隨著計算機(jī)網(wǎng)絡(luò)應(yīng)用的飛速發(fā)展，微軟公司的WindowsServer系列產(chǎn)品因為表現(xiàn)出高可靠性、高效率與較好的經(jīng)濟(jì)性，中小企業(yè)機(jī)房的服務(wù)器安裝使用它是越來越多。操作系統(tǒng)作為計算機(jī)系統(tǒng)中最基本、最重要的軟件，它在運行過程中可能會出現(xiàn)各種各樣的異常狀態(tài)，這些異常狀態(tài)往往會帶來安全威脅，對服務(wù)器內(nèi)的數(shù)據(jù)造成破壞。

1 計算機(jī)安全等級標(biāo)準(zhǔn)

    1．1美國可信計算機(jī)系統(tǒng)評估準(zhǔn)則

    1983年美國國防部計算機(jī)安全保密中心制訂了第一個計算機(jī)系統(tǒng)安全評價標(biāo)準(zhǔn)的技術(shù)性法規(guī)《可信計算機(jī)系統(tǒng)評估準(zhǔn)則》(Trusted Computer System Evaluation Criteria，TCSEC)簡稱橘皮書。

    橘皮書將計算機(jī)系統(tǒng)的安全劃分為4個等級，安全級別低到高：D級為最小保護(hù)，c級分為選擇的安全保護(hù)cl級和受控的訪問環(huán)境c2級，B級分為標(biāo)號安全保護(hù)B1級、結(jié)構(gòu)化安全保護(hù)B2級和安全域機(jī)制B3級，A級為可驗證的安全設(shè)計。

    1．2中國計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則

    1999年中華人民共和國公安部制定了《汁算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》國家標(biāo)準(zhǔn)，已于2001年由國家質(zhì)量技術(shù)監(jiān)督局發(fā)布。這項標(biāo)準(zhǔn)將計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分為5個級別：第1級用戶自主保護(hù)，第2級系統(tǒng)審計保護(hù)，第3級安全標(biāo)記保護(hù)，第4級結(jié)構(gòu)化保護(hù)級，第5級訪問驗證保護(hù)級。

2 Windows Server安全診斷項目

    作為中小企業(yè)Windows Server用戶，操作系統(tǒng)安全是非常重要的，系統(tǒng)管理人員對用戶賬戶和密碼、注冊表、安全事件、端口和協(xié)議的安全作為重點診斷項目。

    2．1用戶賬戶和密碼設(shè)置

    2．1．1 SAM安全賬戶安全機(jī)制

    在Windows Senrer系統(tǒng)內(nèi)，SAM安全賬戶管理器負(fù)責(zé)保護(hù)用戶賬戶名和密碼，它是系統(tǒng)注冊表的組成部分，它保存在％systemroot％＼system32＼config、sam中，在域控制器上它保存在活動目錄中％systemmot％kntds＼ntds．dit。賬戶密碼通過散列并被加密，目前Windows系統(tǒng)采用有4種密碼加密技術(shù)：Lan—Manager(簡稱LM)口令散列算法、NT LAN Manager(簡稱NTLM)、NTLMv2、Kerberos V5。

    LanManager口令散列算法對口令的處理采用的14位長度，如口令不足14位就用0把口令補(bǔ)足，對口令中的字母轉(zhuǎn)換成大寫字母后將口令分成兩組7位的數(shù)字，再由這兩個7位數(shù)字分別生成8位的數(shù)據(jù)加密鑰匙，每個數(shù)據(jù)加密鑰匙又再使用一個魔法數(shù)字進(jìn)行散列加密形成64位的值，將兩組64位的值連在一起就構(gòu)成了LM的128位口令散列。從上面的敘述可看出，如果口令設(shè)置在14位以內(nèi)，則密碼破解只需要分開成2個7位來考慮。NT LAN Manager口令算法對口令的處理先轉(zhuǎn)換成unicode編碼，再使用MD4算法將口令加密。對于這兩種密碼加密技術(shù)使用了較弱的密鑰和算法，入侵者使用常見的Winternalslocksmith、L0phtcrack5、Elcomsoftadaneedntsecurityexplorer、Windows XP／2000／NT key、John the ripper等密碼破解工具就可以輕松破解，所以采用NTLMv2加密技術(shù)可以使中小企業(yè)Windows Server更加安全。

    2．1．2密碼設(shè)置要求

    管理員對用戶賬戶需要設(shè)置安全可靠的密碼：

    (1)如需要最高級別的安全性，至少設(shè)置15個字符：

    (2)密碼應(yīng)使用英文字母大小寫、數(shù)字、字符組合構(gòu)成：

    (3)不要使用相關(guān)人員的中英文姓名、用戶名、地名、電話號碼、常用詞匯作為密碼：

    (4)管理者不要與其他系統(tǒng)密碼共享使用：

    (5)密碼需要定期更換，時間不能太長。

    2．1．3其他常見保護(hù)方法

    對于Administrator賬戶可以采用重命名的方式進(jìn)行保護(hù)，也可以在使用后注意不要保持在登錄狀態(tài)或直接關(guān)閉賬戶來進(jìn)行保護(hù)。

    對于Guest賬戶可以采用關(guān)閉、停用、重命名方式進(jìn)行保護(hù)，也可以根據(jù)實際情況將Guest賬戶列入拒絕從網(wǎng)絡(luò)訪問名單中，防止Guest賬戶從網(wǎng)絡(luò)訪問服務(wù)器、關(guān)閉服務(wù)器以及查看日志。

    使用Syskey實用程序?qū)�SAM安全賬戶數(shù)據(jù)庫文件進(jìn)行二次加密。

    2．2注冊表的診斷

    對于系統(tǒng)安全要保護(hù)注冊表各項鍵值不被惡意修改和對注冊表進(jìn)行訪問權(quán)限的限制。作為管理員可使用Filemon文件系統(tǒng)監(jiān)視軟件監(jiān)控文件系統(tǒng)和對I／O系統(tǒng)事件的跟蹤，使用Registry Monitor注冊表數(shù)據(jù)監(jiān)視軟件對注冊表進(jìn)行實時監(jiān)視，對注冊表的讀取、修改、出錯信息等進(jìn)行實時記錄，并可對記錄進(jìn)行保存、過濾、查找處理，為系統(tǒng)管理診斷注冊表帶來極大的便利，還可利用Active Registry Monitor工具軟件，對Windows注冊表進(jìn)行快照，從而對比出注冊表的變化。

    2．3安全事件的診斷

    (1)Windows Server可啟用安全審核。利用本地安全策略，對計算機(jī)使用一些重要操作規(guī)程進(jìn)行審核。例如禁止枚舉賬號，重命名系統(tǒng)管理員賬戶名稱及禁用來賓賬戶，定義密碼最長存留期，審核對象訪問功能可跟蹤用戶賬戶訪問對象、系統(tǒng)關(guān)閉重啟、登錄嘗試等事件。

    (2)查看Windows Server的安全日志。管理員可查看Windows Server的事件查看器，了解系統(tǒng)運行狀態(tài)就可對異常狀態(tài)進(jìn)行診斷。

    (3)使用EventCombMT實用工具提高查看系統(tǒng)安全日志的效率。

    2．4端口和協(xié)議的安全診斷

    系統(tǒng)常用端口和協(xié)議，系統(tǒng)管理者要清楚，需要使用的端口就啟用，需要使用的協(xié)議就安裝。

    (1)活動的端口及其應(yīng)用程序運行情況的診斷

    使用系統(tǒng)的任務(wù)管理器的進(jìn)程菜單了解，也可使用Tasklist命令、Tlist命令、Netstat命令來顯示運行在本地或遠(yuǎn)程計算機(jī)上的所有進(jìn)程、任務(wù)的應(yīng)用程序和服務(wù)列表、顯示路由表、顯示實際網(wǎng)絡(luò)連接及每一個網(wǎng)絡(luò)接口設(shè)備的狀態(tài)信息，通過本機(jī)各端口的網(wǎng)絡(luò)連接隋況，診斷是否有安全異常狀態(tài)。

    (2)端口訪問的限制方法

    使用Windows Server的TCP／IP篩選器，根據(jù)源或目標(biāo)IP地址、端口、協(xié)議來拒絕或允許訪問。啟用Intemet Connec—tion Firewall(ICF)，它可防止外部入侵者企圖訪問可能有監(jiān)聽程序運行的端口，可以阻止除自己計算機(jī)發(fā)起通信的響應(yīng)之外的所有訪問。啟動IP Security，提供通過加密和身份驗證保護(hù)訪問。

    (3)關(guān)閉不需要的系統(tǒng)服務(wù)

    使用Windows Server的服務(wù)控制臺關(guān)閉不需要的服務(wù)。系統(tǒng)管理者應(yīng)了解Windows Server的各項系統(tǒng)服務(wù)，例如Clip—book sever服務(wù)允許通過網(wǎng)絡(luò)取得系統(tǒng)剪貼板內(nèi)容的訪問權(quán)，Remote Registry服務(wù)可使遠(yuǎn)程用戶修改服務(wù)器上的注冊表等，這些系統(tǒng)服務(wù)都容易被非法使用，如不需要使用則應(yīng)關(guān)閉。

3 結(jié)語

    中小企業(yè)服務(wù)器的安全因受到資金、人力的影響，安全事件的出現(xiàn)是非常頻繁的，通過上面的介紹，是希望在現(xiàn)階段構(gòu)建一個相對安全的Windows Server服務(wù)器，從而讓企業(yè)的網(wǎng)絡(luò)化建設(shè)達(dá)到一個比較安全的層次。

    安全狀態(tài)的診斷的方法是多種多樣的，完全阻止是很困難的，提高診斷手段總是增加了系統(tǒng)管理的復(fù)雜性和成本，所以只有提高安全意識、規(guī)范管理制度才能做到真正的安全。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：中小企業(yè)Windows Server安全異常狀態(tài)診斷

本文網(wǎng)址：http://www.ezxoed.cn/html/support/1112153911.html