在以前的文章中,我們曾經討論過Windows NT下的微軟安全工具包,現在我們談談Windows 2000安全工具包中的資源和安全建議,利用它可以使Win2K系統保持在最佳安全狀態。 分析你的系統 微軟安全工具包是一張光盤,可以從微軟Web站點免費獲取。該工具包的Windows 2000部分包括如下資料: 防護全新安裝的Windows 2000系統 防護已有的Windows 2000系統 安全設置規則列表 微軟還提供一個非常方便的,名為網絡安全補丁檢測器(Hfnetchk.exe)的工具,它可以告訴你系統還需要安裝哪些補丁程序。(參考“利用微軟網絡安全補丁檢測器跟蹤安全補丁的最新發布情況”這一章,可以學習如何使用這個工具。) 現在,將微軟安全工具包光盤插入光驅,如果光盤不能自動運行,用資源管理器浏覽光盤,然後選擇自動播放,接著就會出現一個歡迎頁面,該頁面還列出了工具包的內容。 在“保護當前系統”欄下面,點擊“現在安裝”選項,開始對系統進行分析。當然,在服務器或工作站進行安裝之前,一定要更新系統的緊急修復盤和系統備份。 我用一個沒有安裝任何服務包(Service Pack)的Windows 2000服務器進行試驗,該服務器沒有直接聯入因特網,沒有運行其它應用。當我使用此工具測試系統時出現了如下提示,見圖A,它提示我需要安裝Service Pack 2和其它多個升級程序。 圖A 例如,該工具要求我安裝Windows 2000 重要升級通告服務(Windows 2000 Critical Update Notification),當微軟推出新的重要升級程序時它會提醒用戶。該工具還要求我安裝互聯網信息服務鎖定向導(Internet Information Services Lockdown Wizard)。本專題系列的第三部分,我們會討論IIS下的微軟安全工具包,還會介紹如何使用IIS鎖定向導。 可以看到,該工具告訴你安裝補丁和應用升級程序的次序。 下面,我們將介紹該工具包的所有細節,應用該工具包是確保Windows系統安全的第一步。 全新安裝Windows 2000系統 微軟提供了全新安裝Windows 2000系統的最佳步驟指南。為了更好地進行闡述,我們談到的最佳安裝步驟都是針對Win2K Server的,但也有一小部分是對安裝Win2K Pro的建議。 在安全工具包光盤中有一篇文章,題為“全新Windows 2000系統的安裝與防護”,微軟在這篇文章裡為系統管理員提出了一些成功地安裝無漏洞服務器的建議,並給出了安裝Windows 2000的步驟。 在文章的概述中,微軟建議不要把即將安裝系統的新機器聯入網絡,或者,一定要確保該機器聯入的網絡沒有被“紅色代碼”之類的病毒滲透。 接著,微軟建議下一步工作是安裝最新的服務包。寫這篇文章的時候,最新的服務包是Service Pack 2。我認為這一步不必過份強調。而且,微軟建議使用Internet Explorer 5.01 SP2,或者升級到IE 5.5 SP2,或IE 6.0。給新的Win2K安裝Service Pack 2時系統默認使用IE 5.01 SP2。 如果你需要使用IIS,那麼應該安裝適當的安全應用包。如果不准備在這台機器上運行IIS,那一定要確保已經從Win2K的默認安裝裡刪除了IIS。如果已經不小心裝上了IIS,要盡快使用“添加/刪除程序”功能將IIS刪除。 成功安裝系統之後,要對照微軟的安全設置規則列表設置系統,要確保系統的使用過程是安全的。如果由於某種原因你不能完成某個安全設置,那麼你應該回顧安全設置規則列表,它可以幫助你找到系統的弱點。而且,這個安全設置過程也是一種重要的實踐經驗。 已有系統的安全防護 防護已有系統的過程與設置新系統的過程類似。但是,在開始安裝補丁前,我建議你一定要先在實驗環境下進行測試,並且實驗環境應使用相同或類似的硬件,這樣才有可能會出現相同的問題。 安全工具包光盤中有一篇文章,題為“已有Windows 2000系統的安裝與防護”,,它詳細介紹了有關步驟,由於版面限制,這裡不能一一介紹,但我可以給出一些相關的基本要素。 防護已有系統的第一步是確定系統的當前狀態,運行Hfnetchk.exe可以完成這一步驟。打開安全工具包光盤的\Combined\Hfnetcheck文件夾,運行Nshc32.exe就可安裝此工具,安裝過程依據屏幕提示完成。 安裝完畢後即可執行它。該工具從微軟站點下載系統需要安裝的補丁程序。表A是我在試驗過程中該工具下載的補丁列表。 這是從微軟站點下載的安全補丁完整列表,能使我的系統保持安全狀態。要注意的一點是,並不是所有補丁都必須安裝,安裝補丁前應該仔細閱讀相關文檔。 下一步就是一個一個安裝補丁程序。如果需要安裝服務器包,可以遵照微軟文檔中的建議完成安裝。 經常檢查 微軟的安全設置規則列表是確保Windows 2000系統安全的重要工具。下面是其中一些最重要的安全設置規則: 使用NTFS文件系統。因為FAT和FAT32文件系統沒有對文件的訪問權限加以任何限制,而NTFS卻做到了這一點,所以它對確保系統安全來說非常重要。 停止不必要的服務。應該停止一些如IIS之類的服務,不是每個服務器都需要提供這些服務,也不是每個客戶端都需要個人Web服務,如果不能停用這些服務,最大的可能就是安裝補丁時漏掉了它們,將來它們可能最容易遭到攻擊。 使用強大的口令機制和良好的用戶管理規則。這兩條完全由管理員來控制。一定要設置強大的系統口令策略,要定期檢查用戶數據庫,刪除過期用戶,停止使用guest用戶,等等。 設置適當的訪問控制列表。默認情況下,Windows系統下的文件和共享對所有用戶開放。一定要改正這一點,並非所有用戶都需要這種級別的訪問權限,對所有用戶開放文件和共享只會使系統暴露在黑客的攻擊之下。 以上工作都完成後,下一步該怎麼做? 系統安全的防護工作永無止境。按照微軟推薦的步驟進行安裝和配置,遵守安全設置規則只是防護系統安全的開始。為Windows 2000系統提供安全的運行環境需要不斷地努力,我建議你至少應該做到以下幾條: 經常訪問微軟升級程序站點,了解補丁的最新發布情況。 訂閱微軟安全公告,及時了解最新發現的Windows 2000系統漏洞。
安裝重要升級通告服務,這樣才能盡快獲取最新的重要升級程序。 定期運行Hfnetchk.exe工具,確保系統沒有遺漏任何補丁程序。與Qchain一起聯合使用Hfnetchk,這樣多次安裝升級程序只需重啟系統一次。 總結 微軟希望這些指導方針,工具和安全設置規則列表能簡化防護Windows 2000系統安全的過程。現在,微軟已經開始提供這些資源,我們要做到的是遵從他們的建議。
