魏鵬

河南省義馬煤炭高級技工學(xué)校（義馬職專）

校園網(wǎng)絡(luò)服務(wù)器的安全維護淺析

魏鵬

河南省義馬煤炭高級技工學(xué)校（義馬職專）

校園網(wǎng)服務(wù)器的安全維護是很重要的，任何漏洞都有可能給整個校園網(wǎng)帶來安全隱患，甚至整個校園網(wǎng)絡(luò)癱瘓，對學(xué)校的教學(xué)及管理將造成很大的影響。該文以windows20操03作系統(tǒng)的服務(wù)器為例，主要從系統(tǒng)賬戶、密碼安全、策略設(shè)置、網(wǎng)絡(luò)設(shè)置等方面來探析服務(wù)器安全維護的技巧。

網(wǎng)絡(luò)；服務(wù)器；賬號；密碼；策略

network; The server; Account; Password; strategy

校園網(wǎng)服務(wù)器的安全維護是很重要的，任何漏洞都有可能給整個校園網(wǎng)帶來安全隱患，甚至整個校園網(wǎng)絡(luò)癱瘓。對學(xué)校的教學(xué)及管理將造成很大的影響。當(dāng)前對校園網(wǎng)服務(wù)器的攻擊包括兩類：一是蓄意的攻擊行為，如拒絕服務(wù)攻擊、網(wǎng)絡(luò)病毒等，這些行為占用大量的服務(wù)器資源，影響服務(wù)器的正常運行速度和正常工作，甚至使服務(wù)器所在的網(wǎng)絡(luò)癱瘓；另外一類是蓄意的入侵行為，這種行為會導(dǎo)致服務(wù)器敏感信息泄露，入侵者更是可以肆意破壞服務(wù)器。要保障網(wǎng)絡(luò)服務(wù)器的安全就要盡量使網(wǎng)絡(luò)服務(wù)器避免受這兩種行為的影響。我校有機房十幾個，全部聯(lián)入校園網(wǎng)絡(luò)，學(xué)生對網(wǎng)絡(luò)服務(wù)器的攻擊也時常出現(xiàn)，現(xiàn)以基于Windows2003操作系統(tǒng)的服務(wù)器為例，結(jié)合自己在學(xué)校服務(wù)器維護中的實踐經(jīng)驗，介紹一些網(wǎng)站服務(wù)器安全維護的技巧。

為防止網(wǎng)絡(luò)上對服務(wù)器的攻擊，主要從以下幾個方面入手：

一．系統(tǒng)賬戶

1.關(guān)閉Guest賬號：把計算機管理用戶里面的guest賬號停用掉，不允許guest賬號在任何時候登錄系統(tǒng)。為了安全起見，停用后最好給guest加一個復(fù)雜的密碼，你可以打開記事本，在里面輸入一串包含特殊字符、數(shù)字、字母的連你自己也記不起來的長字符串，然后把它作為guest賬號的密碼拷進去，并保存在其他電腦上。

2.創(chuàng)建2個以上的管理員用賬號：雖然這點看上去和上面這點有些矛盾，但事實上是服從上面的規(guī)則的。創(chuàng)建一個一般權(quán)限賬號用來收信以及處理一些日常事物，另一個擁有Administrators權(quán)限的賬戶只在需要的時候使用?？梢宰尮芾韱T使用“RunAS”命令來執(zhí)行一些需要特權(quán)才能作的一些工作，以方便管理。

3.把系統(tǒng)administrator賬號改名：大家都知道，windows2003的administrator賬號是不能被停用的，這意味著別人可以一遍又一遍的嘗試這個賬戶的密碼。把Administrator賬戶改名可以有效地防止這一點。當(dāng)然，請不要使用Admin之類的名字，改了等于沒改，盡量把它偽裝成普通用戶，比如改成：guestone。

4.創(chuàng)建一個陷阱賬號：什么是陷阱賬號？創(chuàng)建一個名為“Administrator”的本地賬戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復(fù)雜密碼。這樣可以讓那些Scriptss忙上一段時間了，并且可以借此發(fā)現(xiàn)它們的入侵企圖?；蛘咴谒膌oginscripts上面做點手腳。

5.把共享文件的權(quán)限從“everyone”組改成“授權(quán)用戶”：“everyone”在win2003中意味著任何有權(quán)進入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。任何時候都不要把共享文件的用戶設(shè)置成“everyone”組。包括打印共享，默認(rèn)的屬性就是“everyone”組的，一定要改。

眾所周知，對于Windows2003，必須以某個賬號登錄才能進入系統(tǒng)，只要我們嚴(yán)把每個賬號關(guān)，就可以避免其他人進入系統(tǒng)。

二．密碼安全

1.使用安全密碼：一個好的密碼對于一個網(wǎng)絡(luò)是非常重要的，但是它是最容易被忽略的。前面的所說的也許已經(jīng)可以說明這一點了。一些公司的管理員創(chuàng)建賬號的時候往往用公司名，計算機名，或者一些別的一猜就到的東西做用戶名，然后又把這些賬戶的密碼設(shè)置得太簡單，比如“welcome”“iloveyou”“l(fā)etmein”或者和用戶名相同等等。

2.密碼的有效期：還要注意經(jīng)常更改密碼。好密碼的定義：安全期內(nèi)無法破解出來的密碼就是好密碼，也就是說，如果人家得到了你的密碼文檔，必須花43天或者更長的時間才能破解出來，而你的密碼策略是42天必須改密碼。

3.設(shè)置屏幕保護密碼：很簡單也很有必要，設(shè)置屏幕保護密碼也是防止內(nèi)部人員破壞服務(wù)器的一個屏障。注意不要使用OpenGL和一些復(fù)雜的屏幕保護程序，浪費系統(tǒng)資源，讓他黑屏就可以了。還有一點，所有系統(tǒng)用戶所使用的機器也最好加上屏幕保護密碼。

三．策略設(shè)置

使用win2003系統(tǒng)的安全配置工具來配置策略：微軟集成了一套的基于MMC(管理控制臺)安全配置和分析工具，利用他們可以很方便地配置服務(wù)器以滿足你的要求。

1.用戶策略：限制一些不必要的用戶訪問，并禁用用戶枚舉。

2.網(wǎng)絡(luò)訪問：限制一些不必要的網(wǎng)絡(luò)訪問。

四．網(wǎng)絡(luò)設(shè)置

1.關(guān)閉不必要的端口：關(guān)閉端口意味著減少功能，在安全和功能上面需要你作一點決策。如果服務(wù)器安裝在防火墻的后面，冒的險就會少些，但是，永遠不要認(rèn)為你可以高枕無憂了。用端口掃描器掃描系統(tǒng)所開放的端口，確定開放了哪些服務(wù)是黑客入侵你的系統(tǒng)的第一步。system32driversetcservices文件中有知名端口和服務(wù)的對照表可供參考。具體方法為：網(wǎng)上鄰居＞屬性＞本地連接＞屬性＞internet協(xié)議(tcp/ip)＞屬性＞高級＞選項＞tcp/ip篩選＞屬性打開tcp/ip篩選，添加需要的tcp,udp,協(xié)議即可。

2.不讓系統(tǒng)顯示上次登錄的用戶名

默認(rèn)情況下，終端服務(wù)接入服務(wù)器時，登錄對話框中會顯示上次登陸的賬戶明，本地的登錄對話框也是一樣。這使得別人可以很容易的得到系統(tǒng)的一些用戶名，進而作密碼猜測。修改注冊表可以不讓對話框里顯示上次登錄的用戶名，具體是：

HKLMSoftwareMicrosoftWindowsNT

CurrentVersionWinlogonDontDisplay

LastUserName把REG_SZ的鍵值改成1.

3.禁止建立空鏈接

默認(rèn)情況下，任何用戶通過空連接連上服務(wù)器，進而枚舉出賬號，猜測密碼。我們可以通過修改注冊表來禁止建立空鏈接：

Local_MachineSystemCurrentControlSet

Contr0olLSA-RestrictAnonymous的值改成“1”即可。

最后記住到微軟網(wǎng)站下載最新的補丁程序：很多網(wǎng)絡(luò)管理員沒有訪問安全站點的習(xí)慣，以至于一些漏洞都出了很久了，還放著服務(wù)器的漏洞不補給人家當(dāng)靶子用。誰也不敢保證數(shù)百萬行以上代碼的2003不出一點安全漏洞，經(jīng)常訪問微軟和一些安全站點，下載最新的servicepack和漏洞補丁，是保障服務(wù)器長久安全的唯一方法。

the safety of network server maintenance is very important, any leaks are likely to bring the whole campus network safe hidden trouble, even the whole campus network for paralysis, of the school's teaching and management will have a big impact. Based on the server windows2003operating system as an example, mainly from the system accounts, password safe, Settings, network Settings to explore server security aspects maintain skills.

10.3969/j.issn.1001-8972.2011.12.056

魏鵬（1973.2-），河南孟津人，本科，講師職稱，現(xiàn)系義馬煤炭高級技工學(xué)校教務(wù)科教師，研究方向：計算機教學(xué)、系統(tǒng)集成應(yīng)用。