Windows Server 2003以其强大的功能,相对简单的操作颇受企业用户的青睐,是当前企业环境中应用最广的服务器系统。但是在默认设置下,server 2003存在一定的安全隐患。如果被攻击者利用,就会对服务器的安全性造成极大的威胁,甚至导致服务器沦陷。下面笔者结合自己的切身实践,就容易被管理员忽视的5个默认设置进行演示。
1、拒绝“自动缓存”
Windows 2003服务器在默认设置下,往往会将超级管理员输入的许多密码内容,自动缓存起来并保存到指定缓存中,下次重新调用时就不需要重复输入了。这存在很大的安全隐患,如果本地攻击者获得这些敏感信息,那么服务器将会遭受到无法估量的损失。取消“自动缓存”的方法如下:
第一步:依次单击Windows 2003服务器中的“开始”→“运行”命令,在弹出的系统运行对话框中,输入“Regedit”命令,单击“确定”按钮后,打开注册表编辑窗口。
第二步:依次展开定位到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionpolicies注册表分支,并用鼠标右键单击policies分支,从弹出的右键菜单中依次单击“新建”→“项”命令,并将新创建的“项”命名为Network。下面再将Network项选中,在对应该项的右边子窗口中,右击空白区域,并执行快捷菜单中的“新建”→“Dword”命令,再将新创建的双字节值取名为“DisablePasswordCaching”。
第三步:用鼠标双击“DisablePasswordCaching”双字节值,在其后打开的如图1所示的数值设置窗口中,输入数值“00000001”,并单击“确定”按钮,最后按下键盘上的F5功能键,刷新一下注册表,如此一来Windows 2003服务器日后就不会“自作主张”地缓存各种密码信息了。 (图1)
2、关闭自由切换
有时为了保护服务器中的数据被非法访问,网络管理人员会在Windows状态下,将这些重要数据所在的文件夹隐藏起来,这样的话普通用户将会无法找到它们;遗憾的是,Windows服务器在默认状态下,会“自做主张”地允许普通用户自由切换到服务器系统的MS-DOS工作状态,在该状态下普通用户能很轻易地找到所有被隐藏起来的文件夹。可以通过下面的设置,阻止普通用户将服务器系统自由切换到MS-DOS工作状态下:
第一步:打开系统的运行对话框,并在其中执行注册表编辑命令“Regedit”,在随后出现的注册表编辑窗口中,依次选中分支“HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/WinOldApp。
第二步:要是“Policies”分支下面不存在“WinOldApp”子键时,右击“Policies”分支,并从弹出的快捷菜单中依次执行“新建”→“项”命令,再将新创建的项名称设置为“WinOldApp”;
第三步:再在对应“WinOldApp”项的右边子窗口中,右击空白区域,然后从弹出的右键菜单中依次执行“新建”→“字符串值”命令,并将新创建的字符串名称取为“Disabled”,再将其数值输入为“1”,最后重新启动一下服务器系统就可以了。 (图2)
3、限制远程会话
大家知道在默认状态下,Server 2003下的终端服务器会“自做主张”地允许任意一个远程用户,同时建立任意多个远程会话连接,而且还允许任意一个远程会话连接保持任意长的时间;很显然,要是不对远程会话连接数目进行限制的话,Server 2003下的终端服务器运行性能将会大打折扣,甚至能导致终端服务器发生“崩溃”。为此,你必须想办法阻止终端服务器“自做主张”地允许远程用户,随意创建远程会话连接,以避免终端服务器的系统资源被消耗殆尽。
第一步:按照前面的办法,打开系统的注册表编辑窗口,再依次展开HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services注册表分支。
第二步:接着用鼠标右键单击“Terminal Services”分支,从打开的右键菜单中逐一选中“新建”选项、“DWORD值”选项,随后再将新的双字节值名称取为“fSingleSessionPerUser”,然后将它的数值设置为“1”。这样的话终端服务器以后就只允许每一个远程连接用户,同时仅能保持一个会话连接了。 (图3)
#p#副标题#e#
4、禁用远程剪贴
在对Windows系统服务器进行维护的过程中,常常需要用到系统的剪贴板,来暂时保存诸如密码或者个人帐号之类的隐私信息。而在默认状态下,服务器会“自做主张”地允许远程用户来查看本地系统的剪贴板信息,如此一来保存在服务器剪贴板中的隐私内容,就可能被非法用户获得,从而会给服务器或个人带来危险。为了避免这样的麻烦,应阻止服务器地允许远程用户查看服务器剪贴板中的信息:
第一步:依次单击“开始”→“运行”命令,在打开的系统运行对话框中,输入命令“Services.msc”,单击“确定”按钮后,打开系统的服务列表窗口。
第二步:选中该窗口中的“ClipBook”项目,然后用鼠标双击它,在接着出现的如图4所示的服务属性框中,你会发现服务器已经将该服务启动起来了;此时你可以单击一下“启动类型”设置项处的下拉按钮,再从下拉列表中将“已禁用”选中,最后单击一下“确定”按钮,就能轻松避免远程剪贴的麻烦了。(图4)
5、拒绝服务器重新启动
通常,Windows 2003 Server安装完补丁后,系统会提示用户重新启动服务器。其实,服务器是否会重新启动,跟当前的系统补丁特性有一定的关系,对于那些强制需要系统启动的安全补丁,我们一般是无法让服务器拒绝重新启动的;但对于那些没有强制要求系统启动特性的补丁来说,我们就能采取如下的方法来阻止服务器系统重新启动。
第一步:在Windows 2003 Server服务器系统桌面中,依次单击“开始”→“运行”命令,在随后打开的系统运行对话框中,输入字符串命令“cmd”,单击“确定”按钮之后,将系统工作模式切换到MS-DOS状态下。
第二步:其次在DOS命令行中,通过“cd”命令将当前目录切换到补丁程序所在的目录,然后执行“test /?”字符串命令(其中test就是当前需要安装的系统补丁名称),在其后出现的提示界面中,检查一下当前补丁是否带有“-z”参数,要是带有该参数的话,就表明当前补丁在安装完毕后可以不强制要求系统进行重新启动。
第三步:接着在DOS命令行中,再输入字符串命令“test -z”,单击回车键后,该补丁程序就会自动安装到系统中,并且不会要求服务器系统进行重新启动了。(图5)
总结:服务器安全是个系统工程,其中服务器系统的安全是基础。在实际应用中对服务器系统的一些默认设置进行调整,就能在极大的程度上加固服务器的安全。当然,对于服务器系统的调整远远不止于笔者列举的这些。大家应根据需要进行设置,杜绝由于默认设置造成的服务器安全隐患。
