Windows Server 的安全特性.docx

1、Windows Server 的安全特性Windows Server 2003的安全特性过去，微软一直以在操作系统上捆绑许多额外特性而著称，这些额外特性大多数是以默认的服务访问权限进行安装的。Windows Server 2003打破了这种传统的模式，使得在Windows 2000 Server默认情况下能够运行的二十多种服务被关闭或者使其以更低的权限运行。在Windows 2003中，两个最重要的安全特性的革新在于直接处理IIS和Telnet服务器。IIS和Telnet在默认的情况下都没有安装，并且这两个服务是在两个新的账户下运行，新账户的权限比正常系统账户的权限要低。如果恶意的软件危及到这

2、两个服务时，这种革新将直接改善服务器的安全性。与IIS和Telnet上的服务账户改进一起，Windows 2003还包含了大量的新的安全特性，也许，这些新的安全特性将是你决定升级到Windows Server 2003的决定因素。新的安全特性1Internet连接防火墙（ICF）ICF是一个软件防火墙，它为用户的网络服务器提供了基本的端口安全性。它与用户当前的安全设备一起工作，给用户的关键的基础设施增加了一层保护。2软件限制策略软件限制策略使用策略和强制执行机制，来限制系统上运行的未授权的可执行程序。这些限制是一些额外的手段，以防止用户执行那些不是该公司标准用户软件套件中的程序。3网页服务器的

3、安全性当装载了IIS 6.0的默认安装时，网页服务器的安全性将达到最大化。新的IIS 6.0安全特性包括可选择的加密服务，高级的摘要认证以及可配置的过程访问控制。4新的摘要安全包新的摘要安全包支持在RFC 2617中定义的摘要认证协议。该包对IIS和活动目录（AD）提供了更高级的保护。5改善了以太局域网和无线局域网的安全性不论连接的介质是什么，基于IEEE 802.1X规范改进了以太局域网和无线局域网的安全性，促进了用户和计算机的安全认证和授权。这些改进也支持公钥证书和智能卡的自动注册，使得能够对传统的位于或者横跨公共场所的网络进行访问控制，例如大学校园的广域网（WAN）和横穿大城市的政府广域

4、网（WAN）。6凭证管理器对于所有的用户凭证，包括口令密码和X.509证书，凭证管理器提供了一个安全的仓库。这个特性使得单一的签名特性可以获得多个领域的信任。7Internet认证服务器和远程认证拨号用户服务器（IAS/RADIUS）Internet认证服务器和远程认证拨号用户服务器（IAS/RADIUS）控制远程的用户认证和授权访问。对于不同的连接类型，例如拨号上网，虚拟专用网（VPNs）以及防火墙连接，该服务都是很实用的。8增强的EFS加密文件服务（EFS）的改进允许管理员和用户提供给多个用户访问多组加密文件的可能。它还提供了额外的文件存储保护和最大数量的用户容量。除了这些新的安全特性之外

5、，微软已经发行了一个安全配置管理器，用于将整个操作系统的安全选项集合成一个管理控制台。一、物理安全服务器应当放置在安装了监视器的隔离房间内，并且监视器应当保留15天以内的录像记录。另外，机箱、键盘、抽屉等要上锁，以保证旁人即使在无人值守时也无法使用此计算机，钥匙要放在安全的地方。二、停止Guest帐号在计算机管理中将Guest帐号停止掉，任何时候不允许Guest帐号登录系统。为了保险起见，最好给Guest帐号加上一个复杂的密码，并且修改Guest帐号属性，设置拒绝远程访问。三、限制用户数量去掉所有的测试帐户、共享帐号和普通部门帐号，等等。用户组策略设置相应权限、并且经常检查系统的帐号，删除已经

6、不适用的帐号。很多帐号不利于管理员管理，而黑客在帐号多的系统中可利用的帐号也就更多，所以合理规划系统中的帐号分配。四、多个管理员帐号管理员不应该经常使用管理者帐号登录系统，这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到，应该为自己建立普通帐号来进行日常工作。同时，为了防止管理员帐号一旦被入侵者得到，管理员拥有备份的管理员帐号还可以有机会得到系统管理员权限，不过因此也带来了多个帐号的潜在安全问题。五、管理员帐号改名在Windows 2000系统中管理员Administrator帐号是不能被停用的，这意味着攻击者可以一再尝试猜测此帐户的密码。把管理员帐户改名可以有效防止这一点。不

7、要将名称改为类似Admin之类，而是尽量将其伪装为普通用户。六、陷阱帐号和第五点类似、在更改了管理员的名称后，可以建立一个Administrator的普通用户，将其权限设置为最低，并且加上一个10位以上的复杂密码，借此花费入侵者的大量时间，并且发现其入侵企图。七、更改文件共享的默认权限将共享文件的权限从“Everyon更改为授权用户”，”Everyone意味着任何有权进入网络的用户都能够访问这些共享文件。八、安全密码安全密码的定义是：安全期内无法破解出来的密码就是安全密码，也就是说，就算获取到了密码文档，必须花费42天或者更长的时间才能破解出来（Windows安全策略默认42天更改一次密码，如

8、果设置了的话）。九、屏幕保护 / 屏幕锁定 密码防止内部人员破坏服务器的一道屏障。在管理员离开时，自动加载。十、使用NTFS分区比起FAT文件系统，NTFS文件系统可以提供权限设置、加密等更多的安全功能。十一、防病毒软件Windows操作系统没有附带杀毒软件，一个好的杀毒软件不仅能够杀除一些病毒程序，还可以查杀大量的木马和黑客工具。设置了杀毒软件，黑客使用那些著名的木马程序就毫无用武之地了。同时一定要注意经常升级病毒库 ！十二、备份盘的安全一旦系统资料被黑客破坏，备份盘将是恢复资料的唯一途径。备份完资料后，把备份盘放在安全的地方。不能把备份放置在当前服务器上，那样的话还不如不做备份。（二） W

9、indows Server 2003的安全结构体系Windows Server 2003是目前最为成熟的网络服务器平台，安全性相对于Windows 2000有很大的提高，本节就从Windows 2003的安全结构体系入手，带领大家学习Windows 2003的安全结构特性。LSA组件概述身份验证1LSA组件概述身份验证是通过基于密码的事务处理来实现的，其中涉及Kerberos或者经典NT LanMan（NTLM）Challenge-Response（质询响应）。Windows 2003使用名为“安全描述符”的特殊数据结构来保护资源。安全描述符指出谁能访问一个资源，以及他们能对这个资源采取什么操

10、作。所有进程都由定义了用户安全上下文的“访问令牌”来进行标识。审核由安全系统中的特殊功能完成，它们能记录对安全记录的访问。在本地安全机构（Local Security Authority，LSA）组件中，包含作为Windows Executive一部分来执行的“核心模式”服务，以及对客户端服务进程（比如交互式登录和网络访问权限的授予）进行控制的“用户模式”服务。LSA中的用户模式安全服务包含在两个可执行程序中，即“本地安全机构子系统（Local Security Subsystem，LSASS.EXE）”以及Winlogon.exe。LSASS容纳着以下进程：（1）Kerberos KDC。该

11、服务提供Kerberos身份验证和票证授予服务。它使用AD来存储安全身份凭据。（2）NTLM安全性支持提供者。它支持所有下级客户端以及非域成员的现代Windows客户端。（3）Netlogon。处理来自下级客户的“直通（Pass-Through）”式身份验证，从而提供对经典NT身份验证的支持。但不支持Kerberos事务处理。在基于AD的域控制器上，它负责注册DNS记录。（4）IPSec。这个服务管理IP Security连接策略和IPSec Internet Key Exchange（IKE）。（5）保护性存储（Protected Storge）。这个服务负责加密并安全存储与PKI子系统关联

12、的证书。LSA组件的“封装”2LSA组件访问一个服务器上的安全资源时，对这个所将发生的安全事务处理进行管理的服务称为“封装”或者“包”。有两种类型的封装：身份验证封装和安全性封装。（1）身份验证封装。Microsoft提供了Kerberos和MSV1_0（质询响应）两种身份验证封装。Windows支持源于DOS的客户端（Windows Me以下）所用的LanMan（LM）质询响应，以及NT客户端和非域成员的现代Windows客户端所用的NT LanMan（NTLM）质询响应。（2）经典安全性数据库。NTLM身份验证将安全信息存储在注册表的3个数据库中。builtin：这个数据库包含Admini

13、straotr和Guest两个默认的用户账户，另外还有各个默认组，如用于域的Domain Users及用于工作站和独立服务器的Power User组。Builtin账户包含在SAM注册表分支中。安全账户管理器（SAM）：这个数据库包含了本地用户和组账户。LSA：这个数据库包含了计算机的密码规则、系统策略以及可信账户。LSA数据库包含在Security Registry分支中，这个分支也包含了SAM数据库的一个副本。Windows得登录身份凭据3WINLOGONLSA需要某种机制从用户处获得登录身份凭据。负责获取这些身份凭据的可执行程序就是Windows exe，当按下Ctrl+Alt+Del组

14、合键时，就调用 Winlogon exe。Winlogon所提供的窗口来源于一个名为“图形标识和身份验证”的DLL。用户登录时，LSA会构建一个访问令牌，用身份安全系统描述这个用户。由用户所有的一个进程在尝试访问一个安全对象时，安全性参考监视器（SRM）会将安全描述中的SID与用户访问令牌中的SID进行比较，并依此得出用户的访问权限集合。用户连接到一个服务器时，服务器上的LSASS必须建立代表该用户的一个本地访问令牌，并将令牌附加到用户的进程上。LSASS通过两种方式以获取构建这个本地访问令牌所需的信息： 如果是Kerberos身份验证，它从客户端出示的Kerberos会话票证的Authori

15、zation Data字段中获取信息。 如果是NTLM身份验证，它从一个域控制器获取信息，这是作为“直通”式身份验证过程的一部分来完成的。LSA工作过程4LSA工作过程概述（1）Windows从用记收集登录身份信息。（2）LSASS获取这些身份凭据，并在Kerberos或者NTLM的帮助（通过MSV1_）下使用这些凭据来验证用户的身份。这是“身份验证”阶段。（3）LSASS构建一个访问令牌，它定义用户的访问权限和系统权限。（4）安全性参考监视器（Security Reference Monitor，SRM）将这个令牌与对象的安全描述符中的访问控制列表（Access Control List，A

16、CL）进行比较，判断是否允许用户访问。这是“授权”阶段。（5）最后，LSASS和SRM配合，监视对安全对象的访问，并生成报告来记录部分或者全部事件。这是“审核”阶段。Windows 2003的改进Windows的安全性历来为人所诟病，直到Windows 2000才有较大改观，但依然难如人意：登录时的输入法漏洞、IIS特殊网址漏洞都是著名的例子。Windows 2000的补丁几乎全是安全补丁，以致有的网管一天不上微软网站心里就不踏实。Windows Server 2003在安全上下了大力气，不仅堵完了已发现的所有NT漏洞，而且还重新设计了安全子系统，增加了新的安全认证，改进了安全算法。处处设防，

17、连访问一个新网站和运行一个新程序都有确认提示。关机和重启模块1关机和重启模块首先应该特别提一下的是Windows Server 2003的关机和重启模块。在该模块中，Windows Server 2003增加了“关闭事件跟踪程序”选项，让你在关机前选一个原因并给出解释。这在桌面系统中纯属多此一举，但在服务器系统中却很重要。因为服务器是连续工作的，非计划的关机或重启意味着事故，所以必须记录在案。从这一小小的改变，可以看出微软确实在Windows Server 2003的安全上下足了功夫。IE安全模块2IE安全模块Windows 2003的安全性比微软以往的操作系统有了大幅提高，内置IE 6.0的

18、安全设置的默认值也被提到了“高”，这无疑是比较保险的办法。但每次浏览不同的网页都会弹出确认窗口，实在有些大煞风景。有些朋友在IE的“工具”“安全”“Internet区域的安全级别”中把安全等级降为“中”或者“中低”来解决。但这必须具有系统管理员级别的用户才能修改，其他用户不能修改，只能忍受微软不厌其烦的安全警告提示。其实大家只要在组策略中把相关的安全设置功能打开就能解决上述问题。首先利用系统管理员身份登录，在运行框中输入“gpedit msc”，回车后进入组策略编辑器，找到“本地计算机策略”“计算机配置”“管理模块”“Windows组件”Internet Explorer。选定该项，把右边的“

19、安全区域：仅是计算机设置”的默认值“未配置”改为“已启用”即可。这样系统管理员设置安全区域为“中”后，其他的用户也能享受“清静”了。Windows 2003的防火墙功能3防火墙在校园网的日常管理与维护中，网络安全正日益受到人们的关注。校园网服务器是否安全将直接影响学校日常教育教学工作的正常进行。为了提高校园网的安全性，网络管理员首先想到的就是配备硬件防火墙或者购买软件防火墙，但硬件防火墙价格昂贵，软件防火墙也价格不菲，这对教学经费比较紧张的广大中小学来说是一个沉重的负担。在此笔者结合自己的工作经验，谈谈如何利用Windows 2003提供的防火墙功能为校园网服务器构筑安全防线。Windows

20、2003提供的防火墙称为Internet连接防火墙，通过允许安全的网络通信通过防火墙进入网络，同时拒绝不安全的通信进入，使网络免受外来威胁。Internet连接防火墙只包含在Windows Server 2003 Standard Edition和32位版本的Windows Server 2003 Enterprise Edition 中。Internet连接防火墙的设置：在Windows 2003服务器上，对直接连接到Internet的计算机启用防火墙功能，支持网络适配器、DSL适配器或者拨号调制解调器连接到 Internet。诞生于Windows 2000 Server的Active Di

21、rectory，作为微软的目录服务和Windows 2000网络的核心，在Windows Server 2003上有了许多增强与改进：如可以使用备份数据安装附加域控制器，拥有更多的Active Directory功能级别，更加顺畅的目录数据复制功能，更加方便的管理功能等。Active Directory技术功能特性在针对Microsoft Windows 2000 Server操作系统所实施的多项重大改进中，Microsoft Active Directory不仅是最为重要、而且也是最容易遭到混淆的技术特性。本节提供了有关Active Directory技术功能特性的概括性资料。就像可提供人员与单位电话信息的电话目录服务一样，Active Directory也是一种可供用来存储全部网络资源信息、并提供针对此类信息之简易访问服务的目录服务功能。这里所说的网络资源主要包括计算机、打印机、共享文件夹和消息队列等对象。Active Directory相当于整个网络环境中的主交换机。该技术可帮助用户和应用程序针对那些已处于网络连接状态的相关资源实施目标定位与访问调用，并在彼此之间实现网络互联。更重要的是，该技术还可供用来确保只有那些经过授权的用户或应用程序方可获准在具备安全保障的前提下针对相关资源实施访问调用。