本文主要知識點(diǎn)： Windows 2003安全配置、NTFS系統(tǒng)、加密文件系統(tǒng)（EFS）、 系統(tǒng)服務(wù)等。

前言：

2003年5月22日，微軟的新一代操作系統(tǒng)Windows Server 2003中文版開始在國內(nèi)發(fā)行。從Windows95一路用到現(xiàn)在，筆者覺得微軟在安全方面做的還算是說的過去的，雖然說漏洞很多。2003總體感覺上安全做的還不錯(cuò)，交互式登錄、網(wǎng)絡(luò)身份驗(yàn)證、基于對象的訪問控制、比較完整的安全策略、數(shù)據(jù)加密保護(hù)……筆者這里要談的是如何通過安全的配置，使Windows Server 2003安全性大大加強(qiáng)。

一、安裝過程中的安全問題

1．NTFS系統(tǒng)。

老生長談的話題了。NTFS系統(tǒng)為一種高級的文件系統(tǒng)，提供了性能、安全、可靠性以及未在任何FAT格式版本中提供的高級功能，通過它可以實(shí)現(xiàn)任意文件及文件夾的加密和權(quán)限設(shè)置（這是最直觀的安全設(shè)置了），磁盤配額和壓縮等高級功能。通過它，你還可以更好的利用磁盤空間，提高系統(tǒng)運(yùn)行速度……自WindowsNT系統(tǒng)以來，使用NTFS系統(tǒng)已經(jīng)逐漸成了一種共識。為了體驗(yàn)NTFS系統(tǒng)帶來的這些免費(fèi)的優(yōu)惠，筆者特意把硬盤所有分區(qū)都轉(zhuǎn)成了NTFS系統(tǒng)。如果你在安裝時(shí)不選用NTFS系統(tǒng)，那么后面的很多安全配置如用戶權(quán)限設(shè)置等你將都不能實(shí)現(xiàn)。

2．安裝過程中有關(guān)安全的提示。

在安裝過程中需要輸入Administrator密碼，新的Windows Server 2003提供了一個(gè)比較成熟的密碼規(guī)則，當(dāng)你輸入的密碼不符合規(guī)則時(shí)，就會以圖片形式出現(xiàn)如下提示（由于安裝未完成，不能抓圖，請諒解。內(nèi)容已經(jīng)抄下來了）：

您已經(jīng)指定的管理員帳戶的密碼不符合密碼的條件，建議使用的密碼應(yīng)符合下列條件之中的前二個(gè)及至少三個(gè)：

- 至少6個(gè)字符 - 不包含'Administrator'或'Admin' - 包含大寫字母（A、B、C等等） - 包含小寫字母（a、b、c等等） - 包含數(shù)字（0、1、2等等） - 包含非字母數(shù)字字符（#、&、~等等） 您確定要繼續(xù)使用當(dāng)前密碼嗎？

之所以說是“比較成熟”的密碼規(guī)則，因?yàn)榫退隳愕拿艽a設(shè)置不符合此規(guī)則也能照樣順利進(jìn)行下一步安裝，這就為以后的系統(tǒng)安全埋下了隱患。但總的來說，有了這一規(guī)則就已經(jīng)很不錯(cuò)了，以前的版本沒有，就出現(xiàn)了N多空密碼的很快淪為肉雞的機(jī)器。相信有了這一提示后，可以在很大程度上減小這種現(xiàn)象。

3．在完全配置完成后不要把機(jī)器接到網(wǎng)絡(luò)中（包括局域網(wǎng)），因?yàn)檫@時(shí)候你滿的漏洞的機(jī)器隨時(shí)等候別人的“照顧”，只要有人連接上來，就是Admin權(quán)限。這一點(diǎn)相信了解安全的朋友都知道。

在整個(gè)安裝過程中需要注意的基本就這么多了。另外，不知道大家有沒有注意到，按默認(rèn)安裝后，系統(tǒng)根目錄下多出來一個(gè)0字節(jié)的wmpub文件夾，里面又有一個(gè)0字節(jié)的wmiislog文件夾。后來發(fā)現(xiàn)有一個(gè)不明程序在使用這個(gè)wmiislog文件夾，但到底是什么程序，有什么用途用還不清楚，不知道是否和安全有關(guān)，能否被利用。請知道的朋友告知一聲。

二、初級安全配置

1．關(guān)閉默認(rèn)的磁盤共享，修改組或用戶對磁盤的控制權(quán)限。

安裝完成后，默認(rèn)是共享了所有硬盤分區(qū)的，還包括提供遠(yuǎn)程IPC和遠(yuǎn)程管理的兩個(gè)共享：IPC$和ADMIN$，這就為以后的系統(tǒng)安全埋下了隱患，圖1。解決這個(gè)問題有很多辦法，這里介紹一種簡單可行的解決方案。從“計(jì)算機(jī)管理”里打開“服務(wù)”（或者在運(yùn)行里鍵入Services.msc回車），在里面找到Server服務(wù)，雙擊打開其屬性，并設(shè)置為“禁用”即可，圖2。Server服務(wù)是系統(tǒng)默認(rèn)的和共享有關(guān)的服務(wù)，支持計(jì)算機(jī)通過網(wǎng)絡(luò)的文件、打印和命名管道共享，禁用此服務(wù)后，一切基于此服務(wù)的其他服務(wù)也同時(shí)被禁止，包括Computer Browser和Distributed File Sysetm兩個(gè)服務(wù)。前一個(gè)服務(wù)是Windows Server 2003的新服務(wù)，利用它可以把分散的共享合并成一個(gè)邏輯名稱空間并在網(wǎng)絡(luò)上管理這些邏輯卷，這能大大方便用戶使用和管理那些分散的共享。后一個(gè)服務(wù)用來維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的更新列表，并將列表提供給計(jì)算機(jī)指定瀏覽，如果停止此服務(wù)，則列表就不會被更新或維護(hù)。當(dāng)禁用Server服務(wù)后，這兩個(gè)服務(wù)就不能使用。

圖 1 圖 2

另外，默認(rèn)Everyone組用戶對所有共享擁有完全的控制權(quán)，這也是非常危險(xiǎn)的，任何人只要訪問共享，就可以完全控制此共享，這當(dāng)然是不符合安全要求的，圖3。解決的辦法也很簡單，修改共享的安全屬性，刪除Everyone組或修改其訪問權(quán)限即可。首先在共享上點(diǎn)右鍵打開其屬性，在“安全”標(biāo)簽里可以看到此時(shí)可以訪問此共享的組或用戶情況，圖3，下面的框顯示的是被選中組或用戶所擁有的權(quán)限。這里可以看到Everyone組擁有完全控制權(quán)。現(xiàn)在我們可以根據(jù)自己的實(shí)際情況來配置里面的組或用戶擁有的權(quán)限。如果繼續(xù)允許Everyone組用戶訪問，則必須從新設(shè)置其訪問權(quán)限，只需要把“允許”里的權(quán)限后面的方框里的鉤去掉即可。如果要?jiǎng)h除Everyone組，則單擊“刪除”即可。如果需要新添加用戶或組，使其也可以訪問此共享，單擊“高級”按鈕進(jìn)入高級安全設(shè)置，如圖4。再單擊“添加”進(jìn)入用戶選擇，單擊“高級”，選擇“立即查找”就可以找到此計(jì)算機(jī)上所有的用戶和組，圖5。這里以Users組為例介紹。首先找到并選中Users組，單擊“確定”進(jìn)入權(quán)限設(shè)置，圖6，這里就可以為Users組用戶選擇共享的權(quán)限，完了確定即可。這時(shí)候，Users組用戶也可以訪問此共享，并且擁有為其設(shè)置好的權(quán)限。

圖 3 圖 4 圖 5 圖 6 2．修改組或用戶的訪問權(quán)限，達(dá)到需要的安全要求。

由于在安裝時(shí)使用了NTFS系統(tǒng)，我們可以對任何文件及文件夾進(jìn)行權(quán)限設(shè)置，使得各組和用戶對某一文件或文件夾的控制權(quán)不同。通過這樣的配置就能達(dá)到一定的安全要求。這里以Tools文件夾為例介紹如何具體配置其安全屬性。首先點(diǎn)右鍵打開其屬性，選擇“安全”標(biāo)簽，可以看到目前可訪問此文件夾的所有用戶，圖7。作為系統(tǒng)管理員，當(dāng)然是擁有完全控制的權(quán)限了，但其他用戶或組就不一定要為其分配這么高的權(quán)限，這不符合安全配置的原則，所以就得修改。仍以Users組為例介紹。單擊“添加”選擇用戶和組，圖8，單擊“高級”，再單擊“立即查找”即可找到當(dāng)前計(jì)算機(jī)的所有用戶和組，圖5。選擇Users組后確定。可以看到此時(shí)能訪問該文件夾的用戶個(gè)組除了原來的Administrator還多了一個(gè)Users組用戶，圖9。這里默認(rèn)權(quán)限為讀取和運(yùn)行、列出文件夾目錄和讀取。根據(jù)不同的安全要求可以為新加的Users組用戶配置其權(quán)限。當(dāng)然你也可以直接按“刪除”把你想要?jiǎng)h除的用戶或組從列表中刪除，這樣他就不在有訪問此文件夾的權(quán)限。

圖 7 圖 8 圖 9

需要注意的幾點(diǎn)：

* 此權(quán)限設(shè)置是基于NTFS系統(tǒng)的，F(xiàn)AT格式的磁盤不能進(jìn)行權(quán)限設(shè)置。 * 對某一文件的安全配置和對文件夾的安全配置完全一樣，從文件的屬性里配置就行了。 * 如果完全刪除了某一文件或文件夾的所有用戶或組，會出現(xiàn)圖10的提示，如果確定，此文件或文件夾就不可訪問，無論你的身份有多高，圖11。只有以Admin身份登錄，從新配置其安全屬性，為其添加新的用戶或組。

圖 10 圖 11

可以看出，通過對文件或文件夾的安全配置，即可達(dá)到對任意文件或文件夾的訪問權(quán)限控制，從而滿足不同的安全需求。

3．利用加密文件系統(tǒng)（EFS），加密文件或文件夾。

Windows Server 2003支持利用EFS技術(shù)對任意文件或文件夾進(jìn)行加密，這是一種核心的文件加密技術(shù)，基于NTFS系統(tǒng)，只有NTFS系統(tǒng)的磁盤才能使用此技術(shù)。加密后的文件或文件夾就不可被除此用戶以外的任何用戶訪問，而無論你的身份有多高。這樣就能更好的保護(hù)自己的敏感數(shù)據(jù)和重要文件。下面以Tools文件夾加密為例介紹。首先右鍵打開其屬性，在“常規(guī)”標(biāo)簽里“選擇“高級”選項(xiàng)進(jìn)入高級屬性，圖12，將“加密內(nèi)容以便保護(hù)數(shù)據(jù)”框選中并確認(rèn)，圖13。確定后會出現(xiàn)圖14所示的選項(xiàng)。如果選擇上面一項(xiàng)，則只加密此文件夾，其他用戶雖然不能直接訪問此文件夾，但可以通過其他途徑如直接鍵入完整路徑來訪問里面的內(nèi)容；如果選擇下面一項(xiàng)，則此文件夾內(nèi)所有的文件和文件夾都將被加密。

圖 12 圖 13 圖 14

使用加密文件系統(tǒng)需要注意以下幾點(diǎn)：

* 只有在NTFS系統(tǒng)上才支持?jǐn)?shù)據(jù)加密，如果被加密的數(shù)據(jù)被移動到FAT格式的磁盤上，則會自動解密。 * 將非加密的數(shù)據(jù)移動到已加密的文件夾中，則會被自動加密，而且此過程是不可逆的，即把已加密的文件夾中數(shù)據(jù)移動到此文件夾外，數(shù)據(jù)不會自動解密。 * 無法加密系統(tǒng)文件、已被壓縮過的數(shù)據(jù)和Systemroot文件夾（即安裝目錄的Windows文件夾）。 * 加密數(shù)據(jù)不能防止被刪除或列出目錄，具有訪問權(quán)限的組或用戶即可刪除或列出已加密數(shù)據(jù)的目錄。所以應(yīng)結(jié)合組或用戶權(quán)限設(shè)置，進(jìn)一步保護(hù)好數(shù)據(jù)安全。

4．通過“軟件限制策略”限制任意程序的使用。

在計(jì)算機(jī)的日常使用中，我們總是需要限制某些用戶執(zhí)行所有或部分程序，通過設(shè)置合理的規(guī)則可以鎖定系統(tǒng)所有或部分程序的運(yùn)行。另一方面，隨著網(wǎng)絡(luò)、Internet以及電子郵件在日常生活中的使用日益增多，越來越多的病毒和木馬會故意進(jìn)行偽裝來欺騙我們運(yùn)行它們。而要做出安全的選擇來確定某個(gè)程序是否安全是非常困難的。“軟件限制策略”控制未知或不信任的軟件的運(yùn)行需求，從而從一定程度上達(dá)到預(yù)防病毒和木馬的功效，為營造一個(gè)安全的環(huán)境提供了條件。接下來，筆者就介紹一下如何設(shè)置“軟件限制策略”。從“管理工具”里打開“本地安全設(shè)置”，在左側(cè)的窗口里，可以看見“軟件限制策略”，打開后里面包含兩個(gè)選項(xiàng)：“安全級別”和“其他規(guī)則”，圖15。

圖 15

在“安全級別”里，如果選擇了“不允許的”作為默認(rèn)項(xiàng)，會出現(xiàn)一個(gè)提示框，圖16，確定后，系統(tǒng)會按新的規(guī)則將所有的可執(zhí)行程序設(shè)置為禁用，當(dāng)試圖打開程序時(shí)會提示錯(cuò)誤，圖17。這就達(dá)到了鎖定所有程序的目的。解鎖的辦法當(dāng)然就是還原“不受限的”為默認(rèn)項(xiàng)了。

圖 16 圖 17

在“其他規(guī)則”里，可以定義四種規(guī)則來滿足不同的需求：證書規(guī)則、哈希規(guī)則、Internet區(qū)域規(guī)則、路徑規(guī)則。這里以“路徑規(guī)則”來介紹，其他的用法和作用都基本一樣。首先在“其他規(guī)則”上點(diǎn)右鍵，選擇“新建路徑規(guī)則”，圖18。點(diǎn)“瀏覽”選好具體的文件夾，在安全級別里選擇“不允許的”，然后確定。這樣就達(dá)到了對所選的文件夾內(nèi)所有程序鎖定的目的。此時(shí)如果繼續(xù)運(yùn)行此文件夾內(nèi)的任何程序都回提示錯(cuò)誤，圖19。同樣在這里可以選擇某個(gè)具體的程序來鎖定。

圖 18 圖 19

介紹了基本的使用方法，但這并不能滿足所有的安全需求。有的時(shí)候，我們需要只能運(yùn)行個(gè)別程序，硬盤上其他所有的程序都不能運(yùn)行。如何達(dá)到這個(gè)目的呢？首先在“安全級別”里把“不允許的”設(shè)置為默認(rèn)，再到“其他規(guī)則”里設(shè)置想運(yùn)行的程序路徑，并設(shè)置安全級別為“不受限的”。這樣，除了新規(guī)則規(guī)定的程序以外，其他一切程序都不能運(yùn)行。那么如何利用此規(guī)則做好病毒和木馬的防御工作呢？我們可以在“其他規(guī)則”里設(shè)置新規(guī)則，路徑指向郵件附件保存的路徑，然后把安全級別設(shè)置為“不允許的”即可。

另外，“軟件限制策略”和權(quán)限沒有關(guān)系，如果限制了某個(gè)程序不能執(zhí)行，無論你以何身份身份來運(yùn)行都會提示不能運(yùn)行。經(jīng)過處理后的程序?qū)h(yuǎn)程登錄的用戶一樣適用。雖然設(shè)置適當(dāng)?shù)陌踩?guī)則可以從一定程度上防御病毒和木馬的襲擊，但切不可把“軟件限制策略”當(dāng)成防病毒軟件來使用，這只是緩兵之計(jì)。