k3系统网络安全基本策略

一 操作系统安全隐患分析一 操作系统安全隐患分析 一 安装隐患 在一台服务器上安装 Windows 2000 Server 操作系统时 主要存在以下隐患 1 将服务器接入网络内安装 Windows2000 Server 操作系统在安装时存在一个安全漏 洞 当输入 Administrator 密码后 系统就自动建立了 ADMIN 的共享 但是并没有用刚刚 输入的密码来保护它 这种情况一直持续到再次启动后 在此期间 任何人都可以通过 ADMIN 进入这台机器 同时 只要安装一结束 各种服务就会自动运行 而这时的服务 器是满身漏洞 计算机病毒非常容易侵入 因此 将服务器接入网络内安装是非常错误的 2 操作系统与应用系统共用一个磁盘分区 在安装操作系统时 将操作系统与应用系 统安装在同一个磁盘分区 会导致一旦操作系统文件泄露时 攻击者可以通过操作系统漏 洞获取应用系统的访问权限 从而影响应用系统的安全运行 3 采用 FAT32 文件格式安装 FAT32 文件格式不能限制用户对文件的访问 这样可 以导致系统的不安全 4 采用缺省安装 缺省安装操作系统时 会自动安装一些有安全隐患的组件 如 IIS DHCP DNS 等 导致系统在安装后存在安全漏洞 5 系统补丁安装不及时不全面 在系统安装完成后 不及时安装系统补丁程序 导致 病毒侵入 二 运行隐患 在系统运行过程中 主要存在以下隐患 1 默认共享 系统在运行后 会自动创建一些隐藏的共享 一是 C D E 每个分区 的根共享目录 二是 ADMIN 远程管理用的共享目录 三是 IPC 空连接 四是 NetLogon 共享 五是其它系统默认共享 如 FAX PRINT 共享等 这些默认共享给系 统的安全运行带来了很大的隐患 2 默认服务 系统在运行后 自动启动了许多有安全隐患的服务 如 Telnet services DHCP Client DNS Client Print spooler Remote Registry services 选程修改注 册表服务 SNMP Services Terminal Services 等 这些服务在实际工作中如不需要 可以禁用 3 安全策略 系统运行后 默认情况下 系统的安全策略是不启作用的 这降低了系 统的运行安全性 4 管理员帐号 系统在运行后 Administrator 用户的帐号是不能被停用的 这意味着 攻击者可以一遍又一遍的尝试猜测这个账号的口令 此外 设置简单的用户帐号口令也给 系统的运行带来了隐患 5 页面文件 页面文件是用来存储没有装入内存的程序和数据文件部分的隐藏文件 页面文件中可能含有一些敏感的资料 有可能造成系统信息的泄露 6 共享文件 默认状态下 每个人对新创建的文件共享都拥有完全控制权限 这是非 常危险的 应严格限制用户对共享文件的访问 7 Dump 文件 Dump 文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料 然而 它也能够给攻击者提供一些敏感信息 比如一些应用程序的口令等 造成信息泄露 8 WEB 服务 系统本身自带的 IIS 服务 FTP 服务存在安全隐患 容易导致系统被 攻击 二 安全防范对策二 安全防范对策 一 安装对策 在进行系统安装时 采取以下对策 1 在完全安装 配置好操作系统 给系统全部安装系统补丁之前 一定不要把机器接 入网络 2 在安装操作系统时 建议至少分三个磁盘分区 第一个分区用来安装操作系统 第 二分区存放 IIS FTP 和各种应用程序 第三个分区存放重要的数据和日志文件 3 采用 NTFS 文件格式安装操作系统 可以保证文件的安全 控制用户对文件的访问 权限 4 在安装系统组件时 不要采用缺省安装 删除系统缺省选中的 IIS DHCP DNS 等服务 5 在安装完操作系统后 应先安装在其上面的应用系统 后安装系统补丁 安装系统 补丁一定要全面 二 运行对策 在系统运行时 采取以下对策 1 关闭系统默认共享 方法一 采用批处理文件在系统启动后自动删除共享 首选在 Cmd 提示符下输入 Net Share 命令 查看系统自动运行的所有共享目录 然后建立一个批处理文件 SHAREDEL BAT 将该批处理文件放入计划任务中 设为每次开机时运行 文件内容如下 NET SHARE C DELETE NET SHARE D DELETE NET SHARE E DELETE NET SHARE IPC DELETE NET SHARE ADMIN DELETE 方法二 修改系统注册表 禁止默认共享功能 在 Local Machine System CurrentControlSet Services Lanmanserver parameters 下新建一个双字节项 auto shareserver 其值为 0 2 删除多余的不需要的网络协议 删除网络协议中的 NWLink NetBIOS 协议 NWLink IPX SPX NetBIOS 协议 NeBEUI PROtocol 协议和服务等 只保留 TCP IP 网络通讯协议 3 关闭不必要的有安全隐患的服务 用户可以根据实际情况 关闭表 1 中所示的系统自动运行的有安全隐患的服务 表 1 需要关闭的服务表 服务名称 更改操作 DHCP CLIENT 停止并禁用 DNS CLIENT 停止并禁用 REOMTE REGISTRY SERVECES 停止并禁用 SNMP SERVICES 停止并禁用 TELNET SERVICES 停止并禁用 TERMINAL SERVICES 停止并禁用 Workstation 停止并禁用 Messenger 停止并禁用 ClipBook 停止并禁用 4 启用安全策略 安全策略包括以下五个方面 1 帐号锁定策略 设置帐号锁定阀值 5 次无效登录后 即锁定帐号 2 密码策略 一是密码必须符合复杂性要求 即密码中必须包括字母 数字以及 特殊字符 如 上档键上的 等特殊字符 二是服务器密码长 度最少设置为 8 位字符以上 三是密码最长保留期 一般设置为 1 至 3 个月 即 30 90 天 四是密码最短存留期 3 天 四是强制密码历史 0 个记住的密码 五是 为域中所 有用户使用可还原的加密来储存密码 停用 3 审核策略 默认安装时是关闭的 激活此功能有利于管理员很好的掌握机器的 状态 有利于系统的入侵检测 可以从日志中了解到机器是否在被人蛮力攻击 非法的文件 访问等等 开启安全审核是系统最基本的入侵检测方法 当攻击者尝试对用户的系统进行 某些方式 如尝试用户口令 改变账号策略 未经许可的文件访问等等 入侵的时候 都会 被安全审核记录下来 避免不能及时察觉系统遭受入侵以致系统遭到破坏 建议至少审核 登录事件 帐户登录事件 帐户管理三个事件 4 用户权利指派 在 用户权利指派 中 将 从远端系统强制关机 权限 设置为禁止任何人有此权限 防止黑客从远程关闭系统 5 安全选项 在 安全选项 中 将 对匿名连接的额外限制 权限改为 不允许枚举 SAM 帐号和共享 也可以通过修改注册表中的值来禁止建立空连接 将 Local Machine System CurrentControlSet Control LSA RestrictAnonymous 的值改为 1 如在 LSA 目录下如无该键值 可以新建一个双字节值 名为 restrictanonymous 值为 1 十六进制 此举可以有效地防止利用 IPC 空连接枚 举 SAM 帐号和共享资源 造成系统信息的泄露 5 加强对 Administrator 帐号和 Guest 帐号的管理监控 将 Administrator 帐号重新命名 创建一个陷阱账号 名为 Administrator 口令为 10 位以上的复杂口令 其权限设置成最低 即 将其设为不隶属于任何一个组 并通过安 全审核 借此发现攻击者的入侵企图 设置 2 个管理员用账号 一个具有一般权限 用来 处理一些日常事物 另一个具有 Administrators 权限 只在需要的时候使用 修改 Guest 用户口令为复杂口令 并禁用 GUEST 用户帐号 6 禁止使用共享 严格限制用户对共享目录和文件的访问 无特殊情况 严禁通过共享功能访问服务器 7 清除页面文件 修改注册表 HKLM SYSTEM CurrentControlSet Control Session Manager Memory Management 中 ClearPageFileAtShutdown 的值为 1 可以禁止系统产生页面文件 防止信息泄露 8 清除 Dump 文件 打开控制面板 系统属性 高级 启动和故障恢复 将 写入调试信息 改成 无 可以清除 Dump 文件 防止信息泄露 9 WEB 服务安全设置 确需提供 WEB 服务和 FTP 服务的 建议采取以下措施 1 IIS WEB 网站服务 在安装时不要选择 IIS 服务 安装完毕后 手动添加该服务 将其安装目录设为如 D INTE 等任意字符 以加大安全性 删除 INTERNET 服务管理器 删除样本页面和脚本 卸载 INTERNET 打印服务 删除除ASP外的应用程序映射 针对 不同类型文件建立不同文件夹并设置不同权限 对脚本程序设为纯脚本执行许可权限 二 进制执行文件设为脚本和可执行程序权限 静态文件设为读权限 对安全扫描出的 CGI 漏 洞文件要及时删除 2 FTP 文件传输服务 不要使用系统自带的 FTP 服务 该服务与系统账户集成认 证 一旦密码泄漏后果十分严重 建议利用第三方软件 SERV U 提供 FTP 服务 该软件 用户管理独立进行 并采用单向 hash 函数 MD5 加密用户口令 加密后的口令保存在 ServUDaemon ini 或是注册表中 用户采用多权限和模拟域进行权限管理 虚拟路径和物 理路径可以随时变换 利用 IP 规则 用户权限 用户域 用户口令多重保护防止非法入侵 利用攻击规则可以自动封闭拒绝攻击 密码猜解发起计算机的 IP 并计入黑名单 三 结束语三 结束语 以上是笔者根据多年的工作经验总结的一点心得 有些地方研究的还不够深入 希望 本文能给操作系统安全防范工作提供帮助 日常管理工作中 系统管理员还必须及时安装 微软发布的最新系统安全漏洞补丁程序 安装防病毒软件并及时升级病毒定义库 来防止 计算机病毒的入侵 保障操作系统的安全运行 K K 3 3 系系统统与与防防火火墙墙 配配置置 一 名词解释 防火墙 FireWall 是通过创建一个中心控制点来实现网络安全控制的一种技术 通过在专用网和 Internet 之间的设置路卡 防火墙监视所有出入专用网的信息流 并决定 哪些是可以通过的 哪些是不可以的 安全的防火墙意味着网络的安全 端口 Port 计算机用于通讯所使用的通道 如 web 用的端口 80 开放的端口越 多 则越容易被非法入侵 TCP Transmission Control Protocol 的简称 是 Internet 上广为使用的一种计算机协 议 UDP User Datagram Protocol 的简称 Windows NT 常使用的协议 DCOM 分布式组件对象模型 二 操作指南 由于安全性的问题 防火墙只允许通过 Internet 信息数据交换使用特定端口 如 web 用 80 而 DCOM 创建对象时使用的是 1024 65535 之间的动态 port 并且由于防火墙的 IP 伪装特性 这使 DCOM 在有防火墙的服务器上是不能进行正常连接的 为解决此问题 需如下处理 一一 K3 数数据据库库端端口口 设设置置 由于开放 Port 越多 则安全性越差 一般防火墙都关闭了大量端口 以防止非法入侵 但 DCOM 要使用大量的 Ports 要解决二者的矛盾 可通过统一的 RPC 管理 远程过程调用 由 RPC 统一进行创建 DCOM 对象所需的 port 的映射处理 所以需在防火墙服务器上打 开 RPC 端口 135 具休操作如下 1 运行 DCOMCNFG EXE 如下图所示 选择默认协议 面向连接的 TCP IP 属性 添加端口范围 至少 5 个以 上 例如 4000 4005 当然如果使用其他连续 5 个端口也可以 最后确定保存并重 新启动计算机 2 为数据库开放的端口 a TCP 端口 135 RPC 1433 数据库 4000 4001 4002 4003 4004 4005 COM Internet 端口范围 b UDP 端口 无 2 重新启动服务器即可 3 测试 可选项 打开网卡属性 TCP IP 高级 选项 重新启动 使用中间层 藏套管理测试是否正常 如下图所示 二二 K3 中中间间层层端端口口设设置置 具休操作如下 4 运行 DCOMCNFG EXE 如下图所示 选择默认协议 面向连接的 TCP IP 属性 添加端口范围 至少 35 个 以上 有多少个组件包 就必须设置开放相同数量连续端口 例如 4000 4035 当然 如果使用其他连续 35 个端口也可以 最后确定保存并重新启动计算机 2 为中