打造安全的Windows 2003系统-扫描探测-福州电脑维修|上门维修维护|包年电脑维修|IT外包

打造安全的Windows 2003系统

本文主要知识点：Windows 2003宁静设置装备摆设、NTFS系统、加密文件系统（EFS）、系统服务等。
媒介：
2003年5月22日，微软的新一代操纵系统Windows Server 2003中文版开端在国内发行。从Windows95一路用到现在，笔者以为微软在宁静方面做的还算是说的已往的，固然说毛病许多。2003总体感觉上宁静做的还不错，交互式登录、网络身份验证、基于对象的访问控制、比力完备的宁静策略、数据加密掩护……笔者这里要谈的是如何通过宁静的设置装备摆设，使Windows Server 2003宁静性大大加强。
一、安装过程中的宁静题目
1．NTFS系统。
须生长谈的话题了。NTFS系统为一种初级的文件系统，提供了性能、宁静、可靠性以及未在任何FAT格式版本中提供的初级功能，通过它可以实现恣意文件及文件夹的加密和权限设置（这是最直观的宁静设置了），磁盘配额和压缩等初级功能。通过它，你还可以更好的利用磁盘空间，进步系统运转速度……自WindowsNT系统以来，利用NTFS系统曾经渐渐成了一种共鸣。为了体验NTFS系统带来的这些收费的优惠，笔者特意把硬盘全部分区都转成了NTFS系统。如果你在安装时不选用NTFS系统，那么背面的许多宁静设置装备摆设如用户权限设置等你将都不克不及实现。
2．安装过程中有关宁静的提示。
在安装过程中必要输入Administrator密码，新的Windows Server 2003提供了一个比力成熟的密码规矩，当你输入的密码不符合规矩时，就会以图片形式出现如下提示（由于安装未完成，不克不及抓图，请谅解。内容曾经抄下来了）：
您曾经指定的管理员帐户的密码不符合密码的条件，建议利用的密码应符合下列条件之中的前二个及至少三个：
- 至少6个字符
- 不包含"Administrator"或"Admin"
- 包含大写字母（A、B、C等等）
- 包含小写字母（a、b、c等等）
- 包含数字（0、1、2等等）
- 包含非字母数字字符（#、&、~等等）
您确定要继续利用当前密码吗？
之所以说是“比力成熟”的密码规矩，由于就算你的密码设置不符合此规矩也能照样顺利进行下一步安装，这就为以后的系统宁静埋下了隐患。但总的来说，有了这一规矩就曾经很不错了，以前的版本没有，就出现了N多空密码的很快沦为肉鸡的呆板。信赖有了这一提示后，可以在很大水平上减小这种征象。
3．在完全设置装备摆设完成后不要把呆板接到网络中（包括局域网），由于这时候你满的毛病的呆板随时等候别人的“照顾”，只需有人连接上来，便是Admin权限。这一点信赖了解宁静的朋友都晓得。
在整个安装过程中必要细致的根本就这么多了。别的，不晓得各人有没有细致到，按默许安装后，系统根目次下多出来一个0字节的wmpub文件夹，里面又有一个0字节的wmiislog文件夹。厥后发明有一个不明程序在利用这个wmiislog文件夹，但究竟是什么程序，有什么用途用还不清楚，不晓得是否和宁静有关，能否被利用。请晓得的朋友见告一声。
二、低级宁静设置装备摆设
1．封闭默许的磁盘共享，修改组或用户对磁盘的控制权限。
安装完成后，默许是共享了全部硬盘分区的，还包括提供远程IPC和远程管理的两个共享：IPC$和ADMIN$，这就为以后的系统宁静埋下了隐患，图1。办理这个题目有许多措施，这里先容一种简单可行的办理方案。从“计算机管理”里翻开“服务”（或者在运转里键入Services.msc回车），在里面找到Server服务，双击翻开其属性，并设置为“禁用”即可，图2。Server服务是系统默许的和共享有关的服务，支持计算机通过网络的文件、打印和定名管道共享，禁用此服务后，统统基于此服务的其他服务也同时被克制，包括Computer Browser和Distributed File Sysetm两个服务。前一个服务是Windows Server 2003的新服务，利用它可以把疏散的共享归并成一个逻辑称号空间并在网络上管理这些逻辑卷，这能大小气便用户利用和管理那些疏散的共享。后一个服务用来维护网络上计算机的更新列表，并将列表提提供计算机指定欣赏，如果停止此服务，则列表就不会被更新或维护。当禁用Server服务后，这两个服务就不克不及利用。

图 1

图 2
别的，默许Everyone组用户对全部共享拥有完全的控制权，这也是十分伤害的，任何人只需访问共享，就可以完全控制此共享，这当然是不符合宁静要求的，图3。办理的措施也很简单，修改共享的宁静属性，删除Everyone组或修改其访问权限即可。首先在共享上点右键翻开其属性，在“宁静”标签里可以看到此时可以访问此共享的组或用户环境，图3，上面的框表现的是被选中组或用户所拥有的权限。这里可以看到Everyone组拥有完全控制权。现在我们可以根据自己的实际环境来设置装备摆设里面的组或用户拥有的权限。如果继续容许Everyone组用户访问，则必须重新设置其访问权限，只必要把“容许”里的权限背面的方框里的钩去掉即可。如果要删除Everyone组，则单击“删除”即可。如果必要新添加用户或组，使其也可以访问此共享，单击“初级”按钮进入初级宁静设置，如图4。再单击“添加”进入用户选择，单击“初级”，选择“立即查找”就可以找到此计算机上全部的用户和组，图5。这里以Users组为例先容。首先找到并选中Users组，单击“确定”进入权限设置，图6，这里就可以为Users组用户选择共享的权限，完了确定即可。这时候，Users组用户也可以访问此共享，并且拥有为其设置好的权限。

图 3

图 4

图 5

图 6
2．修改组或用户的访问权限，达到必要的宁静要求。
由于在安装时利用了NTFS系统，我们可以对任何文件及文件夹进行权限设置，使得各组和用户对某一文件或文件夹的控制权差别。通过这样的设置装备摆设就能达到一定的宁静要求。这里以Tools文件夹为例先容如何具体设置装备摆设其宁静属性。首先点右键翻开其属性，选择“宁静”标签，可以看到现在可访问此文件夹的全部用户，图7。作为系统管理员，当然是拥有完全控制的权限了，但其他用户或组就不一定要为其分派这么高的权限，这不符合宁静设置装备摆设的准绳，所以就得修改。仍以Users组为例先容。单击“添加”选择用户和组，图8，单击“初级”，再单击“立即查找”即可找到当前计算机的全部用户和组，图5。选择Users组后确定。可以看到此时能访问该文件夹的用户个组除了原来的Administrator还多了一个Users组用户，图9。这里默许权限为读取和运转、列出文件夹目次和读取。根据差别的宁静要求可以为新加的Users组用户设置装备摆设其权限。当然你也可以间接按“删除”把你想要删除的用户或组从列表中删除，这样他就不在有访问此文件夹的权限。

图 7

图 8

图 9
必要细致的几点：
* 此权限设置是基于NTFS系统的，FAT格式的磁盘不克不及进行权限设置。
* 对某一文件的宁静设置装备摆设和对文件夹的宁静设置装备摆设完全一样，从文件的属性里设置装备摆设就行了。
* 如果完全删除了某一文件或文件夹的全部用户或组，会出现图10的提示，如果确定，此文件或文件夹就不可访问，无论你的身份有多高，图11。只有以Admin身份登录，重新设置装备摆设其宁静属性，为其添加新的用户或组。

图 10

图 11
可以看出，通过对文件或文件夹的宁静设置装备摆设，即可达到对恣意文件或文件夹的访问权限控制，从而餍足差别的宁静需求。
3．利用加密文件系统（EFS），加密文件或文件夹。
Windows Server 2003支持利用EFS技能对恣意文件或文件夹进行加密，这是一种核心的文件加密技能，基于NTFS系统，只有NTFS系统的磁盘才能利用此技能。加密后的文件或文件夹就不可被除此用户以外的任何用户访问，而无论你的身份有多高。这样就能更好的掩护自己的敏感数据和紧张文件。上面以Tools文件夹加密为例先容。首先右键翻开其属性，在“通例”标签里“选择“初级”选项进入初级属性，图12，将“加密内容以便掩护数据”框选中并确认，图13。确定后会出现图14所示的选项。如果选择上面一项，则只加密此文件夹，其他用户固然不克不及间接访问此文件夹，但可以通过其他途径如间接键入完备途径来访问里面的内容；如果选择上面一项，则此文件夹内全部的文件和文件夹都将被加密。

图 12

图 13

图 14
利用加密文件系统必要细致以下几点：
* 只有在NTFS系统上才支持数据加密，如果被加密的数据被挪动到FAT格式的磁盘上，则会自动解密。
* 将非加密的数据挪动到已加密的文件夹中，则会被自动加密，并且此过程是不可逆的，即把已加密的文件夹中数据挪动到此文件夹外，数据不会自动解密。
* 无法加密系统文件、已被压缩过的数据和Systemroot文件夹（即安装目次的Windows文件夹）。
* 加密数据不克不及防备被删除或列出目次，具有访问权限的组或用户即可删除或列出已加密数据的目次。所以应结合组或用户权限设置，进一步掩护好数据宁静。
4．通过“软件限定策略”限定恣意程序的利用。
在计算机的一样平常利用中，我们总是必要限定某些用户实行全部或部门程序，通过设置公道的规矩可以锁定系统全部或部门程序的运转。另一方面，随着网络、Internet以及电子邮件在一样平常生活中的利用日益增多，越来越多的病毒和木马会存心进行假装来欺骗我们运转它们。而要做出宁静的选择来确定某个程序是否宁静是十分困难的。“软件限定策略”控制未知或不信任的软件的运转需求，从而从一定水平上达到防备病毒和木马的功效，为营建一个宁静的环境提供了条件。接下来，笔者就先容一下如何设置“软件限定策略”。
从“管理东西”里翻开“当地宁静设置”，在左侧的窗口里，可以看见“软件限定策略”，翻开后里面包含两个选项：“宁静级别”和“其他规矩”，图15。

图 15
在“宁静级别”里，如果选择了“不容许的”作为默许项，会出现一个提示框，图16，确定后，系统会按新的规矩将全部的可实行程序设置为禁用，当试图翻开程序时会提示错误，图17。这就达到了锁定全部程序的目的。解锁的措施当然便是还原“不受限的”为默许项了。

图 16

图 17
在“其他规矩”里，可以定义四种规矩来餍足差别的需求：证书规矩、哈希规矩、Internet区域规矩、途径规矩。这里以“途径规矩”来先容，其他的用法和作用都根本一样。首先在“其他规矩”上点右键，选择“新建途径规矩”，图18。点“欣赏”选好具体的文件夹，在宁静级别里选择“不容许的”，然后确定。这样就达到了对所选的文件夹内全部程序锁定的目的。此时如果继续运转此文件夹内的任何程序都回提示错误，图19。异样在这里可以选择某个具体的程序来锁定。

图 18

图 19
先容了根本的利用方法，但这并不克不及餍足全部的宁静需求。有的时候，我们必要只能运转个别程序，硬盘上其他全部的程序都不克不及运转。如何达到这个目的呢？首先在“宁静级别”里把“不容许的”设置为默许，再到“其他规矩”里设置想运转的程序途径，并设置宁静级别为“不受限的”。这样，除了新规矩划定的程序以外，其他统统程序都不克不及运转。那么如何利用此规矩做好病毒和木马的防备工作呢？我们可以在“其他规矩”里设置新规矩，途径指向邮件附件保存的途径，然后把宁静级别设置为“不容许的”即可。
别的，“软件限定策略”和权限没有干系，如果限定了某个程序不克不及实行，无论你以何身份身份来运转都会提示不克不及运转。经过处置惩罚后的程序对远程登录的用户一样实用。固然设置得当的宁静规矩可以从一定水平上防备病毒和木马的袭击，但切不可把“软件限定策略”当成防病毒软件来利用，这只是缓兵之计。