Windows Server 2003不容忽视的安全细节（上）

Windows Server 2003以其强大的功能，相对简单的操作颇受企业用户的青睐，是当前企业环境中应用最广的服务器系统。但是在默认设置下，server 2003存在一定的安全隐患。如果被攻击者利用，就会对服务器的安全性造成极大的威胁，甚至导致服务器沦陷。下面笔者结合自己的切身实践，就容易被管理员 忽视的5个默认设置进行演示。

　　1、拒绝“自动缓存”

　　Windows 2003服务器在默认设置下，往往会将超级管理员输入的许多密码内容，自动缓存起来并保存到指定缓存中，下次重新调用时就不需要重复输入了。这存在很大的 安全隐患，如果本地攻击者获得这些敏感信息，那么服务器将会遭受到无法估量的损失。取消“自动缓存”的方法如下：

　　第一步：依次单击Windows 2003服务器中的“开始”→“运行”命令，在弹出的系统运行对话框中，输入“Regedit”命令，单击“确定”按钮后，打开注册表编辑窗口。

　　第二步：依次展开定位到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows \CurrentVersion\policies注册表分支，并用鼠标右键单击policies分支，从弹出的右键菜单中依次单击“新建”→“项”命 令，并将新创建的“项”命名为Network。下面再将Network项选中，在对应该项的右边子窗口中，右击空白区域，并执行快捷菜单中的“新建”→“Dword”命令，再将新创建的双字节值取名为“DisablePasswordCaching”。

　　第三步：用鼠标双击“DisablePasswordCaching”双字节值，在其后打开的如图1所示的数值设置窗口中，输入数值 “00000001”，并单击“确定”按钮，最后按下键盘上的F5功能键，刷新一下注册表，如此一来Windows 2003服务器日后就不会“自作主张”地缓存各种密码信息了。 (图1)

图1 修改注册表

　　2、关闭自由切换

　　有时为了保护服务器中的数据被非法访问，网络管理人员会在Windows状态下，将这些重要数据所在的文件夹隐藏起来，这样的话普通用户将会无 法找到它们;遗憾的是，Windows服务器在默认状态下，会“自做主张”地允许普通用户自由切换到服务器系统的MS-DOS工作状态，在该状态下普通用 户能很轻易地找到所有被隐藏起来的文件夹。可以通过下面的设置，阻止普通用户将服务器系统自由切换到MS-DOS工作状态下：

　　第一步：打开系统的运行对话框，并在其中执行注册表编辑命令“Regedit”，在随后出现的注册表编辑窗口中，依次选中分支 “HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/WinOldApp。

　　第二步：要是“Policies”分支下面不存在“WinOldApp”子键时，右击“Policies”分支，并从弹出的快捷菜单中依次执行“新建”→“项”命令，再将新创建的项名称设置为“WinOldApp”;

　　第三步：再在对应“WinOldApp”项的右边子窗口中，右击空白区域，然后从弹出的右键菜单中依次执行“新建”→“字符串值”命令，并将新创建的字符串名称取为“Disabled”，再将其数值输入为“1”，最后重新启动一下服务器系统就可以了。 (图2)

图2 修改注册表

3、限制远程会话

　　大家知道在默认状态下，Server 2003下的终端服务器会“自做主张”地允许任意一个远程用户，同时建立任意多个远程会话连接，而且还允许任意一个远程会话连接保持任意长的时间;很显 然，要是不对远程会话连接数目进行限制的话，Server 2003下的终端服务器运行性能将会大打折扣，甚至能导致终端服务器发生“崩溃”。为此，你必须想办法阻止终端服务器“自做主张”地允许远程用户，随意创 建远程会话连接，以避免终端服务器的系统资源被消耗殆尽。

　　第一步：按照前面的办法，打开系统的注册表编辑窗口，再依次展开HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services注册表分支。

　　第二步：接着用鼠标右键单击“Terminal Services”分支，从打开的右键菜单中逐一选中“新建”选项、“DWORD值”选项，随后再将新的双字节值名称取为 “fSingleSessionPerUser”，然后将它的数值设置为“1”。这样的话终端服务器以后就只允许每一个远程连接用户，同时仅能保持一个会 话连接了。 (图3)

图3 修改注册表

　　4、禁用远程剪贴

　　在对Windows系统服务器进行维护的过程中，常常需要用到系统的剪贴板，来暂时保存诸如密码或者个人帐号之类的隐私信息。而在默认状态下， 服务器会“自做主张”地允许远程用户来查看本地系统的剪贴板信息，如此一来保存在服务器剪贴板中的隐私内容，就可能被非法用户获得，从而会给服务器或个人 带来危险。为了避免这样的麻烦，应阻止服务器地允许远程用户查看服务器剪贴板中的信息：

　　第一步：依次单击“开始”→“运行”命令，在打开的系统运行对话框中，输入命令“Services.msc”，单击“确定”按钮后，打开系统的服务列表窗口。

　　第二步：选中该窗口中的“ClipBook”项目，然后用鼠标双击它，在接着出现的如图4所示的服务属性框中，你会发现服务器已经将该服务启动 起来了;此时你可以单击一下“启动类型”设置项处的下拉按钮，再从下拉列表中将“已禁用”选中，最后单击一下“确定”按钮，就能轻松避免远程剪贴的麻烦 了。(图4)