基于Widows server 2003操作系统的安全加固初探

摘要： Widows server 2003操作系统常常会受到缓冲区溢出的攻击、拒绝服务攻击、口令破解攻击、欺骗用户攻击和扫描程序和网络监听攻击等类型的攻击。为了应对不同的攻击，Widows操作系统可采用通过补丁管理、通过账号口令方面、通过限制网络服务、通过使用安全文件系统、日志审核等方式加固操作系统。

关键词： 操作系统；攻击类型；加固策略

中图分类号：TP309 文献标识码：A 文章编号：1006-4311（2013）16-0201-02

0 引言

Widows操作系统有简单易用、界面友好等特点，但是也是黑客攻击的重点。对于网络管理人员而言，要了解攻击Widows操作系统的类型，然后结合自己单位具体的业务，对操作系统做安全加固，做到防患于未然。

1 攻击的类型

Widows server 2003操作系统的攻击方式比较多，主要的方式如下：

1.1 缓冲区溢出的攻击

在正常的情况下，应用程序会检查输入数据的长度，不允许输入的数据长度超过操作系统分配的缓冲区长度。但是，大多数应用程序在开发时定义的变量的数据类型总是与所分配的存储空间相匹配，也就是说数据长度与缓冲区长度相匹配，这就为缓冲区溢出留下了隐患。黑客攻击时，向缓冲区内输入数据的长度超过了缓冲区的长度，就实现了缓冲区溢出的攻击。

在目前的所有的攻击手段中，最常使用的是缓冲区溢出，被广泛利用的在50%以上。其中最著名的例子是1988年利用fingerd漏洞的蠕虫。在缓冲区攻击中，最有危害的方式是堆栈溢出。黑客利用堆栈溢出，让函数返回时改变返回应用程序的地址值，让其指向任意的地址值，导致应用程序崩溃而拒绝提供服务。

1.2 拒绝服务攻击[1]

攻击者利用伪造的源地址或者被他控制的异地的多台“肉鸡”计算机同时向所攻击的服务器发出大量的、连续的TCP/IP请求，从而使目标服务器系统瘫痪，无法为正常的用户提供服务。

拒绝服务攻击是利用TCP网络协议本身存在的缺陷，发送大量的非法的TCP请求，使得被攻击服务器的资源耗尽，不能接受合法用户的请求。

1.3 口令破解攻击

黑客利用社会学等攻击手段或者分布在世界各地的多台高速计算机，结合数据字典，猜测各种口令组合，最终获得进入操作系统的密码，为将来的获取网络权限打下基础。

1.4 欺骗用户攻击

攻击者将非法网页伪装成用户所需正常业务的网页，用户在没有仔细辨认的情况下，误输入用户名和密码被攻击者获取。该攻击手段是欺骗用户攻击的手段之一。

欺骗用户攻击其类型分为IP欺骗、ARP欺骗、电子邮件欺骗、DNS欺骗和WEB欺骗等等。

1.5 扫描程序和网络监听攻击

攻击者利用扫描工具扫描目标主机是否存在漏洞，如果存在漏洞，则利用该漏洞进入系统，通过提升权限获取超级用户的管理权限之后，利用监听工具收集目标主机的敏感信息。这种攻击方式就是扫描程序和网络监听攻击。

2 加固的策略

为了有效的防止系统被攻击，而导致敏感数据泄露，则需对系统进行加固。下面介绍基于Widows server 2003操作系统的安全加固策略。

2.1 通过补丁管理加固系统

对于补丁的管理工作是系统加固最重要的一项工作，其步骤分两步：

第一步：使用极光远程扫描漏洞，或安装微软安全基准分析器Microsoft Baseline Security Analyzer扫描漏洞。

第二步：安装系统补丁，修补漏洞。

2.2 通过账号口令方面加固系统

2.2.1 优化系统帐号

优化系统帐号的目的是减少系统无用账号，降低风险。查看是否有不用的账号，系统账号所属组是否正确以及guest账号是否被锁定。其加固方法有二：

方法一：使用“net user 用户名/del”命令删除账号。

方法二：使用“net user 用户名/active：no”命令锁定

账号。

2.2.2 账户设置口令

在设置账户口令时，增强口令的复杂度及锁定策略等，降低被暴力破解的可能性。可通过三个方面提高系统的安全性。

第一，设置密码策略，要求密码必须符合复杂性要求等条件。具体设置为：启用密码必须符合复杂性要求；密码长度最小值为7个字符；密码最长存留期为90天；密码最短存留期为30天；强制密码历史为1个记住密码。

第二，设置账户锁定策略。具体设置为：复位帐户锁定计数器为1分钟；帐户锁定时间为1分钟；帐户锁定阀值为5次无效登录。

第三，设置交互式登录配置为不显示上次的用户名。

2.3 通过限制网络服务加固系统

2.3.1 优化服务

在优化服务时，考虑在不影响正常业务的情况下，关闭不需要的服务，减小系统被入侵风险。具体关闭如下服务：不适用自动更新可以关闭Automatic Updates，不适用自动更新可以关闭Background Intelligent Transfer Service、自动分配IP地址的服务DHCP Client、Messenger、Remote Registry、Print Spooler，不使用文件共享可以关闭Server、Simple TCP/IP Service、Simple Mail、Transport Protocol（SMTP）、SNMP Service、Task Schedule、TCP/IP NetBIOS Helper等等。

2.3.2 关闭共享

关闭系统里所有的共享，尤其是默认共享。关闭C$，D$等默认共享的方法是在注册表里找到HKEY_L-OCAL_MACHINE＼SYSTEM＼CurrentControlSet＼ Services＼lan-manserver＼parameters选项，新建AutoShareServer（REG_D

WORD），键值为0。关闭ADMIN$默认共享的方法是在注册表里找到HKEY_LOCAL_MACHINE＼SYSTEM＼Current-ControlSet＼Serices＼lanmanserver＼parameters选项，新建Auto

ShareWks（REG_DWORD），键值为0。

2.3.3 网络限制

对网络访问进行四个方面的设置。第一，启用不允许 SAM 帐户的匿名枚举选项。第二，启用不允许 SAM 帐户和共享的匿名枚举选项。第三，禁用将 “每个人”权限应用于匿名用户选项。第四，启用使用空白密码的本地帐户只允许进行控制台登录选项。

2.3.4 通过使用安全文件系统加固系统

①使用NTFS文件系统，增强文件系统安全性。

②查看每个系统驱动器根目录是否设置为Everyone有所有权限，如果有则删除Everyone的权限或者取消Everyone的写权限。

③限制命令权限。

在不影响正常业务的情况下，对系统的部分命令应当做限制，只允许system、Administrator组访问。建议对以下命令做限制，%systemroot%＼system32＼cmd.exe、%system-root%＼system32＼regsvr32.exe、%systemroot%＼system32＼tftp.exe、%systemroot%＼system32＼ftp.exe、%systemroot%＼system-32＼telnet.exe、%systemroot%＼system32＼net.exe、%systemroot%＼system32＼net1.exe、%systemroot%＼system32＼cscript.exe、%systemroot%＼system32＼wscript.exe、%systemroot%＼system-32＼regedit.exe、%systemroot%＼system32＼regedt32.exe、%sys-temroot%＼system32＼cacls.exe、%systemroot%＼system32＼、%systemroot%＼system32＼at.exe。

2.3.5 日志审核

①增大日志量大小，避免由于日志文件容量过小导致日志记录不全。建议设置：日志上限大小为16384KB、达到日志上限大小时为改写久于30天的事件。

②对系统事件进行审核，在日后出现故障时用于排查故障。建议设置：审核策略更改为成功、审核对象访问为成功和失败、审核系统事件为成功和失败、审核帐户登录事件为成功和失败、审核帐户管理为成功和失败。

2.3.6 启用安全策略[2]

激活审核策略有利于网络管理人员很好的掌握机器的状态，有利于系统的入侵检测。网络管理人员可以从系统日志中分析是否存在暴力攻击、越权访问等非法操作。当开启系统安全审核后，如果用户存在改变用户口令、修改账户策略、访问未经许可的文件等操作时，都被审核日志记录下来，可供安全分析使用。建议至少审核用户登录、用户管理等事件。

2.3.7 仔细设置每个内部用户的权限

为了保护网络系统的资源，在给内部网络用户开设帐号时，要仔细设置每个内部用户的权限，一般应遵循“最小权限”原则，也就是仅给每个用户授予完成他们特定任务所必须的服务器访问权限。这样做会大大加重系统管理员的管理工作量，但为了整个操作系统的安全还是应该坚持这个原则。

2.3.8 加强对操作系统运行的监控和记录

网络系统管理员，应对整个操作系统的运行状况进行监控和记录，这样通过分析记录数据，可以发现可疑的网络活动，并采取措施预先阻止今后可能发生的入侵行为。如果进攻行为已经实施，则可以利用记录数据跟踪和识别侵入系统的黑客。

2.3.9 定期对操作系统进行安全检查

操作系统的运转是动态变化的，因此对它的安全管理也是变化的，没有固定的模式，作为网络系统的管理员，在为系统设置了安全防范策略后，应定期对系统进行安全检查，并尝试对自己管理的服务器进行攻击，如果发现安全机制中的漏洞应立即采取措施补救，不给黑客以可乘之机。

参考文献：

[1]崔敏.于常见网络攻击类型及防火墙防范措施的探讨[J].河南科技，2013（01）.

[2]李静.浅述操作系统的安全与防范[J].贵州高等专科学校学报，2006（03）.

[3]李美安，林岚，陈志党.基于有限递归的最短长度循环请求集生成算法[J].计算机工程与应用.