系统及应用软件安全设置
用户账号的安全设置
在一个局域网中,正确有效地设置各不同组用户账号的权限,是确保网络安全的首要因素。我只是想说明的一点就是,Win2000的默认安装允许所有用户通过空用户名和空密码得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,同时任何一个远程用户也可以通过同样的方法得到你的用户列表,并可能使用暴力法破解用户密码给整个网络带来破坏,这是整个网络中的最大不安全因素之一。
文件和文件夹权限的设置
我们知道NT系统的安全性在本地网络中最主要还是可以自由设置各用户、文件和文件夹的访问权限来保证的。为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,必须安全有效地设置文件夹和文件的访问权限。NT的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹和文件对所有用户(Everyone这个组)是完全控制的(Full Control),这根本不能满足不同网络的权限设置需求,所以你还需要根据应用的需要进行重新设置。
权限具有继承性
权限的继承性就是下级文件夹的权限设置在未重设之前是继承其上一级文件的权限设置的,更明了地说就是如果一个用户对某一文件夹具有“读取”的权限,那这个用户对这个文件夹的下级文件夹同样具有“读取”的权限,除非你打断这种继承关系,重新设置。但要注意的是这仅是对静态的文件权限来讲,对于文件或文件夹的移动或复制,其权限的继承性又如何呢?请看下文:
a、在同一NTFS分区间复制或移动
在同一NTFS分区间复制到不同文件夹时,它的访问权限是和原文件或文件夹的访问权限不一样。但在同一NTFS分区间移动一文件或文件夹其访问权限保持不变,继承原先未移动前的访问的权限。
b、在不同NTFS分区间复制或移动
在不同NTFS分区间复制文件或文件夹访问权限会随之改变,复制的文件不是继承原权限,而是继承目标(新)文件夹的访问权限。同样如果是在不同NTFS分区间移动文件或文件夹则问权限随着移动而改变,也是继承移动后所在文件夹的权限。
c、从NTFS分区复制或移动到FAT格式分区
因为FAT格式的文件或文件夹根本没有权限设置项,所以原来文件或文件夹也就再没有访问权限了,
权限具有累加性
权限的累加性具体双表现在以下几个方面:
a、工作组权限由组中各用户权限累加决定
如一个组GROUP1中有两个用户USER1、USER2,他们同时对某文件或文件夹的访问权限分别为“只读”型的和“写入”型的,那么组GROUP1对该文件或文件夹的访问权限就为USER1和USER2的访问权限之和,实际上是取其最大的那个,即“只读”+“写入”=“写入”。
b、用户权限由所属组权限的累决定
如一个用户USER1同属于组GROUP1和GROUP2,而GROUP1对某一文件或文件夹的访问权限为“只读”型的,而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的,则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得,即:“只读”+“完全控制”=“完全控制”。
权限的优先性
权限的这一特性又包含两种子特性,其一是文件的访问权限优先文件夹的权限,也就是说文件权限可以越过文件夹的权限,不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其它权限,也就是说“拒绝”权限可以越过其它所有其它权限,一旦选择了“拒绝”权限,则其它权限也就不能取任何作用,相当于没有设置,下面就具体讲一下这两种子特性。
a、文件权限优先文件夹权限
如果一用户USER1对文件夹Folder A的访问权限为只读类型的,在这个文件夹下面有一个Fiel1文件,我们可以对这个文件Fiel1设置权限为“完全控制”型,而不顾它的上一级文件Folder A的权限设置情况。
b、“拒绝”权限优先其它权限
这种情况我们可举这们一个例子,就是一个用户USER1同属于组GROUP1和组GROUP2,其中组GROUP1对一个文件File1(或文件夹)的访问权限为“完全控制”,而用户GROUP2对这个文件File1的访问权限设置为“拒绝访问”,那么根据这个特性USER1对文件File1的访问权限为“拒绝访问”类型,而不管工作组GROUP1对这个文件设置什么权限。
访问权限和共享权限的交叉性
当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限,且所设权限不一致时,它的取舍原则是取两个权限的交集,也即最严格、最小的那种权限。如文件夹Folder A为用户USER1设置的共享权限为“只读”,同时文件夹Folder A为用户USER1设置的访问权限为“完全控制”,那用户USER1的最终访问权限为“只读”。当然这个文件夹只能是在NTFS文件格式的分区中,如是FAT格式的分区中也就不存在“访问权限”了,因为FAT文件格式的文件夹没有本地访问权限的设置。
选择好的远程通讯软件
选择一个好的远程通讯软件是非常重要的事,因为网络的不安全因素多数还是出在远程通讯软件上,Internet太复杂了,任何无意的疏忽都可能给别有用心之人以难得的良机。选择好一个好的远程通讯软件这不仅仅是应用方面的要求,也更是从安全方面的考虑。
Win2000的Terminal Service是基于RDP(远程桌面协议)的远程控制软件,它的速度快,操作方便,比较适合用来进行常规操作。但是,Terminal Service也有其不足之处,由于它使用的是虚拟桌面,再加上微软编程的不严谨,当你使用Terminal Service进行安装软件或重启服务器等与真实桌面交互的操作时,往往会出现直接关机的BUG。所以,一般需另外选择一个专业的远程通讯软件,如在WinDWOS下的PcAnyWhere,DOS下的CarbonCopy就是不错的选择。
IIS是微软的组件中问题最多的一个,要注意很多软件的默认安装是黑客攻击的源头,是引起不安全因素的根源,微软的IIS也不例外,同时它又是一个网络应用软件,直接与千变万化的互联网相联系,所以IIS是我们安全配置的重点。
首先,为了系统的安全起见我们一般要删除系统盘下的Inetpub目录,在另一分区中新建一个Inetpub,并使IIS管理器中将主目录指向它。这样即使IIS安全出了问题,也不会直接影响到整个系统。其次,我们要记住一个原则,那就是:最小的权限+最少的服务=最大的安全。所以必需把IIS安装时默认的scrīpts等虚拟目录也一概删除,如果你需要什么权限的目录可以以后再建(特别注意写权限和执行程序的权限)。
然后是应用程序的配置。在IIS管理器中把无用映射都统统删除(当然必须保留如ASP、ASA等)。在IIS管理器中“主机→属性→WWW服务编辑→主目录配置→应用程序映射”,然后开始一个个删掉。接着再在应用程序调试书签内,将“脚本错误消息”改为“发送文本”。点击“确定”退出时别忘了让虚拟站点继承刚才设定好的属性。
解决IIS4以及之前的版本受到D.O.S攻击会停止服务。运行Regedt32.exe在:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w3svc\parameters增加一个值:Value Name: MaxClientRequestBuffer Data Type: REG_DWORD设置为十进制具体数值设置为你想设定的IIS允许接受的URL最大长度。CNNS的设置为256。
2)删除HTR脚本映射。
3)将IIS web server下的/_vti_bin目录设置成禁止远程访问。
4)在IIS管理控制台中,点web站点,属性,选择主目录,配置(起始点),应用程序映射,将htw与webhits.dll的映射删除。
5)如果安装的系统是2K的话,安装Q256888_W2K_SP1_x86_en.EXE。
6)删除:c:\Program Files\Common Files\System\Msadc\msadcs.dll。
7)如果不需要使用Index Server,禁止或卸载该服务。如果你使用了Index Server,请将包含敏感信息的目录的“Index this resource”的选项禁止。
8)解决unicode漏洞:2K安装2kunicode.exe、NT安装ntunicode86.exe。
最后,为了保险起见,可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。
