者USER1設定的訪問許可權為“完全控制”，那使用者USER1的最終訪問許可權為“只讀”。當然這個資料夾只能是在NTFS檔案格式的分割槽中，如是FAT格式的分割槽中也就不存在“訪問許可權”了，因為FAT檔案格式的資料夾沒有本地訪問許可權的設定。

　　（二）、選擇好的遠端通訊軟體

　　選擇一個好的遠端通訊軟體是非常重要的事，因為網路的不安全因素多數還是出在遠端通訊軟體上，Internet太複雜了，任何無意的疏忽都可能給別有用心之人以難得的良機。選擇好一個好的遠端通訊軟體這不僅僅是應用方面的要求，也更是從安全方面的考慮。

　　Win2000的Terminal　Service是基於RDP（遠端桌面協議）的遠端控制軟體，它的速度快，操作方便，比較適合用來進行常規操作。但是，Terminal　Service也有其不足之處，由於它使用的是虛擬桌面，再加上微軟程式設計的不嚴謹，當你使用Terminal　Service進行安裝軟體或重啟伺服器等與真實桌面互動的操作時，往往會出現直接關機的BUG。所以，一般需另外選擇一個專業的遠端通訊軟體，如在WinDWOS下的　PcAnyWhere，DOS下的CarbonCopy就是不錯的選擇。

　　（三）、設定好IIS　

　　IIS是微軟的元件中問題最多的一個，要注意很多軟體的預設安裝是駭客攻擊的源頭，是引起不安全因素的根源，微軟的IIS也不例外，同時它又是一個網路應用軟體，直接與千變萬化的網際網路相聯絡，所以IIS是我們安全配置的重點。

　　首先，為了系統的安全起見我們一般要刪除系統盤下的Inetpub目錄，在另一分割槽中新建一個Inetpub，並使IIS管理器中將主目錄指向它。這樣即使IIS安全出了問題，也不會直接影響到整個系統。

　　其次，我們要記住一個原則，那就是：最小的許可權+最少的服務=最大的安全。所以必需把IIS安裝時預設的scripts等虛擬目錄也一概刪除，如果你需要什麼許可權的目錄可以以後再建（特別注意寫許可權和執行程式的許可權）。　

　　然後是應用程式的配置。在IIS管理器中把無用對映都統統刪除（當然必須保留如ASP、ASA等）。在IIS管理器中“主機→屬性→WWW服務編輯→主目錄配置→應用程式對映”，然後開始一個個刪掉。接著再在應用程式除錯書籤內，將“指令碼錯誤訊息”改為“傳送文字”。點選“確定”退出時別忘了讓虛擬站點繼承剛才設定好的屬性。

　　最後，為了保險起見，可以使用IIS的備份功能，將剛剛的設定全部備份下來，這樣就可以隨時恢復IIS的安全配置。　　

　　好了，我所要講的就這些，希望對各位有所幫助。在這裡我還要強調的是：網路安全是一項系統工程，它不僅有空間的跨度，還有時間的跨度。

　　很多朋友認為進行了安全配置的主機就是安全的，其實這裡有個誤區，我們只能說一臺主機在一定的情況下一定的時間內是安全的，隨著網路結構的變化、新的漏洞的發現、管理員和使用者的操作，主機的安全狀況是隨時隨地變化著的，只有讓安全意識和安全制度貫穿整個過程才能做到真正的安全。

　　實際上，安全和應用在很多時候是矛盾的，因此，你需要在其中找到平衡點，畢竟伺服器是給使用者用的，如果安全原則妨礙了系統應用，那麼這個安全原則也不是一個好的原則