k3系统网络安全基本策略doc资料

1、、操作系统安全隐患分析（一）安装隐患在一台服务器上安装 Windows 2000 Server 操作系统时，主要存在以下隐患：1、将服务器接入网络内安装。 Windows2000 Server 操作系统在安装时存在一个安全漏 洞，当输入 Administrator 密码后，系统就自动建立了 ADMIN$ 的共享，但是并没有用刚刚 输入的密码来保护它，这种情况一直持续到再次启动后，在此期间，任何人都可以通过 ADMIN$ 进入这台机器；同时，只要安装一结束，各种服务就会自动运行，而这时的服务器 是满身漏洞，计算机病毒非常容易侵入。因此，将服务器接入网络内安装是非常错误的。2、操作系统与应用系统共

2、用一个磁盘分区。在安装操作系统时，将操作系统与应用系 统安装在同一个磁盘分区， 会导致一旦操作系统文件泄露时， 攻击者可以通过操作系统漏洞 获取应用系统的访问权限，从而影响应用系统的安全运行。3、 采用FAT32文件格式安装。FAT32文件格式不能限制用户对文件的访问，这样可以 导致系统的不安全。4、采用缺省安装。 缺省安装操作系统时， 会自动安装一些有安全隐患的组件， 如： IIS 、 DHCP 、 DNS 等，导致系统在安装后存在安全漏洞。5、系统补丁安装不及时不全面。在系统安装完成后，不及时安装系统补丁程序，导致 病毒侵入。（二）运行隐患在系统运行过程中，主要存在以下隐患：1、 默认共享

3、。系统在运行后，会自动创建一些隐藏的共享。一是C$ D$ E$ 每个分区 的根共享目录。二是 ADMIN$ 远程管理用的共享目录。三是 IPC$ 空连接。四是 NetLogon 共享。五是其它系统默认共享，如： FAX$、 PRINT$ 共享等。这些默认共享给系统的安全运 行带来了很大的隐患。2、 默认服务。系统在运行后，自动启动了许多有安全隐患的服务，如：Telnet services、 DHCP Client、DNS Client、Print spooler、Remote Registry services （选程修改注册表服务）、 SNMP Services 、 Terminal Ser

4、vices 等。这些服务在实际工作中如不需要，可以禁用。3、安全策略。系统运行后，默认情况下，系统的安全策略是不启作用的，这降低了系 统的运行安全性。4、管理员帐号。系统在运行后，Administrator 用户的帐号是不能被停用的，这意味着此外，设置简单的用户帐号口令也给系攻击者可以一遍又一遍的尝试猜测这个账号的口令。统的运行带来了隐患。5、页面文件。页面文件是用来存储没有装入内存的程序和数据文件部分的隐藏文件。 页面文件中可能含有一些敏感的资料，有可能造成系统信息的泄露。6、共享文件。默认状态下，每个人对新创建的文件共享都拥有完全控制权限，这是非 常危险的，应严格限制用户对共享文件的访问。

5、7、Dump 文件。 Dump 文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而，它也能够给攻击者提供一些敏感信息，比如一些应用程序的口令等，造成信息泄露。8、WEB 服务。系统本身自带的 IIS 服务、 FTP 服务存在安全隐患，容易导致系统被攻二、安全防范对策（一）安装对策在进行系统安装时，采取以下对策：1、在完全安装、配置好操作系统，给系统全部安装系统补丁之前，一定不要把机器接 入网络。2、在安装操作系统时，建议至少分三个磁盘分区。第一个分区用来安装操作系统，第 二分区存放 IIS 、 FTP 和各种应用程序，第三个分区存放重要的数据和日志文件。3、采用 NTFS 文件格式安

6、装操作系统，可以保证文件的安全，控制用户对文件的访问 权限。4、在安装系统组件时，不要采用缺省安装，删除系统缺省选中的IIS 、DHCP、DNS 等服务。5、在安装完操作系统后，应先安装在其上面的应用系统，后安装系统补丁。安装系统 补丁一定要全面。（二）运行对策在系统运行时，采取以下对策：1、关闭系统默认共享方法一：采用批处理文件在系统启动后自动删除共享。 首选在 Cmd 提示符下输入 “NetShare ”命令，查看系统自动运行的所有共享目录。然后建立一个批处理文件 SHAREDEL.BAT ，将该批处理文件放入计划任务中，设为每次开机时运行。文件内容如下：NET SHARE C$ /DEL

7、ETENET SHARE D$ /DELETENET SHARE E$ /DELETENET SHARE IPC$ /DELETENET SHARE ADMIN$ /DELETE方法二：修改系统注册表， 禁止默认共享功能。 在 Local_Machine System CurrentControlSetServicesLanmanserverparameters 下新建一个双字节项“ auto shareserver”， 其值为“ 0”。2、删除多余的不需要的网络协议删除网络协议中的 NWLink NetBIOS 协议， NWLink IPX/SPX/NetBIOS 协议， NeBEUI PR

8、Otocol 协议和服务等，只保留 TCP/IP 网络通讯协议。3、关闭不必要的有安全隐患的服务用户可以根据实际情况，关闭表 1中所示的系统自动运行的有安全隐患的服务。DHCP CLIENT停止并禁用DNS CLIENT停止并禁用REOMTE REGISTRY SERVECES停止并禁用SNMP SERVICES停止并禁用TELNET SERVICES停止并禁用TERMINAL SERVICES停止并禁用Workstation停止并禁用MessengerClipBook停止并禁用停止并禁用表 1 需要关闭的服务表服务名称更改操作4 、启用安全策略安全策略包括以下五个方面：( 1)帐号锁定策略。

9、设置帐号锁定阀值，5 次无效登录后，即锁定帐号。(2)密码策略。一是密码必须符合复杂性要求，即密码中必须包括字母、数字以及特殊字符口：上档键上的+_ () *&A%$#!?>< ” ：等特殊字符。二是服务器密码长度最少设置为 8位字符以上。三是密码最长保留期。一般设置为 1至 3个月，即 3090 天。四 是密码最短存留期： 3 天。四是强制密码历史： 0 个记住的密码。五是“为域中所有用户使 用可还原的 加密 来储存密码”，停用。( 3)审核策略。默认安装时是关闭的。激活此功能有利于管理员很好的掌握机器的状 态，有利于系统的 入侵检测 。可以从日志中了解到机器是否在被人蛮

10、力攻击、非法的文件访 问等等。 开启安全审核是系统最基本的入侵检测方法。 当攻击者尝试对用户的系统进行某些 方式(如尝试用户口令 ,改变账号策略，未经许可的文件访问等等)入侵的时候，都会被安 全审核记录下来。 避免不能及时察觉系统遭受入侵以致系统遭到破坏。 建议至少审核登录事 件、帐户登录事件、帐户管理三个事件。( 4 )“用户权利指派”。在“用户权利指派”中，将“从远端系统强制关机”权限设 置为禁止任何人有此权限，防止黑客 从远程关闭系统。( 5)“安全选项”。在“安全选项”中，将“对匿名连接的额外限制”权限改为“不 允许枚举 SAM 帐号和共享”。也可以通过修改注册表中的值来禁止建立空连接

11、，将 Local_Machine SystemCurrentControlSetControl LSA-RestrictAnonymous的值改为“1”。如在 LSA 目录下如无该键值， 可以新建一个双字节值， 名为“ restrictanonymous ”， 值为“ 1”，十六进制。此举可以有效地防止利用IPC$ 空连接枚举 SAM 帐号和共享资源，造成系统信息的泄露。5、加强对 Administrator 帐号和 Guest 帐号的管理监控将 Administrator 帐号重新命名，创建一个陷阱账号，名为“ Administrator ”，口令为 10 位以上的复杂口令，其权限设置成最低

12、，即：将其设为不隶属于任何一个组，并通过安 全审核，借此发现攻击者的入侵企图。设置 2 个管理员用账号，一个具有一般权限，用来 处理一些日常事物；另一个具有 Administrators 权限，只在需要的时候使用。修改 Guest 用户口令为复杂口令，并禁用 GUEST 用户帐号。6、禁止使用共享严格限制用户对共享目录和文件的访问，无特殊情况，严禁通过共享功能访问服务器。7、清除页面文件修改注册表 HKLMSYSTEMCurrentControlSetControl Session ManagerMemory Management 中“ ClearPageFileAtShutdown ”的值为

13、“ 1”，可以禁止系统产生页面文件， 防止信息泄露。8、清除 Dump 文件打开控制面板T系统属性T高级T启动和故障恢复，将“写入调试信息”改成“无”， 可以清除 Dump 文件，防止信息泄露。9、WEB 服务安全设置确需提供 WEB 服务和 FTP 服务的，建议采取以下措施：（ 1）IIS-WEB 网站服务。在安装时不要选择 IIS 服务，安装完毕后，手动添加该服务， 将其安装目录设为如 D:INTE 等任意字符，以加大安全性。删除 INTERNET 服务管理器， 删除样本页面和脚本，卸载 INTERNET 打印服务，删除除 ASP 外的应用程序映射。针对不 同类型文件建立不同文件夹并设置不

14、同权限。 对脚本程序设为纯脚本执行许可权限， 二进制 执行文件设为脚本和可执行程序权限，静态文件设为读权限。对安全扫描出的CGI 漏洞文件要及时删除。（ 2）FTP 文件传输服务。不要使用系统自带的FTP 服务，该服务与系统账户集成认证，一旦密码泄漏后果十分严重。建议利用第三方软件 SERV-U 提供 FTP 服务，该软件用 户管理独立进行，并采用单向 hash 函数（ MD5 ）加密用户口令，加密后的口令保存在 ServUDaemon.ini 或是注册表中。用户采用多权限和模拟域进行权限管理。虚拟路径和物 理路径可以随时变换。利用 IP 规则，用户权限，用户域，用户口令多重保护防止非法入侵。

15、 利用攻击规则可以自动封闭拒绝攻击，密码猜解发起计算机的IP 并计入黑名单。三、结束语以上是笔者根据多年的工作经验总结的一点心得， 有些地方研究的还不够深入， 希望本 文能给操作系统安全防范工作提供帮助。 日常管理工作中， 系统管理员还必须及时安装微软 发布的最新系统安全漏洞补丁程序， 安装防病毒软件并及时升级病毒定义库， 来防止计算机 病毒的入侵，保障操作系统的安全运行。K/3 系统与防火墙配置一、名词解释防火墙（ FireWall ）是通过创建一个中心控制点来实现网络安全控制的一种技术。 通过在专用网和 Internet 之间的设置路卡、防火墙监视所有出入专用网的信息流，并决定哪 些是可以

16、通过的，哪些是不可以的。安全的防火墙意味着网络的安全。端口（ Port ）计算机用于通讯所使用的通道，如web 用的端口 80，开放的端口越多，则越容易被非法入侵。TCP Transmission Control Protocol 的简称，是 Internet 上广为使用的一种计算机协 议。UDP User Datagram Protocol 的简称， Windows NT 常使用的协议。DCOM 分布式组件对象模型。二、操作指南：由于安全性的问题， 防火墙只允许通过 Internet 信息数据交换使用特定端口（如 web 用 80）,而DCOM创建对象时使用的是 1024-65535之间的动

17、态port，并且由于防火墙的IP伪 装特性，这使 DCOM 在有防火墙的服务器上是不能进行正常连接的，为解决此问题，需如下处理: （一） K3数据库端口设置由于开放Port越多，则安全性越差，一般防火墙都关闭了大量端口，以防止非法入侵， 但DCOM要使用大量的Ports，要解决二者的矛盾，可通过统一的RPC管理（远程过程调用）， （由RPC统一进行创建DCOM对象所需的port的映射处理）所以需在防火墙服务器上打开 RPC 端口 135。具休操作如下：1、运行 DCOMCNFG .EXE如下图所示，选择默认协议t面向连接的TCP/IPt属性t添加端口范围（至少 5个以应用程序默认H性|默认安全

18、机制 獣认协观I上），例如：4000-4005，当然如果使用其他连续 5个端口也可以，最后确定保存并重新 启动计算机。ECOW宓议匚OMl Internet JE蓦闆屋悴.厂直冃隹挂的TCf/IF 旷面同连睛 厂面向連K鑼書雷匯晟霊蠢麟霜體鬍号围,这忝加匹I这合计篡用忧先統端口苗围指派C苑圉 金IntF MLft t范園®戢认的动态端口分配广IrLternet 范圉I即(* Iittr site t2、为数据库开放的端口：a）TCP 端口： 135 （RPC）、1433 （数据库）、4000、4001、4002、4003、4004、 4005 （COM In ternet 端口范围）b）UDP 端口：无2、重新启动服务器即可。3、 测试（可选项）：打开网卡属性t TCP/IP t高级t选项，重新启动，使用中间层