隨著計算機網絡應用的飛速發展，微軟公司的WindowsServer系列產品因為表現出高可靠性、高效率與較好的經濟性，中小企業機房的服務器安裝使用它是越來越多。操作系統作為計算機系統中最基本、最重要的軟件，它在運行過程中可能會出現各種各樣的異常狀態，這些異常狀態往往會帶來安全威脅，對服務器內的數據造成破壞。

1 計算機安全等級標準

    1．1美國可信計算機系統評估準則

    1983年美國國防部計算機安全保密中心制訂了第一個計算機系統安全評價標準的技術性法規《可信計算機系統評估準則》(Trusted Computer System Evaluation Criteria，TCSEC)簡稱橘皮書。

    橘皮書將計算機系統的安全劃分為4個等級，安全級別低到高：D級為最小保護，c級分為選擇的安全保護cl級和受控的訪問環境c2級，B級分為標號安全保護B1級、結構化安全保護B2級和安全域機制B3級，A級為可驗證的安全設計。

    1．2中國計算機信息系統安全保護等級劃分準則

    1999年中華人民共和國公安部制定了《汁算機信息系統安全保護等級劃分準則》國家標準，已于2001年由國家質量技術監督局發布。這項標準將計算機信息系統安全保護等級劃分為5個級別：第1級用戶自主保護，第2級系統審計保護，第3級安全標記保護，第4級結構化保護級，第5級訪問驗證保護級。

2 Windows Server安全診斷項目

    作為中小企業Windows Server用戶，操作系統安全是非常重要的，系統管理人員對用戶賬戶和密碼、注冊表、安全事件、端口和協議的安全作為重點診斷項目。

    2．1用戶賬戶和密碼設置

    2．1．1 SAM安全賬戶安全機制

    在Windows Senrer系統內，SAM安全賬戶管理器負責保護用戶賬戶名和密碼，它是系統注冊表的組成部分，它保存在％systemroot％＼system32＼config、sam中，在域控制器上它保存在活動目錄中％systemmot％kntds＼ntds．dit。賬戶密碼通過散列并被加密，目前Windows系統采用有4種密碼加密技術：Lan—Manager(簡稱LM)口令散列算法、NT LAN Manager(簡稱NTLM)、NTLMv2、Kerberos V5。

    LanManager口令散列算法對口令的處理采用的14位長度，如口令不足14位就用0把口令補足，對口令中的字母轉換成大寫字母后將口令分成兩組7位的數字，再由這兩個7位數字分別生成8位的數據加密鑰匙，每個數據加密鑰匙又再使用一個魔法數字進行散列加密形成64位的值，將兩組64位的值連在一起就構成了LM的128位口令散列。從上面的敘述可看出，如果口令設置在14位以內，則密碼破解只需要分開成2個7位來考慮。NT LAN Manager口令算法對口令的處理先轉換成unicode編碼，再使用MD4算法將口令加密。對于這兩種密碼加密技術使用了較弱的密鑰和算法，入侵者使用常見的Winternalslocksmith、L0phtcrack5、Elcomsoftadaneedntsecurityexplorer、Windows XP／2000／NT key、John the ripper等密碼破解工具就可以輕松破解，所以采用NTLMv2加密技術可以使中小企業Windows Server更加安全。

    2．1．2密碼設置要求

    管理員對用戶賬戶需要設置安全可靠的密碼：

    (1)如需要最高級別的安全性，至少設置15個字符：

    (2)密碼應使用英文字母大小寫、數字、字符組合構成：

    (3)不要使用相關人員的中英文姓名、用戶名、地名、電話號碼、常用詞匯作為密碼：

    (4)管理者不要與其他系統密碼共享使用：

    (5)密碼需要定期更換，時間不能太長。

    2．1．3其他常見保護方法

    對于Administrator賬戶可以采用重命名的方式進行保護，也可以在使用后注意不要保持在登錄狀態或直接關閉賬戶來進行保護。

    對于Guest賬戶可以采用關閉、停用、重命名方式進行保護，也可以根據實際情況將Guest賬戶列入拒絕從網絡訪問名單中，防止Guest賬戶從網絡訪問服務器、關閉服務器以及查看日志。

    使用Syskey實用程序對SAM安全賬戶數據庫文件進行二次加密。

    2．2注冊表的診斷

    對于系統安全要保護注冊表各項鍵值不被惡意修改和對注冊表進行訪問權限的限制。作為管理員可使用Filemon文件系統監視軟件監控文件系統和對I／O系統事件的跟蹤，使用Registry Monitor注冊表數據監視軟件對注冊表進行實時監視，對注冊表的讀取、修改、出錯信息等進行實時記錄，并可對記錄進行保存、過濾、查找處理，為系統管理診斷注冊表帶來極大的便利，還可利用Active Registry Monitor工具軟件，對Windows注冊表進行快照，從而對比出注冊表的變化。

    2．3安全事件的診斷

    (1)Windows Server可啟用安全審核。利用本地安全策略，對計算機使用一些重要操作規程進行審核。例如禁止枚舉賬號，重命名系統管理員賬戶名稱及禁用來賓賬戶，定義密碼最長存留期，審核對象訪問功能可跟蹤用戶賬戶訪問對象、系統關閉重啟、登錄嘗試等事件。

    (2)查看Windows Server的安全日志。管理員可查看Windows Server的事件查看器，了解系統運行狀態就可對異常狀態進行診斷。

    (3)使用EventCombMT實用工具提高查看系統安全日志的效率。

    2．4端口和協議的安全診斷

    系統常用端口和協議，系統管理者要清楚，需要使用的端口就啟用，需要使用的協議就安裝。

    (1)活動的端口及其應用程序運行情況的診斷

    使用系統的任務管理器的進程菜單了解，也可使用Tasklist命令、Tlist命令、Netstat命令來顯示運行在本地或遠程計算機上的所有進程、任務的應用程序和服務列表、顯示路由表、顯示實際網絡連接及每一個網絡接口設備的狀態信息，通過本機各端口的網絡連接隋況，診斷是否有安全異常狀態。

    (2)端口訪問的限制方法

    使用Windows Server的TCP／IP篩選器，根據源或目標IP地址、端口、協議來拒絕或允許訪問。啟用Intemet Connec—tion Firewall(ICF)，它可防止外部入侵者企圖訪問可能有監聽程序運行的端口，可以阻止除自己計算機發起通信的響應之外的所有訪問。啟動IP Security，提供通過加密和身份驗證保護訪問。

    (3)關閉不需要的系統服務

    使用Windows Server的服務控制臺關閉不需要的服務。系統管理者應了解Windows Server的各項系統服務，例如Clip—book sever服務允許通過網絡取得系統剪貼板內容的訪問權，Remote Registry服務可使遠程用戶修改服務器上的注冊表等，這些系統服務都容易被非法使用，如不需要使用則應關閉。

3 結語

    中小企業服務器的安全因受到資金、人力的影響，安全事件的出現是非常頻繁的，通過上面的介紹，是希望在現階段構建一個相對安全的Windows Server服務器，從而讓企業的網絡化建設達到一個比較安全的層次。

    安全狀態的診斷的方法是多種多樣的，完全阻止是很困難的，提高診斷手段總是增加了系統管理的復雜性和成本，所以只有提高安全意識、規范管理制度才能做到真正的安全。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：中小企業Windows Server安全異常狀態診斷

本文網址：http://www.guhuozai8.cn/html/support/1112153911.html