13第二章Windows系统安全加固WindowsServer2003操作系统,具有高性能、高可靠性和高安全性等特点。WindowsServer2003在默认安装的时候,基于安全的考虑已经实施了很多安全策略,但由于服务器操作系统的特殊性,在默认安装完成后还需要张先生对其进行安全加固,进一步提升服务器操作系统的安全性,保证应用系统以及数据库系统的安全。在安装WindowsServer2003操作系统时,为了提高系统的安全性,张先生按系统建议,采用最小化方式安装,只安装网络服务所必需的组件。如果以后有新的服务需求,再安装相应的服务组件,并及时进行安全设置。在完成操作系统安装全过程后,要对Windows系统安全性方面进行加固,系统加固工作主要包括账户安全配置、密码安全配置、系统安全配置、服务安全配置以及禁用注册表编辑器等内容,从而使得操作系统变得更加安全可靠,为以后的工作提供一个良好的环境平台。操作系统的安全是整个计算机系统安全的基础,其安全问题日益引起人们的高度重视。作为用户使用计算机和网络资源的操作界面,操作系统发挥着十分重要的作用。因此,操作系统本身的安全就成了安全防护的头等大事。一、操作系统安全的概念操作系统的安全防护研究通常包括以下几个方面的内容:(1)操作系统本身提供的安全功能和安全服务。目前的操作系统本身往往要提供一定的访问控制、认证与授权等方面的安全服务,如何对操作系统本身的安全性能进行研究和开发使之符合选定的环境和需求;(2)针对各种常用的操作系统,进行相关配置,使之能正确对付和防御各种入侵;(3)保证操作系统本身所提供的网络服务能得到安全配置。一般来说,如果说一个计算机系统是安全的,那么是指该系统能够控制外部对系统信息的访问。也就是说,只有经过授权的用户或代表该用户运行的进程才能读、写、创建或删除信息。操作系统内的活动都可以认为是主体对计算机系统内部所有客体的一系列操作。主体是指发出访问操作、存取请求的主动方,它包括用户、用户组、主机、终端或应用进程等。主体可以访问客体。客体是指被调用的程序或要存取的数据访问,它包括文件、程序、内存、目录、队列、进程间报文、1/0设备和物理介质等。主体对客体的安全访问策略是一套规则,可用于确定一个主体是否对客体拥有访问能力。一般所说的操作系统的安全通常包含两方面的含义:①操作系统在设计时通过权限访问控制、信息加密性保护、完整性鉴定等机制实现的安全;②操作系统在使用中,通过一系列的配置,保证操作系统避免由于实现时的缺陷或是应用环境因素产生的不安全因素。只有在这两方面同时努力,才能够14最大可能地建立安全的操作系统。二、服务与端口我们知道,一台拥有IP地址的主机可以提供许多服务,比如Web服务、FTP服务、SMTP服务等,这些服务完全可以通过1个IP地址来实现。那么,主机是怎样区分不同的网络服务呢?显然不能只靠IP地址,因为IP地址与网络服务的关系是一对多的关系。实际上是通过“IP地址+端口号”来区分不同的服务的。我们来打个形象的比喻:假设IP地址是一栋大楼的地址,那么端口号就代表着这栋大楼的不同房间。如果一封信(数据包)上的地址仅包含了这栋大楼的地址(IP)而没有具体的房间号(端口号),那么没有人知道谁(网络服务)应该去接收它。为了让邮递成功,发信人不仅需要写明大楼的地址(IP地址),还需要标注具体的收信人房间号(端口号),这样这封信才能被顺利地投递到它应该前往的房间。端口是计算机与外界通讯的渠道,它们就像一道道门一样控制着数据与指令的传输。各类数据包在最终封包时都会加入端口信息,以便在数据包接收后拆包识别。我们知道,许多蠕虫病毒正是利用了端口信息才能实现恶意骚扰的。所以,对于原本脆弱的Windows系统来说,有必要把一些危险而又不常用到的端口关闭或是封锁,以保证网络安全。同样的,面对网络攻击时,端口对于黑客来说至关重要。每一项服务都对应相应的端口号,比如我们浏览网页时,需要服务器提供WWW服务,端口号是80,SMTP服务的端口号是25,FTP服务的端口号是21,如果企业中的服务器仅仅是文件服务或者做内网交换,应关闭不必要的端口,因为在关闭这些端口后,可以进一...
