信息技术-赵泽茂-第八章

8.1系统漏洞8.2Windows系统安全模型8.3Windows注册表安全8.4Windows帐号与密码8.5Windows2000安全策略8.6Windows系统的其他安全措施小结习题“漏洞””一词的的本义是是指小孔孔或缝隙隙，引申申义为用用来表达达说话、、做事存存在不严严密的地地方。在在计算机机系统中中，漏洞洞特指系系统中存存在的弱弱点或缺缺陷，也也叫系统统脆弱性性，是计计算机系统在在硬件、、软件、、协议的的设计与与实现过过程中或或系统安安全策略略上存在在的缺陷陷和不足足。非法法用户户可利用用漏洞获获得计算算机系统统的额外外权限，，在未经经授权的的情况下下访问或或提高其其访问权权限，从从而破坏坏系统的的安全性性。8.1系系统统漏洞洞漏洞产生生的原因因在于程程序员不不正确和和不安全全地编程程。虽然然程序员员在设计计系统时时考虑了了很多安安全因素素，但是是由于操操作系统统功能庞庞大、涉涉及内容容多，而而且开发发团队人人员众多多，总会会有考虑虑不周的的地方，，这就是是通常所所说的系系统漏洞洞。漏洞洞对系统统造成的的危害在在于它可可能会被被攻击者者利用，，继而破破坏系统统的正常常运行，，而它本本身不会会直接对对系统造造成危害害。漏洞洞是广泛泛存在的的，不同同的设备备、操作作系统、、应用系系统都可可能会存存在安全全漏洞。。一般来来说，漏漏洞具有有时间局局限性，，任何系系统从发发布的第第一天起起，随着着用户的的深入使使用，以以及安全全管理人人员和黑黑客的研研究，系系统中存存在的漏漏洞会被被不断地地暴露出出来。这这些被发发现的漏漏洞也会会不断地地被系统统供应商商提供的的补丁软软件修补补，或者者在以后后的新版版系统中中得以纠纠正。不过，在在新版纠纠正旧版版的系统统漏洞的的同时，，可能会会引入一一些新的的漏洞和和错误。。随着时时间的推推移，旧旧的漏洞洞会不断断地消失失，但新新的漏洞洞也会不不断地出出现，所所以系统统漏洞问问题会长长期存在在。因此此，脱离离具体的的时间和和具体的的系统环环境来讨讨论漏洞洞的问题题是毫无无意义的的。只有有针对具具体版本本的目标标系统以以及系统统设置，，才可能能讨论系系统中存存在的漏漏洞及可可行的解解决办法法。同时时，无论论操作系系统的安安全级别别如何，，它们都都可能存存在一些些漏洞，，这些漏漏洞可能能被发现现或尚未未被发现现，但一一旦被攻攻击者利利用，攻攻击者很很可能获获得对系系统的一一定的访访问权限限，继而而对系统统造成危危害。1.漏漏洞的分分类1)按按照漏洞洞的形成成原因分分按按照照漏洞的的形成原原因，漏漏洞大体体上可以以分为程程序逻辑辑结构漏漏洞、程程序设计计错误漏漏洞、开开放式协协议造成成的漏洞洞和人为为因素造造成的漏漏洞。((1))程序序逻辑结结构漏洞洞有可能能是程序序员在编编写程序序时，因因为程序序的逻辑辑设计不不合理或或者错误误而造成成的。这这类漏洞洞最典型型的例子子要数微微软的Windows2000用用户登录录的中文文输入法法漏洞洞。非授授权人员员可以通通过登录录界面的的输入法法的帮助助文件绕绕过Windows的的用户名名和密码码验证而而取得计计算机的的最高访访问权限限。这类类漏洞也也有可能能使合法法的程序序用途被被黑客利利用去做做不正当当的事。。(2)程程序设设计错误误漏洞是是程序员员在编写写程序时时由于技技术上的的疏忽而而造成的的。这类类漏洞最最典型的的例子是是缓冲区区溢出漏漏洞，它它也是被被黑客利利用得最最多的一一种类型型的漏洞洞。((3)开开放式式协议造造成的漏漏洞是因因为在互互联网上上用户之之间的通通信普遍遍采用TCP//IP协协议。TCP//IP协协议的最最初设计计者在设设计通信信协议时时只考虑虑到了协协议的实实用性，，而没有有考虑到到协议的的安全性性，所以以在TCP/IP协议议中存在在着很多多漏洞。。比如说说，利用用TCP/IP协议的的开放性性和透明明性嗅探探网络数数据包，，窃取数数据包里里面的用用户口令令和密码码等信息息;TCP协协议三次次握手的的潜在缺缺陷导致致的拒绝绝服务攻攻击等。。(4)人人为因因素造成成的漏洞洞可能是是整个网网络系统统中存在在的最大大安全隐隐患。网网络管理理员或者者网络用用户都拥拥有相应应的权限限，他们们利用这这些权限限进行非非法操作作是可能能的，隐隐患是存存在的。。如操作作口令被被泄露、、磁盘上上的机密密文件被被人利用用及未将将临时文文件删除除导致重重要信息息被窃取取，这些些都可能能使内部部网络遭遭受严重重破坏。。2)按按照漏洞洞被人掌掌握的情情况分按按照漏漏洞被人人掌握的的情况，，漏洞又又可以分分为已知知漏洞、、未知漏漏洞和0day漏洞。。((1)已已知漏洞洞是指已已经被人人们发现现，并被被人们广广为传播播的公开开漏洞。。这类漏漏洞的特特点是漏漏洞形成成的原因因和利用用方法已已经被众众多的安安全组织织、黑客客和黑客客组织所所掌握。。安全组组织或厂厂商按照照公布的的漏洞形形成原因因和利用用方法，，在他们们的安全全防护产产品或安安全服务务项目中中加入针针对相应应类型漏漏洞的防防护方法法。黑客客和黑客客组织利利用公布布的漏洞洞形成原原因，写写出专门门的具有有针对性性的漏洞洞利用程程序文件件，并能能绕过安安全防护护软件。。(2)未未知的的漏洞则则是指那那些已经经存在但但还没有有被发现现的漏洞洞，这类类漏洞的的特征是是虽然它它们没有有被发现现，但它它们在客客观上已已经存在在了，它它们带给给计算机机网络安安全的威威胁是隐隐蔽性的的，如果果它们哪哪一天被被黑客有有意或无无意地找找出来后后，就会会对计算算机网络络安全构构成巨大大的威胁胁。所以以软件开开发商、、安全组组织、黑黑客和黑黑客组织织都在努努力地发发现漏洞洞，可以以说谁先先发现了了漏洞，，谁就可可以掌握握主动权权。(3)0day漏洞洞是指已已经被发发掘出来来，但还还没有大大范围传传播开的的漏洞，，也就是是说，这这类漏洞洞有可能能掌握在在极少数数人的手手里。黑黑客有可可能在这这类漏洞洞的信息息还没有有大范围围地被传传播开的的时候候，利用用这段时时间差攻攻击他们们想要攻攻击的目目标机器器，因为为绝大多多数用户户还没有有获取到到相关的的漏洞信信息，也也无从防防御，所所以黑客客要想得得手还是是很容易易的。2.漏漏洞检测测一般来说说，操作作系统本本身存在在很多的的安全漏漏洞，常常用的漏漏洞扫描描工具有有以下几几种:((1)微微软公司司提供的的MBSA(MicrosoftBaselineSecurityAnalyzer))工具，，它可以以对Windows系系统的漏漏洞进行行扫描，，分析系系统安全全配置并并形成相相关的报报表。MBSA工具可可以检查查Windows系统统的漏洞洞、弱口口令、IIS漏漏洞、SQL漏漏洞及检检测安全全升级等等。((2)金金山毒毒霸漏洞洞扫描工工具。((3))360安全全卫士漏漏洞扫描描工具。。((4)瑞瑞星漏洞洞扫描工工具。((5))X--scan漏洞洞扫描工工具。Windows系统具具有模块块化的设设计结构构。“模模块”就就是一组组可执行行的服务务程序，，它们运运行在内内核模式式(KernelMode)下。。在内核核模式之之上是用用户模式式，由非非特权服服务组成成，其启启动与否否由用户户决定。。Windows系统统的安全全性根植植于Windows系系统的核核心层，，它为各各层次提提供一致致的安全全模型。。Windows系统统安全模模型是Windows系统中中的密不不可分的的子系统统，它控控制着Windows系统中中的对象象(如文文件、内内存、外外部设备备、网络络等)的的访问。。本节以以Windows2000为例介介绍Windows系系统的安安全特性性。8.2Windows系系统安安全模型型Windows系统安安全模型型由登录录流程((LoginProcess，LP)、、本地安安全授权权(LocalSecurityAuthority,LSA)、、安全帐帐号管理理器(SecurityAccountManger，SAM))和安全全引用监监视器((SecurityReferenceMonitor，，SRM)组合合而成，，如图8-2--1所示示。图8-2-1Windows系统安全模型1.登登录流流程登录流程程接收本本地用户户或远程程用户的的登录请请求，使使用户名名和系统统之间建建立联系系。Windows系系统登录录流程如如图8--2-2所示。。图8-2-2Windows系统登录流程用户登录录时，Windows系统会会弹出一一个交互互对话框框，要求求用户输输入用户户名、密密码等信信息。如如果用户户信息有有效，系系统将开开始确认认用户身身份。Windows系统把把用户信信息通过过安全系系统传输输到安全全帐号管管理器，，安全帐帐号管理理器确认认用户身身份后返返回安全全标识((SecurityIdentifier,SID)，，然后本本地安全全权威开开始构造造访问令令牌，与与用户进进行的所所有操作作相连接接。访问问令牌的的内容将将决定允允许或或拒绝用用户所发发出的访访问要求求。2.本本地安安全授权权本地安全全授权确确保用户户有读//写系统统的权限限，进而而产生访访问令牌牌，管理理本地安安全策略略并提供供交互式式的认证证服务。。同时，，本地安安全授权权控制审审计策略略，记录录安全引引用监视视器生成成的审计计信息，，能使Windows系统和和第三方方供应商商的有效效确认软软件包共共同管理理安全性性策略。。本地安安全授权权是一一个保护护子系统统，主要要负责下下列任务务:加加载所有有的认证证包，包包括检查查存在于于注册表表＼HKEY__LOCAL__MACHINE＼SYSTEM＼＼CurrentControlSet＼＼Control＼LSA中中的AuthenticationPackages值值;为为用户找找回本地地组的SID以以及用户户的权限限;创创建用户户的访问问令牌;;管理理本地安安全服务务的服务务帐号;;存储储和映射射用户权权限;管管理审审计策略略和设置置;管管理信任任关系等等。3.安安全帐帐号管理理器安全帐号号管理器器维护帐帐号的安安全性数数据库((SAM数据库库)，该该数据库库包含所所有用户户和组的的帐号信信息。用用户名和和密码等等信息通通过散列列函数并并被加密密，现有有的技术术不能将将打乱的的口令恢恢复。SAM组组成了注注册表的的5个配配置单元元之一，，它在文文件%systemroot%＼system32＼config＼＼sam中实现现。4.安安全引引用监视视器访问控制制机制的的理论基基础是安安全引用用监视器器，它它由J..P.Anderson在1972年首次次提出，，D.B.Baker于1996年年则再次次强调其其重要性性。安安全引用用监视器器是一个个抽象的的概念，，它表现现的是一一种思想想。J..P.Anderson把安安全引用用监视器器的具体体实现称称为引用用验证机机制。引引用验证证机制需需要同时时满足以以下3个个原则::((1))必须须具有自自我保护护能力;;((2)必必须总总是处于于活跃状状态;((3)必必须设计计得足够够小，以以利于分分析和测测试，从从而能够够证明它它的实现现是正确确的。引引用验验证机制制是实现现安全引引用思想想的硬件件和软件件的组合合，如图图8-2-3所所示。图8-2-3安全引用监视器总之，安安全引用用监视器器是Windows系系统的一一个组成成部分，，它以内内核模式式运行，，负责检检查Windows系系统的读读/写的的合法性性，以保保护系统统免受非非法读//写。注册表是是用来存存储计算算机软、、硬件的的各种配配置数据据的，是是一个庞庞大的二二进制数数据库。。注册表表中记录录了用户户安装在在计算机机上的软软件和每每个程序序的相关关信息，，用户可可以通过过注册表表调整软软件的运运行性能能、检测测和恢复复系统错错误、定定制桌面面等。用用户修改改配置，，只需要要通过注注册表编编辑器即即可轻松松完成。。系统管管理员还还可以通通过注册册表来完完成系统统远程管管理。因因而，用用户掌握握了注册册表，即即掌握了了对计算算机配置置的控制制权，用用户只需需要通过过注册表表即可将将自己计计算机的的工作状状态调整整到最佳佳。8.3Windows注注册表安安全计算机在在执行操操作命令令时，需需要不断断地参考考这些信信息，这这些信息息包括以以下内容容:((1))每个个用户的的配置文文件;((2)计计算机上上安装的的文件和和每个程程序可以以创建的的文件类类型;((3)文文件夹和和程序的的图标设设置;((4)计计算机硬硬件参数数配置;;((5)正正在使使用的端端口。注注册表表是按照照子树、、项、子子项和值值组成的的分层结结构。根根据系统统配置的的不同，，注册表表实际的的文件和和大小也也不一样样。1.注注册表的的结构Windows中的注注册表是是一系列列的数据据库文件件，主要要存储在在＼WINNT＼System32＼Config目录录下;有有些注注册表文文件建立立和存储储在内存存中，这这些文件件的备份份存储在在＼WINNT＼Repair目录录下，只只有系统统的帐号号才需要要访问这这些文件件。图图8-3-1为为一个注注册表典典型结构构图。图8-3-1注册表结构图实际上注注册表只只有两个个子树::HKEY_LOCAL_MACHINE和和HKEY_USERS。但但为了便便于检索索，用用注册表表编辑器器打开注注册表时时，展现现为五个个子树，，这些子子树的总总体组成成了Windows中中所有的的系统配配置。表表8--3-1列出了了这些子子树和它它们的用用途。表8-3-1注册表子树2.用用注册册表编辑辑器设定定注册表表的访问问权限在Windows2000的32位注册册表编辑辑器窗口口中，每每个子树树都有安安全选项项，可以以对每个个子树、、项、子子项的安安全进行行设定，，从而限限制用户户对注册册表的操操作权限限。注册册表对于于很多用用户来说说是很危危险的，，尤其是是初学者者，为了了安全，，最好是是禁止注注册表编编辑器regedit.exe运行行。在注册表表编辑器器操作界界面里，，用鼠标标依次单单击HKEY__CURRENT_USER＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Policies＼键键值，在在右边的的窗口中中如果果发现Policies下面面没有System主主键，则则应在它它下面新新建一个个主键，，取名为为System，然后后在右边边空白处处新建一一个DWORD串值值，取名名为DisableRegistryTools，把它它的值修修改为1，这样样修改以以后，使使用这个个计算机机的人都都无法再再运行regedit.exe来修修改注册册表了。。3.注注册表使使用的一一些技巧巧1)ActiveX漏洞防防范方法法ActiveX是是微软提提出的一一组使用用COM(ComponentObjectModel，，部件对对象模型型)技术术，使得得软件部部件在网网络环境境中进行行交互的的技术集集，它与与具体的的编程语语言无关关。目前前，利用用ActiveX技术术漏洞的的网页木木马越来来越多，，这已成成为系统统安全不不可回避避的一个个问题。。ActiveX技术术漏洞对对IE、、Outlook、Foxmail等也有有着巨大大的威胁胁。它它把com.ms.activeX.ActiveXComponent对对象嵌入入<APPLET>标标记，可可能导致致任意创创建和解解释执行行ActiveX对象象，从而而可以创创建任意意文件，，写注册册表，运运行程序序，甚至至可以使使程序在在后台运运行。修改注册册表的防防范方法法:禁禁用WSHShell对象象，阻止止运行程程序。删删除或更更名系统统文件夹夹中的wshom.ocx文文件，或或删除除注册表表项HKEY__LOCAL__MACHINE＼SOFTWARE＼Classes＼CLSID＼{F935DC221CF011D0ADB900C04FD58A0B}}。2)Word隐藏木木马的防防范方法法利利用用Word来隐隐藏木马马是比较较流行的的一种攻攻击方法法。具体体方法是是新建..doc文件，，利用VBA写写一段特特定的代代码，把把文档保保存为newdoc..doc，然后后把木马马程序与与这个..doc文件放放在同一一个目目录下，，运行如如下命令令:copy//bxxxx.doc+xxxx.exenewdoc..doc在在Word文档末末尾加入入木马文文件，如如图8--3-2所示，，只要别别人点击击这个所所谓的Word文件就就会中木木马。其其中，参参数“//b”表表示用户户所合并并的文件件是二进进制格式式的。图8-3-2木马和Word文档合并方法以上方法法能得以以实现的的前提是是用户的的Word2000安全度度为最低低，即HKEY_CURRENT_USER＼SOFTWARE＼Microsoft＼Office＼＼9.0＼Word＼＼Security中中的Level值必须须是1或或者0。。当Level值为3(代表表安全度度为高))时，Word不会运运行任何何宏;当当Level值为为2(代代表安全全度为中中)时，，Word会询询问用户户是否运运行宏。。3)防防范WinNuke黑黑客程序序的攻击击WinNuke是是一个破破坏力极极强的黑黑客程序序，该程程序能对对计算机机中的Windows系统进进行破坏坏，从而而导致整整个计算算机系统统瘫痪，，我们可可以通过过修改注注册表来来防范它它。展开开注册表表到HKEY_LOCAL_MACHINE＼＼SYSTEM＼CurrentControlSet＼Services＼VxD＼MSTCP，在在对应MSTCP键值值的右边边窗口中中新建一一个DWORD值，将将它命名名为“BSDUrgent””，然后后将BSDUrgent的键键值设为为0，重重新启动动计算机机即可。。4)防防止ICMP重重定向报报文的攻攻击ICMP即网际际控制报报文协议议，用来来发送关关于IP数据报报传输的的控制和和错误信信息的TCP//IP协协议。ICMP攻击主主要是指指向装有有Windows操作作系统的的机器发发送数量量较大且且类型随随机变化化的ICMP包包，遭受受攻击的的计算机机会出现现系统崩崩溃的情情况，不不能正常常运行。。修改注注册表可可以防范范重定向向报文的的攻击，，方法是是打开注注册表，，展开到到HKEY_LOCAL_MACHINE＼SYSTEM＼＼CurrentControlSet＼＼Services＼＼Tcpip＼＼Parameters，将将DWORD值值中EnableICMPRedirects的键键值改为为0即可可。该参参数控制制Windows2000是否会会改变其其路由表表以响应应网络设设备发送送给它的的ICMP重定定向消息息。Windows2000中该该值的默默认值为为1，表表示响应应ICMP重定定向报文文。5)防防止SYN洪水水攻击SYN攻击保保护包括括减少SYN--ACK重新传传输次数数，以减减少分配配资源所所保留的的时间和和路由缓缓存项资资源分配配延迟，，直到建建立连接接为止。。修修改改注册表表防范SYN洪洪水攻击击的方法法是:打打开注注册表，，展开到到HKEY_LOCAL_MACHINE＼＼SYSTEM＼CurrentControlSet＼Services＼Tcpip＼Parameters，，将DWORD值中SynAttackProtect的键值值改为2即可((默认值值为0))。如果果SynAttackProtect=2，则AFD((一种内内核模式式驱动程程序，用用于支持持基于Windowsocket的应用用程序，，如Ftp、Telnet等等)的连连接指示示一直延延迟到三三路握手手完成为为止。注注意，仅仅在TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置超超

出范范围时，，保护机机制才会会采取措措施。4.攻攻击IE的恶意意代码解解决实例例例8-1IE的默默认首页页灰色按按钮不可可选。这这是由由于注册册表HKEY__USERS＼＼DEAFAULT＼＼SOFTWARE＼＼Policies＼＼Microsoft＼InternetExplorer＼＼ControlPanel下的的DWORD值值中homepage的键值值被修改改的缘故故。原来来的键值值为0，，被修改改后为1(即为为灰色不不可选状状态)。。解解决决方法::将homepage的键键值修改改为0。。例8-2修改IE起始页页。有有些IE被修改改了起始始页后，，即使设设置了““使用默默认页””仍然无无效，这这是因为为IE起起始页的的默认页页也被修修改了，，也就是是以下注注册表项项被篡改改了:HKEY__LOCAL__MACHINE＼＼SOFTWARE＼＼InternetExplorer＼＼Main＼Default_Page__URL的Default__Page_URL子子键的键键值。解决方法法:运行注册册表编辑辑器，修修改上述述子键的的键值，，将篡改改网站的的网址改改掉。例8-3网页病毒毒锁住注注册表。。注注册册表被锁锁住是病病毒攻击击的常用用手段，，在用户户输入regedit命令时时，注册册表不能能够使用用，并且且系统会会提示用用户没有有权限运运行该程程序。这这是在HKEY_CURRENT__USER＼SOFTWARE＼Windows＼CurrentVersion＼Policies＼System下的的DWORD值值中DisableRegistryTools的键值值被修改改为1的缘故故，此时时，将其其键值恢恢复为0即可恢恢复注册册表的使使用。解决方法法:把下面内内容复制制到记事事本上，，保存为为扩展名名为reg的文文件，如如保存在在C盘，，名为aa.reg。。WindowsRegistryEditorVersion5.00［［HKEY_CURRENT_USER＼＼SOFTWARE＼＼Microsoft＼Windows＼＼CurrentVersion＼＼Policies＼＼System］""DisableRegistryTools"=dword:00000000双双击““aa..reg”文件件，这时时系统弹弹出“是是否确认认要将C:＼＼aa.reg中中的信息息添加进进注册表表？”的的对话框框，点击击“是是”按钮钮，弹出出对话框框“C::＼aa.reg里里的信信息已被被成功地地输入注注册表””，表明明导入成成功，按按“确确定”按按钮，关关闭对话话框。另外，在在Windows2000下也可可以用组组策略解解决该问问题，单单击“开开始”→→“运行行”选项项，输入入Gpedit.msc后按按回车键键，打开开“组策策略”窗窗口。然然后依次次选择““用户配配”→““管理模模板”→→“系统统”选项项，双击击右侧窗窗口中的的“阻止止访问注注册表编编辑工具具”选项项，在弹弹出的窗窗口中选选择“已已禁用””选项，，点击““确定””按钮后后再退出出“组策策略”窗窗口，即即可为注注册表解解锁。帐号是Windows网络中中的一个个重要组组成部分分，从某某种意义义上说，，帐号就就是网络络世界中中用户的的身份证证。Windows2000网络络依靠帐帐号来管管理用户户，控制制用户对对资源的的访问，，每一个个需要访访问网络络的用户户都要有有一个帐帐号。在在Windows2000网络络中有两两种主要要的帐号号类型::域用用户帐号号和本地地用户帐帐号。除除此之外外，Windows2000操操作系统统中还有有内置的的用户帐帐号。8.4Windows帐帐号与密密码1.域域用户帐帐号域用户帐帐号是用用户访问问域的唯唯一凭证证，因此此，在域域中必须须是唯一一的。域域用户帐帐号在域域控制器器上建立立，作为为活动目目录的一一个对象象保存在在域的数数据库中中。用户户在从域域中的任任何一台台计算机机登录到到域中的的时候必必须提供供一个合合法的域域用户帐帐号，该该帐号将将被域控控制器所所验证。。保存域用用户帐号号的数据据库叫做做安全帐帐号管理理器(SecurityAccountsManager，SAM)，，SAM数据据库位于于域控制制器上的的＼％systemroot％NTDS＼＼NTDS.DIT文文件中中。为了了保证帐帐号在域域中的唯唯一性，，每个帐帐号都被被Windows2000分配配一个唯唯一的SID((SecurityIdentifier，安安全识别别符),,该SID是是独一一无二的的，相当当于身份份证号。。SID成为一一个帐号号的属性性，不随随帐号的的修改、、更名而而改变，，并且一一旦帐号号被删除除，对应应的SID也将将不复存存在。即即使重新新创建一一个一模模一样的的帐号，，其SID也也不会和和原有的的SID一样样，对于于Windows2000而言言，这就就是两个个不同的的帐号。。在Windows2000系系统中，，实际上上是利用用SID来对对应用户户的权限限，因此此只要SID不不同，，新建的的帐号就就不会继继承原有有帐号的的权限与与组的隶隶属关系系。2.本本地用户户帐号本地用户户帐号只只能建立立在Windows2000独独立服务务器上，，以控制制用户对对该计算算机资源源的访问问。也就就是说，，如果一一个用户户需要访访问多台台计算机机上的资资源，而而这些计计算机不不属于某某个域，，则用户户要在每每一台需需要访问问的计算算机上拥拥有相应应的本地地用户帐帐号，并并在登录录某台计计算机时时由该计计算机验验证。这这些本地地用户帐帐号存放放在创建建该帐号号的计算算机上的的本地SAM数数据库库中，且且在存放放该帐号号的计算算机上必必须是唯唯一的。。由由于于本地用用户帐号号的验证证是由创创建该帐帐号的计计算机来来进行的的，因此此对于这这种类型型帐号的的管理是是分散的的，通常常不建议议在成员员服务器器和基于于Windows2000Professional的的计算机机上建立立本地用用户帐号号。这些些帐号不不能在域域环境中中统一管管理、设设置和维维护，并并且使用用这种类类型帐号号的用户户在访问问域的资资源时还还要再提提供一个个域用户户帐户，，同时要要经过域域控制器器的验证证。这些都使使得本地地用户帐帐号不适适用在域域的环境境下，并并且也容容易造成成安全隐隐患，因因此应当当在域的的环境中中只使用用域用户户帐号。。本地用用户帐号号适用于于工作组组模式中中，该模模式中没没有集中中的网络络管理者者，必须须由每台台计算机机自己维维护帐号号与资源源。与与域用户户帐号一一样，本本地用户户帐号也也有一个个唯一的的SID来标标识帐号号，并记记录帐号号的权限限和组的的隶属关关系。3.内内置的用用户帐号号内置的用用户帐号号是Windows2000操作作系统自自带的帐帐号，在在安装好好Windows2000之后，，这些帐帐号就存存在了，，并已经经赋予了了相应的的权限，，Windows2000利用这这些帐号号来完成成某些特特定的工工作。Windows2000中中常见见的内置置用户帐帐号包括括Administrator和和Guest帐帐号，，这些内内置用户户帐号不不允许被被删除，，并且Administrator帐号号也不允允许被屏屏蔽，但但内置用用户帐号号允许被被更名。。1)Administrator帐号号Administrator((管理员员)帐号号被赋予予在域中中和在计计算机中中，具有有不受限限制的权权利，该该帐号被被设计用用于对本本地计算算机或域域进行管管理，可可以从事事创建其其他用户户帐号、、创建组组、实施施安全策策略、管管理打印印机以及及分配用用户对资资源的访访问权限限等工作作。由由于Administrator帐号号的特殊殊性，该该帐号深深受黑客客及不怀怀好意的的用户的的青睐，，成为攻攻击的首首选对象象。出于于安全考考虑，建建议将该该帐号更更名，以以降低该该帐号的的安全风风险。2)Guest帐号号Guest(来宾宾)帐号号一般被被用于在在域中或或计算机机中没有有固定帐帐号的用用户临时时访问域域或计算算机。该该帐号默默认情况况下不允允许对域域或计算算机中的的设置和和资源做做永久性性的更改改。出于于安全考考虑，Guest帐号号在Windows2000安装装好之后后是被屏屏蔽的，，如果需需要，可可以手动动启动。。用户应应该注意意分配给给该帐号号的权限限，该帐帐号也是是黑客攻攻击的主主要对象象。4.使使用安全全密码一个好的的密码对对于一个个网络而而言是非非常重要要的，但但它是最最容易被被忽略的的。一一些公公司的管管理员在在创建帐帐号的时时候往往往用公司司名、计计算机名名或者一一些很容容易被猜猜到的名名称作为为用户名名，然后后又把这这些帐户户的密码码设置得得很简单单，比如如“welcome”、““iloveyou”、““letmein””或者和和用户名名相同等等。这样样的帐户户应该要要求用户户首次登登录的时时候更改改成复杂杂的密码码，还要要注意经经常更改改密码。。密码设置置的一般般规则如如下:((1)至至少6个个字符;;((2)不不包含含Administrator或Admin;((3)包包含大写写字母((A、B、C等等);((4)包包含小写写字母((a、b、c等等);((5)包包含数字字(0、、1、2等);;((6)包包含非非字母数数字字符符(#、、&、~~等)。。5.使使用文件件加密系系统EFSWindows2000强强大的的加密系系统能够够给磁盘盘、文件件夹、文文件加上上一层安安全保护护，这样样可以防防止别人人把自己己的硬盘盘挂到别别的机器器上以读读出里面面的数据据。注注意，要要给文件件夹也使使用EFS，而而不仅仅仅是单个个的文件件。6.加加密Temp文文件夹一些应用用程序在在安装和和升级的的时候，，会把一一些东西西拷贝到到Temp文件件夹中，，但是当当程序升升级完毕毕或关闭闭的时候候，它们们并不会会自己清清除Temp文文件夹中中的内容容。所以以，给Temp文件夹夹加密可可以给用用户的文文件多一一层保护护。7.设设置开机机密码及及CMOS密码码CMOS密码是是启动电电脑后的的第一道道安全屏屏障，Windows系统登登录密码码是启动动电脑后后的第二二道安全全屏障，，其安全全性很高高，一般般是难以以破解的的。Windows2000安安全策略略定义了了用户在在使用计计算机、、运行应应用程序序和访问问网络等等方面的的行为，，通过这这些约束束避免了了各种对对网络安安全的有有意或无无意的伤伤害。安安全策略略是一个个事先定定义好的的一系列列应用计计算机的的行为准准则，应应用这些些安全策策略将使使用户有有一致的的工作方方式，防防止用户户破坏计计算机上上的各种种重要配配置，保保护网络络上的敏敏感数据据。8.5Windows2000安全策策略在Windows2000系统中中，安全全策略是是以本地地安全设设置和组组策略两两种形式式出现的的。本地地安全设设置是基基于单个个计算机机的安全全性而设设置的，，对于较较小的企企业或组组织，或或者是在在网络中中没有应应用活动动目录的的网络((基于工工作组模模式)，，适用本本地安全全设置;;而组组策略可可以在站站点、组组织单元元或域的的范围内内实现，，通常在在较大规规模并且且实施活活动目录录的网络络中应用用组策略略。下下面从从安全策策略的角角度来考考虑Windows2000系统统的安全全。1.打打开审核核策略开启安全全审核是是Windows2000最基本本的入侵侵监测方方法。当当未经授授权者对对用户的的系统进进行某些些方式((如尝试试用户密密码、改改变帐户户策略、、未经许许可的文文件访问问等)入入侵的时时候，都都会被安安全审核核记录下下来。审审核策略略如表8-5--1所示示。表8-5-1审核策略2.开开启帐户户策略帐户的保保护主要要使用密密码保护护机制，，为了避避免用户户身份因因密码被被破解而而被夺取取或盗用用，通常常可采取取诸如提提高密码码的破解解难度、、启用帐帐户锁定定策略、、限制用用户登录录、限制制外部连连接和防防范网络络嗅探等等措施。。帐户策策略定义义在计算算机上，，然而却却可影响响用户帐帐户与计计算机或或域交互互作用的的方式。。帐户策策略在安安全区域域有如下下内容的的属性。。(1)密密码策策略:对对于域域或本地地用户帐帐户，决决定密码码的设置置，如强强制性和和期限。。((2)帐帐户锁定定策略::对于于域或本本地用户户帐户，，决定系系统锁定定帐户的的时间以以及锁定定哪个帐帐户。((3))Kerberos策略::对于于域用户户帐户，，决定于于Kerberos有有关的设设置，如如帐户有有效期和和强制性性。在活动目目录(ActiveDirectory)中设设置帐户户策略时时，Windows2000只允允许一个个域帐户户策略及及应用于于域目录录树的根根域的帐帐户策略略。该域域帐户策策略将成成为域成成员中任任何Windows2000工作作站或服服务器的的默认帐帐户策略略。此规规则唯一一的例外外是为一一个组织织单位定定义了另另一个帐帐户策略略，组织织单位的的帐户策策略设置置将影响响该组织织单位中中任何计计算机上上的本地地策略。。开启帐帐户策略略如表8-5--2所示示。表8-5-2开启帐户策略3.开开启密码码策略提高密码码的破解解难度主主要是通通过采用用提高密密码复杂杂性、增增大密码码长度、、提高更更换频率率等措施施来实现现的，但但普通用用户很难难做到，，对于企企业网络络中的一一些敏感感用户就就必须采采取一些些相关的的措施，，以强制制改变不不安全密密码的使使用习惯惯。密码码策略包包含以下下6个策策略，即即密码必必须符合合复杂性性要求、、密码长长度最小小值、密密码最长长存留期期、密码码最短存存留期、、强制制密码历历史、为为域中所所有用户户使用可可还原的的加密来来存储密密码。在Windows2000及以上上版本中中都可以以对帐户户策略设设置响应应的密码码策略，，设置方方法如下下:依依次选选择“控控制面板板”→““管理工工具”→→“本地地安全策策略”→→“帐户户策略””→“密密码策略略”选项项，如图图8-5-1所所示。为了了更有效效地保护护计算机机密码，，在启用用密码策策略时，，建议的的配置如如表8--5-3所示。。图8-5-1配置密码策略表8-5-3开启密码策略4.停停用Guest帐号Guest用户户作为一一个来宾宾用户，，其权限限是很低低的，而而且默认认密码为为空，这这就使得得入侵者者可以利利用种种种途径，，通过Guest登录录并最终终拿到Administrator权。因因此，，应在计计算机管管理的用用户里面面把Guest帐号停停用，任任何时候候都不允允许Guest帐号号登录系系统。为为了保险险起见，，最好给给Guest加加一个复复杂的密密码(用用户可以以打开记记事本，，在里面面输入一一串包含含特殊字字符、数数字、字字母的长长字符串串，然后后把它作作为Guest帐号的的密码拷拷贝进去去)。首先是要要给Guest加一个个强的密密码，在在“管理理工”→→“计算算机管理理”→““本地用用户和组组”→““用户””里面设设置，单单击右键键，选择择“属性性”选项项，然然后可以以设置Guest帐户户对物理理路径的的访问权权限，如如图8--5-2所示。。图8-5-2停用Guest帐号5.限限制不必必要的用用户数量量去掉所有有的不必必要的帐帐户、测测试用帐帐户、共共享帐号号、普通通部门帐帐号等，，同时用用户组策策略设置置相应权权限，并并且经常常检查系系统的帐帐户，删删除已经经不再使使用的帐帐户。这这些帐户户很多时时候都是是黑客们们入侵系系统的突突破口，，系统的的帐户越越多，黑黑客们得得到合法法用户权权限的可可能性一一般也就就越大。。6.为为系统统Administrator帐号号改名Windows2000的的Administrator帐号号是不能能被停用用的，这这意味着着别人可可以一遍遍又一边边地尝试试这个帐帐户的密密码。把把Administrator帐户户改名，，可以有有效地防防止这一一点。当当然，也也不要使使用Admin之类的的名字，，尽量把把它伪装装成普通通用户，，比如改改成Guestone。选选择“管管理工具具”→““本地安安全设置置”选项项，打开开其“本本地策略略”中的的“安全全选项””，从中中看到有有一项帐帐户策略略——重重命名系系统管理理员帐户户(如图图8-5-3所所示)，，双击此此项进入入其属性性即可修修改。图8-5-3重命名系统管理员帐户7.创创建一个个陷阱帐帐号创建一个个名为““Administrator”的的本地帐帐户，把把它的权权限设置置成最低低(什么么事也干干不了的的那种))，并且且加上一一个超过过10位位的超级级复杂密密码，这这样未经经授权者者即使得得到Administrator权权限也没没有用。。8.关关闭不必必要的服服务WindowsServer2000安装完完后默认认有84项服务务，默认认随系统统启动的的有36项。这这里面每每一项服服务是否否安全，，特别是是那些随随系统启启动的服服务是否否有被利利用的可可能性，，这对系系统安全全来说是是非常重重要的。。方法:依次选择择“设置置”→““控制面面板”→→“管理理工具””→“服服务”选选项，在在栏目中中罗列了了系统中中的各种种服务项项目，，对要禁禁止的服服务项目目，选择择“操作作”→““停止””命令，，如图8-5--4所示示。图8-5-4服务设置9.关关闭不必必要的端端口关闭端口口意味着着减少功功能，在在安全和和功能上上面需要要作一点点决策。。具体方方法为::依依次选择择“网上上邻居””→“属属性”→→“本地地连接””→“属属性”→→“Internet协议((TCP/IP)”→→“属性性”→““高级””→“选选项”→→“TCP/IP筛选选”选项项，打开开“TCP/IP筛选选”对话话框，添添加需要要的TCP、UDP协协议即可可，如图图8-5-5所所示。图8-5-5“TCP/IP筛选”对话框10.设设置目目录和文文件权限限要控制服服务器上上用户的的权限，，应当认认真地设设置目录录和文件件的访问问权限，，其访问问权限分分为读取取、写入入、读取取及执行行、修改改、列目目录、完完全控制制。在默默认的情情况下，，大多数数的文件件夹和文文件对所所有用户户(Everyone这个组组)是完完全控制制的(FullControl))，这根根本不能能满足不不同网络络的权限限设置需需求，所所以还应应根据应应用的需需要进行行重新设设置，设设置时应应遵循如如下原则则:((1))级别别不同的的权限是是累加的的。假如如一个用用户同时时属于3个组，，那它就就拥有3个组所所允许的的所有权权限。(2)拒拒绝的的权限要要比允许许的权限限高(拒拒绝策略略会先执执行)。。如果果一个用用户属于于一个被被拒绝访访问资源源的组，，那么不不管其他他的权限限设置给给他开放放了多少少权限，，他也不不能访问问该资源源。因此此要注意意使用拒拒绝权限限，任何何一个不不当的拒拒绝都有有可能造造成系统统无法正正常运行行。((3)文文件权权限要比比文件夹夹权限高高。((4)仅仅给用用户真正正需要的的权限，，权限的的最小化化原则是是安全的的重要保保障。对于操纵纵系统而而言，从从软盘和和CD--ROM启动动系统，，可以绕绕过原有有的安全全机制，，如果服服务器对对安全要要求非常常高，未未经授权权者可以以考虑使使用移动动软盘或或光驱窃窃取系统统机密，，所以在在CMOS设置置禁用从从软盘、、CD--ROM启动系系统是必必要的。。8.6Windows系统的的其他安安全措施施Windows2000使使用NTFS文文件系统统，该格格式是基基于NTFS分分区实现现的，支支持用户户对文件件的访问问权限，，也支持持对文件件和文件件夹的加加密，因因而具有有更高的的安全性性。所以以，从安安全的角角度来说说，Windows2000的安安装要求求使用NTFS格式分分区。NTFS是微软软WindowsNT内核核的系列列操作系系统支持持的、一一个特别别为网络络和磁盘盘配额、、文件加加密等管管理安全全特性设设计的磁磁盘格式式。NTFS除除了提供供磁盘压压缩、数数据加密密、磁盘盘配额、、动态磁磁盘管理理等功能能外，还还提供了了为不同同用户设设置访问问控制制、隐私私和安全全管理的的功能。。对于Windows系系统的安安全措施施，除了了上面讲讲述的启启用安全全策略、、安装时时使用NTFS文件系系统、开开机禁止止CD--ROM启动系系统外，，通常还还有下面面一些措措施。((1))关闭闭IPC和默认认共享。。把把共享享文件的的权限从从“Everyone”组改改成“授授权用户户”，“Everyone”在在Windows2000中意味味着任何何有权权进入该该网络的的用户都都能够获获得这些些共享资资料。任任何时候候都不要要把共享享文件的的用户设设置成““Everyone””组(包包括打印印共享、、默认的的属性是是“Everyone”组的的)。方方法是::选选择“共共享”→→“安全全”选项项，在权权限栏目目中对““Everyone””进行有有效设置置，或单单击“删删除”按按钮，如如图8--6-1所示。。图8-6-1共享安全设置(2)禁禁止空空连接。。在在默认认的情况况下，任任何用户户都可以以通过空空连接连连上服务务器，枚枚举帐号号并猜测测密码，，因此，，必须禁禁止建立立空连接接。禁禁止建建立空连连接的方方法是::打打开注册册表编辑辑器，展展开HKEY_LOCAL_MACHINE＼＼SYSTEM＼CurrentControlSet＼Control＼＼LSA，将DWORD值中中RestrictAnonymous的键值值改为1即可。。(3)关关闭默默认共享享。系系统统默认一一些隐藏藏的共享享，可以以通过在在Cmd下输入入“netshare”命命令来查查看共享享情况，，如图8-6--2所示示。图8-6-2查看计算机的共享资源图中，C$为默默认共享享盘;ADMIN$是是远程管管理用的的共享目目录;IPC$为为空连接接，提供供了登录录到系统统的能力力。关关闭方法法是:在在盘符符上选择择右键的的“共享享”→““不共享享该文件件夹”选选项，然然后重新新启动计计算机。。(4)备备份数数据。一一旦系统统资料被被破坏，，备份盘盘将是恢恢复资料料的唯一一途径。。备份完完资料后后，应把把备份盘盘放在安安全的地地方，特特别敏感感的文件件应存放放在另外外的文件件服务器器上。虽虽然现现在服务务器的硬硬盘容量量都很大大，但还还是应该该考虑一一下是否否有必要要把一些些重要的的用户数数据(文文件、数数据表、、项目文文件等))存放在在另外一一个安全全的服务务器中，，并且经经常备份份它们。。对于保护护不安全全程序，，可通过过一些工工具使它它们从系系统目录录中转移移到另外外一个安安全的目目录，例例如cmd.exe、、

net.exe、、telnet.exe、ftp..exe、tftp..exe、debug.exe、xcopy.exe等等，可以以使黑客客上来后后找不到到合适的的工具和和Shell。。例如，配配置本地地安全设设置:从从“管管理工具具”里打打开“本本地安全全设置””，其中中的密码码策略、、帐户锁锁定策略略、审核核策略、、用户权权限分配配、安全全选项等等都需要要仔细配配置。②②使使用安全全漏洞扫扫描器，，对系统统经常进进行扫描描，可以以找出各各系统的的漏洞。。③③配配置Windows日志查查看器，，可以查查找不安安全的进进程。④安安装MicrosoftBaselineSecurityAnalyzer工工具，对对系统进进行安全全分析。。⑤锁住住注册表表。在Windows2000中中，只有有Administrators和和BackupOperators才有有从网络络上访问问注册表表的权限限。为了了更加安