打造安全的Windows 2003

韩冰

本文主要知识点：Windows 2003安全配置、NTFS系统、加密文件系统（EFS）、系统服务等。 9 t! |5 `: C! j5 g. ` z- ?# C

　　前言：

　　2003年5月22日，微软的新一代操作系统Windows Server 2003中文版开始在国内发行。从Windows95一路用到现在，笔者觉得微软在安全方面做的还算是说的过去的，虽然说漏洞很多。2003总体感觉上安全做的还不错，交互式登录、网络身份验证、基于对象的访问控制、比较完整的安全策略、数据加密保护……笔者这里要谈的是如何通过安全的配置，使Windows Server 2003安全性大大加强。

　　一、安装过程中的安全问题

. i! a- P' a1 ?6 D) `1 V) S( I

　　1．NTFS系统。

' i' G; a G' ]

　　老生长谈的话题了。NTFS系统为一种高级的文件系统，提供了性能、安全、可靠性以及未在任何FAT格式版本中提供的高级功能，通过它可以实现任意文件及文件夹的加密和权限设置（这是最直观的安全设置了），磁盘配额和压缩等高级功能。通过它，你还可以更好的利用磁盘空间，提高系统运行速度……自WindowsNT系统以来，使用NTFS系统已经逐渐成了一种共识。为了体验NTFS系统带来的这些免费的优惠，笔者特意把硬盘所有分区都转成了NTFS系统。如果你在安装时不选用NTFS系统，那么后面的很多安全配置如用户权限设置等你将都不能实现。

" _+ f' R# w* |5 A! D+ n6 ^

2．安装过程中有关安全的提示。

　　在安装过程中需要输入Administrator密码，新的Windows Server 2003提供了一个比较成熟的密码规则，当你输入的密码不符合规则时，就会以图片形式出现如下提示（由于安装未完成，不能抓图，请谅解。内容已经抄下来了）：

　　您已经指定的管理员帐户的密码不符合密码的条件，建议使用的密码应符合下列条件之中的前二个及至少三个：

　　- 至少6个字符 L( r- Q1 d4 e5 I5 C' a　　- 不包含"Administrator"或"Admin" & m4 U0 M4 O' p# G: x) \　　- 包含大写字母（A、B、C等等） 　　- 包含小写字母（a、b、c等等） 　　- 包含数字（0、1、2等等） 　　- 包含非字母数字字符（#、&、~等等） * D! f6 p" L, F& v% F　　您确定要继续使用当前密码吗？

　　之所以说是“比较成熟”的密码规则，因为就算你的密码设置不符合此规则也能照样顺利进行下一步安装，这就为以后的系统安全埋下了隐患。但总的来说，有了这一规则就已经很不错了，以前的版本没有，就出现了N多空密码的很快沦为肉鸡的机器。相信有了这一提示后，可以在很大程度上减小这种现象。

　　3．在完全配置完成后不要把机器接到网络中（包括局域网），因为这时候你满的漏洞的机器随时等候别人的“照顾”，只要有人连接上来，就是Admin权限。这一点相信了解安全的朋友都知道。

2 G, l' M& O# d) ?3 Z8 r2 t

　　在整个安装过程中需要注意的基本就这么多了。另外，不知道大家有没有注意到，按默认安装后，系统根目录下多出来一个0字节的wmpub文件夹，里面又有一个0字节的wmiislog文件夹。后来发现有一个不明程序在使用这个wmiislog文件夹，但到底是什么程序，有什么用途用还不清楚，不知道是否和安全有关，能否被利用。请知道的朋友告知一声。 二、初级安全配置

/ A [& o& L2 E3 q, J x5 O

　　1．关闭默认的磁盘共享，修改组或用户对磁盘的控制权限。

: }: ]: g, r# z( B/ L- c

　　安装完成后，默认是共享了所有硬盘分区的，还包括提供远程IPC和远程管理的两个共享：IPC$和ADMIN$，这就为以后的系统安全埋下了隐患，图1。解决这个问题有很多办法，这里介绍一种简单可行的解决方案。从“计算机管理”里打开“服务”（或者在运行里键入Services.msc回车），在里面找到Server服务，双击打开其属性，并设置为“禁用”即可，图2。Server服务是系统默认的和共享有关的服务，支持计算机通过网络的文件、打印和命名管道共享，禁用此服务后，一切基于此服务的其他服务也同时被禁止，包括Computer Browser和Distributed File Sysetm两个服务。前一个服务是Windows Server 2003的新服务，利用它可以把分散的共享合并成一个逻辑名称空间并在网络上管理这些逻辑卷，这能大大方便用户使用和管理那些分散的共享。后一个服务用来维护网络上计算机的更新列表，并将列表提供给计算机指定浏览，如果停止此服务，则列表就不会被更新或维护。当禁用Server服务后，这两个服务就不能使用。

9 ~. @: y- L, F! Z: n) x ( X" E" E& A7 }) V+ y4 Z% h 图 1 N( K! J' O. v* Q" V3 S7 o+ V 4 H, v4 u/ ]7 V! k: h图 2

3 n3 w' u0 J" N- p4 I

　　另外，默认Everyone组用户对所有共享拥有完全的控制权，这也是非常危险的，任何人只要访问共享，就可以完全控制此共享，这当然是不符合安全要求的，图3。解决的办法也很简单，修改共享的安全属性，删除Everyone组或修改其访问权限即可。首先在共享上点右键打开其属性，在“安全”标签里可以看到此时可以访问此共享的组或用户情况，图3，下面的框显示的是被选中组或用户所拥有的权限。这里可以看到Everyone组拥有完全控制权。现在我们可以根据自己的实际情况来配置里面的组或用户拥有的权限。如果继续允许Everyone组用户访问，则必须从新设置其访问权限，只需要把“允许”里的权限后面的方框里的钩去掉即可。如果要删除Everyone组，则单击“删除”即可。如果需要新添加用户或组，使其也可以访问此共享，单击“高级”按钮进入高级安全设置，如图4。再单击“添加”进入用户选择，单击“高级”，选择“立即查找”就可以找到此计算机上所有的用户和组，图5。这里以Users组为例介绍。首先找到并选中Users组，单击“确定”进入权限设置，图6，这里就可以为Users组用户选择共享的权限，完了确定即可。这时候，Users组用户也可以访问此共享，并且拥有为其设置好的权限。

图 3 ) ?5 A: _3 _3 a9 Y, {+ C% N ' l- B+ o4 y7 p! L图 4 0 G7 U0 S2 X( W. X5 H 图 5 H+ _- Q5 z1 F; b- s , F& a6 ^- X% T! N" F5 w 图 6

: D" Q$ b9 q/ ~$ z, ~7 f2．修改组或用户的访问权限，达到需要的安全要求。

, z6 ^) }4 F3 p% i0 f& {: X

6 `" z7 h( P8 Y1 q' O2 v

　　由于在安装时使用了NTFS系统，我们可以对任何文件及文件夹进行权限设置，使得各组和用户对某一文件或文件夹的控制权不同。通过这样的配置就能达到一定的安全要求。这里以Tools文件夹为例介绍如何具体配置其安全属性。首先点右键打开其属性，选择“安全”标签，可以看到目前可访问此文件夹的所有用户，图7。作为系统管理员，当然是拥有完全控制的权限了，但其他用户或组就不一定要为其分配这么高的权限，这不符合安全配置的原则，所以就得修改。仍以Users组为例介绍。单击“添加”选择用户和组，图8，单击“高级”，再单击“立即查找”即可找到当前计算机的所有用户和组，图5。选择Users组后确定。可以看到此时能访问该文件夹的用户个组除了原来的Administrator还多了一个Users组用户，图9。这里默认权限为读取和运行、列出文件夹目录和读取。根据不同的安全要求可以为新加的Users组用户配置其权限。当然你也可以直接按“删除”把你想要删除的用户或组从列表中删除，这样他就不在有访问此文件夹的权限。

韩冰

图 7 图 8 . s: I+ u- E# {; m: x! \$ A# s. [ 图 9

　　需要注意的几点：

　　* 此权限设置是基于NTFS系统的，FAT格式的磁盘不能进行权限设置。 4 E) V, ]& {0 k( @6 K8 y　　* 对某一文件的安全配置和对文件夹的安全配置完全一样，从文件的属性里配置就行了。 2 P, v, h7 J( x& t/ M* W% u: p$ o　　* 如果完全删除了某一文件或文件夹的所有用户或组，会出现图10的提示，如果确定，此文件或文件夹就不可访问，无论你的身份有多高，图11。只有以Admin身份登录，从新配置其安全属性，为其添加新的用户或组。

a2 X( D6 D6 E6 k4 ?" s9 T& D8 o 图 10 ^% ^3 X' }+ W% r6 b* J" h 4 T# [( S3 G& i1 b. @ 1 H4 C3 y0 V) b图 11

　　可以看出，通过对文件或文件夹的安全配置，即可达到对任意文件或文件夹的访问权限控制，从而满足不同的安全需求。 　　3．利用加密文件系统（EFS），加密文件或文件夹。

: ]) X; |) P& f$ I1 K0 f

　　Windows Server 2003支持利用EFS技术对任意文件或文件夹进行加密，这是一种核心的文件加密技术，基于NTFS系统，只有NTFS系统的磁盘才能使用此技术。加密后的文件或文件夹就不可被除此用户以外的任何用户访问，而无论你的身份有多高。这样就能更好的保护自己的敏感数据和重要文件。下面以Tools文件夹加密为例介绍。首先右键打开其属性，在“常规”标签里“选择“高级”选项进入高级属性，图12，将“加密内容以便保护数据”框选中并确认，图13。确定后会出现图14所示的选项。如果选择上面一项，则只加密此文件夹，其他用户虽然不能直接访问此文件夹，但可以通过其他途径如直接键入完整路径来访问里面的内容；如果选择下面一项，则此文件夹内所有的文件和文件夹都将被加密。

a w. w% q$ b. a% F# O图 12 0 j8 J# \6 y% t# ]2 ~' } 1 C- H% p, f4 E' u) v- u 图 13 7 l) V# T1 S( a9 U6 _3 T: ? $ v3 h( [7 [) y% d1 K3 ?, f 5 N" ~- @2 N% a! s( @图 14

　　使用加密文件系统需要注意以下几点：

　　* 只有在NTFS系统上才支持数据加密，如果被加密的数据被移动到FAT格式的磁盘上，则会自动解密。 7 Z- {# [, ~" G a　　* 将非加密的数据移动到已加密的文件夹中，则会被自动加密，而且此过程是不可逆的，即把已加密的文件夹中数据移动到此文件夹外，数据不会自动解密。 1 w/ z+ T. W5 D# ^, f# y　　* 无法加密系统文件、已被压缩过的数据和Systemroot文件夹（即安装目录的Windows文件夹）。 　　* 加密数据不能防止被删除或列出目录，具有访问权限的组或用户即可删除或列出已加密数据的目录。所以应结合组或用户权限设置，进一步保护好数据安全。

4．通过“软件限制策略”限制任意程序的使用。

　　在计算机的日常使用中，我们总是需要限制某些用户执行所有或部分程序，通过设置合理的规则可以锁定系统所有或部分程序的运行。另一方面，随着网络、Internet以及电子邮件在日常生活中的使用日益增多，越来越多的病毒和木马会故意进行伪装来欺骗我们运行它们。而要做出安全的选择来确定某个程序是否安全是非常困难的。“软件限制策略”控制未知或不信任的软件的运行需求，从而从一定程度上达到预防病毒和木马的功效，为营造一个安全的环境提供了条件。接下来，笔者就介绍一下如何设置“软件限制策略”。 % T) x8 P# z1 B + ^; C7 o/ J& X' u　　从“管理工具”里打开“本地安全设置”，在左侧的窗口里，可以看见“软件限制策略”，打开后里面包含两个选项：“安全级别”和“其他规则”，图15。

% y0 O7 k9 y" L, B图 15

　　在“安全级别”里，如果选择了“不允许的”作为默认项，会出现一个提示框，图16，确定后，系统会按新的规则将所有的可执行程序设置为禁用，当试图打开程序时会提示错误，图17。这就达到了锁定所有程序的目的。解锁的办法当然就是还原“不受限的”为默认项了。

0 L/ X6 y4 b' o- x图 16 2 K' l! X$ @7 T3 ^& u ( i/ m1 B" L3 I) e9 {1 x + S9 f3 Y2 b/ W# a f9 c J$ Y 9 T E' C! X1 X! {3 f# k图 17

　　在“其他规则”里，可以定义四种规则来满足不同的需求：证书规则、哈希规则、Internet区域规则、路径规则。这里以“路径规则”来介绍，其他的用法和作用都基本一样。首先在“其他规则”上点右键，选择“新建路径规则”，图18。点“浏览”选好具体的文件夹，在安全级别里选择“不允许的”，然后确定。这样就达到了对所选的文件夹内所有程序锁定的目的。此时如果继续运行此文件夹内的任何程序都回提示错误，图19。同样在这里可以选择某个具体的程序来锁定。

图 18 & ~3 u/ b) X; A! n 8 F% w( {6 L) u5 ?+ W8 T/ E) X. P图 19

　　介绍了基本的使用方法，但这并不能满足所有的安全需求。有的时候，我们需要只能运行个别程序，硬盘上其他所有的程序都不能运行。如何达到这个目的呢？首先在“安全级别”里把“不允许的”设置为默认，再到“其他规则”里设置想运行的程序路径，并设置安全级别为“不受限的”。这样，除了新规则规定的程序以外，其他一切程序都不能运行。那么如何利用此规则做好病毒和木马的防御工作呢？我们可以在“其他规则”里设置新规则，路径指向邮件附件保存的路径，然后把安全级别设置为“不允许的”即可。

　　另外，“软件限制策略”和权限没有关系，如果限制了某个程序不能执行，无论你以何身份身份来运行都会提示不能运行。经过处理后的程序对远程登录的用户一样适用。虽然设置适当的安全规则可以从一定程度上防御病毒和木马的袭击，但切不可把“软件限制策略”当成防病毒软件来使用，这只是缓兵之计。