实验二 Windows Server 2003安全设置.doc

实验二 Windows Server 2003安全设置【实验背景】Windows Server 2003作为Microsoft 最新推出的服务器操作系统，不仅继承了Windows 2000/XP的易用性和稳定性，而且还提供了更高的硬件支持和更加强大的安全功能，无疑是中小型网络应用服务器的首选。虽然缺省的Windows 2003安装比缺省的Windows NT或 Windows 2000安装安全许多，但是它还是存在着一些不足，许多安全机制依然需要用户来实现它们。【实验目的】掌握Windows Server 2003常用的安全设置。【实验条件】安装了Windows Server 2003的计算机。【实验任务】就Windows Server 2003在网络应用中帐户、共享、远程访问、服务等方面的安全性作相关设置。【实验步骤】1. 修改管理员帐号和创建陷阱帐号Windows操作系统默认安装用Administrator作为管理员帐号，黑客也往往会先试图破译Administrator帐号密码，从而开始进攻系统，所以系统安装成功后，应重命名Administrator帐号。方法如下：(1) 打开【本地安全设置】对话框，选择“本地策略”“安全选项”，如图1所示。图1 重命名系统帐户 (2) 双击“帐户：重命名系统管理员帐户”策略，给Administrator重新设置一个平常的用户名，如user1，然后新建一个权限最低的、密码极复杂的Administrator的陷阱帐号来迷惑黑客，并且可以借此发现它们的入侵企图。2. 清除默认共享隐患 Windows Server 2003系统在默认安装时，都会产生默认的共享文件夹，如图2所示。如果攻击者破译了系统的管理员密码，就有可能通过“工作站名共享名称”的方法，打开系统的指定文件夹，因此应从系统中清除默认的共享隐患。图2 共享资源管理1) 删除默认共享以删除图2中的默认磁盘及系统共享资源为例，首先打开“记事本”，根据需要编写如下内容的批处理文件： echo off net share C$ /del net share D$ /del net share E$ /del net share admin$ /del文件保存为delshare.bat，存放到系统所在文件夹下的system32GroupPolicyUser ScriptsLogon目录下。选择“开始”菜单“运行”，输入gpedit.msc，回车即可打开组策略编辑器。点击“用户配置”“Windows设置”“脚本(登录/注销)”“登录”，如图3所示。图3 组策略编辑器在【登录属性】窗口中单击“添加”，会出现【添加脚本】对话框，在该窗口的“脚本名”栏中输入delshare.bat，然后单击“确定”按钮即可，如图4所示。重新启动计算机系统，就可以自动将系统所有的隐藏共享文件夹全部取消了。图4 登录属性2) 禁用IPC连接IPC是Internet Process Connection的缩写，也就是远程网络连接，是共享“命名管道”的资源，它是为了进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方计算机即可以建立安全的通道，并以此通道进行加密数据的交换，从而实现对远程计算机的访问，是Windows NT/2000/XP/2003特有的功能。打开CMD后输入如下命令即可进行连接：net useipipc$“password”/user:username其中：ip为要连接的远程主机的IP地址，username和password分别是登录该主机的用户名和密码。默认情况下，为了方便管理员的管理，IPC是共享的，但也为IPC入侵者提供了方便，导致了系统安全性能的降低，这种基于IPC的入侵也常常被简称为IPC入侵。如果黑客获得了远程主机的用户名和密码就可以利用IPC共享传送木马程序到远程主机上，从而控制远程主机。防止IPC共享安全漏洞可以通过修改注册表来禁用IPC连接。方法为：打开注册表编辑器，找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的restrictanonymous子键，将其值改为1即可禁用IPC连接，如图5所示。regedit图5 注册表编辑器3. 清空远程可访问的注册表路径Windows Server 2003提供了注册表的远程访问功能，黑客利用扫描器可通过远程注册表读取计算机的系统信息及其他信息，因此只有将远程可访问的注册表路径设置为空，这样才能有效地防止此类攻击。点击“开始”菜单“运行”，输入gpedit.msc，回车打开组策略编辑器，选择“计算机配置”“Windows设置”“安全设置”“本地策略”“安全选项”，在右侧窗口中找到“网络访问：可远程访问的注册表路径”，然后在打开的窗口中，将可远程访问的注册表路径和子路径内容全部设置为空即可，如图6所示。图6组策略编辑器4. 关闭不必要的端口和服务Windows Server 2003安装好后会默认安装一些服务，从而打开端口，黑客利用开放的端口可以对系统进行攻击，因此应关闭掉无用的服务及端口。图7 服务管理关闭无用的服务可以在如图7所示【计算机管理】界面的“服务”窗口中双击某项服务，将其“启动类型”设置为“禁止”。对于服务列表中没有列出的服务端口，则需要通过其他的设置来关闭，如关闭139端口。139端口是NetBIOS协议所使用的端口，它的开放意味着硬盘可能会在网络中共享，而黑客也可通过NetBIOS窥视到用户电脑中的内容。在Windows Server 2003中彻底关闭139端口的具体步骤如下：(1) 打开【本地连接属性】界面，取消“Microsoft网络的文件和打印共享”前面的“”，如图3.15所示。(2) 选中“Internet协议(TCP/IP)”，单击“属性”“高级”“WINS”，选中“禁用TCP/IP上的NetBIOS”选项，从而彻底关闭139端口，如图8所示。图8 本地连接属性 图9 高级TCP/IP设置囷10 TCP/IP筛选Windows系统中还可以设置端口过滤功能来限定只有指定的端口才能对外通信。在如图所示【高级TCP/IP设置】界面中单击“选项”“TCP/IP筛选”“属性”，选中“启用TCP/IP筛选(所有适配器)”，然后根据需要配置就可以了。如只打算浏览网页，则只需开放TCP端口80。方法为，可以在“TCP端口”上方选择“只允许”，然后单击“添加”按钮，输入80再单击“确定”按钮即可，如图10所示。5. 杜绝非法访问应用程序 根据不同用户的访问权限来限制他们调用应用程序，可以防止由于登录的用户随意启动服务器中的应用程序，给服务器的正常运行带来的麻烦，因此应对访问应用程序进行设置。方法如下：在“运行”中输入“gpedit.msc”，打开【组策略编辑器】界面，选择“用户配置”“管理模板”“系统”双击“只运行许可的W