当今社会多媒体网络教学发展迅速, 在网络教学中多媒体网络教学服务器非常重要。维持多媒体网络教学服务器稳定、安全地运行, 既是对学校教学工作正常开展的有力支持, 也是机房管理人员的重要职责。
在目前比较常用的网络操作系统中, Win2003 Sever因具有可视化的界面, 使用方便、配置灵活、用途广泛, 可为网站提供Web服务、FTP服务、DNS服务、DHCP服务和代理服务等一整套的网络服务优点而受到众多用户的青睐, 因此局域网多媒体网络教学服务器操作系统多采用Win2003 Sever。由于Win2003Sever软件自身存在的漏洞使其稳定性和安全性等方面一直不尽如人意, 特别是在网络的安全性方面。这些潜在的隐患严重威胁服务器的各种数据, 特别是网络教学服务器的安全和系统的平稳运行, 尤其是在学校, 由于学生的好奇心、显示欲、破坏欲给多媒体网络教学服务器带来了很多安全问题。因此首先做好操作系统的安全管理, 合理设置系统, 将有助于防止“黑客”入侵、非法操作、病毒入侵以及误操作等对系统数据造成的侵害, 保障多媒体网络服务器的安全。
Win2003 Sever的安装相对于LINUX等操作系统来说比较简单, 但其系统下的硬盘分区必须符合网络环境的要求, 建议最少建立两个分区, 一个系统分区, 一个应用程序分区。这是因为微软的IIS经常会有泄漏源码/溢出的漏洞, 如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。推荐的安全配置是建立三个逻辑驱动器, 第一个大于4G, 用来装系统和重要的日志文件, 第二个放IIS, 第三个放FTP, 这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。我们知道, IIS和FTP是对外服务的, 比较容易出问题, 而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。盘符的分区格式一定要选用NTFS格式, 不能使用任何FAT32分区格式, 因为NTFS格式的安全性远远高于FAT32格式。
很多网络管理员觉得顺序有什么重要, 只要安装好了, 怎么装都可以的, 其实这种认识是非常错误的。Win2003 Sever在安装中有几个顺序是一定要注意的。首先, 何时接入网络:Win2003 Sever在安装时有一个漏洞, 在你输入Administrator密码后, 系统就建立了ADMIN$的共享, 但是并没有用你刚刚输入的密码来保护它, 这种情况一直持续到你再次启动后, 在此期间, 任何人都可以通过ADMIN$进入你的机器。同时, 只要安装一完成, 各种服务就会自动运行, 而这时的服务器是满身漏洞, 非常容易进入。因此, 在完全安装并配置好Win2003 Sever之前, 一定不要把主机接入网络。其次, 补丁的安装应该在所有应用程序安装完之后, 因为补丁程序往往要替换/修改某些系统文件, 如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果, 例如:IIS的Hot Fix就要求每次更改IIS的配置都需要安装。
Win2003 Sever有各种语言的版本, 对于我们来说, 可以选择英文版或简体中文版, 许多专家都建议在语言不成为障碍的情况下, 最好使用英文版。大家都知道, 微软的产品是以Bug&Patch而“著称”的, 中文版的Bug远远多于英文版, 而补丁一般还会推迟至少半个月。也就是说一般微软公布了漏洞后, 安装中文版Win2003 Sever的服务器会有半个月处于无保护状态。
Win2003 Sever在默认情况下会安装一些常用的组件, 但是正是这个默认安装是极度危险的。你应该确切的知道你需要哪些服务, 而且仅仅安装你确实需要的服务, 根据安全原则, 最少的服务+最小的权限=最大的安全。典型的Web服务器需要的最小组件选择是只安装IIS的Com Files, IIS Snap-In, WWW Server组件。如果你确实需要安装其他组件, 请慎重, 特别是Indexing Service, Front Page 2003 Server Extensions, Internet Service Manager (HTML) 这几个服务很危险。例如, 服务器只用于网络教学的文件及数据管理服务, 不提供Web服务或FTP的服务器, 就不必要安装IIS。
物理安全是指防止意外事件或人为破坏具体的物理设备, 如服务器、交换机、机柜、线路等。机房和机柜的钥匙一定要管理好, 不要让无关人员随意进入机房, 防止人为的蓄意破坏。同时做好以下工作, 以使人为无法破坏硬盘数据。
设置BIOS密码, 设置BIOS禁用软盘、光驱、U盘引导系统。
在BIOS中禁止usb设备, 现在的学生几乎人人都有USB兼容设备, 如u盘、usb活动硬盘、usb接口手机、数码相机等都可通过usb接口接入电脑, 这些设备里很可能带有病毒木马程序、黑客软件、游戏、图片等, 极大地危胁服务器的安全。
在Win2003 Sever上运行的应用系统如:SQL数据库、IIS服务、Internet Explorer等, 应及时通过各种途径 (如:软件厂商的Web站点) 获得其补丁程序包, 以解决其安全问题Win2003 Sever网站的网络服务安全管理。原因在于服务器提供服务, 主应用程序若有明显漏洞, 就如跳板一样, 可以绕过典型防护直接进入主机系统, 危害巨大。例如SQL溢出漏洞等。
Windows注册表是帮助Windows控制硬件、软件、用户环境和Windows界面的一套数据文件, 注册表是Windows的核心。通过修改注册表, 我们可以对系统进行限制、优化等等。病毒木马黑客则时常向注册表添加自启动执行文件及配置文件, 直接危害系统安全。
限制对注册表。首先, 取消或限制对regedit.exe、regedit32.exe、regedt32.exe的访问;其次, 利用regedit.exe或文件管理器设置只允许管理员访问注册表, 其他任何用户不得访问注册表。
备份和恢复注册表。具体方法:“开始”--“运行”输入“regedit”然后打开“注册表编辑器”选“文件”--“导入”/“导出”。除了以上的方法, 我们还可以通过其它的软件来帮助我们备份系统注册表, 比如“超级魔法兔子”“Windows优化大师”“Tweak”等。
Win2003 Sever是多用户多任务的网络操作系统, 它默认安装时建立了多个用户组和多个用户, 不同的用户组和用户具有不同的权限, 同一个用户组的各个用户具有相同的权限。Win2003 Sever通过对用户账号及文件权限审核, 实现对用户的各种操作权限进行设置, 既可以控制用户的操作又有允许用户访问所需的资源。因此, 科学地设置用户账号, 合理分配账号, 合理分配权限, 利用系统对权限的验证功能可以有效防止非法用户入侵和越权操作对系统造成的危害。
Administrator是Win2003 Sever内置管理员账户, 它具有对系统完全控制, 进行管理的权限。但系统不允许删除, 为了系统的安全, 可将Administrator改名, 尽量伪装成普通用户, 创建一个陷阱用户把它的权限设置成最低, 也就是什么事也干不了的那种, 并且给它加上一个超过10位的超级复杂密码。这样可以让那些黑客们忙上一段时间, 才发现他们的努力是徒劳的。
Guest是Win2003 Sever的另一个内置账户, 通过缺省的Guest账户, 非法用户未经许可就可以获得对服务器的访问权。在计算机管理的用户里面把Guest账号禁用。为了保险起见, 最好给Guest加一个复杂的密码。使用记事本, 在里面输入一串包含特殊字符、数字、字母的长字符串, 然后把它作为Guest用户的密码拷进去。
账户要尽可能的少, 限制不必要的用户, 去掉所有的Duplicate User用户、测试用户、共享用户等等。这些用户很多时候都是黑客们入侵系统的突破口。经常检查系统的用户, 用一些扫描工具检查系统账户、账户权限及密码。
配置授权用户适当的NTFS访问控制可以增强网络的安全。取消或更改缺省情况下的Everyone组的“完全控制”权限, 要始终设置用户所能允许的最小的文件夹和文件的访问权限。
具体操作如下:通过“本地安全策略→安全选项”启动“交互式登录不显示上次的用户名”。
通过“账户策略→密码策略”与“账户策略→账户锁定策略”设置密码的复杂性, 锁定账户登录次数, 锁定时间等。
Win2003 Sever提供了许多服务, 例如Win2003 Sever的Terminal Services, IIS, RAS等, 而这些服务都有可能产生漏洞, 威胁系统的安全。因此, 如果系统不需要提供这些服务, 应关闭或改为手动启动方式。这样, 在系统启动时这些服务就不会启动了, 也就避免了相应的漏洞。
禁用服务:
打开控制面板, 进入管理工具——服务, 关闭不必要服务。
端口是计算机与外部网络相连的逻辑端口, 如开放过多的端口则对系统是一个严重的威胁, 常用的端口有80口, 用于Web服务;21口用于FTP服务, 25口用于SMTP服务, 23口用于Telnet服务;110口用于POP3服务等。当服务器只提供比较单一的功能时, 可考虑只开放具体使用的端口。关闭端口的具体操作方法为:网上邻居→属性→本地连接→属性→Internet协议 (TCP/IP) →属性→高级→选项→TCP/IP筛选→属性。选中启动TCP/IP筛选 (所有适配器) , 对TCP/IP/UDP分别添加需要的端口。
默认情况下, 任何用户都可通过空链接上服务器, 枚举账号并猜测密码。可以通过以下两种方法禁止建立空链接。
1) 修改注册表。HKEY_Local_MachineSystemCurrentcontrol SetControlLsaRestrict Anonymous的值改为1。
2) 修改Win2003 Sever的本地安全策略设置。“本地安全策略→本地策略→选项”中的Restrict Anonymous (匿名连接的额外限制) 为“不容许枚举SAM账号和共享”。
网站需要的通讯协议只有TCP/IP, 而NET-BEUI是一个只能用于局域网的协议, IPX/SPX是面临淘汰的协议, 没有必要放在服务器上。
1) 解除NETBIOS与TCP/IP协议的绑定。NETBIOS在局域网内是不可缺少的功能, 在Web服务器上却成了黑客扫描工具的首选目标, 所以必须解除NETBIOS与TCP/IP协议的绑定。方法为:控制面板→网络和拨号连接→本地网络→属性→TCP/IP→属性→高级→WIN→禁用TCP/IP上的NETBIOS。
2) 安全配置TCP/IP。配置方法是在网卡属性中的“TCP/IP→高级→选项→TCP/IP”里进行筛选, 原则上只要打开需要的端口就可以了。
Ping入侵方式也叫ICMP入侵, 它也利用了Windows系统的漏洞。服务器将会因CPU使用率居高不下而崩溃, 这也就是有名的DDo S服务 (拒绝服务) 攻击:在一个时段内连续向服务器发出大量请求, 服务器来不及回应而死机。对付这类攻击可安装网络防火墙, 如天网等, 在设置里面选择“不允许别人用Ping命令探测本机”, 也可以使用Win2003 Sever自带一个Rotting&Rmote Access工具, 这个工具初具路由器的功能, 利用处理工具, 可以定义输入输出数据包过滤器。
IPC$攻击是黑客入侵常用手段。IPC是远程网络连接, $表示隐藏共享, 服务器上设置隐藏共享是方便用户共享文件。然而, Win2003 Sever默认用户与目标服务器建立空连接并链接到服务器, 利用这个空链接, 远程用户可得到用户列表并通过字典工具或穷举破解口令, 从而有可能影响到系统的安全。通过修改注册表及关闭端口防范IPC$攻击。
1) 修改H K E Y_L I C A L_M A C H I N ES y s t e mCurrent Control SetControlLas|Restrict Anonymous值改为00000001, 禁止枚举账号。
2) 修改Win2003 Sever本地安全策略, 设置本地安全策略→本地策略→选项中的Restrict Anonymous为不允许枚举SAN账号和共享。
3) 通过修改注册表可以停止系统默认共享, HKEY_LICAL_MACHINSSystemCurrent Control SetServiceLanman ServerParameterAuto Share Server键值为0。
4) 空链接用的端口为139, 通过修改注册表可禁止空链接进行枚举。选择本地连接→TCP/IP属性→高级→WIN→禁用TCP/IP上的NETBOIS即可。
1) 修改默认端口。
终端服务是黑客攻击的对象, 修改默认端口是终端安全设置的方法之一。终端服务的默认端口为3389, 可将其修改为其他端口来回避黑客攻击。方法为:
(1) 服务器端。KEY_LICAL_MACHINESystemCurrent Control SetControlTerminal ServerWadRdpwdTcp键, 找到并修改Port number值为所要设置的端口, 再打开HKDY_LICAL_MACHINESystemCurrentcontrol SetSontrolTerminalserverWinstationRDP-TCP子键, 将Port number修改为所设置的端口。
(2) 客户端。修改连接服务器的客户端的端口时先按正常步骤建立一个客户端连接。选中这个连接, 在文件菜单中选择导出, 在指定位置上生成一个后缀为.cns的文件。打开该文件, 修改“server port”值为服务器端的Port number值, 然后导入该文件, 这样客户端就修改了端口。
2) 安全审核。
在“管理工具→远程控制服务配置→连接”处, 右键单击“RPD-TCP”连接, 选择“属性”, 在其窗口中选中“权限”, 点击右下脚的“高级”, 选择“审核”, 增加一个“everyone”组, 审核它的“连接”“断开”“注销”和“登录”的成功和失败。在“管理工具→日志查看→安全日志”可看到该审核记录。
IIS又称为Internet服务管理器, 是微软的组件中漏洞最多、最容易受到攻击的一个。采用默认设置安装IIS将存在严重安全隐患。为保证系统安全, 可对其进行如下配置:
1) 更改Web服务主目录。右键单击“默认Web站点→属性→主目录→本地路径”, 将“本地路径”指向其他目录。
2) 删除原安装默认的inetpub目录。
3) 删除以下虚拟目录:_vit_bin, IISSamples, Scripts, I IShelp, IISAdmin, IIShelp, MSADC。
4) 删除不必要的IIS扩展。如果设置服务器的扩展, 就可以在远程打开主页文件进行修改。删除不必要的IIS扩展方法为右键单击“默认的Web站点→属性→主目录→配置”。
5) 备份IIS配置, 可使用IIS的备份功能, 将设定好的IIS配置全部备份下来, 这样就可随时恢复IIS的安全配置。
安全日志记录了有效和无效的登录操作, 以及创建、打开、删除文件等与资源使用有关的事件。使用管理器可以在安全日志中指定要记录的文件。系统默认安全日志是不启动的, 应将安全日志打开并随时查看日志文件, 了解系统是不是有异常, 发现并及时解决系统存在的安全问题。
对于教学服务器来说, 安装防火墙是非常必要的。防火墙对于非法访问具有很好的预防作用, 但是并不是安装了防火墙之后就万事大吉了, 而是需要进行适当的设置才能起作用。主要是规则的制定, 规则可以从网上下载, 再进行相应改动后导入。
可以安装360安全卫士等能实时监控注册表更改的监控软件, 杀毒软件必须及时升级、定期杀毒。
由于教学服务器上有些文件夹必须完全共享, 所以应定期及时删除上传的游戏、图片等与教学无关内容。
系统遭遇病毒木马, 黑客入侵服务器, 都需要服务器的IP地址和所开放的端口, 因此可以在网上邻居中隐藏服务器的IP地址, 为服务器的计算机名保密。建立服务器通讯端口列表, 屏蔽一些敏感的端口如139、3389、5000, 了解部分病毒或者木马的常用连接端口, 如“冰河”的7626端口、“广外女生”的6267端口。安装病毒防火墙和网络防火墙, 定期对病毒库进行更新, 按计划查毒杀毒。定期用DOS命令netstat-a或者Super Scan, 端口扫描器等软件对服务器开放的端口进行检测, 将检测结果和以往备份的端口列表进行比较。若发现未知端口有异常连接建立或者正在监听, 特别是高端端口, 则立即断开网络, 用检测木马的软件如Trojan Remover等进行检测。用进程检测软件如Windows优化大师监测服务器所开的进程, 并和以往的进程列表作比较, 留意不明进程。注意观察Win2003server的服务, 因为它是在系统启动前加载的。可将Task Scheduler、Run As Service、FTP等改为手动, 最好能够了解各种服务的作用, 了解服务器所开的共享, 可用net share命令来查看。
在运行过程中, 如果发现机器开启了一些很奇怪的服务, 如r_server这样的服务, 必须马上停止该服务, 因为这完全有可能是黑客使用控制程序的服务端。
打开“计算机管理”, 检查用户和组里是否有非法用户, 尤其小心管理员权限的非法用户。禁止系统提供的Guest用户, 因为黑客常用Guest进行系统控制, 对于Administrator则应进行改名操作。对于有非法用户的目录, 应仔细察看并定期对事件查看器进行筛选和分析。审核安全日志, 选择“管理工具”里面的“本地安全策略”, 在本地策略里的审核策略中进行审核操作。利用regedt32进入注册表, 提升权限后, 展开SAM分支, 查找可能的隐藏的克隆管理员帐户。
定期对服务器进行备份, 以防止不能预料的系统故障或用户不小心的非法操作。最好使用双硬盘备份, 以便出现系统崩溃时 (通常是硬盘出错) , 可及时地将系统恢复到正常状态, 避免影响正常的教学秩序。
系统管理员不要私自在服务器上试用新软件, 尤其是大型软件和Beta版软件, 不要用服务器作为上网的主机, 不要让不具备权限的人接近服务器。Win2003 servr系统的稳定性和安全性还是非常高的, 系统的崩溃多由于人为的误删除或者误操作所致。
现实告诉我们, 在所有的网络安全问题中, 有相当一部分网络安全问题来自校园内部。所以, 要对学生进行网络安全及相关法规的教育, 同时也要循循善诱, 引导学生正确学习和运用网络技术, 保障教学网络服务器的正常使用。
基于Win2003 Sever构建的多媒体网络教学服务器虽然面临各种威胁, 但只要机房管理人员恪尽职守, 注重防范, 维护教学网络服务器系统安全是完全可行的, 学校正常的教学秩序也能得到有力保障。
摘要:本文主要分析Win2003 Sever多媒体网络教学服务器在局域网运行中存在的安全问题, 参考其他文献资料和结合实际工作经验, 从Win2003 Sever的安装、账户的安全管理、网络安全设置、服务器硬件安全、服务器维护等方面阐述了维护局域网多媒体教学服务器安全的策略。
关键词:Win2003 Sever,多媒体网络教学,网络安全,服务器维护
[1] 戴有炜.Windows 2003网络专业指南.清华大学出版社, 2004.
[2] 黄鑫, 沈传宁.网络安全技术教程:攻击与防守.中国电力出版社, 2005.
[3] 孙峰.网络安全与防黑技术.机械工业出版社, 2004.
推荐阅读:
浅谈多媒体与语文教学的整合05-27
浅谈小学数学教学与多媒体的运用06-20
加强Windows安全性06-12
浅谈多媒体教学设计中存在的问题及对策06-01
浅谈多媒体在小学语文教学中的优点06-05
浅谈多媒体在小学数学教学中的优势06-20
2003会计试题06-22
windows 域概述05-27
多媒体网络环境与小学数学教学05-31
2003中国纪律处分条例06-17
