隨著Internet/Intranet迅猛普及,Windows NT網絡安全問題成為日常網絡管理的中心問題。筆者結合在中小型校園網安全管理的實際工作經驗,討論Windows NT網的安全規劃和在實際使用時應采取的安全策略,僅供參考。 制定安全策略的原則 所謂的網絡安全是指為了保護網絡不受來自網絡內外的各種危害而采取的防范措施的總和。網絡的安全策略就是針對網絡的實際情況(被保護信息價值、被攻擊危險性、可投入的資金),在網絡管理的整個過程,具體對各種網絡安全措施進行取捨。網絡的安全策略可以說是在一定條件下的成本和效率的平衡。雖然網絡的具體應用環境不同,但我們在制定安全策略時應遵循一些總的原則。 1.適應性原則:安全策略是在一定條件下采取的安全措施。我們制定的安全策略必須是和網絡的實際應用環境相結合的。通常,在一種情況下實施的安全策略到另一環境下就未必適合。例如:校園網環境就必須允許匿名登錄,而一般的企業網絡的安全策略不允許匿名登錄。 2.動態性原則:安全策略又是在一定時期采取的安全措施。由於用戶在不斷增加,網絡規模在不斷擴大,網絡技術本身的發展變化也很快,而安全措施是防范性的、持續不斷的,所以制定的安全措施必須不斷適應網絡發展和環境的變化。 3.簡單性原則:網絡用戶越多,網絡管理人員越多,網絡拓撲越復雜,采用網絡設備種類和軟件種類越多,網絡提供的服務和捆綁的協議越多,,出現安全漏洞的可能性就越大,出現安全問題後找出問題原因和責任者的難度就越大。安全的網絡是相對簡單的網絡。例如:最不安全的網絡可以說是Internet。 4.系統性原則:網絡的安全管理是一個系統化的工作,必須考慮到整個網絡的方方面面。也就是在制定安全策略時,應全面考慮網絡上各類用戶、各種設備、各種情況,有計劃有准備地采取相應的策略。任何一點疏漏都會造成整個網絡安全性的降低。 以下的安全策略是基於NT網的中小型校園網。 網絡規劃時的安全策略 網絡的安全性最好在網絡規劃階段就要考慮進去,一些安全策略在網絡規劃時就要實施。 1、明確網絡安全的責任人和安全策略的實施者。人是制定和執行網絡安全策略的主體。對於小型網絡來說網絡管理員可以是網絡安全責任人。 2、對網絡上所有的服務器和網絡設備,設置物理上的安全措施(防火、防盜)和環境上的安全措施(供電、溫度)。對小型的局域網最好將網絡上的公用服務器和主交換設備安置在一間中心機房內集中放置。 3、網絡規劃應考慮容錯和備份。安全策略不可能保證網絡絕對安全和硬件不出故障。我們的網絡應允許網絡出現的一些故障,並且可以很快從災難中恢復。網絡的主備份系統應位於中心機房。 4、如果你的網絡與Internet有固定連接(靜態的IP地址),只要資金允許最好在網絡和Internet之間安裝防火牆。 5、網絡使用代理服務器訪問Internet。不僅可以降低訪問成本,而且隱藏了網絡規模和特性,加強了網絡的安全性。 網絡管理員的安全策略 對於小型網絡來說網絡管理員一般承擔安全管理員的角色。網絡管理員采取的安全策略,最重要的是保證服務器的安全和分配好各類用戶的權限。 1.網絡管理員必須了解整個網絡中的重要公共數據(限制寫)和機密數據(限制讀)分別是哪些,它在哪兒,哪些人使用,屬於哪些人,丟失或洩密會造成怎樣的損失。這些重要數據集中至位於中心機房的務器上,置於有安全經驗的專人管理之下。 2.定期對各類用戶進行安全培訓。 3.服務器上只安裝NT。不要安裝Windows9x和DOS,確保服務器只能從NT啟動。 4.服務器上所有的卷全部使用NTFS。 5.使用最新的Service Pack升級你的NT。 6.設置服務器的BIOS,不允許從可移動的存儲設備(軟驅、光驅、ZIP、SCIS設備)啟動。確保服務器從NT啟動置於NT安全機制管理之下。 7.通過BIOS設置軟驅無效,並設置BIOS口令。防止非法用戶利用控制台獲取敏感數據,以及由軟驅感染病毒到服務器。 8.取消服務器上不用的服務和協議種類。網絡上的服務和協議越多安全性越差。 9.將服務器注冊表HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\Winlogon項中的Don't Display Last User Name串數據修改為1,隱藏上次登陸控制台的用戶名。 10.不要將服務器的Windows NT設置為自動登錄,應使用NT Security對話框(Ctrl Alt Del)注冊。 11.C/S軟件的服務器端如果是用戶模式運行的(即需要從服務器端登錄),用NT Resource Kit中的Autoexnt將設為啟動時自動運行形式。 12.系統文件和用戶數據文件分別存儲在不同的卷上。方便日常的安全管理和數據備份。 13.修改默認“Administrator”用戶名,加上“強口令”(多於10個字符且必須包括數字和符號),最好再創建一個具有“強口令”的管理員特權的賬號,使網絡管理員賬號不易被攻破。 14.管理員賬號僅用於網絡管理,不要在任何客戶機上使用管理員賬號。對屬於Administrator組和備份組的成員用戶要特別慎重。 15.記住口令文件保存在\\WINNT \SYSTEM32\CONFIG目錄的SAM文件中,\\WINNT\REPAIR目錄中有SAM備份。對SAM文件寫入、更改權限等進行審計。 16.鼓勵用戶將數據保存到服務器上。DOS和Windows9x客戶機沒有NT提供的安全性,所以不建議用戶在本地硬盤上共享文件。 17.限制可以登錄到有敏感數據的服務器的用戶數。這樣在出現問題時可以縮小懷疑范圍。 18.利用Windows9x的“系統策略編輯器”建立策略文件,存入服務器,控制的Windows9x客戶機的注冊表。建議打開計算機策略中的“需要使用Network for Windows Access進行驗證”、“登錄到WindowsNT”/“禁用域口令緩沖”,控制Windows9x用戶必須首先注冊到網上。這樣可以防止用戶通過“放棄”使用Windows9x降低客戶機安全。 19.通過“系統策略編輯器”可以進一步控制一般用戶或組在Windows9x客戶機上的行為。 20.不允許一般用戶在服務器上擁有除讀/執行以外的權限。NT本身不支持用戶空間限制,這一點對校園網安全特別重要。 21.限制Guest賬號的權限,最好不允許使用Guest賬號。不要在Everyone組增加任何權限,因為Guest也屬於該組。
22.一般不直接給用戶賦權,而通過用戶組分配用戶權限。 23.新增用戶時分配一個口令,並控制用戶“首次登錄必須更改口令”,最好進一步設置成口令的不低於6個字符,杜絕安全漏洞。 24.至少對用戶“登錄和注銷”網絡、“重新啟動、關機及系統”、“安全規則更改”活動進行審計,但不要忘了過多的審計將影響系統性能。 針對提供Internet訪問服務網絡的策略 25.文件服務器不與Internet直接連接,設專用代理服務器;不允許客戶機通過Modem連到Internet,形成在防火牆內的連接。 26.可以利用“TCP/IP安全”對話框,關閉Internet上機器不用的TCP/UDP端口,過濾流入服務器的請求,特別是限制使用TCP/UDP的137、138、139端口。 27.可以考慮將對外的Web服務器放在防火牆之外,隔離外界對內的訪問以保護內部的敏感數據。 28.對只提供內部訪問的服務器和客戶機可以采用非TCP/IP協議實現連接,這樣可以隔離Internet訪問。 29.利用端口掃描工具,定期在防火牆外對網絡內所有的服務器和客戶進行端口掃描。 以下的策略針對提供遠程訪問服務情況 30.不允許除NT的RAS以外的機器應答遠程訪問請求。最好設專門的遠程訪問服務器,並將該服務器置於中心機房。 31.對於偶爾使用遠程訪問可以采用人工控制RAS服務的啟動和停止。 32.對固定的用戶最好采取回叫的方式實現遠程連接。 33.通過RAS服務器的IP地址分配,限制遠程用戶的IP地址,進而利用防火牆控制和隔離遠程訪問客戶。 34.對於遠程訪問的口令采取某種加密鑒別(如:MS-CHAP),以保證用戶口令在遠程線路上安全傳送。 網絡用戶的安全策略 網絡的安全不僅僅是網絡管理員的事,網絡上的每一個用戶都有責任。網絡用戶應該了解下列安全策略: 1.用一個長且難猜的口令。不要將自己的口令告訴任何人。 2.清楚自己私有數據存儲的位置,知道如何備份和恢復。 3.定期參加網絡知識和網絡安全的培訓,了解網絡安全知識,養成注意安全的工作習慣。 4.盡量不要在本地硬盤上共享文件,因為這樣做將影響自己的機器安全。最好將共享文件存放在服務器上,既較安全又方便了他人隨時使用文件。 5.設置客戶機的BIOS,不允許從軟驅啟動。 6.通過“系統策略編輯器/注冊表編輯器”控制在Windows9x工作站上“不顯示最後一次登錄的用戶名”和“禁止使用口令緩存”。防止口令從緩存中被獲取和最後一次登錄的用戶被利用。 7.設置有顯示的(即非黑屏,防止誤認為關機)屏幕保護,並且加上口令保護。 8.當你較長時間離開機器時一定要退出網絡。 9.安裝啟動時病毒掃描軟件。雖然絕大多數病毒對NT服務器不構成威脅,但會通過NT網在戶端很快傳播開來。 Internet有權用戶需要了解的安全策略 由於Internet是在網絡外部的,訪問Internet有可能將機器至於不安全的環境,需要在上述安全策略基礎上進一步采取下述的安全策略: 10.確認你的機器沒有安裝“文件和打印機共享”服務。因為Internet上的黑客,有機會通過這個服務獲取和共享文件,從而可能造成對局部數據及網絡安全的威脅。 11.不要通過Modem直接連接Internet。 12.不要下載安裝未經安全認證的軟件和插件。 13.WEB頁面中的ActiveX,Java小應用、腳本可能洩漏你的秘密,可以禁止其在浏覽器上運行。 14.發出電子郵件如果沒有加密,信件有內容可能洩漏。收到的電子郵
