病毒盗贼 - 2006-3-28 0:54:00
Windows 2003安全策略的制定 Windows Server 2003作为Microsoft 最新推出的服务器操作系统,不仅继承了Windows 2000/XP的易用性和稳定性,而且还提供了更高的硬件支持和更加强大的安全功能,无疑是中小型网络应用服务器的当然之选。本文就Windows 2003在企业网络应用中企业帐户和系统监控方面的安全策略制定作出一些说明,希望能对大家起到抛砖引玉的效果,最终的目标是确保我们的网络服务器的正常运行。
一、企业账户保护安全策略 用户账户的保护一般 主要围绕着密码的保护来进行。为了避免用户身份由于密码被破解而被夺取或盗用,通常可采取诸如提高密码的破解难度、启用账户锁定策略、限制用户登录、限制外部连接以及防范网络嗅探等措施。
1、提高密码的破解难度
提高密码的破解难度主要是通过采用提高密码复杂性、增大密码长度、提高更换频率等措施来实现,但这常常是用户很难做到的,对于企业网络中的一些安全敏感用户就必须采取一些相关的措施,以强制改变不安全的密码使用习惯。
在Windows系统中可以通过一系列的安全设置,并同时制定相应的安全策略来实现。在Windows Server 2003系统中,可以通过在安全策略中设定“密码策略”来进行。Window Server 2003系统的安全策略可以根据网络的情况,针对不同的场合和范围进行有针对性地设定。例如可以针对本地计算机、域及相应的组织单元来进行设定,这将取决于该策略要影响的范围。
以域安全策略为例,其作用范围是企业网中所指定域的所有成员。在域管理工具中运行“域安全策略”工具,然后就可以针对密码策略进行相应的设定。
密码策略也可以在指定的计算机上用“本地安全策略”来设定,同时也可在网络中特定的组织单元通过组策略进行设定。
2、启用账户锁定策略
账户锁定是指在某些情况下(例如账户受到采用密码词典或暴力猜解方式的在线自动登录攻击),为保护该账户的安全而将此账户进行锁定。使其在一定的时间内不能再次使用,从而挫败连续的猜解尝试。
Windows2003系统在默认情况下,为方便用户起见,这种锁定策略并没有进行设定,此时,对黑客的攻击没有任何限制。只要有耐心,通过自动登录工具和密码猜解字典进行攻击,甚至可以进行暴力模式的攻击,那么破解密码只是一个时间和运气上的问题。账户锁定策略设定的第一步就是指定账户锁定的阈值,即锁定前该账户无效登录的次数。一般来说,由于操作失误造成的登录失败的次数是有限的。在这里设置锁定阈值为3次,这样只允许3次登录尝试。如果3次登录全部失败,就会锁定该账户。
但是,一旦该账户被锁定后,即使是合法用户也就无法使用了。只有管理员才可以重新启用该账户,这就造成了许多不便。为方便用户起见,可以同时设定锁定的时间和复位计数器的时间,这样以来在3次无效登最后就开始锁定账户,以及锁定时间为30分钟。以上的账户锁定设定,可以有效地避免自动猜解工具的攻击,同时对于手动尝试者的耐心和信心也可造成很大的打击。锁定用户账户常常会造成一些不便,但系统的安全有时更为重要。
3、限制用户登录
对于企业网的用户还可以通过对其登录行为进行限制,来保障其户户账户的安全。这样以来,即使是密码出现泄漏,系统也可以在一定程度上将黑客阻挡在外,对于Windows Server 2003网络来说,运行“Active Directory用户和计算机”管理工具。 然后选择相应的用户,并设置其账户属性。
在账户属性对话框中,可以限制其登录的时间和地点。单击其中的“登录时间”按钮,在这里可以设置允许该用户登录的时间,这样就可防止非工作时间的登录行为。单击其中的“登录到”按钮,在这里可以设置允许该账户从哪些计算机乾地登录。另外,还可以通过“账户”选项来限制登录时的行为。例如使用“用户必须用智能卡登录”,就可避免直接使用密码验证。除此之外,还可以引入指纹验证等更为严格的手段。
4、限制外部连接
对于企业网络来说,通常需要为一些远程拨号的用户(业务人员或客户等)提供拨号接入服务。远程拨号访问技术实际上是通过低速的拨号连接来将远程计算机接入到企业内部的局域网中。由于这个连接无法隐藏,因此常常成为黑客入侵内部网络的最佳入口。但是,采取一定的措施可以有效地降低风险。
对于基于Windows Server 2003的远程访问服务器来说,默认情况下将允许具有拨入权限的所有用户建立连接。因此,安全防范的第一步就是合理地、严格地设置用户账户的拨入权限,严格限制拨入权限的分配范围,只要不是必要的就不给予此权限。对于网络中的一些特殊用户和固定的分支机构的用户来说,可通过回拨技术来提高网络安全性。这里所谓的回拨,是指在主叫方通过验证后立即挂断线路,然后再回拨到主叫方的电话上。这样,即使帐户及其密码被破解,也不必有任何担心。需要注意的是,这里需要开通来电显示业务。
在Windows Server 2003网络中,如果活动目录工作在Native-mode(本机模式)下,这时就可以通过存储在访问服务器上或Internet验证服务器上的远程访问策略来管理。针对各种应用场景的不同,可以设置多种不同的策略。具体的管理比较复杂,由于篇幅有限,大家可参考相关资料,这里就不再作详细介绍。
5、限制特权组成员
在Windows Server 2003网络中,还有一种非常有效的防范黑客入侵和管理疏忽的辅助手段,这就是利用“受限制的组”安全策略。该策略可保证组成员的组成固定。在域安全策略的管理工具中添加要限制的组,在“组”对话框中键入或查找要添加的组。一般要对管理员组等特权组的成员加以限制。下一步就是要配置这个受限制的组的成员。在这里选择受限制的组的“安全性(S)”选项。然后,就可以管理这个组的成员组成,可以添加或删除成员, 当安全策略生效后,可防止黑客将后门账户添加到该组中。
6、防范网络嗅探
由于局域网采用广播的方式进行通信,因而信息很容易被窃听。网络嗅探就是通过侦听所在网络中所传输的数据来嗅探有价值的信息。对于普通的网络嗅探的防御并不困难,可通过以下手段来进行:
1)采用交换网络
一般情况下,交换网络对于普通的网络嗅探手段具有先天的免疫能力。这是由于在交换网络环境下,每一个交换端口就是一个独立的广播域,同时端口之间通过交换机进行桥接,而非广播。网络嗅探主要针对的是广播环境下的通信,因而在交换网络中就失去作用了。
随着交换网络技术的普及,网络嗅探所带来的威胁也越来越低,但仍不可忽视。通过ARP地址欺骗仍然可以实现一定范围的网络嗅探,此外黑客通过入侵一些型号的交换机和路由器仍然可以获得嗅探的能力。
2)加密会话
在通信双方之间建立加密的会话连接也是非常有效的方法,特别是在企业网络中。这样,即使黑客成功地进行了网络嗅探,但由于捕获的都是密文,因而毫无价值。网络中进行会话加密的手段有很多,可以通过定制专门的通信加密程序来进行,但是通用性较差。 这时,完善IP通信的安全机制是最根本的解决办法。
由于历史原因,基于IP的网络通信技术没有内建的安全机制。随着互联网的发展,安全问题逐渐暴露出来。现在经过各个方面的努力,标准的安全架构也已经基本形成。那就是IPSec机制,并且它将作为下一代IP网络标准IPv6的重要组成。IPSec机制在新一代的操作系统中已经得到了很好的支持。在Windows Server 2003系统中,其服务器产品和客户端产品都提供了对IPSec的支持。从而增强了安全性、可伸缩性以及可用性,同时使部署和管理更加方便。
在Windows Server 2003系统的安全策略相关的管理工具集(例如本地安全策略、域安全策略、组策略等)中,都集成了相关的管理工具。为清楚起见,通过Microsoft管理控制台MMC定制的管理工具来了解一下。
具体方法如下:首先在“开始”菜单中单击“运行”选项,然后键入mmc,并同时单击“确定”按钮。在“控制台”菜单中选择“添加删除管理单元(M)”命令,然后,单击其中的“添加”按钮。 在可用的独立管理单元中,选择“IP安全策略管理”选项,双击或单击“添加”按钮,在这里选择被该管理单元所管理的计算机,然后单击“完成”按钮。关闭添加管理单元的相关窗口,就得到了一个新的管理工具,在这里可以为其命名并保存。
此时可以看到已有的安全策略,用户可以根据情况来添加、修改和删除相应的IP安全策略。其中Windows Server 2003系统自带的有以下几个策略:
安全服务器(要求安全设置);
客户端(只响应);
服务器(请求安全设置);
其中的“客户端(只响应)”策略是根据对方的要求来决定是否采用IPSec;“服务器(请求安全设置)”策略要求支持IP安全机制的客户端使用IPSec,但允许不支持IP安全机制的客户端来建立不安全的连接;而“安全服务器(要求安全设置)”策略则最为严格,它要求双方必须使用IPSec协议。
不过,“安全服务器(要求安全设置)”策略默认允许不加密的受信任的通信,因此仍然能够被窃听。直接修改此策略或定制专门的策略,就可以实现有效的防范。选择其中的“所有IP通讯”选项,在这里可以编辑其规则属性。
选择“筛选器操作”选项卡,选择其中的“要求安全设置”选项。在此筛选器操作的属性设置里可以编辑安全措施,在这里将安全措施设置为“高”选项。
以上采用IPSec加密数据通信的方法适用于企业网应用,通过部署组策略可以强制网络中的所有计算机使用IPSec加密通信。当然这种严格的限制会带来一些不便,不过对于系统安全来说是值得的。IPSec还可以应用于VPN技术中,在这里可以对IP隧道中的数据流进行加密。
对于不方便大范围实施IPSec的环境,可以考虑采用VPN。这里的VPN是指虚拟私有网络。VPN技术是目前实现端对端安全通信的最佳解决方案,它主要适用于客户端通过开放的网络与服务器的连接。例如,客户端通过Internet/Intranet连接到企业或部门的专用网络。
二、企业系统监控安全策略
尽管不断地在对系统进行修补,但由于软件系统的复杂性,新的安全漏洞总会层出不穷。因此,除了对安全漏洞进行修补之外,还要对系统的运行状态进行实时监视,以便及时发现利用各种漏洞的入侵行为。如果已有安全漏洞但还没有全部得到修补时,这种监视就显得尤其重要。
1、启用系统审核机制
系统审核机制可以对系统中的各类事件进行跟踪记录并写入日志文件,以供管理员进行分析、查找系统和应用程序故障以及各类安全事件。
所有的操作系统、应用系统等都带有日志功能,因此可以根据需要实时地将发生在系统中的事件记录下来。同时还可以通过查看与安全相关的日志文件的内容,来发现黑客的入侵和入侵后的行为。当然,如果要达到这个目的,就必须具备一些相关的知识。首先必须要学会如何配置系统,以启用相应的审核机制,并同时使之能够记录各种安全事件。
对Windows Server 2003的服务器和工作站系统来说,为了不影响系统性能,默认的安全策略并不对安全事件进行审核。从“安全配置和分析”工具用SecEdit安全模板进行的分析结果可知,这些有红色标记的审核策略应该已经启用,这可用来发现来自外部和内部的黑客的入侵行为。对于关键的应用服务器和文件服务器来说,应同时启用剩下的安全策略。
如果已经启用了“审核对象访问”策略,那么就要求必须使用NTFS文件系统。NTFS文件系统不仅提供对用户的访问控制,而且还可以对用户的访问操作进行审核。但这种审核功能,需要针对具体的对象来进行相应的配置。
首先在被审核对象“安全”属性的“高级”属性中添加要审核的用户和组。在该对话框中选择好要审核的用户后,就可以设置对其进行审核的事件和结果。 在所有的审核策略生效后,就可以通过检查系统的日志来发现黑客的蛛丝马迹。
2、日志监视
在系统中启用安全审核策略后,管理员应经常查看安全日志的记录,否则就失去了及时补救和防御的时机了。除了安全日志外,管理员还要注意检查各种服务或应用的日志文件。在Windows 2003 IIS 6.0中,其日志功能默认已经启动,并且日志文件存放的路径默认在System32/LogFiles目录下,打开IIS日志文件,可以看到对Web服务器的HTTP请求,IIS6.0系统自带的日志功能从某种程度上可以成为入侵检测的得力帮手。
3、监视开放的端口和连接
对日志的监视只能发现已经发生的入侵事件,但是它对正在进行的入侵和破坏行为无能为力了。这时,就需要管理员来掌握一些基本的实时监视技术。
通常在系统被黑客或病毒入侵后,就会在系统中留下木马类后门。同时它和外界的通信会建立一个Socket会话连接,这样就可能发现它,netstat命令可以进行会话状态的检查,在这里就可以查看已经打开的端口和已经建立的连接。 当然也可以采用一些专用的检测程序对端口和连接进行检测,这一类软件很多。
4、监视共享
通过共享来入侵一个系统是最为舒服的一种方法了。如果防范不严,最简单的方法就是利用系统隐含的管理共享。因此,只要黑客能够扫描到的IP和用户密码,就可以使用net use命令连接到的共享上。另外,当浏览到含有恶意脚本的网页时,此时计算机的硬盘也可能被共享,因此,监测本机的共享连接是非常重要的。
监测本机的共享连接具体方法如下:在Windows Server 2003的计算机中,打开“计算机管理”工具,并展开“共享文件夹”选项。单击其中的“共享”选项,就可以查看其右面窗口,以检查是否有新的可疑共享,如果有可疑共享,就应该立即删除。另外还可以通过选择“会话”选项,来查看连接到机器所有共享的会话。Windows NT/2000的IPC$共享漏洞是目前危害最广的漏洞之一。黑客即使没有马上破解密码,也仍然可以通过“空连接”来连接到系统上,再进行其他的尝试。
5、监视进程和系统信息
对于木马和远程监控程序,除了监视开放的端口外,还应通过任务管理器的进程查看功能进行进程的查找。在安装Windows Server2003的支持工具(从产品光盘安装)后,就可以获得一个进程查看工具Process Viewer;通常,隐藏的进程寄宿在其他进程下,因此查看进程的内存映象也许能发现异常。现在的木马越来越难发现,常常它会把自己注册成一个服务,从而避免了在进程列表中现形。因此,我们还应结合对系统中的其他信息的监视,这样就可对系统信息中的软件环境下的各项进行相应的检查。
© 2000 - 2024 Rising Corp. Ltd.