在以前的文章中,我们曾经讨论过Windows NT下的微软安全工具包,现在我们谈谈Windows 2000安全工具包中的资源和安全建议,利用它可以使Win2K系统保持在最佳安全状态。
分析你的系统
微软安全工具包是一张光盘,可以从微软Web站点免费获取。该工具包的Windows 2000部分包括如下资料:
防护全新安装的Windows 2000系统
防护已有的Windows 2000系统
安全设置规则列表
微软还提供一个非常方便的,名为网络安全补丁检测器(Hfnetchk.exe)的工具,它可以告诉你系统还需要安装哪些补丁程序。(参考“利用微软网络安全补丁检测器跟踪安全补丁的最新发布情况”这一章,可以学习如何使用这个工具。)
现在,将微软安全工具包光盘插入光驱,如果光盘不能自动运行,用资源管理器浏览光盘,然后选择自动播放,接着就会出现一个欢迎页面,该页面还列出了工具包的内容。
在“保护当前系统”栏下面,点击“现在安装”选项,开始对系统进行分析。当然,在服务器或工作站进行安装之前,一定要更新系统的紧急修复盘和系统备份。
我用一个没有安装任何服务包(Service Pack)的Windows 2000服务器进行试验,该服务器没有直接联入因特网,没有运行其它应用。当我使用此工具测试系统时出现了如下提示,见图A,它提示我需要安装Service Pack 2和其它多个升级程序。
图A
例如,该工具要求我安装Windows 2000 重要升级通告服务(Windows 2000 Critical Update Notification),当微软推出新的重要升级程序时它会提醒用户。该工具还要求我安装互联网信息服务锁定向导(Internet Information Services Lockdown Wizard)。本专题系列的第三部分,我们会讨论IIS下的微软安全工具包,还会介绍如何使用IIS锁定向导。
可以看到,该工具告诉你安装补丁和应用升级程序的次序。
下面,我们将介绍该工具包的所有细节,应用该工具包是确保Windows系统安全的第一步。
全新安装Windows 2000系统
微软提供了全新安装Windows 2000系统的最佳步骤指南。为了更好地进行阐述,我们谈到的最佳安装步骤都是针对Win2K Server的,但也有一小部分是对安装Win2K Pro的建议。
在安全工具包光盘中有一篇文章,题为“全新Windows 2000系统的安装与防护”,微软在这篇文章里为系统管理员提出了一些成功地安装无漏洞服务器的建议,并给出了安装Windows 2000的步骤。
在文章的概述中,微软建议不要把即将安装系统的新机器联入网络,或者,一定要确保该机器联入的网络没有被“红色代码”之类的病毒渗透。
接着,微软建议下一步工作是安装最新的服务包。写这篇文章的时候,最新的服务包是Service Pack 2。我认为这一步不必过份强调。而且,微软建议使用Internet Explorer 5.01 SP2,或者升级到IE 5.5 SP2,或IE 6.0。给新的Win2K安装Service Pack 2时系统默认使用IE 5.01 SP2。
如果你需要使用IIS,那么应该安装适当的安全应用包。如果不准备在这台机器上运行IIS,那一定要确保已经从Win2K的默认安装里删除了IIS。如果已经不小心装上了IIS,要尽快使用“添加/删除程序”功能将IIS删除。
成功安装系统之后,要对照微软的安全设置规则列表设置系统,要确保系统的使用过程是安全的。如果由于某种原因你不能完成某个安全设置,那么你应该回顾安全设置规则列表,它可以帮助你找到系统的弱点。而且,这个安全设置过程也是一种重要的实践经验。
已有系统的安全防护
防护已有系统的过程与设置新系统的过程类似。但是,在开始安装补丁前,我建议你一定要先在实验环境下进行测试,并且实验环境应使用相同或类似的硬件,这样才有可能会出现相同的问题。
安全工具包光盘中有一篇文章,题为“已有Windows 2000系统的安装与防护”,它详细介绍了有关步骤,由于版面限制,这里不能一一介绍,但我可以给出一些相关的基本要素。
防护已有系统的第一步是确定系统的当前状态,运行Hfnetchk.exe可以完成这一步骤。打开安全工具包光盘的/Combined/Hfnetcheck文件夹,运行Nshc32.exe就可安装此工具,安装过程依据屏幕提示完成。
安装完毕后即可执行它。该工具从微软站点下载系统需要安装的补丁程序。表A是我在试验过程中该工具下载的补丁列表。
这是从微软站点下载的安全补丁完整列表,能使我的系统保持安全状态。要注意的一点是,并不是所有补丁都必须安装,安装补丁前应该仔细阅读相关文档。
下一步就是一个一个安装补丁程序。如果需要安装服务器包,可以遵照微软文档中的建议完成安装。
经常检查
微软的安全设置规则列表是确保Windows 2000系统安全的重要工具。下面是其中一些最重要的安全设置规则:
使用NTFS文件系统。因为FAT和FAT32文件系统没有对文件的访问权限加以任何限制,而NTFS却做到了这一点,所以它对确保系统安全来说非常重要。
停止不必要的服务。应该停止一些如IIS之类的服务,不是每个服务器都需要提供这些服务,也不是每个客户端都需要个人Web服务,如果不能停用这些服务,最大的可能就是安装补丁时漏掉了它们,将来它们可能最容易遭到攻击。
使用强大的口令机制和良好的用户管理规则。这两条完全由管理员来控制。一定要设置强大的系统口令策略,要定期检查用户数据库,删除过期用户,停止使用guest用户,等等。
设置适当的访问控制列表。默认情况下,Windows系统下的文件和共享对所有用户开放。一定要改正这一点,并非所有用户都需要这种级别的访问权限,对所有用户开放文件和共享只会使系统暴露在黑客的攻击之下。
以上工作都完成后,下一步该怎么做?
系统安全的防护工作永无止境。按照微软推荐的步骤进行安装和配置,遵守安全设置规则只是防护系统安全的开始。为Windows 2000系统提供安全的运行环境需要不断地努力,我建议你至少应该做到以下几条:
经常访问微软升级程序站点,了解补丁的最新发布情况。
订阅微软安全公告,及时了解最新发现的Windows 2000系统漏洞。
安装重要升级通告服务,这样才能尽快获取最新的重要升级程序。
定期运行Hfnetchk.exe工具,确保系统没有遗漏任何补丁程序。与Qchain一起联合使用Hfnetchk,这样多次安装升级程序只需重启系统一次。
总结
微软希望这些指导方针,工具和安全设置规则列表能简化防护Windows 2000系统安全的过程。现在,微软已经开始提供这些资源,我们要做到的是遵从他们的建议。
设为首页