第5章WindowsServer2003网络安全

第5章WindowsServer2003网络安全5.1WindowsServer2003网络安全特性MicrosoftWindowsServer2003是在WindowsServer2000的基础上，依据.NET架构进行构建，提供了更高更好的安全性，稳定性和可伸缩性，为服务器提供了一个高效的结构平台。5.1.1WindowsServer2003简介WindowsServer2003主要优点有：•可靠：WindowsServer2003是迄今为止提供的最快、最可靠和最安全的Windows服务器操作系统。•高效：WindowsServer2003提供各种工具，允许用户部署、管理和使用网络结构以获得最大效率。•联网：连接WindowsServer2003可以帮助用户创建业务解决方案结构，以便与雇员、合作伙伴、系统和用户更好地沟通。•经济：与来自微软公司的许多硬件、软件和渠道合作伙伴的产品和服务相结合，WindowsServer2003提供了有助于使用户的结构投资获得最大回报的选择。WindowsServer2003的核心技术可靠性高效率联网能力可拥有成本低。XMLWeb服务和.NET。WindowsServer2003新增的安全功能授权管理器。存储用户名和密码。软件限制策略。证书颁发机构。受限委派。有效权限工具。加密文件系统(EFS)。基于操作的审核。5.1.2WindowsServer2003安全概述WindowsServer2003系统的安全模型的主要功能是用户身份验证和访问控制及ActiveDirectory目录服务。身份验证身份验证：指的是用于验证实体或对象是否与自己所声明的实体或对象相同的过程，包括确认信息的来源和完整性。身份验证是系统安全的一个基础方面，它将对尝试登录到域或访问网络资源的任何用户进行身份确认。身份验证包括两种方式：•交互式登录：向用户的本地计算机或ActiveDirectory帐户确认用户的身份。•网络身份验证：向用户尝试访问的任何网络服务确认用户的身份。基于对象的访问控制访问控制：指的是批准用户、组和计算机访问网络上的对象的过程。访问控制主要内容是权限、用户权利和对象审查。•权限：权限定义了授予用户或组对某个对象或对象属性的访问类型。•用户权利：用户权利授予计算环境中的用户和组特定的特权和登录权利。•对象审核：可以审核用户对对象的访问情况。可以使用事件查看器在安全日志中查看这些与安全相关的事件。ActiveDirectory目录服务ActiveDirectory是基于Windows的目录服务。ActiveDirectory存储有关网络上对象的信息，并让用户和网络管理员可以使用这些信息。ActiveDirectory允许网络用户使用单个登录进程来访问网络中任意位置的许可资源。5.2WindowsServer2003用户安全策略在WindowsServer2003中，安全设置和安全策略是配置在一台或多台计算机上的规则，用于保护计算机或网络上的资源。用户或计算机帐户在ActiveDirectory中，用户帐户和计算机帐户代表物理实体。用户帐户和计算机帐户（以及组）也称为安全主体，是被自动指派了安全标识符(SID)（可用于访问域资源）的目录对象。用户或计算机帐户用于：•验证用户或计算机的身份：用户帐户使用户能够利用经域验证后的标识登录到计算机和域。•授权或拒绝访问域资源：一旦用户已经过身份验证，那么就可以根据指派给该用户的关于资源的显式权限，授予或拒绝该用户访问域资源。•管理其他安全主体：ActiveDirectory在本地域中创建外部安全主体对象，用以表示信任的外部域中的每个安全主体。•审核使用用户或计算机帐户执行的操作：审核有助于监视帐户的安全性。5.2.1WindowsServer2003帐户策略和本地策略帐户策略包含：•密码策略：用于域或本地用户帐户。•帐户锁定策略：用于域或本地用户帐户。•Kerberos策略：用于域用户帐户。本地策略，主要应用于本地计算机，包含：•审核策略：确定是否将安全事件记录到计算机上的安全日志中。同时也确定是否记录登录成功或登录失败，或二者都记录。•用户权限分配：确定具有登录本地计算机的权利或特权的用户或组。•安全选项：启用或禁用计算机的安全设置。在“组策略”中设置本地策略单击“开始”|“运行”，在文本框中输入“gpedit.msc”打开“组策略”窗口，在其中依次单击展开“计算机配置”|“Windows设置”|“安全设置”|“本地策略”|“安全选项”文件夹，在其中可以进行本地策略的各种安全设置。5.2.2WindowsServer2003帐号密码策略安全的计算机需要对所有用户帐户都使用强密码。对于强密码，一般都具有这样的特性：•长度至少有七个字符。•不包含用户名、真实姓名或公司名称。•不包含完整的字典词汇。•与先前的密码大不相同。同时，强密码的组成包含全部下列四组字符类型：•大写字母•小写字母•数字•键盘上的符号（键盘上所有未定义为字母和数字的字符）密码重设盘管理员恢复被忘记的本地用户帐户密码的唯一方法只有手工重设用户的密码。但该操作会造成以下信息的丢失：•使用用户公钥加密的电子邮件•计算机中保存的Internet密码•由用户加密的文件密码重设盘如果用户在忘记密码之前为自己的本地帐户创建了密码重设盘，则可以重设密码而不会丢失先前因管理员重设密码而丢失的宝贵数据。如何创建密码重设盘？•第一步：按“Ctrl+Alt+Del”，然后单击“更改密码”按钮。•第二步：在“用户名”文本框中，输入要创建密码重设盘的帐户的用户名。•第三步：在“登录到”下列框中选择输入的帐户需要登陆的计算机名称，然后单击“备份”按钮。•第四步：按照“忘记密码向导”窗口中的步骤进行操作，直至完成操作。最后将密码重设盘保存在安全的地方。设置帐户密码策略密码策略作用于域帐户或本地帐户，包含以下几个方面：•强制密码历史•密码最长使用期限•密码最短使用期限•密码长度最小值•密码必须符合复杂性要求•用可还原的加密来存储密码设置帐户密码策略设置域控制器的密码策略设置域成员服务器或工作站的密码策略设置本地的密码策略帐户锁定策略5.2.3KerberosV5身份验证KerberosV5是在域中进行身份验证的主要安全协议。KerberosV5协议同时要验证用户的身份和网络服务，这种双重验证称为“相互身份验证”。KerberosV5身份验证工作过程KerberosV5身份验证过程：•客户端系统上的用户使用密码或智能卡向KDC进行身份验证。•KDC为此客户颁发一个特别的票证授予式票证。客户端系统使用TGT访问票证授予服务(TGS)，这是域控制器上的KerberosV5身份验证机制的一部分。•TGS接着向客户颁发服务票证。•客户向请求的网络服务出示服务票证。服务票证向此服务证明用户的身份，同时也向该用户证明服务的身份。KerberosV5策略Kerberos策略不存在于本地计算机策略中，它仅出现在加入到域中的计算机策略安全设置中，主要包含：•强制用户登录限制：默认值：已启用。•服务票证最长寿命：默认值：600分钟（10小时）。•用户票证最长寿命：默认值：10小时。•用户票证续订最长寿命：默认值：7天。•计算机时钟同步的最大容差：默认值：5分钟。5.3用户权限设置这里所介绍的用户及权限，主要针对的是本地用户及其权限。本地用户位于独立服务器的计算机管理中，用户可以使用本地用户保护并管理存储在本地计算机上的用户账户。可以在特定计算机和仅这台计算机上指派本地用户账户的权限和权利。通过本地用户，可以为用户和组指派权利和权限，从而限制了用户和组执行某些操作的能力。5.3.1WindowsServer2003内置帐户及组Administrator账户：Administrator账户具有对服务器的完全控制权限，并可以根据需要向用户指派用户权利和访问控制权限。Guest账户：Guest账户由在这台计算机上没有实际账户的用户使用。HelpAssistant账户(与远程协助会话一起安装)：HelpAssistant账户用于建立远程协助会话的主账户。组组是WindowsServer2003中对用户账号的一种逻辑单位，将具有相同特点和属性的用户组合成一个组，其目的是方便管理和使用。组独立服务器上的组又称为本地组。WindowsServer2003内置本地组主要包括：•Administrators组：该组的成员具有对服务器的完全控制权限，并且可以根据需要向用户指派用户权利和访问控制权限。•BackupOperators组：该组的成员可以备份和还原服务器上的文件，而不管保护这些文件的权限如何。•Guests组：该组的成员拥有一个在登录时创建的临时配置文件，在注销时，该配置文件将被删除。•PowerUsers组：该组的成员可以创建用户账户，然后修改并删除所创建的账户。•RemoteDesktopUsers组：该组的成员可以远程登录服务器，允许通过终端服务登录。•Users组：该组的成员可以执行一些常见任务。5.3.2用户权限设置用户权限是允许用户在计算机系统或网络中执行任务，用户权限分配则是确定哪些用户或组具有这些权限。在“组策略编辑器”中设置用户权限单击“开始”|“运行”，在文本框中输入“gpedit.msc”，单击“确定”按钮打开“组策略编辑器”窗口。在其中依次单击展开“计算机配置”|“Windows设置”|“安全设置”|“本地策略”|“用户权限分配”文件夹，在其中进行本地用户权限的各种安全设置。在“组策略编辑器”中设置用户权限5.4WindowsServer2003远程连接安全设置远程用户通过远程连接进入内部网络的手段包括：•通过拨号网络连接到内部网络中。•通过虚拟专用网连接到内部网络中。5.4.1特殊共享资源安全设置特殊共享资源包括：•driveletter$：允许管理人员连接到驱动器根目录下的共享资源。•ADMIN$：计算机远程管理期间使用的资源。•IPC$：共享命名管道的资源。•NETLOGON：域控制器上使用的所需资源。•SYSVOL：域控制器上使用的所需资源。•PRINT$：远程管理打印机过程中使用的资源。•FAX$：传真客户端在发送传真的过程中，所使用的服务器上的共享文件夹。删除特殊共享资源命令：netsharesharename/delete共享资源“IPC$”不能被“netshare”命令删除掉，须利用WindowsServer2003的注册表编辑器来对它进行禁用：•打开注册表编辑器。找到组键【HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa】中的【restrictanonymous】子键，将其值改为1即可禁用IPC连接，如没有这个组键，则新建它。5.4.2帐户安全设置WindowsServer2003提供的远程访问服务，往往都是通过用户帐户来进行身份验证。只要通过帐户认证，远程连接者就可以接入到本地网络中。攻击者可以通过扫描Administrator帐户和Guest帐户以期获得系统的控制权。改名Administrator帐户－第一步鼠标右键单击“我的电脑”，在弹出的菜单中选择“管理”，出现“计算机管理”窗口。改名Administrator帐户－第二步在“计算机管理”左侧窗口中展开“系统工具”|“本地用户和组”文件夹，选择“用户”文件夹。这时在“计算机管理”右侧窗口中将显示出本地的所有帐户。改名Administrator帐户－第三步单击“administrator”帐户，在弹出的菜单中选择“重命名”，重新输入帐户“administrator”的名字即可。禁用Guest帐户第一步，鼠标右键单击“我的电脑”，在弹出的菜单中选择“管理”，打开“计算机管理”窗口。第二步，在“计算机管理”左侧窗口中展开“系统工具”|“本地用户和组”文件夹，选择“用户”文件夹