- 1、本文档共6页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
Win2000网络服务器系统安全解决方案
WinNT/2000 网络服务器系统安全解决方案
随着XXXXXX电子化业务的逐步发展,特别是现在数据大集中时期,各项电子化业务越来越多采用服务器/客房机模式,如货币发行管理系统、ABS、帐户管理系统等。因此作为服务器的软硬件稳定性越来越重要。?Windows? 2000 Server产品建立于强大的Windows NT? 技术之上,具备高可靠性和高效的管理,并且支持最新的网络硬件技术,提供了实现业务应用和与Internet集成的最佳基础,WINDOWS2000系统越来越多的被应用为各项业务系统的网络服务器。
但由于Windows 2000的安全问题一直比较突出, 使得一些每个基于WINDOWS2000的服务器都有一种如履薄冰的感觉,微软并没有明确的坚决方案,推出了一个又一个补丁程序,各种安全文档上对于NT的安全描述零零碎碎,给人们的感觉是无所适从。为此,本文从网络服务器操作系统安全弱点引出问题,从服务器的安全设置,加固??作系统等方面进行讨论,以图加强网络服务器的安全部署,保护您的各项业务安全稳定的运行。
WIN2000系统的弱点和漏洞造成网络服务器的不安全运行
WINDOWS2000及IIS服务用得非常广泛,受到的攻击也比较频繁,它们也暴露了相当多的弱点,典型的有:Unicode漏洞攻击,缓冲区溢出攻击,空会话连接泄露等。
影响网络服务器系统安全的常见因素有:使用弱口令或空口令的帐号,无备份或备分不完整,大量打开的端口,恶意代码攻击,无保护的Windows网络共享,无日志或日志不完善等。
网络服务器的安全策略
一、及时安装系统服务包和安全补丁。
安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows Update,安装所有的关键更新。
二、帐户与密码安全策略
在NT/2000操作系统中,系统帐户与密码是攻击者攻击的重点。帐户和密码一旦被破解,系统也就无任何安全可言了。因此需要对帐户和密码应用一定的安全策略。
禁止和删除不必要的帐户。除了系统维护的帐户名,多余的帐户一个也不要,尽可能的减少帐户登录危险;
设置增强的密码策略:增加密码长度,设置一个与系统或网络相适应的最短密码存留期(典型的为1—7天),设置一个与系统或网络相适应的最长密码存留期(典型的不超过42天),设置密码历史至少6个,强制系统记录最近使用过的几个密码,启用 “密码必须符合复杂性要求”,强制用户配置密码属性,避免使用过于简单的弱密码;
设置帐户锁定策略。通过帐户锁定策略,当若干次登录尝试失败后,帐户将被锁定,以防止攻击者使用暴力法破解用户帐号和密码。
4、严格控制帐户特权。尽可能少的赋予系统中每个用户帐号权力,轻易不要给帐号以特殊权限,不要授予一般用户本机登录权限。可根据用户的使用权限和职责,删除该用户的某些特权。
三、删除与网络服务器无关的软件和服务,保持系统的清洁和最低运行需求。
1、删除或禁用不必要的组件和服务。
作为应用服务器,应该及时禁止一些不必要的网络服务、协议、子系统和应用程序,从而减少系统遭到攻击的可能性。在Windows2000系统中一般情况下禁止下列服务:
ClipBookSewer服务:该服务允许通过网络取得系统剪贴板内容的访问权。
Computer Browser服务:该服务会引起网络性能的下降和名字解析的问题,对普通服务来说,没必要使用该服务。
Net Logon服务:用于网络认证,对于网络服务来说没有必要。
Network DDE and DDE DSDM:如果不需要动态交换数据,应禁止该服务;
Remote Registor Service:该服务允许进行远程注册表操作,应禁止该服务;
Routing and Remote Access Service:用于支持远程访问及路由功能,应禁止该服务;
Schedule:运行计划作业所需的服务,如果不用高级任务,应禁止该服务;
Server:用于将本系统的资源共享。如果本系统不提供文件及打印共享,应禁止该服务;
Elephony Server:用于支持RAS。如果不使用RAS,应禁止该服务;
Time Server:进行时钟同步的服务。可以考虑停止该服务;
UPS:用于支持不间断电源系统。如果服务器不监控UPS,则禁止该服务;
Workstation:用于访问其它WINDOWS2000的共享资源。可以考虑停止该服务;
可在“计算机管理”控制台中打开“服务”项目,停止某项服务,并更改启动类型,最好设置为“已禁用”。如下图:
如果要彻底地清除某些服务,可通过删除WINDOWS组件方式来实现。从“控制面板”中选择“添加/删除程序”—“添加/删除WINDOWS组件”,
文档评论(0)