前言：

　　2003年5月22日，微软的新一代操作系统Windows Server 2003中文版开始在国内发行。从Windows95一路用到现在，笔者觉得微软在安全方面做的还算是说的过去的，虽然说漏洞很多。2003总体感觉上安全做的还不错，交互式登录、网络身份验证、基于对象的访问控制、较完整的安全策略、数据加密保护……笔者这里要谈的这款Windows Server 2003是按默认安装的，机器配置一般。目的是通过下面介绍的安全配置，使其安全性大大加强。昨天我们刊登了上半部份，今天刊登下半部份的内容。

　　三、高级安全设置

　　1．禁止不必要的服务，杜绝隐患。
　　　　
　　服务从本质上说也只是一个程序而已，它与其他程序所不同的地方在于它提供一种特殊的功能来支持系统完成特定的工作。Windows Server 2003安装完后默认有84项服务，默认随系统启动的有36项。这里面每一项服务是否安全，特别是那些随系统启动的服务是否有被利用的可能性，这对安全来说了非常重要的。在Windows Server 2003发行后不到2个月就被人发现有了一个基于一项默认服务的漏洞，幸好这个漏洞对Windows Server 2003的危害程度较低，而且这项服务默认状态下是关闭的。下面笔者就结合自己的经验，谈一谈如何安全地配置好系统的所有服务。

　　从“管理工具”里打开“服务”，图20。可以看到系统所有服务的具体情况。这里仅以典型的Remote Registry服务为例介绍，目的在于提供一个安全配置服务的方法。在服务列表里找到Remote Registry服务，可以看到左面空白部分对这一服务的解释为“使远程用户能修改此计算机上的注册表设置。如果此服务被终止，只有此计算机上的用户才能修改注册表……”，可以看出，正常情况下并不需要这项服务，而且如果启用这项服务还可能给系统带来安全隐患，所以必须禁用。双击Remote Registry服务进入其属性设置，图21。在“启动类型”里把默认的“自动”修改为“禁用”，最后确定即可。当此服务被关闭后，一切和注册表有关的远程行为都被终止，这也使得一些恶意网页对本地注册表的修改成了泡影，网上的恶意用户也别想对注册表进行修改和设置，大大降低了系统被破坏和被中上木马的几率，达到了维护系统安全的目的。

图 20



图 21

　　一个有趣的现象是，微软对Windows Installer服务的介绍中，竟然出现了错别字！！呵呵，图22。

图 22
　　2．改变远程控制的默认模式。
　　
　　对于个人用户来说，终端服务（不同与上面介绍过的服务）一般来说是不适用的，它的危险性远大于它带来的帮助，它允许从网络中的任何虚拟计算机上管理你的机器。看看微软的说明：可使用运行 Windows Server 2003家族操作系统的任何计算机，通过“管理远程桌面”，来远程管理服务器。使用系统自带的“远程桌面连接”即可完成连接和控制，图23。所以，对于普通用户来说，必须禁止终端服务。从“管理工具”中进入“终端服务配置”，在连接上点右键选择其属性，图24。在连接属性上选择“远程控制”标签，选中“不允许远程控制”后确定，图25。通过这样的修改，即可避免远程用户的非法连接。

图 23



图 24



图 25

　　3．配置本地安全设置。

　　虽然微软声称Windows Server 2003按默认安装后其安全性很强，但笔者发现其实不然，也有很多地方需要经过细心配置才能达到所需要的安全性。“本地安全设置”就是需要好好配置的一块地方。

　　从“管理工具”里打开“本地安全设置”，图26。其中的密码策略、帐户锁定策略、审核策略、拥护权限分配、安全选项等都需要仔细配置。笔者以“用户权限分配”为例介绍方法。选中“用户权限分配”后可以看到可进行某一行为的所有默认组，如图26中第七项，可以看到一共有5个组的用户拥有从远程访问计算机的权限，这是不符合我们的安全要求的，需要从新配置。双击这一项打开其属性，图27。这里可以删除Everyone、Power Users和Users组，或者也可以单击“添加用户或组”来从新确定可从远程访问此计算机的用户或组。参考图5和图8。

图 26



图 27

　　上面所介绍的只是方法，具体要设置那些行为的权限，就要看用户的具体情况了。虽然这需要有较大的耐心一项一项的配置，但它却是一劳永逸的做法。另外图26所示的每一项策略，都需要具体配置，这样才能打造出一道坚不可摧的系统防线。

　　四、一些安全常识和注意事项

　　1．杜绝基于Guest帐户的系统入侵。

[1] [2] [3]  下一页