Se detallan los riesgos y las precauciones de seguridad del sistema Win2000

noticias de la tienda de computadoras

El sistema operativo Windows 2000 Server se usa ampliamente en el sistema operativo de servidores de PC. Este documento analiza los riesgos de seguridad del sistema operativo durante la instalación y operación, y propone las medidas preventivas correspondientes para mejorar la seguridad del sistema y las capacidades de ataque antivirus.

Palabras clave: riesgos de seguridad del sistema operativo

Como todos sabemos, el sistema operativo Windows 2000 Server de Microsoft es reconocido por la mayoría de los usuarios debido a su operación conveniente y sus potentes funciones. Más y más aplicaciones El sistema se ejecuta en el sistema operativo Windows 2000 Server. En el trabajo diario, algunos administradores no prestan atención a las precauciones de seguridad al instalar y configurar el sistema operativo, lo que resulta en el final de la instalación del sistema, y ​​los virus informáticos también se invaden en el sistema operativo. Cómo construir un sistema operativo seguro es una preocupación de los administradores de seguridad.

I. Análisis de los riesgos de seguridad del sistema operativo

(1) Instalación de peligros ocultos

Al instalar el sistema operativo Windows 2000 Server en un servidor, existen principalmente peligros ocultos:

1. Instale el servidor en la red. El sistema operativo Windows 2000 Server tiene una vulnerabilidad de seguridad durante la instalación. Cuando se ingresa la contraseña del Administrador, el sistema establece automáticamente el uso compartido de ADMIN $, pero no lo protege con la contraseña que se acaba de ingresar. Esta situación continúa hasta que se reinicia nuevamente. Mientras tanto, cualquier persona puede ingresar a la máquina a través de ADMIN $; al mismo tiempo, tan pronto como finalice la instalación, los diversos servicios se ejecutarán automáticamente, y el servidor estará lleno de vulnerabilidades, y el virus informático es muy fácil de invadir. Por lo tanto, es muy incorrecto instalar el servidor en la red.

2. El sistema operativo comparte una partición de disco con el sistema de la aplicación. Cuando se instala el sistema operativo, la instalación del sistema operativo y el sistema de la aplicación en la misma partición del disco hará que el atacante obtenga los derechos de acceso del sistema de la aplicación a través de la vulnerabilidad del sistema operativo, lo que puede afectar la operación de seguridad del sistema de la aplicación.

3. Instalar en formato de archivo FAT32. El formato de archivo FAT32 no restringe el acceso de los usuarios a los archivos, lo que puede llevar a sistemas inseguros.

4. Usa la instalación por defecto. Cuando el sistema operativo se instala de forma predeterminada, algunos componentes con riesgos de seguridad, como IIS, DHCP y DNS, se instalan automáticamente, lo que provoca un agujero de seguridad después de que se instala el sistema.

5, la instalación del parche del sistema no es oportuna y no es exhaustiva. Una vez que el sistema está instalado, el parche del sistema no se instala a tiempo, lo que resulta en una intrusión de virus.

(2) Peligros ocultos

Durante la operación del sistema, existen principalmente los siguientes peligros ocultos:

1. Uso compartido predeterminado. Una vez que el sistema se está ejecutando, algunos recursos compartidos ocultos se crean automáticamente. Uno es C $ D $ E $ el directorio compartido raíz para cada partición. El segundo es el directorio compartido para ADMIN $ gestión remota. El tercero es la conexión vacía IPC $. El cuarto es compartir NetLogon. En quinto lugar, otros sistemas comparten de forma predeterminada, como: FAX $, PRINT $, etc. Estas acciones predeterminadas suponen un gran peligro oculto para el funcionamiento seguro del sistema.

2. Servicio predeterminado. Una vez que el sistema se está ejecutando, se inician automáticamente muchos servicios de seguridad, como los servicios de Telnet, el cliente DHCP, el cliente de DNS, la cola de impresión, los servicios de registro remoto, los servicios SNMPS, los servicios de Terminal Server, etc. Estos servicios se pueden desactivar si no son necesarios en el trabajo real.

3. Política de seguridad. Después de que el sistema se ejecuta, de forma predeterminada, la política de seguridad del sistema no se activa, lo que reduce la seguridad operativa del sistema.

4. Cuenta de administrador. Una vez que el sistema se está ejecutando, la cuenta del usuario administrador no se puede desactivar, lo que significa que el atacante puede intentar adivinar la contraseña de la cuenta una y otra vez. Además, la configuración de una contraseña de cuenta de usuario simple también conlleva peligros ocultos para el funcionamiento del sistema.

5, archivo de página. Un archivo de página es un archivo oculto que se utiliza para almacenar partes de programas y archivos de datos que no se cargan en la memoria. El archivo de la página puede contener información confidencial, lo que puede causar fugas en la información del sistema.

6. Compartir archivos. De forma predeterminada, todos tienen control total sobre el recurso compartido de archivos recién creado, lo que es muy peligroso y debe restringir el acceso a los archivos compartidos.

7, archivo de volcado. El archivo de volcado es un recurso útil para encontrar problemas cuando el sistema falla y las pantallas azules. Sin embargo, también puede proporcionar al atacante cierta información confidencial, como la contraseña de algunas aplicaciones, lo que provoca una fuga de información.

8, servicio WEB. El servicio IIS y el servicio FTP que viene con el sistema en sí tienen riesgos de seguridad, que pueden provocar un ataque al sistema. Segundo, contramedidas de seguridad

(1) Medidas de instalación

Al realizar la instalación del sistema, tome las siguientes contramedidas:

1. En la instalación completa, Antes de configurar el sistema operativo e instalar los parches del sistema para el sistema, no conecte la máquina a la red.

2. Al instalar el sistema operativo, se recomienda dividir al menos tres particiones de disco. La primera partición se usa para instalar el sistema operativo, la segunda partición es para IIS, FTP y varias aplicaciones, y la tercera partición es para datos importantes y archivos de registro.

3. Instale el sistema operativo en formato de archivo NTFS para garantizar la seguridad de los archivos y controlar los derechos de acceso de los usuarios a los archivos.

4. Al instalar componentes del sistema, no utilice la instalación predeterminada, elimine IIS, DHCP, DNS y otros servicios seleccionados por el sistema de forma predeterminada.

5, después de instalar el sistema operativo, primero debe instalar el sistema de la aplicación y luego instalar el parche del sistema. El parche del sistema de instalación debe ser completo.

(2) Contramedidas de funcionamiento

Cuando el sistema se está ejecutando, tome las siguientes contramedidas:

1. Desactive el recurso compartido predeterminado del sistema

Método 1: utilice el procesamiento por lotes El archivo elimina automáticamente el recurso compartido después de que se inicie el sistema. Es preferible ingresar el comando <quo; Net Share " en el indicador de Cmd para ver todos los directorios compartidos que el sistema ejecuta automáticamente. Luego cree un archivo por lotes SHAREDEL.BAT, coloque el archivo por lotes en la tarea programada y configúrelo para que se ejecute cada vez que inicie. El contenido del archivo es el siguiente:

NET SHARE C $ /DELETE

NET SHARE D $ /DELETE

NET SHARE E $ /DELETE

… …

NET SHARE IPC $ /DELETE

NET SHARE ADMIN $ /DELETE

Método 2: modifique el registro del sistema para desactivar la función de uso compartido predeterminada. Cree una nueva entrada de doble byte "Local share" en Local_Machine \\ System \\ CurrentControlSet \\ Services \\ Lanmanserver \\ parameters con el valor "" 0 "".

2. Elimine los protocolos de red no deseados innecesarios

Elimine el protocolo NWLink NetBIOS en el protocolo de red, el protocolo NWLink IPX /SPX /NetBIOS, el protocolo y los servicios del protocolo NeBEUI, etc., solo mantenga TCP /Protocolo de comunicación de red IP.

3. Desactive riesgos de seguridad innecesarios

Los usuarios pueden desactivar los riesgos de seguridad que el sistema que se muestra en la Tabla 1 ejecuta automáticamente de acuerdo con la situación real.

Tablas de servicio de tabla 1 que se cerrarán 4. Habilitar política de seguridad

Las políticas de seguridad incluyen los cinco aspectos siguientes:

(1) Política de bloqueo de cuenta. Establezca el umbral de bloqueo de la cuenta y bloquee la cuenta después de 5 inicios de sesión no válidos.

(2) Política de contraseñas. Primero, la contraseña debe cumplir con los requisitos de complejidad, es decir, la contraseña debe incluir letras, números y caracteres especiales, como: + _ () * &^% $ # @!? ≫ < ": {en la tecla superior } y otros caracteres especiales. En segundo lugar, la longitud de la contraseña del servidor se establece en al menos 8 caracteres. El tercero es el período de retención más largo de la contraseña. Generalmente se establece en 1 a 3 meses, es decir, 30-90 días. El cuarto es el período mínimo de retención de contraseña: 3 días. El cuarto es el historial de contraseña obligatorio: 0 contraseñas recordadas. El quinto es "Deshabilitar el uso del cifrado restaurable para almacenar contraseñas para todos los usuarios en el dominio".

(3) Estrategia de auditoría. La instalación por defecto está desactivada. La activación de esta función es beneficiosa para que el administrador domine el estado de la máquina y facilite la detección de intrusos del sistema. Puede aprender del registro si la máquina está siendo atacada por fuerza bruta, acceso ilegal a archivos, etc. Activar la auditoría de seguridad es el método más básico de detección de intrusos en el sistema. Cuando un atacante intenta invadir el sistema de un usuario de alguna manera (como intentar la contraseña de un usuario, cambiar una política de cuenta, acceso a archivos no autorizados, etc.), es registrado por una auditoría de seguridad. Evite no poder detectar a tiempo que el sistema ha sido comprometido y el sistema ha sido dañado. Se recomienda revisar al menos tres eventos, eventos de inicio de sesión, eventos de inicio de sesión de cuenta y administración de cuenta.

(4) " Asignación de derechos de usuario ". En " Asignación de derechos de usuario ", establezca el " fuerza de apagado desde el sistema remoto " para evitar que alguien tenga este permiso para evitar que los piratas informáticos cierren el sistema de forma remota.

(5) <quo; Opciones de seguridad ". En la opción "Opciones de seguridad", cambie las "Restricciones adicionales en conexiones anónimas" a "Dejar la cuenta SAM y compartir". También puede deshabilitar el establecimiento de una conexión vacía modificando el valor en el registro, cambiando el valor de Local_Machine \\ System \\ CurrentControlSet \\ Control \\ LSA-RestrictAnonymous a " 1 ". Si no hay tal valor de clave en el directorio LSA, puede crear un nuevo valor de doble byte llamado "restringir el anónimo" con un valor de "1" y hexadecimal. Esto puede prevenir efectivamente el uso de las conexiones vacías de IPC $ para enumerar las cuentas SAM y los recursos compartidos, lo que resulta en la divulgación de información del sistema.

5, refuerce la administración de la cuenta del Administrador y la cuenta de Invitado.

Cambie el nombre de la cuenta del Administrador, cree una cuenta trampa llamada "Administrador", la contraseña es más de 10 contraseñas complejas , sus permisos se establecen en el más bajo, es decir: configúrelo para que no pertenezca a ningún grupo y, a través de la auditoría de seguridad, para encontrar el intento de invasión del atacante