カスタマイズされた安全なWin 2003オペレーティングシステム（下記）

序文：

2003年5月22日、Microsoftの次世代オペレーティングシステムであるWindows Server 2003の中国語版が中国でリリースされ始めました。 Windows 95から現在に至るまで、多くの抜け穴がありますが、マイクロソフトはセキュリティに関して過去についてまだ話し合っていると考えています。対話型ログイン、ネットワーク認証、オブジェクトベースのアクセス制御、より完全なセキュリティポリシー、データの暗号化保護など、全体的に見ても安全だと感じています。このWindows Server 2003はデフォルトでインストールされます。機械構成は一般的です。その目的は、以下に説明するセキュリティ設定によってセキュリティを大幅に強化することです。昨日は前半を公開し、今日は後半を公開しました。

3つの高度なセキュリティ設定

1。不要なサービスを禁止し、隠れた危険を排除します。本質的には
サービス
それだけのプログラムである、それは他のプログラムとは異なり、それは、特定のタスクを完了するためにシステムをサポートするための特別な機能を提供することです。 Windows Server 2003のインストール後、デフォルトで84個のサービスがあり、デフォルトでは36個のシステムが起動しています。特にシステムで開始されたサービスが使用されている場合は、この分野のすべてのサービスが安全であることがセキュリティにとって非常に重要です。 Windows Server 2003のリリースから2か月以内に、既定のサービスに基づく脆弱性が発見されましたが、幸いなことに、この脆弱性はWindows Server 2003に害が少なく、既定では無効になっています。以下に、著者は彼自身の経験を組み合わせて、システムのすべてのサービスを安全に設定する方法について話します。

「管理ツール」から「サービス」を開きます（図20）。システム内のすべてのサービスの詳細を見ることができます。これは、サービスを安全に構成する方法を提供することを目的とした典型的なRemote Registryサービスの例です。サービスの一覧でRemote Registryサービスを見つけると、サービスの左側の空白部分に "リモートユーザーがこのコンピューターのレジストリ設定を変更できるようにします。このサービスを終了すると、このコンピューターのユーザーだけが変更できますレジストリ... "、このサービスは通常の環境では必要ないことがわかります。サービスが有効になっていると、システムにセキュリティ上のリスクが生じる可能性があるため、無効にする必要があります。 Remote Registryサービスをダブルクリックして、そのプロパティ設定を入力します（図21）。 「スタートアップの種類」で、デフォルトの「自動」を「無効」に変更し、最後に確認します。このサービスが終了すると、レジストリに関連するすべてのリモートアクションが終了します。これにより、悪意のあるWebページによってローカルレジストリが変更されるため、インターネット上の悪意のあるユーザーはレジストリを変更および設定する必要がなくなります。システムが損傷してハッキングされる可能性を大幅に減らし、システムセキュリティを維持するという目的を達成します。


図20で
図21

興味深い現象は、Microsoft Windows Installerサービスの導入は、実際にタイプミスがあったことです！ ！ああ、図22。


図22
2。リモートコントロールのデフォルトモードを変更します。

個々のユーザーにとって、ターミナルサービス（上記のサービスとは異なります）は一般的には適用されません。それはそれがはるかに危険です、それはネットワークから任意のものを許可します仮想マシン上であなたのマシンを管理します。 Microsoftの指示を見てください。Windows Server 2003ファミリのオペレーティングシステムを実行している任意のコンピュータで[リモートデスクトップの管理]を使用して、サーバーをリモートで管理できます。システムに付属のリモートデスクトップ接続を使用して接続と制御を行います（図23）。したがって、一般ユーザーの場合は、ターミナルサービスを禁止する必要があります。管理ツールからターミナルサービスの設定に行き、接続を右クリックしてそのプロパティを選択します。接続プロパティの[リモートコントロール]タブを選択し、[リモートコントロールを許可しない]にチェックマークを付けます、図25。このように変更することで、リモートユーザーによる不正な接続を防ぐことができます。図

ログイン23で
図24で
図25
3。ローカルセキュリティ設定を構成します。

Microsoftは、Windows Server 2003はデフォルトで非常に安全であると主張していますが、そうではないことに気付きました。 「ローカルセキュリティ設定」は適切に設定する必要がある場所です。

「管理ツール」から「ローカルセキュリティ設定」を開きます（図26）。パスワードポリシー、アカウントロックアウトポリシー、監査ポリシー、権利擁護権の割り当て、セキュリティオプションなどを慎重に設定する必要があります。著者は、例として「ユーザー権利の割り当て」を取り上げることによってこの方法を紹介します。 [ユーザー権利の割り当て]を選択すると、図26の7番目の項目に示すように、合計5グループのユーザーがリモートからコンピュータにアクセスする権限を持っていることがわかります。セキュリティ要件を再設定する必要があります。この項目をダブルクリックしてそのプロパティを開きます。ここで、Everyone、Power Users、およびUsersグループを削除するか、[ユーザーまたはグループの追加]をクリックして、このコンピューターにリモートからアクセスできるユーザーまたはグループを新たに識別できます。図5と図8を参照してください。


図26で
図27

上記の方法では唯一、あなたがアクセス許可を設定する具体的な行動は、ユーザーによって異なります特定の状況これには1つの設定に対して多くの忍耐力が必要ですが、これは一度限りの方法です。さらに、図26に示した各戦略では、破壊不可能なシステム防御を実現するために特定の構成が必要です。

4、安全上の常識と注意事項

1。 Guestアカウントに基づいてシステムへの侵入を排除します。

Guestユーザーを使用して管理者権限を取得する方法が多数の記事で紹介されていますが、そのアイデアや方法は一行ではありません。なぜこんな問題があるのでしょうか。この問題を解決する方法

Guestアカウントとして、Guestユーザーは非常に低い特権を持ち、デフォルトのパスワードは空であるため、侵入者はGuestを介してログインし、最終的に管理者特権を取得することができます。これを行う方法はこの記事の範囲を超えており、このゲストベースの侵入を防ぐ方法だけをここで説明します。侵入者の動作を分析した結果、著者がGuestアカウントを無効にするか完全に削除するのが最も基本的な方法であることを発見しました。ただし、Guestアカウントを使用する必要がある場合は、他の防御策を講じる必要があります。 1つ目は、ゲストに強力なパスワードを追加することです - この手順は、[管理ツール] - [コンピュータの管理] - [ローカルユーザーとグループ] - [ユーザー]で設定できます（図28）。次に、基本的なセキュリティ構成で説明した方法に従って、Guestアカウントのアクセス権を物理パスに詳細に設定します。


図28
2。管理者ユーザーの名前を変更して、複雑なパスワードを設定します。

管理者アカウントは最も高いシステム権限を持っているため、このアカウントを使用するとその結果は想像できません。このため、まず最初にこのアカウントの管理を強化し、強力で複雑なパスワードを設定する必要があります。下に、作者はAdministratorアカウントを再構成して侵入者を偽造する方法を説明しています。

「管理ツール」----「ローカルセキュリティ設定」を開き、「ローカルポリシー」の「セキュリティオプション」を開くと、アカウントポリシーがあることがわかります。システム管理者の名前の変更アカウント、図29このポリシーをダブルクリックしてプロパティを入力し、変更します（図30）。これは54masterに修正されました。


図29で
図は30

"管理ツール" ---- "コンピュータの管理" ----「ローカルを開きますユーザーとグループ "----" User "、図31管理者をダブルクリックしてそのプロパティを入力し、その説明を書き留め（図32）、それを別の説明に変更します。次に「ユーザー」を右クリックして「新規ユーザー」を選択し、図33に示されている情報を書き込み、決定します。バック "ユーザー" に図


31で
図32で
図33
、単にダブルクリックそのプロパティに新しいアカウントを作成し、デフォルトのフルネームを削除します。次に、[子会社]タブのDefaults Usersグループから削除します（図34）。

図34
は、

あなたが侵入者であれば、あなたは本当のあなたである、システム管理者に伝えることができ、図35を見て？誰が、どのグループにも属していない権限を持たずに、システム管理者および新しいメンバーとして新しく作成されたアカウントを考えることができますか？侵入者は、パスワードをもっと多く取得する方法を見つけるために、無数のエネルギーを費やすことになるでしょう。彼を手放す。図


35

3。注意を払うべき他の場所。

レジストリのスタートアップ項目の変更を防ぐため、常にアラート・ログ・システム、セキュリティ、およびアプリケーションは、ユーザーアカウントを警告し、他の敏感な部分には、お使いのシステムのセキュリティを確保するために必要な条件です。壊滅的な事件に対処するために頻繁にデータをバックアップしてください。ユーザーと権利の割り当ては、最小特権の原則に基づいて行う必要があります。つまり、最小特権は、ユーザーの通常の使用に影響を与えることなくユーザーに割り当てられます。システムが突然遅くなった場合は、ウイルスに感染しているかどうかを判断する必要があります。システムセキュリティは家族計画のようなものであり、長期的な仕事であり、たとえ最高のシステムを構成したとしても、新しい脆弱性に悪用される可能性があるため、管理者はいつでも習得する必要があります。

追記：著者を使用して

期間、Windows Server 2003は、全体的な感じが良いです提供します。それは2000とXPよりも速く起動し、そしてシステムに多くの新しいDOS機能を追加します。ディスクの最適化にはDefragコマンド、ディスク、パーティション、またはボリュームの管理にはDiskpartコマンドを使用し、システムプロセスの管理にはTaskkillコマンドを使用し、タイムトラッキングセッションログとパフォーマンスログの作成と管理にはLogmanコマンドを使用します。 Windows Server 2003の新しい "Distributed File System"（DFS）は、サーバーバージョンとして、ドメイン上の複数のサーバーに分散されたファイルを論理的な名前空間に集中させることができます。すべての共有ファイルへのアクセスWindows Server 2003には、ユーザーが発見するのを待っている他の多くの新機能があります。興味のあるユーザーは、使用バージョンをダウンロードするために****に行くことができます。

ただし、Microsoftのオペレーティングシステムの開発がますます速くなっているため、WSのハードウェア要件はますます高くなっています。CPU周波数を550MHz、メモリ256MB、ハードディスクシステムパーティション2G、ディスプレイに設定することをお勧めします。解決法は800 * 600です。これにより、一部の年配のユーザーは、そのような魅力的な新しいオペレーティングシステムを使用しにくくなりました。すでにそれを使用している他のユーザー、彼らの問題は、多くのハードウェアがWindows Server 2003の下でドライバを持っていないということです、そしていくつかは2000かXPと取り替えることができます。私が運転する必要がないオリジナルのネットワークカードは認識できませんが、2000またはXPを使用しているドライバはまだ役に立ちません。

一般に、Windows Server 2003のパフォーマンスは優れており、マイクロソフトが製品セキュリティの重要性を公に発表した後にリリースされた最初のオペレーティングシステムです。安全性と信頼性を向上させ、多くの場所で以前のバージョンよりも向上しました。例えば、シャットダウン時にはシャットダウンの理由を記録する必要がありますダウンロード時には危険なファイルである可能性があります...これらは以前のバージョンでは利用できなかった新しいことです。さらに、インターネットを閲覧する友人は、ウイルスやトロイの木馬から保護するためにシステムでアクティブにされるウイルスファイアウォールを持つべきです。システムのセキュリティ構成については、ユーザーが柔軟に使用し、互いの長所から学び、より優れたセキュリティ意識を持つことができれば、そのセキュリティは完全にあなたの要求を満たすことができます。