基于Windows平台的服务器安全防范研究-漏洞.docxVIP

?

?

基于Windows平台的服务器安全防范研究

漏洞

?

?

论文导读:：网络服务器的应用越来越广泛。现在有很多人认为Windows的漏洞太多。

论文关键词：服务器，安全Windows，漏洞

?

随着计算机的普及，Internet应用的扩展和深入，网络服务器的应用越来越广泛，网络服务器是网络应用的基础和核心，网络服务器的安全问题，成为网络建设人员迫切需要了解的内容。

现在有很多人认为Windows的漏洞太多，系统安全性差，其实各种系统都有很多漏洞，只不过使用Windows的人最多，不会做各种安全设置，所以才会让很多的人都认为Windows很不安全。其实Windows平台服务器如果真的做好了各项安全设置之后，其安全性绝对不会比Linux系统差。我们可以用以下几种方法来解决这个问题：

一、利用Syskey实现系统双重加密

在Windows2000/XP/2003安全帐户管理数据库(SAM)存储哈希运算的用户密码的副本。此数据库是使用存储在本地系统密钥加密的。若要保持SAM数据库的安全漏洞，Windows需要密码哈希值进行加密。Windows将阻止存储的、未加密的密码哈希值的使用。

使用SysKey实用程序可以通过移动在SAM数据库关闭基于Windows的计算机的加密密钥的另外保护SAM数据库。SysKey实用程序还可用于配置必须输入解密系统密钥，以便Windows可以访问在SAM数据库的启动密码。使用SysKey实用程序来保护WindowsSAM数据库具体的操作方法如下：

(1)选择【开始】→【运行】命令，在【打开】下拉文本框中输入“syskey.exe”，然后单击【确定】按钮。

(2)在【保证WindowsNT账户数据库的安全】对话框中提示用户一旦启用加密就不能禁用，选择【启用加密】单选按钮，然后单击【更新】按钮。

(3)接着系统打开【账户数据库项】对话框，其中有两个选项组：【密码启动】、【系统产生的密码】。【密码启动】是指在系统启动时需要输入一个密码方能启动；【系统产生的密码】是指在软盘上保存启动密码，当系统启动后需要插入该软盘方能启动。由于软盘不易保存，在这里推荐选择【密码启动】单选按钮，并输入一个启动密码。然后单击【确定】按钮。接着系统会弹出一个【成功】对话框，提示账户数据库的开始密码已更改，单击【确定】按钮退出Syskey程序杂志铺。

(4)当再次启动计算机时，系统就会弹出【Windows2000启动密码】对话框，并要求用户在【密码】文本框中输入启动密码。

二、配置服务器不响应Ping命令

大家都知道我们通常用Ping命令来检查网络是否畅通，可是这个Ping也能给Windows系统带来严重的后果，那就是Ping攻击即是ICMP攻击，原理是恶意攻击者在一个时段内连续使用Ping命令向目标服务器发送大量的数据包使得计算机的CPU处理不及而使用资源被占尽，从而造成服务器崩溃，这种攻击手法也被称为拒绝服务攻击，它只是拒绝服务攻击中的一种。比如我们使用“Ping–t–l80000xxx.xxx.xxx.xxx”命令格式，那么就会造成目标服务器拒绝服务。我们可以用“创建IP安全策略”来配置服务器不响应Ping命令。这样对于那些恶意攻击者所发来的大量数据包都能拦截下来，从而在这方面保证了服务器免受破坏的危险。

三、Windows2000/XP/2003账号管理

入侵者最基本的攻击方法就是破解系统的密码，如果系统密码被入侵者获取，那么整个主机也将会被入侵者控制漏洞，后果也将不堪设想。我们可以采用“禁止枚举账号”，“Administrator账号更名”，“禁止显示上次登录的用户名”，“我们还可以禁用Guest账号”。下面介绍“禁止枚举账号”的具体设置过程：

(1)选择【开始】→【设置】→【控制面板】命令，双击【控制面板】窗口中的“管理工具”图标，在打开的“管理工具”窗口中双击【本地安全策略】图标。

(2)在【本地安全设置】窗口中，依次展开【本地策略】→【安全选项】，然后双击右边窗口【策略】列表下的【对匿名连接额外限制】。

(3)在打开的【本地安全策略设置】对话框中，单击【本地策略设置】下拉列表框，从中选择【不允许枚举SAM账号和共享】选项。

四、修改IIS、Apache的Banner实现操作系统版本的隐藏

入侵者在攻击一台目标服务器之前，第一步就是通过查看对方服务器所使用的操作系统及其的版本，然后针对不同的操作系统及其版本对服务器进行攻击。我们可以通过修改IIS、Apache的Banner来隐藏操作系统的版本，从而来达到“瞒天过海”的目的。

五、指定服务器的开放端口

每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80，smtp