7招强化Windows系统安全

Windows系统平台的安全是构建服务器安全的基础，涉及操作系统和应用程序的安装安全、系统服务安全、系统设置安全和用户账户安全等诸多方面。如果我们在系统平台的安全策略上稍加注意，就能在很大程度上杜绝安全漏洞，确保网络服务和数据访问的安全。

1.操作系统安装安全

在安装Windows 2000/XP/2003操作系统时，为提高系统性能，减少不必要的程序或服务运行时所占用的系统资源，同时减少各种程序或服务可能造成的漏洞，建议采用最小化方式安装，只安装网络服务所必须的模块。当产生新的服务需求时，再安装相应的服务模块，并及时进行安全设置。

安装操作系统时应注意以下事项：

确保操作系统的来源合法性。不建议使用非正常渠道得到的操作系统安装盘，防止在安装操作系统的同时被安装木马或者间谍软件，堤防其中隐藏有被恶意修改的后门程序。

将操作系统安装在一个干净的系统分区中。在安装之前，确定磁盘中所有的数据都删除干净，磁盘完好无损，并最好将涉及的磁盘全部格式化。

在操作系统安装完成但没有正式运行前，保证系统在安装的过程中不与任何公共的系统相连。如果需要进行网络安装，须确保服务器在一个独立可信并且是绝对安全的网段中。

使用NTFS分区作为系统文件的分区标准。NTFS是真正的日志性文件系统，使用日志和检查点信息，即使在系统崩溃或者电源故障的时候也能保证文件系统的一致性。

对于服务器而言，建议在安装时不要选择任何组件，在实际需要组件支持的时候，再定制安装。

为Administrator系统管理员设置一个足够强的密码。

2.Internet防火墙系统

目前，Internet网络上受攻击的数量直线上升，计算机使用者随时都可能遭到各种恶意攻击，这些攻击可能导致的后果是上网账号被窃取、银行账号被盗用、电子邮件密码被修改、财务数据被利用、机密档案丢失、隐私曝光等，甚至黑客通过远程控制，删除服务器上所有的资料数据，使整个计算机网络体系全面崩溃。

Internet连接防火墙(Internet Connection Firewall，ICF)是用来限制哪些信息可以从企业网络进入互联网，以及从互联网进入企业网络的Windows组件，它内置于Windows Server 2003中。当建立一个新的网络连接时，向导将自动提问是否要激活ICF。除此之外，还可以手工方式启用并配置ICF。

由于ICF是通过记录本机的IP请求来确定外来的IP数据包是否“合法”，因此，只有本机的IP提出请求之后，外部的数据包才可以进来，这是一种被动的防火墙。但是，对于服务器而言，由于必须为外部网络提供网络服务，而IP数据包不是由服务器先发出来的，因此，在标准配置下，ICF不能提供网络服务。如果既要启用ICF，又要提供网络服务，就必须对相应服务的端口进行设置，其步骤如下：

在网络连接“属性”对话框“高级”选项卡的“Windows防火墙”选项区域，单击“设置”按钮，弹出“Windows防火墙”对话框，再切换至“例外”选项卡(如图1所示)，直接在“程序和服务”列表框选中欲提供的网络服务即可。如果欲提供网络服务的端口没有显示在列表框中，则可以单击“添加端口”按钮，增加网络服务所使用的TCP或UDP端口。

在“高级”选项卡单击“ICMP”选项区域的“设置”按钮，显示如图2所示“ICMP设置”对话框。为了避免恶意用户使用Ping命令攻击服务器，除了“允许传入的回显请求”以后，禁用所有的Ping应用。

使用防火墙可以帮计算机系统拦截一些来历不明、有害敌意访问或攻击行为。目前的防火墙产品很多，包括硬件产品和软件产品，用户可以根据实际情况选择一款适合自己使用的防火墙产品。在安装及使用防火墙时，应注意以下事项：

设置防火墙网络访问策略。

设置指定的端口访问。

本地的应用程序许可访问的资源。

建议配置成系统启动时自动启动防火墙。

保存日志信息。

提示:如果财力允许，最好在局域网的互联网接口处设置硬件防火墙。

3.安全配置向导

安全配置向导(SCW)可以缩小受攻击面，使用SCW可以确定服务器的一个或多个角色所需的最少功能，并禁用不必要的功能。

SCW将执行下列操作：

禁用不需要的服务。

阻止未使用的端口。

允许对打开的端口进一步实施地址或安全限制。

禁止不需要的Internet信息服务(IIS) Web扩展。

减少对服务器消息块和轻型目录访问协议(LDAP)的协议公开。

提示:安装Service Pack 1后，通过“Windows组件向导”即可安装“安全配置向导”组件。

4.防病毒系统

病毒对电脑使用者来说可是“苛政猛于虎”，相信任何一位计算机使用者都深知其危害。为了避免病毒对系统的破坏，应注意以下事项：

操作系统安装完成后，在接入网络环境前，立即安装防病毒软件，同时安装最新的防病毒软件病毒库。

确认防病毒软件来源的合法性、完整性，以及可升级性。

运行防病毒程序的病毒实时监测功能，同时配置防病毒软件的自动更新、扫描、受感染病毒文件的处理方式等参数设置。

对刚安装完成的操作系统进行一次完整的系统磁盘病毒扫描。

在系统运营后，经常查看防病毒软件产生的日志文件。

注意:在设置期间，不要接入Internet网络进行病毒库的自动更新。设置完成后接入互联网，不建议使用互联网上浏览器模式的病毒扫描功能。

5.防间谍系统

间谍软件是一个广义的概念，通常被描述为驻留于计算机硬盘中不受欢迎的程序。它们通常在计算机用户从互联网上下载软件时出现，还可以通过电子邮件或者点对点应用程序(如即时通讯和音乐文件共享软件)的方式传播。

目前的防间谍软件产品很多，用户可以根据实际情况选择一款适合自己使用的防间谍软件产品。同时，要注意软件来源的合法性和安全性，以及间谍软件代码更新库的升级能力。

在安装防间谍软件时应注意以下事项：

建议配置成系统启动时自动启动防间谍软件。

定制自动更新间谍软件代码库。

定制系统扫描的完整信息。

启动实时监视系统。

定制应用程序许可策略。

保存并定期查看日志信息。

6.配置系统服务最小化

安装操作系统的同时，也会自动安装大量服务。但是，运行的服务越多，可能隐藏的安全漏洞也越多，同时还会占用大量的系统资源。因此，凡是不需要的服务，最好将其禁用。

配置系统服务时应注意以下事项：

根据服务的描述以及业务的需求，确定是否使用此服务。

禁止或者设置成手动启动的方式处理系统非必需的服务。

如果对某个服务可能造成的影响不了解，则应该在测试环境中测试验证通过以后，再在应用环境中部署。

对于安装应用程序同步安装的服务，如无必要，应将其关闭。

7.更新安全补丁

安装最新的服务包补丁程序，可以修补系统漏洞，避免受病毒和木马的攻击。因此，用户需要为Windows操作系统按照不同的语言版本，选择不同的程序Service Pack包，并且一定要从可信的渠道获得，例如从微软的站点下载等。同时，微软提供了Update程序，用户可以直接连接到微软的安全更新网站，获取最新更新的安全补丁程序,用来弥补最新出现的安全漏洞。

补丁程序的安装方法很简单，使用浏览器连接到微软的更新网站上即可下载安装。微软提供的Update的网址是。

注意:强烈建议及时为操作系统安装最新的补丁程序，如有可能，单独下载最新的补丁程序，在测试环境下验证没有任何问题后再到使用的服务器上。