基于Windows服务器的安全测评与加固方法研究

2022-09-11

服务器安全性是目前网络安全保障的重要途径之一, 随着信息化建设的加快, 信息安全也成为关注焦点, 而服务器数量快速增加作为信息化发展的一大特征, 成为目前数据与应用存放的重要介质, 其安全加固也成为一个重要内容。操作系统作为一个大平台, 需要支持多种类型的应用, 但网络普及使大量攻击工具的获取也变得更为简单, 攻击技术的门槛也在不断降低, 各种有一定开放性的业务系统都要面临网络病毒攻击、黑客攻击、恶意代码及流氓软件等多种形式的攻击, 若内部也出现恶意行为与误操作时, 会对业务系统运行稳定性造成更严重的冲击。Windows平台作为目前服务器使用的主要业务平台, 其安全保障有较大问题, 容易受到各种病毒、恶意代码或蠕虫的攻击, 甚至造成网络宕机, 使服务器出现重大损失[1]。目前, 包括对DOS漏洞的利用与检测等多种服务器安全评估方法获得了广泛的应用, 并通过身份账户的鉴别、访问控制、安全审计、信息保护、资源控制等方法进行安全加固。本文对目前主要使用的基于Windows服务器的安全测评与加固方法进行总结。

一、基于Windows服务器的安全加固方法

(一) 用户身份鉴别

服务器系统需要具备用户身份自主鉴别验证功能, 通过授权的方式为授权提供相应授权服务, 这一方法有助于服务器安全性的提高。用户身份信息需要具备唯一性、不可伪造性;用户名口令设置要有较高复杂度, 且需要定期更换, 同时需要对用户的远程访问及失败访问管理与处理设置科学的机制, 合理限定访问控制频率及自动退出访问机制等, 注意规避口令被外部攻击恶意破解的问题[2]。Windows系统中的Microsoft management console (mmc) 能够对软硬件进行管理, 用户可通过net user对系统用户进行查询, 或者利用lusrmgr.msc进行查询, 并修改相应的配置, 即对默认用户名及其口令、授权远程访问权限进行配置。之后即可通过gpedit.msc对本地用户组策略编辑器的相关配置进行查询, 包括计算机本身、Windows系统、安全连接及帐户策略等的设置[3]。该方法的目的在于授权可信用户实施服务器资源及配置的访问控制, 确保这一权限不会出现非法使用或访问。

(二) 客体访问控制

访问控制包括网络与主机两个层面的控制策略。一方面可以通过限定用户访问资源范围, 以保护系统资源。如通过三类管理权限设置, 确保各级管理员能够各司其职, 执行不同的操作权限, 在配置权限时, 注意权限最小化原则, 确保权限分离。为精简服务器中的客体用户, 对默认用户名进行修改, 并删除多余用户、过期用户, 并禁用游客帐户及其他无关的帐户, 同时必须取消匿名用户与低权限用户对重要程序的全部权限[4]。可在Windows/System32中取消“使用简单文件共享 (推荐) ”, 再修改其中的用户授权, 将无关帐户对系统重要文件的安全控制及修改权限执行取消操作。也可利用第三方管理工具执行对系统重要资源的安全等级设置与管理操作, 就能够保证对用户操作敏感性重要资源的权限进行严格限制。在设置客体访问控制时, 需要满足一定的配置标准, 如用户密码口令须满足复杂度要求, 字符长度不得低于8个, 最短使用期限不得低于1天, 最长使用期则可设置为20-30天, 并设置3次以上强制密码设置权限历史, 帐户锁定时间定为20-30分钟, 3次无效登录即可锁定, 锁定复位时间设置为20-30分钟, 需与帐户锁定时间保持一致[5]。在本地策略的安全选项中, 可启用交互式登录, 不允许SAM用户与共享的网络访问, 不允许网络身份验证存储的网络访问等设置, 同时还需要删除可匿名访问的用户命名管道、可匿名访问的共享、可行程访问的注册表路径与子路径等网络访问权限。

(三) 剩余信息保护与系统资源控制

服务器中的剩余信息主要包括服务器硬盘、内存中所存储的一些帐户信息、系统文件等信息及其存储空间, 这类信息需要通过释放或再分配彻底消除。系统则需要保护这些信息, 通过交叉式登录、不显示上次登录用户名、关机前清除所有虚拟内存页面, 对各类系统中可能存在的可还原加密存储密码功能执行禁用操作。系统资源主要包括服务器CPU、硬盘、内存及网络等资源, 存储与终端接入、登录限制、资源监控、超过锁定、用户权限分离、服务报警等是主要的安全控制策略。如在Windows 2012系统中, 可按照如下方法设置:终端接入以限IP方式执行登录操作, 屏幕超时10分钟内即自动锁定, 利用资源管理器查询并监控系统资源, 用户个人对于系统资源的使用限度需按照权限最小化原则设定, 通过服务器资源监控软件或第三方监控软件对服务水平降至预先设定最小值时执行检测与报警。

(四) 安全审计

服务器系统需要通过安全审计对本地安全、网络安全进行保障, 分析安全审计信息可对服务器系统安全程度进行评估, 以确保管理员在确定责任、评估损失、恢复系统时能够有关键性信息。安全审计必须覆盖服务器操作系统与数据库的全部用户, 同时要对系统资源及安全控制相关的全部事件进行审计, 并且要保持独立性、持续性, 做好详细的审计记录, 并通过对审计记录的导出与分析, 规避各种未预期删除、修改与覆盖等操作。Secpol.msc文件是Windows服务器本地组安全审计策略编辑器, 通过对本地策略进行查询, 服务器中有9项安全策略可供开启, 安全审计时需要设置成功与失败两种审核操作。可通过事件查看器或系统日志对查询服务器安全与系统日志, 根据每日日志生成量大小, 评估可能需要的日志存储空间大小, 覆盖周期需在15天以上。本地保存的日志数据则仅能对系统管理员开放访问权限, 设置为最高等级安全等级, 并确保不可删除, 做好每日备份工作及每周的异地备份工作。若日志数据量较多时, 可采用单独的日志服务器进行存储。在安全审计中, 系统登录事件、帐户管理、登录事件、对象访问、策略更改、特权使用、系统事件均为必须开启的安全审计策略, 以及时发现系统入侵事件。

(五) 攻击入侵与恶意代码防范

黑客、病毒、蠕虫及恶意代码等对于服务器的攻击、入侵是服务器安全的最大威胁, 因此必须采取严格的攻击防范以确保安全性。首先, 服务器安装最小化, 软件安装严格进行筛选, 剔除各种有漏洞的软件。其次, 要设置一套成熟、严密的攻击防范与恶意代码防范机制, 有效阻断对服务器的各种攻击, 并起到预防攻击的效果。目前Windows系统的自带防火墙具备该功能, 管理员需要在安全配置策略中完成相应的配置[6]。此外, 也可通过相应键入操作进行设置。如, 在Windows 2003 Server系统中可能会出现大量SYN攻击, 该攻击方法属于DOS漏洞的一种攻击, 是通过TCP协议中的固有缺陷, 发送数量较大的半连接访问请求, 大量耗费服务器CPU与内存资源, 这种攻击方式会对主机、路由器及防火墙等造成很大影响, 其实施方式可以通过电子邮件、WEB及telnet等方式实现, 一些恶意攻击者能够创建大量半开放式连接对服务器进行SYN洪水式攻击, 结合IP欺骗行为, 使攻击效果加倍。因攻击中的源IP地址是不存在的, 因此, 服务器会不断重发直到该行为走进, 对正常连接队列造成阻碍, 使正常请求被放弃, 拖慢系统, 甚至引发网络堵塞、系统瘫痪。为避免这一攻击行为, 可在系统注册表中进行设置, 将其中的[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]文件中的SynAttackProtectr属性值进行更改, 设置为“1”, 并在注册表中增加如下值, 即可对SYN攻击进行有效防范[7]:

>EnablePMTUDiscovery REG_DWORD 0

>NoNameReleaseOnDemand REG_DWORD 1

>EnableDeadGWDetect REG_DWORD 0

>KeepAliveTime REG_DWORD 300, 000

>PerformRouterDiscovery REG_DWORD 0

>EnableICMPRedirects REG_DWORD 0

二、基于Windows服务器的安全测评方法

(一) 权限分立的安全测评方法

等级保护是目前服务器安全测评与加固的基本方法, 通过权限分立法进行测评, 设置系统管理员、安全管理员及审计管理员等不同身份, 并设置相对应的不同权限, 在测评时可通过对其设置与权限的检测完成测评。系统管理员仅能使用操作系统, 查看系统日志;安全管理员则需要完成系统安全策略配置工作, 仅能查看系统中的违规日志;审计管理员则在查询、删除并备份日志的同时进行详细记录。同时, 测评前检查系统中的超级管理员用户及其相应权限, 注意剥离其权限, 设置为与系统管理员一致的权限[8]。

(二) 访问控制的安全测评方法

目前的服务器操作系统标准要求操作系统中主体具有唯一性, 能够对各个客户拥有者的访问控制权限进行修改, 同时, 客体自身也对自身具备完全控制权, 并且该权利无法向其他主体让渡。为达到这一目的, 需修改目前的安全测评方法, 如在Windows Server 2008系统中, 可在系统用户Test中, 通过登录该用户并创建一个DAC.txt文件, 即可给予该用户“全部控制权限”。同时要注意查看系统中的Administrators用户设置及其权限, 若这一用户为只读权限时, 其在DAC.txt文件中完成写操作后, 系统会出现“访问被拒绝”的提示。如果未执行这一操作, Administrators用户就拥有了客体DAC.txt文件ACL及客体拥有者访问控制权限的设置及修改权限, 或者把其帐户添加到ACL中, 进而非法获取全部控制权限。完成以上修改后, Administrators用户若要修改Test用户设置的客体DAC.txt文件拥有者及其对应的ACL时, SSOOS能够准备获取该操作, 自动判断这一操作主体与客体拥有者是否一致, 当存在不一致时, 就会直接拒绝。在相应地, Test用户在对客体DAC.txt文件拥有者执行修改操作时, SSOOS也能够准备获取该操作, 若存在修改行为时, 就会直接返回拒绝。要完成这一访问控制, 还需要对SSOOS进行动态扩充及增强, 使其具备更好的访问监控功能, 对抗多种欺骗和攻击。

(三) 剩余信息清除测评方法

目前服务器操作系统在删除多余信息时, 操作系统中的删除功能无法彻底从文件存储空间中将这些信息全部清除, 一些第三方工具能够对这部分未清除的剩余信息进行利用, 并完成恢复。目前的安全测评对于这一环节仍然存在一定误区, 按照操作规范要求, 操作系统删除所有客体资源后, 就应该自动接管剩余信息清除操作并自动清除这些信息, 而非手动操作, 因此, 在测评时可进行相应的修改:启动剩余信息清除功能自动执行文件删除操作, 清除剩余信息, 同时通过多个恢复软件执行恢复操作, 确保这些信息无法恢复。

(四) 安全审计的测评方法

安全审计是主体与客体之间访问信息的细粒度记录, 追溯恶意事件过程。修改后的测评方法为:进入安全审计中心, 查看日志记录的完整性, 确保日志记录中包含了以下类型:访问控制、完整性检测、自身操作、资源异常、安全响应、系统资源访问及身份鉴别等。其次查看在执行一条及以上日志的清除操作后, 日志记录是否有操作记录。最后查看日志能否被外部攻击恶意修改。

(五) 完整性检测的安全测评方法

目前, 多数完整性检测仅对文件进行检测, 在安全测评中, 不仅要检测文件, 同时, 还需要对其他内容进行完整性检测, 如帐户、服务及注册表。在安全测评时, 要按照以下步骤进行:首先, 检测该系统是否能够对文件、帐户、服务以及注册表进行完整性检测;其次, 执行相关内容的完整性检测, 并记录当前的检测状态;再次, 对这些内容进行修改;最后, 查看恢复这些内容后, 查看是否与未修改前的状态保持一致。

三、结语

本文通过对Windows系统的服务器安全加固方法与安全测评方法的总结, 提出了较为详细的安全策略设置方法, 并通过相应的测评方法对其有效性进行测试, 基本能够满足一定等级保护测评的基本要求。随着网络技术、信息化技术及相应硬件技术的发展, 安全测评及加固仍然需要不断发展, 以应对不断出现的各种漏洞、外部攻击或内部误操作及恶意操作给服务器带来的损失, 进一步提高服务器安全性。

摘要：本文从用户身份鉴别、客体访问控制、剩余信息保护、系统资源控制、安全审计、攻击入侵防范、恶意代码防范等方面总结了目前主要使用的Windows服务器加固方法, 并对权限分立、访问控制、剩余信息清除、安全审计、完整性检测等方面的安全测评方法进行改进, 对安全加固方法进行测评, 显示这些加固方法均能够满足较高要求的安全测评要求, 对目前Windows服务器的安全加固操作有较高的适用性。

关键词：服务器,Windows系统,安全测评方法,安全加固方法