Windows 2008服务器安全重在预防.docVIP

Windows 2008服务器安全重在预防 　　服务器是单位局域网的核心，诸如财务信息、客户信息这样的重要数据，都会存储在服务器中。但由于服务器的开放性以及自身其他一些缺陷，它很容易遭遇各种各样的安全攻击。一旦服务器被攻击发生问题，轻则会引起系统资源迅速耗尽，无法正常访问其中的内容，重则会造成系统瘫痪，甚至会引起经济损失，或给单位造成不可挽回的影响。为此，我们需要未雨绸缪，提前做好预防措施，让服务器远离各种各样的安全攻击。下面，本文以Windows 2008服务器系统为例，给大家推荐几则安全预防技巧。 　　检查是否有隐藏账号 　　为了达到悄悄攻击目的，黑客往往会在服务器系统中生成隐藏账号，并利用该账号将服务器主机变成肉机。当黑客入侵Windows 2008服务器后，会全力以赴保护攻击“成果”，最为有效、最为简单的方法，就是生成隐藏账号，预留攻击后门；由于隐藏账号十分隐蔽，普通人很难发现，它的危害性十分巨大。 　　黑客一般会采取两种方法，在服务器系统中创建隐藏账号，一是通过修改注册表生成隐藏账号，二是直接使用“$”符号生成隐藏账号。水平不高的黑客，经常会用“$”符号创建隐藏账号，寻找这类隐藏账号时，只要先进入服务器系统DOS命令行窗口，执行“net localgroup administrators”命令，就能在其后界面中，看到所有以“$”符号结尾的隐藏账号了，如图1所示。当然，我们也可以进入服务器系统的计算机管理窗口，定位到“系统工具”|“本地用户和组”|“用户”节点上，查看该节点下的内容，也能找到“$”符号的隐藏账号，因为这种类型账号在这里是没有办法隐藏起来的。 　　对于通过系统注册表生成的隐藏账号，采取上面的措施，是无法让其现身的，我们也必须进入服务器系统的注册表编辑界面，才能发现这类隐藏账号：依次选择“开始”|“运行”命令，在弹出的系统运行对话框中，执行“regedit”命令，切换到系统注册表编辑界面，将鼠标定位到HKEY_LOCAL_MACHINE＼SAM＼SAM＼Domains＼Account＼Users＼Names分支上，在目标分支下，我们能看到服务器系统中的所有用户账号。下面，仔细对比这里以及计算机管理窗口中“系统工具”|“本地用户和组”|“用户”节点下的内容，多余出来的账号名称显然就是黑客偷偷创建的隐藏账号了。如果想将隐藏账号删除时，可以直接用鼠标右键单击目标账号，执行快捷菜单中的“删除”命令即可。 　　为了能及时监控到隐藏账号的行踪，我们可以开启服务器系统的审核功能，来追踪并切断恶意用户通过隐藏账号攻击服务器的途径。打开服务器系统运行对话框，执行“gpedit.msc”命令，切换到系统组策略编辑界面，将鼠标定位到“计算机配置”|“Windows设置”|“安全设置”|“本地策略”|“审核策略”节点上，用鼠标双击目标节点下的“审核登录事件”选项，打开对应选项设置对话框，选中“成功”、“失败”选项，确认后退出设置对话框。同样地，我们还可以对“审核过程追踪”、“审核策略更改”等选项，进行合适的设置。设置成功后，Windows 2008服务器就能自动监控所有用户账号的登录痕迹了，哪怕是隐藏账号也难逃法眼。 　　无论是再狡猾的隐藏账号，只要它出现在服务器系统中，我们都能通过事件查看器程序，来准确将其识别出来，不但能准确找到隐藏账号的具体名称，而且连它的登录时间也能识别得清清楚楚。哪怕遇到技术水平很高的黑客，偷偷删除了所有相关的日志内容，服务器系统还能追踪到究竟是哪位用户删除了日志内容，这样黑客使用的隐藏账号仍然会被监控到。 　　当我们通过上面的方法，追踪到隐藏账号的具体名称后，就能下手将其删除掉了。比方说，要删除“bbbb$”隐藏账号时，直接在DOS命令行窗口执行“net user bbbb$ /delete”命令即可。如果我们对DOS命令操作不熟悉，也可以打开系统的计算机管理窗口，定位到“本地用户和组”|“用户”分支上，在目标分支下就能很直观地看到添加了“$”字符的系统隐藏账号了。此时，用鼠标右键单击目标隐藏账号，执行右键菜单中的“删除”命令，就能轻松删除目标系统隐藏账号了。此外，也有一些复杂的系统隐藏账号，我们既不能在DOS命令行窗口中看到它的“身影”，也不能在计算机管理窗口中看到它的“身影”，只能从系统的安全日志文件中找到它们的账号名称。对于这类特殊的系统隐藏账号，我们无法直接将其删除，只能在DOS命令行窗口中使用“net user bbbb$ 1234”之类的命令修改隐藏账号的密码，让目标隐藏账号不能继续生效，拒绝黑客、木马继续使用该账号攻击服务器系统。 　　检查是否有危险登录 　　虽然普通用户无法靠近服务器主机现场，但是我们并不能确保自己离开Windows 2008服务器系统时，没有