Windows-2000终端服务器安全设置.doc

终端模式下Windows 2000的安全设置前言微软的操作系统从最初的单任务、单用户的DOS，到多任务、单用户的Windows 3.1、Windows 95/98，到目前的多任务、多用户的Windows 2000操作系统，从原来的一台机器仅仅是一个用户运行单一的应用程序，到一个用户可以运行多个应用程序，再到目前一台机器可以由多个用户同时登陆使用，并且同时运行多个应用程序，微软在操作系统的领域，已经有了一系列的可以满足各种不同需求的从低到高的操作系统群了。目前最新的操作系统 Windows 2000服务器操作系统，便是一个多用户、多任务的操作系统，提供了一个战略性的功能，终端服务功能，用户通过Windows终端登陆到服务器上，共享服务器上的资源，在这样一个完全共享的使用环境中，安全问题便显得特别的重要了，如何搭建一个安全高效的服务器器，为每个用户分配不同的权限，便是系统管理员的一个重要的工作内容了。终端服务可以在应用服务器模式或远程管理模式下在服务器上进行配置。作为应用服务器，终端服务提供了一种有效而可靠的方式，通过网络服务器分发基于 Windows 的程序。在应用服务器模式下，终端服务为可能无法正常运行 Windows 的计算机显示 Windows 2000 的桌面以及目前基于 Windows 的大多数应用程序。在远程管理模式下使用时，终端服务提供了远程访问的能力，使您可以从网络上的任何地方虚拟地管理您的服务器终端服务是一种多会话环境，可以让远程计算机访问服务器上运行的基于 Windows 的程序。Windows 2000 Server 包括终端服务客户软件，以支持 16 位和 32 位基于 Windows 的客户端。终端服务提供了通过作为终端仿真器工作的“瘦客户机”远程访问服务器的桌面。终端服务只把该程序的用户界面传给客户机。客户机然后返回键盘和鼠标单击动作，以便由服务器处理。每个用户都只能登录并看到它们自己的会话，这些会话由服务器操作系统透明地进行管理，而且与任何其他客户机会话无关。客户软件可以运行在多个客户机硬件设备上，包括计算机和基于 Windows 的终端。其他设备，如 Macintosh 计算机或基于 UNIX 的工作站，也可以使用其他第三方的软件连接到终端服务器。 Windows 2000操作系统引入了活动目录，服务器可以为主域控制器，备份域控制器，可以有多个服务器组成树、森林，但是做为终端服务器时，出于对资源占用的考虑，每个终端登陆到服务器，单单启动一个桌面，不运行其他任何的应用程序，便需要占用810M的内存，而作为域控制器，需要承担一系列的指责维护活动目录；鉴别用户；提供权利访问全局目录；为DHCP、WINS等客户请求服务，需要占用相当的资源，用户希望能够在终端模式下，一台服务器可以带动尽可能多的终端，同时又能够满足正常的使用，所以最好不要将服务器器配置成为域控制器模式，而是设置成为独立服务器模式，在这里我们主要讨论在独立服务器模式下，作为终端服务器的操作系统的安全配置。有的人说Windows 2000操作系统的安全性比较差，其实这种说法是非常片面的，在操作系统的安全性分类中，Windows 2000安全级别为C2级，目前在我国金融领域中广泛使用的UNIX操作系统的安全级别也是C2级，Windows 2000操作系统的安全性是很高的，关键是我们如何配置的问题。配置一个占用资源较少的服务器1、安装尽可能少的组件。Windows 2000是个功能强大的操作系统，提供了许多的功能，而在实际的应用中，并没有用到，特别在企业用户、学校的使用中，可能只是用到了很少的一些功能，安装尽可能少的功能，便可以消耗比较少的资源，同时也减少了安全的漏洞，系统也更安全了，在安装Windows 2000时，安装尽可能少的组件，如果没有特殊的需求，只需要安装终端服务和终端服务授权便可以了，其他的组件都不需要安装了。(见图1) 图12、安装尽可能少的应用程序终端服务器作为公共资源，是终端、服务器网络模式中的核心部件，用户选择终端模式，便是看中了该模式的维护方便、安全、无需要升级和它在老旧机器改造中的作用，该模式对于使用游戏是不合适的，主要是用来工作和学习用的，作为网络的核心，在服务器上安装工作、学习必须的应用软件，尽量不要在终端服务器上安装游戏软件和没有使用的应用软件，以防止计算机病毒的感染，提高安全性，同时应用软件安装后即使没有使用，大部分都会增大服务器资源的消耗量。3、启动尽可能少的服务Windows 2000作为一个通用的后台操作系统，提供了许多的服务，在实际中很多都没有使用到，可以把这些没用的服务停止了，比如在学校，主要用户教学的，如果没有用到打印机，便可以把打印服务Print Spooler停止，终端可以采用静态IP方式，也可以采用DHCP的方式从服务器上分配到IP地址，如果采用静态IP，便可以把DHCP Server服务停止了，作为服务器，IP地址一般是固定分配的，可以将DHCP Client服务停止，如果服务器不是DNS服务器，便可以将DNS Server服务停止了，具体的方法是使用超级用户登陆，在开始程序管理工具服务，看看有哪些服务是处于启动状态，并且是没有用的，便可以停止该服务，并且将该服务设置为手动启动了，当然了，除非对停止的服务很有把握，是肯定没有用的，不然还是别去停止，虽然可以节省一些内存、CPU资源。（见图2） 图24、设置终端连接的属性Windows 2000提供了终端服务，终端可以通过RDP、ICA协议与服务器相连，在缺省的情况下，终端与服务器之间建立了一条连接，该连接对应服务器上一组运行的进程，直到终端用户注销了，才将对应的进程删除，如果仅仅是“中断 ”和用直接关电源的方式强行关终端，那么在服务器上的进程不会删除，在服务器上占用了大量的资源，也即在服务器上有大量的死进程，这些进程的存在带来了两个问题，一个是在服务器上占用的大量的CPU、内存资源，另外是增加了不安全的隐患，因为这些进程一直存在在服务器上，下次终端用户如果也用相同的用户帐号登陆，那么将直接进入到断开的位置，如果由于系统管理员的疏忽，存在有多个用户共用一个帐号的情况，那么便有可能发生安全隐患，比如用户登陆到服务器上，运行金融、财务的软件，这些软件进入时每个人还有自己的软件帐号，如果使用者没有退出这些软件便强行关机了，那么下个使用相同的登陆帐号的用户，一登陆到服务器上，便直接进入上个用户的金融、财务软件的界面，这是非常危险的，当然如果每个用户都有自己的帐号，安全上是没有什么，但也会占用资源，解决的方法是恰当地设置终端连接的属性。用系统管理员的身份登陆，运行开始程序管理工具终端服务配置，点击连接，将出项RDP、ICA连接，双击您终端采用的连接方式的条目，出现如下的对话框，选择会话属性。如下图对应设置的意思是：如果一个断开的连接达到了15分钟，将自动注销该终端连接，如果一台终端有30分钟没有任何地操作，也自动注销该终端连接。同时也可以设置如下文说的：在关机一栏中，如果是终端用户，那么只有注销一项，将断开项目隐藏起来，那么用户便没办法使用正常的断开功能了。(见图3) 图3如果没有在终端上使用打印机设备，也可以在客户端设置中将打印机映射、LPT端口映射、剪贴板映射禁用，可以为每个登陆的进程节省部分的内存。如果有50个用户登陆到服务器，每个用户节省1M，也可以达到50M的内存空间，在多用户模式下，如果每个应用软件都能节省一些内存空间，那么许多用户同时使用时，节省的内存空间也是非常可观的。（见图4）图4采用这些方法安装的Windows 2000 Server简体中文版本，开机登陆一个用户进去，运行性能查看器，仅仅消耗了59兆的内存空间。配置一个安全的服务器在Windows 2000操作系统中，用户从终端登陆到服务器上时，缺省的界面为桌面方式，用户可以看到服务器上的绝大部分资源，可以随意的使用硬盘空间，直到硬盘空间全部被用光为止，也可以运行服务器上的绝大部分的应用软件，可以删除一些敏感的文件，如何才能配置一个安全的服务器，分配给用户合适的权限，限制对一些资源的支配呢？文件系统的选择1、 Windows 2000操作系统支持多种文件系统格式，对NTFS、FAT、FAT32格式都可以很好的支持，如果不是安装了多个操作系统，有必要考虑多个操作系统之间的文件系统的兼容性，或者仅仅是安装Windows 2000，强烈建议将磁盘都格式化成为NTFS格式，NTFS的安全性极高，事实上是大多数微软网络的标准。2、 在NTFS该格式下，可以创建超过2000G的磁盘分区，并且对于磁盘空间的浪费最少，最重要的是可以为每个目录设置安全属性，设置目录的访问权限，有完全控制、修改、读取及运行、列出文件夹目录、读取、写入等等权限，在高级中还有更多的权限设置，为目录设置每个用户的访问权限，大大提高了整个系统的安全性。只有通过选择 NTFS 作为文件系统，才能使用诸如 Active Directory 和基于域的安全性等重要功能，（见图5） 图53、 在NTFS格式下，既可以建立全局磁盘配额，对每个用户均起限制，也可以单独设置特殊用户的磁盘限额，限制用户对磁盘空间的使用，比如可以对普通的用户分配50M的磁盘空间，超过了50M便没法向磁盘中写数据了，在多用户系统下，为用户建立磁盘配额，防止硬盘被恶意使用，可以大大提高整个系统的整体可靠性。（见图6） 图64、 在FAT、FAT32格式下，可以采用一张DOS启动盘，便可以对系统中的文件进行任意的操作了，如果采用NTFS格式采用DOS、Windows95/98启动是无法访问的，是看不见用NTFS格式化的磁盘分区的，数据不容易被拷贝走，有许多的计算机病毒只能感染FAT、FAT32格式的系统，对NTFS是无能为力的，比如CIH病毒便无法破坏NTFS的文件系统。如何规划硬盘空间在终端服务器的模式下，该采用哪种硬盘，采用多大的硬盘空间，硬盘的分区如何分配，回答这个问题，需要结合具体的应用来考虑，比如该终端服务器需要带动几个终端用户，在服务器上需要安装哪些应用软件，应用软件的存储的模式，应用软件占用磁盘空间的大小。硬盘在接口上，主要有IDE接口和SCSI接口和光纤通道三种，光纤通道目前由于价格原因使用极少，作为服务器，尽量采用SCSI接口的硬盘，因为该接口每个SCSI链上可以支持多达7个以上的SCSI设备，并且存取的速度更快，也即磁盘吞吐率比较高，所有的终端用户都共享硬盘空间，速度快当然更好了。采用SCSI接口的硬盘，可以增加存储能力、访问速度和可靠性。硬盘空间大小的选择，一个有50个终端用户的服务器，为每个用户分配100兆的磁盘空间，便是5G，安装Windows 2000本身需要将近1G的空间，还有一个为内存空间1.5倍的磁盘交换区，一个1G内存的服务器，磁盘交换文件pagefile.sys便达到1.5G，再安装一些应用软件，硬盘空间还是大一点为好。以上的使用区域都在系统分区中，所以一台带50个终端用户，1G内存的服务器，建议系统分区的不小于8G。文件系统权限的设置Windows 2000缺省的文件系统为NTFS，在NTFS文件系统下，每个目录、文件都可以设置对应的访问权限、级别。1、 文件夹许可权Windows 2000为每个文件夹提供了6个标准的访问许可权，在需要设置权限的文件夹，点击鼠标右键，在属性中的安全一项便可以设置了。目录在是一种树形结构，目录下还有子目录，Windows 2000中可以设置目录的权限是否需要继承上级目录的权限，如果允许继承，那么父目录设置的权限，便会影响子目录的权限了，在高级一项“重置所有子对象的权限并允许传播可继承权限”，便是对该目录下有设置“允许将来自父系的可继承权限传播给该对象”属性的所有的子目录和所有文件以及子目录中的文件，进行权限的重新设置。将在该目录设置的权限传播给它的子对象。(见图7) 图7许可权描 述列出文件夹目录允许用户察看文件夹的目录读允许用户察看文件夹的目录、许可权、所有关系、属性读和执行允许用户遍历文件夹以及读许可权和列出文件夹目录允许的动作修改允许用户删除目录以及读和执行许可权写许可权所允许的操作写允许用户生成文件和子文件夹，改变文件夹属性，察看文件夹属性、所有关系完全控制允许用户改变文件夹所有关系、删除文件和子文件夹。也包括其余许可权所允许的操作2、 文件许可权为每个文件提供了5个标准的访问许可权，“文件许可权”限制用户对某些文件的访问层次，比如注册表编辑器regedit和regedt32，缺省的任何用户都可以运行，来察看注册表，如果想只有系统管理员才能运行，普通用户不想他运行注册表编辑器，便可以将其对应权限删除。将鼠标点到该文件上，右键菜单中的属性项的安全栏，可以看出users组的用户也有读取和运行的权限，可以将users组删除，那么普通用户登陆到服务器上，便没有办法运行regedit注册表编辑器了，可以采用这种方法对一些敏感的程序进行设置（见图8）。 图8许可权描 述读允许用户读文件和列出文件的许可权、所有关系、属性读和执行允许用户执行文件，也包括读许可权所允许的动作写允许用户重写文件、列出文件的许可权、所有关系以及改变文件属性修改允许用户删除和修改文件，也包括读和执行以及写许可权所允许的操作完全控制允许用户改变文件所有关系，也包括其余许可权所允许的操作Windows 2000安装后，在系统分区中至少有三个可见目录WINNT、Documents and Settings、Program Files，WINNT目录下是操作系统的系统文件目录，Program Files目录下是IE浏览器、Outlook等应用软件，其他的应用软件安装时也缺省的安装在该目录下，Documents and Settings目录下存储了每个登陆用户的基本信息，比如用户自己的桌面设置，各自的应用程序，每个用户自己的“我的文档”，在该目录下每个用户都有一个与自己登陆名字相同的目录，其中有一个目录为All Users的目录中存放的文件是所有登陆的用户公共的配置部分，公共的应用程序组等。对Documents and SettingsAll Users目录的设置，可以有显著的成效，比如Windows 2000安装后，在开始菜单的程序中，所有用户登陆到服务器上都有管理工具一项，现在想只有系统管理员可以运行管理工具，而其他的用户不能运行管理工具，可以用管理员身份登陆到服务器上，进入到Documents and Settings administrator开始菜单程序，建立一个目录“管理工具”，再将Documents and Settings All Users开始菜单程序管理工具下的所有项目拷贝到刚才建立的目录下，并且将Documents and Settings All Users开始菜单程序管理工具下的所有项目都删除，那么现在只有系统管理员才能看到管理工具的具体项目了，而其他的用户都没法运行管理工具中的程序了，对需要运行的用户，将对应的软件拷贝到该用户的Documents and Settings %UserName%开始菜单程序下，同样的道理，可以通过这种方式，设置每个用户的开始菜单，桌面的项目等。组策略设置Windows 2000有完善的设置，可以通过MMC（微软管理员控制台），定制符合需求的操作系统，在命令提示符状态运行MMC，启动管理控制台，添加/删除管理单元，在配置服务器方面，比较常用的是“组策略”，添加“组策略”，选择“本地计算机”（见图9）。 图9添加后的界面如下(见图10)： 图10在控制台上选择保存，将它保存成为组策略，保存到管理工具中，系统管理员以后便可以在管理工具中直接运行组策略了。以下列出比较有用的一些设置策略：计算机配置管理模板系统项：1、 删除【开始】菜单的“安全性”选项（只用于终端服务）启动便将开始菜单处的设置菜单中的“终端安全性”项目屏蔽掉了。2、 从【开始】菜单删除中断连接项目（只用于终端服务）终端用户登陆到服务器上，如果为普通用户便有注销、断开两个选项，如果用断开，则进程仍然存在服务器上，下次该用户再次登陆时，继续从断点运行程序，如果为比较多的用户都采用断开，则这些用户没有连接到服务器上时，已经在服务器上消耗了相当多的内存、CPU资源，启动该项，则用户只能注销，不能选择断开。3、 停用自动播放启动该项，当光盘放入光驱便不会自动播放。用户机配置管理模板Windows 组件Windows 资源管理器：1、 隐藏“我的电脑”中这些指定的驱动器隐藏了指定的驱动器，在桌面上和在资源管理器中，便看不到被隐藏的驱动器了。防止用户随意的访问驱动器。2、 禁用Windows 资源管理器的默认上下文菜单启动该项，在桌面上点击右键，便不会出现右键菜单，即没法改动“我的文档”的路径，“我的电脑”的属性等，网上邻居的属性，网络的IP地址、网关、DNS设置等也被屏蔽了，使用右键也没有办法新建目录了，如果这些都是没有必要使用的，那么可以将该项目启动。用户机配置管理模板任务栏和【开始】菜单1、 从【开始】菜单删除公用程序组启动后，那么在Documents and SettingsAll Users下的公用程序组便不会在每个用户下均可以运行了。2、 从【开始】菜单删除“文档”菜单。3、 从【开始】菜单删除“网络和拨号连接”4、 从【开始】菜单删除“收藏夹”5、 从【开始】菜单删除“搜索”6、 从【开始】菜单删除“帮助”7、 从【开始】菜单删除“运行”以上几项都比较好理解，如果启动了，那么用户登陆到服务器上，出项了桌面，在点击开始，对应的项目都不可见了，防止用户随意的使用其中的项目。8、 禁用【开始】菜单上的拖放上下文菜单禁止使用在开始菜单上点击右键菜单，不允许使用者删除、重命名菜单项。9、 禁用任务栏的上下文菜单禁止在任务栏上点击右键使用右键菜单，不能出现属性、任务管理器等项目。10、 不要保留最近打开的文档的记录当用户打开一个文档进行编辑，关闭后，便会在开始的文档项中留下记录，如果启动该项，便不会流下记录了。用户机配置管理模板桌面1、 隐藏桌面上所有图标2、 删除桌面上“我的文档”图标3、 隐藏桌面上“网上邻居”图标4、 隐藏桌面上的Internet Explorer 图标启动以上的设置则将桌面上对应的项目隐藏起来。5、 禁止用户更改“我的文档”路径对于每个用户都有自己的“我的文档”，缺省的路径在%SystemDrive%Docu