隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的飛速發(fā)展，微軟公司的WindowsServer系列產(chǎn)品因?yàn)楸憩F(xiàn)出高可靠性、高效率與較好的經(jīng)濟(jì)性，中小企業(yè)機(jī)房的服務(wù)器安裝使用它是越來越多。操作系統(tǒng)作為計(jì)算機(jī)系統(tǒng)中最基本、最重要的軟件，它在運(yùn)行過程中可能會(huì)出現(xiàn)各種各樣的異常狀態(tài)，這些異常狀態(tài)往往會(huì)帶來安全威脅，對(duì)服務(wù)器內(nèi)的數(shù)據(jù)造成破壞。

1 計(jì)算機(jī)安全等級(jí)標(biāo)準(zhǔn)

    1．1美國可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則

    1983年美國國防部計(jì)算機(jī)安全保密中心制訂了第一個(gè)計(jì)算機(jī)系統(tǒng)安全評(píng)價(jià)標(biāo)準(zhǔn)的技術(shù)性法規(guī)《可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》(Trusted Computer System Evaluation Criteria，TCSEC)簡稱橘皮書。

    橘皮書將計(jì)算機(jī)系統(tǒng)的安全劃分為4個(gè)等級(jí)，安全級(jí)別低到高：D級(jí)為最小保護(hù)，c級(jí)分為選擇的安全保護(hù)cl級(jí)和受控的訪問環(huán)境c2級(jí)，B級(jí)分為標(biāo)號(hào)安全保護(hù)B1級(jí)、結(jié)構(gòu)化安全保護(hù)B2級(jí)和安全域機(jī)制B3級(jí)，A級(jí)為可驗(yàn)證的安全設(shè)計(jì)。

    1．2中國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則

    1999年中華人民共和國公安部制定了《汁算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》國家標(biāo)準(zhǔn)，已于2001年由國家質(zhì)量技術(shù)監(jiān)督局發(fā)布。這項(xiàng)標(biāo)準(zhǔn)將計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分為5個(gè)級(jí)別：第1級(jí)用戶自主保護(hù)，第2級(jí)系統(tǒng)審計(jì)保護(hù)，第3級(jí)安全標(biāo)記保護(hù)，第4級(jí)結(jié)構(gòu)化保護(hù)級(jí)，第5級(jí)訪問驗(yàn)證保護(hù)級(jí)。

2 Windows Server安全診斷項(xiàng)目

    作為中小企業(yè)Windows Server用戶，操作系統(tǒng)安全是非常重要的，系統(tǒng)管理人員對(duì)用戶賬戶和密碼、注冊(cè)表、安全事件、端口和協(xié)議的安全作為重點(diǎn)診斷項(xiàng)目。

    2．1用戶賬戶和密碼設(shè)置

    2．1．1 SAM安全賬戶安全機(jī)制

    在Windows Senrer系統(tǒng)內(nèi)，SAM安全賬戶管理器負(fù)責(zé)保護(hù)用戶賬戶名和密碼，它是系統(tǒng)注冊(cè)表的組成部分，它保存在％systemroot％＼system32＼config、sam中，在域控制器上它保存在活動(dòng)目錄中％systemmot％kntds＼ntds．dit。賬戶密碼通過散列并被加密，目前Windows系統(tǒng)采用有4種密碼加密技術(shù)：Lan—Manager(簡稱LM)口令散列算法、NT LAN Manager(簡稱NTLM)、NTLMv2、Kerberos V5。

    LanManager口令散列算法對(duì)口令的處理采用的14位長度，如口令不足14位就用0把口令補(bǔ)足，對(duì)口令中的字母轉(zhuǎn)換成大寫字母后將口令分成兩組7位的數(shù)字，再由這兩個(gè)7位數(shù)字分別生成8位的數(shù)據(jù)加密鑰匙，每個(gè)數(shù)據(jù)加密鑰匙又再使用一個(gè)魔法數(shù)字進(jìn)行散列加密形成64位的值，將兩組64位的值連在一起就構(gòu)成了LM的128位口令散列。從上面的敘述可看出，如果口令設(shè)置在14位以內(nèi)，則密碼破解只需要分開成2個(gè)7位來考慮。NT LAN Manager口令算法對(duì)口令的處理先轉(zhuǎn)換成unicode編碼，再使用MD4算法將口令加密。對(duì)于這兩種密碼加密技術(shù)使用了較弱的密鑰和算法，入侵者使用常見的Winternalslocksmith、L0phtcrack5、Elcomsoftadaneedntsecurityexplorer、Windows XP／2000／NT key、John the ripper等密碼破解工具就可以輕松破解，所以采用NTLMv2加密技術(shù)可以使中小企業(yè)Windows Server更加安全。

    2．1．2密碼設(shè)置要求

    管理員對(duì)用戶賬戶需要設(shè)置安全可靠的密碼：

    (1)如需要最高級(jí)別的安全性，至少設(shè)置15個(gè)字符：

    (2)密碼應(yīng)使用英文字母大小寫、數(shù)字、字符組合構(gòu)成：

    (3)不要使用相關(guān)人員的中英文姓名、用戶名、地名、電話號(hào)碼、常用詞匯作為密碼：

    (4)管理者不要與其他系統(tǒng)密碼共享使用：

    (5)密碼需要定期更換，時(shí)間不能太長。

    2．1．3其他常見保護(hù)方法

    對(duì)于Administrator賬戶可以采用重命名的方式進(jìn)行保護(hù)，也可以在使用后注意不要保持在登錄狀態(tài)或直接關(guān)閉賬戶來進(jìn)行保護(hù)。

    對(duì)于Guest賬戶可以采用關(guān)閉、停用、重命名方式進(jìn)行保護(hù)，也可以根據(jù)實(shí)際情況將Guest賬戶列入拒絕從網(wǎng)絡(luò)訪問名單中，防止Guest賬戶從網(wǎng)絡(luò)訪問服務(wù)器、關(guān)閉服務(wù)器以及查看日志。

    使用Syskey實(shí)用程序?qū)�SAM安全賬戶數(shù)據(jù)庫文件進(jìn)行二次加密。

    2．2注冊(cè)表的診斷

    對(duì)于系統(tǒng)安全要保護(hù)注冊(cè)表各項(xiàng)鍵值不被惡意修改和對(duì)注冊(cè)表進(jìn)行訪問權(quán)限的限制。作為管理員可使用Filemon文件系統(tǒng)監(jiān)視軟件監(jiān)控文件系統(tǒng)和對(duì)I／O系統(tǒng)事件的跟蹤，使用Registry Monitor注冊(cè)表數(shù)據(jù)監(jiān)視軟件對(duì)注冊(cè)表進(jìn)行實(shí)時(shí)監(jiān)視，對(duì)注冊(cè)表的讀取、修改、出錯(cuò)信息等進(jìn)行實(shí)時(shí)記錄，并可對(duì)記錄進(jìn)行保存、過濾、查找處理，為系統(tǒng)管理診斷注冊(cè)表帶來極大的便利，還可利用Active Registry Monitor工具軟件，對(duì)Windows注冊(cè)表進(jìn)行快照，從而對(duì)比出注冊(cè)表的變化。

    2．3安全事件的診斷

    (1)Windows Server可啟用安全審核。利用本地安全策略，對(duì)計(jì)算機(jī)使用一些重要操作規(guī)程進(jìn)行審核。例如禁止枚舉賬號(hào)，重命名系統(tǒng)管理員賬戶名稱及禁用來賓賬戶，定義密碼最長存留期，審核對(duì)象訪問功能可跟蹤用戶賬戶訪問對(duì)象、系統(tǒng)關(guān)閉重啟、登錄嘗試等事件。

    (2)查看Windows Server的安全日志。管理員可查看Windows Server的事件查看器，了解系統(tǒng)運(yùn)行狀態(tài)就可對(duì)異常狀態(tài)進(jìn)行診斷。

    (3)使用EventCombMT實(shí)用工具提高查看系統(tǒng)安全日志的效率。

    2．4端口和協(xié)議的安全診斷

    系統(tǒng)常用端口和協(xié)議，系統(tǒng)管理者要清楚，需要使用的端口就啟用，需要使用的協(xié)議就安裝。

    (1)活動(dòng)的端口及其應(yīng)用程序運(yùn)行情況的診斷

    使用系統(tǒng)的任務(wù)管理器的進(jìn)程菜單了解，也可使用Tasklist命令、Tlist命令、Netstat命令來顯示運(yùn)行在本地或遠(yuǎn)程計(jì)算機(jī)上的所有進(jìn)程、任務(wù)的應(yīng)用程序和服務(wù)列表、顯示路由表、顯示實(shí)際網(wǎng)絡(luò)連接及每一個(gè)網(wǎng)絡(luò)接口設(shè)備的狀態(tài)信息，通過本機(jī)各端口的網(wǎng)絡(luò)連接隋況，診斷是否有安全異常狀態(tài)。

    (2)端口訪問的限制方法

    使用Windows Server的TCP／IP篩選器，根據(jù)源或目標(biāo)IP地址、端口、協(xié)議來拒絕或允許訪問。啟用Intemet Connec—tion Firewall(ICF)，它可防止外部入侵者企圖訪問可能有監(jiān)聽程序運(yùn)行的端口，可以阻止除自己計(jì)算機(jī)發(fā)起通信的響應(yīng)之外的所有訪問。啟動(dòng)IP Security，提供通過加密和身份驗(yàn)證保護(hù)訪問。

    (3)關(guān)閉不需要的系統(tǒng)服務(wù)

    使用Windows Server的服務(wù)控制臺(tái)關(guān)閉不需要的服務(wù)。系統(tǒng)管理者應(yīng)了解Windows Server的各項(xiàng)系統(tǒng)服務(wù)，例如Clip—book sever服務(wù)允許通過網(wǎng)絡(luò)取得系統(tǒng)剪貼板內(nèi)容的訪問權(quán)，Remote Registry服務(wù)可使遠(yuǎn)程用戶修改服務(wù)器上的注冊(cè)表等，這些系統(tǒng)服務(wù)都容易被非法使用，如不需要使用則應(yīng)關(guān)閉。

3 結(jié)語

    中小企業(yè)服務(wù)器的安全因受到資金、人力的影響，安全事件的出現(xiàn)是非常頻繁的，通過上面的介紹，是希望在現(xiàn)階段構(gòu)建一個(gè)相對(duì)安全的Windows Server服務(wù)器，從而讓企業(yè)的網(wǎng)絡(luò)化建設(shè)達(dá)到一個(gè)比較安全的層次。

    安全狀態(tài)的診斷的方法是多種多樣的，完全阻止是很困難的，提高診斷手段總是增加了系統(tǒng)管理的復(fù)雜性和成本，所以只有提高安全意識(shí)、規(guī)范管理制度才能做到真正的安全。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：中小企業(yè)Windows Server安全異常狀態(tài)診斷

本文網(wǎng)址：http://www.oesoe.com/html/support/1112153911.html