讓W(xué)in 2003更安全的方式(2)

　　修改內(nèi)建的用戶賬號(hào)

　　多年以來，微軟一直在強(qiáng)調(diào)最好重命名Administrator賬號(hào)并禁用Guest賬號(hào)，從而實(shí)現(xiàn)更高的安全。在Windows Server 2003中，Guest 賬號(hào)是缺省禁用的，但是重命名Administrator賬號(hào)仍然是必要的，因?yàn)楹诳屯�往�?huì)從Administrator賬號(hào)入手開始進(jìn)攻。

　　有很多工具通過檢查賬號(hào)的SID來尋找賬號(hào)的真實(shí)名稱。不幸的是，你不能改變用戶的SID，也就是說基本上沒有防止這種工具來檢測(cè)Administrator賬號(hào)真實(shí)名稱的辦法。即便如此，我還是鼓勵(lì)每個(gè)人重命名Administrator 賬號(hào)并修改賬號(hào)的描述信息，有兩個(gè)原因:

　　首先，誑橢械男率摯贍懿恢?勒飫喙ぞ叩拇嬖諢蛘卟換崾褂盟?恰F浯危?孛?鸄dministrator賬號(hào)為一個(gè)獨(dú)特的名稱讓你能更方便的監(jiān)控黑客對(duì)此賬號(hào)的進(jìn)攻。

　　另一個(gè)技巧適用于成員服務(wù)器。成員服務(wù)器有他們自己的內(nèi)建本地管理員賬號(hào)，完全獨(dú)立于域中的管理 員賬號(hào)。你可以配置每個(gè)成員服務(wù)器使用不同的用戶名和密碼。如果某人猜測(cè)出你的本地用戶名和密碼，你肯定不希望他用相同的賬號(hào)侵犯其他的服務(wù)器。當(dāng)然，如果你擁有良好的物理安全，誰(shuí)也不能使用本地賬號(hào)取得你服務(wù)器的權(quán)限。

　　服務(wù)賬號(hào)

　　Windows Server 2003在某種程度上最小化服務(wù)賬號(hào)的需求。即便如此，一些第三方的應(yīng)用程序仍然堅(jiān)持傳統(tǒng)的服務(wù)賬號(hào)。如果可能的話，盡量使用本地賬號(hào)而不是域賬號(hào)作為服務(wù)賬號(hào)，因?yàn)槿绻�某人物理上獲得了服務(wù)器的訪問權(quán)限，他可能會(huì)轉(zhuǎn)儲(chǔ)服務(wù)器的LSA機(jī)密，并泄露密碼。如果你使用域密碼，森林中的任何計(jì)算機(jī)都可以通過此密碼獲得域訪問權(quán)限。而如果使用本地賬戶，密碼只能在本地計(jì)算機(jī)上使用，不會(huì)給域帶來任何威脅。

　　系統(tǒng)服務(wù)

　　一個(gè)基本原則告訴我們，在系統(tǒng)上運(yùn)行的代碼越多，包含漏洞的可能性就越大。你需要關(guān)注的一個(gè)重要安全策略是減少運(yùn)行在你服務(wù)器上的代碼。這么做能在減少安全隱患的同時(shí)增強(qiáng)服務(wù)器的性能。

　　在Windows 2000中，缺省運(yùn)行的服務(wù)有很多，但是有很大一部分服務(wù)在大多數(shù)環(huán)境中并派不上用場(chǎng)。事實(shí)上，windows 2000的缺省安裝甚至包含了完全操作的IIS服務(wù)器。而在Windows Server 2003中，微軟關(guān)閉了大多數(shù)不是絕對(duì)必要的服務(wù)。即使如此，還是有一些有爭(zhēng)議的服務(wù)缺省運(yùn)行。

　　其中一個(gè)服務(wù)是分布式文件系統(tǒng)(DFS)服務(wù)。DFS服務(wù)起初被設(shè)計(jì)簡(jiǎn)化用戶的工作。DFS允許管理員創(chuàng)建一個(gè)邏輯的區(qū)域，包含多個(gè)服務(wù)器或分區(qū)的資源。對(duì)于用戶，所有這些分布式的資源存在于一個(gè)單一的文件夾中。

　　我個(gè)人很喜歡DFS，尤其因?yàn)樗�的容錯(cuò)和可伸縮特性。然而，如果你不準(zhǔn)備使用DFS，你需要讓用戶了解文件的確切路徑。在某些環(huán)境下，這可能意味著更強(qiáng)的安全性。在我看來，DFS的利大于弊。

　　另一個(gè)這樣的服務(wù)是文件復(fù)制服務(wù)(FRS)。FRS被用來在服務(wù)器之間復(fù)制數(shù)據(jù)。它在域控制器上是強(qiáng)制的服務(wù)，因?yàn)樗�能夠保持SYSVOL文件夾的同步。對(duì)于成員服務(wù)器來說，這個(gè)服務(wù)不是必須的，除非運(yùn)行DFS。

　　如果你的文件服務(wù)器既不是域控制器，也不使用DFS，我建議你禁用FRS服務(wù)。這么做會(huì)減少黑客在多個(gè)服務(wù)器間復(fù)制惡意文件的可能性。

　　另一個(gè)需要注意的服務(wù)是Print Spooler服務(wù)(PSS)。該服務(wù)管理所有的本地和網(wǎng)絡(luò)打印請(qǐng)求，并在這些請(qǐng)求下控制所有的打印工作。所有的打印操作都離不開這個(gè)服務(wù)，它也是缺省被啟用的。

　　不是每個(gè)服務(wù)器都需要打印功能。除非服務(wù)器的角色是打印服務(wù)器，你應(yīng)該禁用這個(gè)服務(wù)。畢竟，專用文件服務(wù)器要打印服務(wù)有什么用呢?通常地，沒有人會(huì)在服務(wù)器控制臺(tái)工作，因此應(yīng)該沒有必要開啟本地或網(wǎng)絡(luò)打印。

　　我相信通常在災(zāi)難恢復(fù)操作過程中，打印錯(cuò)誤消息或是事件日志都是十分必要的。然而，我依然建議在非打印服務(wù)器上簡(jiǎn)單的關(guān)閉這一服務(wù)。

　　信不信由你，PSS是最危險(xiǎn)的Windows組件之一。有不計(jì)其數(shù)的木馬更換其可執(zhí)行文件。這類攻擊的動(dòng)機(jī)是因?yàn)樗�是統(tǒng)級(jí)的服務(wù)，因此擁有很高的特權(quán)。因此任何侵入它的木馬能夠獲得這些高級(jí)別的特權(quán)。為了防止此類攻擊，還是關(guān)掉這個(gè)服務(wù)吧。

　　Windows Server 2003作為Microsoft 最新推出的服務(wù)器操作系統(tǒng)，相比Windows 2000/XP系統(tǒng)來說，各方面的功能確實(shí)得到了增強(qiáng)，尤其在安全方面，總體感覺做的還算不錯(cuò).但如果你曾經(jīng)配置過Windows NT Server或是windows 2000 Server，你也許發(fā)現(xiàn)這些微軟的產(chǎn)品缺省并不是最安全的。但是,你學(xué)習(xí)了本教程后,你可以讓你的windows 2003系統(tǒng)變得更安全.