|
網(wǎng)絡技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機整體�,實現(xiàn)資源的全面共享和有機協(xié)作�����,使人們能夠透明地使用資源的整體能力并按需獲取信息��。資源包括高性能計算機�����、存儲資源��、數(shù)據(jù)資源��、信息資源�����、知識資源�、專家資源、大型數(shù)據(jù)庫����、網(wǎng)絡、傳感器等�。 當前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡則被認為是互聯(lián)網(wǎng)發(fā)展的第三階段�。 Windows 2000 Server操作系統(tǒng)是目前在PC服務器上廣泛應用的操作系統(tǒng)���。本文分析了操作系統(tǒng)在安裝和運行過程中存在的安全隱患,提出了相應的防范措施���,提高了系統(tǒng)安全性和抗病毒攻擊能力�����。
關(guān)鍵詞:操作系統(tǒng) 安全隱患 防范
眾所周知����,微軟公司的Windows 2000 Server操作系統(tǒng)因其操作方便��、功能強大而受到廣大用戶的認可�,越來越多的應用系統(tǒng)運行在Windows 2000 Server操作系統(tǒng)上。在日常工作中���,有的管理員在安裝和配置操作系統(tǒng)時不注意做好安全防范工作�,導致系統(tǒng)安裝結(jié)束了���,計算機病毒也入侵到操作系統(tǒng)里了����。如何才能搭建一個安全的操作系統(tǒng)是安全管理人員所關(guān)心的一個問題。
一����、操作系統(tǒng)安全隱患分析
����。ㄒ唬┌惭b隱患
在一臺服務器上安裝Windows 2000 Server操作系統(tǒng)時�����,主要存在以下隱患:
1�����、將服務器接入網(wǎng)絡內(nèi)安裝�。Windows2000 Server操作系統(tǒng)在安裝時存在一個安全漏洞,當輸入Administrator密碼后����,系統(tǒng)就自動建立了ADMIN$的共享,但是并沒有用剛剛輸入的密碼來保護它���,這種情況一直持續(xù)到再次啟動后�,在此期間,任何人都可以通過ADMIN$進入這臺機器����;同時,只要安裝一結(jié)束����,各種服務就會自動運行�����,而這時的服務器是滿身漏洞����,計算機病毒非常容易侵入��。因此��,將服務器接入網(wǎng)絡內(nèi)安裝是非常錯誤的����。
2�、操作系統(tǒng)與應用系統(tǒng)共用一個磁盤分區(qū)���。在安裝操作系統(tǒng)時,將操作系統(tǒng)與應用系統(tǒng)安裝在同一個磁盤分區(qū)���,會導致一旦操作系統(tǒng)文件泄露時�,攻擊者可以通過操作系統(tǒng)漏洞獲取應用系統(tǒng)的訪問權(quán)限�,從而影響應用系統(tǒng)的安全運行�。
3、采用FAT32文件格式安裝�����。FAT32文件格式不能限制用戶對文件的訪問����,這樣可以導致系統(tǒng)的不安全����。
4、采用缺省安裝。缺省安裝操作系統(tǒng)時��,會自動安裝一些有安全隱患的組件�����,如:IIS�、DHCP、DNS等�,導致系統(tǒng)在安裝后存在安全漏洞。
5���、系統(tǒng)補丁安裝不及時不全面�����。在系統(tǒng)安裝完成后,不及時安裝系統(tǒng)補丁程序�,導致病毒侵入。
���。ǘ┻\行隱患
在系統(tǒng)運行過程中�����,主要存在以下隱患:
1�����、默認共享��。系統(tǒng)在運行后����,會自動創(chuàng)建一些隱藏的共享。一是C$ D$ E$ 每個分區(qū)的根共享目錄��。二是ADMIN$ 遠程管理用的共享目錄���。三是IPC$ 空連接��。四是NetLogon共享��。五是其它系統(tǒng)默認共享,如:FAX$���、PRINT$共享等�。這些默認共享給系統(tǒng)的安全運行帶來了很大的隱患����。
2�����、默認服務����。系統(tǒng)在運行后���,自動啟動了許多有安全隱患的服務�,如:Telnet services��、DHCP Client����、DNS Client��、Print spooler�、Remote Registry services(選程修改注冊表服務)��、SNMP Services ����、Terminal Services 等。這些服務在實際工作中如不需要����,可以禁用��。
3�����、安全策略�。系統(tǒng)運行后,默認情況下�����,系統(tǒng)的安全策略是不啟作用的�,這降低了系統(tǒng)的運行安全性。
4���、管理員帳號��。系統(tǒng)在運行后��,Administrator用戶的帳號是不能被停用的����,這意味著攻擊者可以一遍又一遍的嘗試猜測這個賬號的口令。此外��,設置簡單的用戶帳號口令也給系統(tǒng)的運行帶來了隱患�。
5、頁面文件�����。頁面文件是用來存儲沒有裝入內(nèi)存的程序和數(shù)據(jù)文件部分的隱藏文件�。頁面文件中可能含有一些敏感的資料�,有可能造成系統(tǒng)信息的泄露����。
6、共享文件���。默認狀態(tài)下�,每個人對新創(chuàng)建的文件共享都擁有完全控制權(quán)限��,這是非常危險的���,應嚴格限制用戶對共享文件的訪問��。
7��、Dump文件���。Dump文件在系統(tǒng)崩潰和藍屏的時候是一份很有用的查找問題的資料。然而�,它也能夠給攻擊者提供一些敏感信息,比如一些應用程序的口令等���,造成信息泄露�。
8����、WEB服務�����。系統(tǒng)本身自帶的IIS服務���、FTP服務存在安全隱患�,容易導致系統(tǒng)被攻擊���。
二��、安全防范對策
��。ㄒ唬┌惭b對策
在進行系統(tǒng)安裝時���,采取以下對策:
1、在完全安裝�����、配置好操作系統(tǒng)�,給系統(tǒng)全部安裝系統(tǒng)補丁之前,一定不要把機器接入網(wǎng)絡�����。
2�����、在安裝操作系統(tǒng)時,建議至少分三個磁盤分區(qū)����。第一個分區(qū)用來安裝操作系統(tǒng)����,第二分區(qū)存放IIS、FTP和各種應用程序�,第三個分區(qū)存放重要的數(shù)據(jù)和日志文件��。
3�����、采用NTFS文件格式安裝操作系統(tǒng)�����,可以保證文件的安全�����,控制用戶對文件的訪問權(quán)限��。
4����、在安裝系統(tǒng)組件時,不要采用缺省安裝�,刪除系統(tǒng)缺省選中的IIS、DHCP����、DNS等服務����。
5�����、在安裝完操作系統(tǒng)后��,應先安裝在其上面的應用系統(tǒng)��,后安裝系統(tǒng)補丁�。安裝系統(tǒng)補丁一定要全面。
網(wǎng)絡的神奇作用吸引著越來越多的用戶加入其中,正因如此�,網(wǎng)絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上�����、所用標準上......��,各項技術(shù)都需要適時應勢��,對應發(fā)展�����,這正是網(wǎng)絡迅速走向進步的催化劑�����。
|
溫馨提示:喜歡本站的話����,請收藏一下本站����!
