Windows Server 2003作為Microsoft 最新推出的服務器操作系統,不僅繼承了Windows 2000/XP的易用性和穩定性,而且還提供了更高的硬件支持和更加強大的安全功能,無疑是中小型網絡應用服務器的當然之選。本文就Windows 2003在企業網絡應用中企業帳戶和系統監控方面的安全策略制定作出一些說明,希望能對大家起到拋磚引玉的效果,最終的目標是確保我們的網絡服務器的正常運行。 一、企業賬戶保護安全策略 二、企業系統監控安全策略 ============================================= 一、企業賬戶保護安全策略 用戶賬戶的保護一般 主要圍繞著密碼的保護來進行。為了避免用戶身份由於密碼被破解而被奪取或盜用,通常可采取諸如提高密碼的破解難度、啟用賬戶鎖定策略、限制用戶登錄、限制外部連接以及防范網絡嗅探等措施。 1、提高密碼的破解難度 提高密碼的破解難度主要是通過采用提高密碼復雜性、增大密碼長度、提高更換頻率等措施來實現,但這常常是用戶很難做到的,對於企業網絡中的一些安全敏感用戶就必須采取一些相關的措施,以強制改變不安全的密碼使用習慣。 在Windows系統中可以通過一系列的安全設置,並同時制定相應的安全策略來實現。在Windows Server 2003系統中,可以通過在安全策略中設定“密碼策略”來進行。Window Server 2003系統的安全策略可以根據網絡的情況,針對不同的場合和范圍進行有針對性地設定。例如可以針對本地計算機、域及相應的組織單元來進行設定,這將取決於該策略要影響的范圍。 以域安全策略為例,其作用范圍是企業網中所指定域的所有成員。在域管理工具中運行“域安全策略”工具,然後就可以針對密碼策略進行相應的設定。 密碼策略也可以在指定的計算機上用“本地安全策略”來設定,同時也可在網絡中特定的組織單元通過組策略進行設定。 2、啟用賬戶鎖定策略 賬戶鎖定是指在某些情況下(例如賬戶受到采用密碼詞典或暴力猜解方式的在線自動登錄攻擊),為保護該賬戶的安全而將此賬戶進行鎖定。使其在一定的時間內不能再次使用,從而挫敗連續的猜解嘗試。 Windows2003系統在默認情況下,為方便用戶起見,這種鎖定策略並沒有進行設定,此時,對黑客的攻擊沒有任何限制。只要有耐心,通過自動登錄工具和密碼猜解字典進行攻擊,甚至可以進行暴力模式的攻擊,那麼破解密碼只是一個時間和運氣上的問題。賬戶鎖定策略設定的第一步就是指定賬戶鎖定的阈值,即鎖定前該賬戶無效登錄的次數。一般來說,由於操作失誤造成的登錄失敗的次數是有限的。在這裡設置鎖定阈值為3次,這樣只允許3次登錄嘗試。如果3次登錄全部失敗,就會鎖定該賬戶。 但是,一旦該賬戶被鎖定後,即使是合法用戶也就無法使用了。只有管理員才可以重新啟用該賬戶,這就造成了許多不便。為方便用戶起見,可以同時設定鎖定的時間和復位計數器的時間,這樣以來在3次無效登最後就開始鎖定賬戶,以及鎖定時間為30分鐘。以上的賬戶鎖定設定,可以有效地避免自動猜解工具的攻擊,同時對於手動嘗試者的耐心和信心也可造成很大的打擊。鎖定用戶賬戶常常會造成一些不便,但系統的安全有時更為重要。 3、限制用戶登錄 對於企業網的用戶還可以通過對其登錄行為進行限制,來保障其戶戶賬戶的安全。這樣以來,即使是密碼出現洩漏,系統也可以在一定程度上將黑客阻擋在外,對於Windows Server 2003網絡來說,運行“Active Directory用戶和計算機”管理工具。 然後選擇相應的用戶,並設置其賬戶屬性。 在賬戶屬性對話框中,可以限制其登錄的時間和地點。單擊其中的“登錄時間”按鈕,在這裡可以設置允許該用戶登錄的時間,這樣就可防止非工作時間的登錄行為。單擊其中的“登錄到”按鈕,在這裡可以設置允許該賬戶從哪些計算機乾地登錄。另外,還可以通過“賬戶”選項來限制登錄時的行為。例如使用“用戶必須用智能卡登錄”,就可避免直接使用密碼驗證。除此之外,還可以引入指紋驗證等更為嚴格的手段。 4、限制外部連接 對於企業網絡來說,通常需要為一些遠程撥號的用戶(業務人員或客戶等)提供撥號接入服務。遠程撥號訪問技術實際上是通過低速的撥號連接來將遠程計算機接入到企業內部的局域網中。由於這個連接無法隱藏,因此常常成為黑客入侵內部網絡的最佳入口。但是,采取一定的措施可以有效地降低風險。 對於基於Windows Server 2003的遠程訪問服務器來說,默認情況下將允許具有撥入權限的所有用戶建立連接。因此,安全防范的第一步就是合理地、嚴格地設置用戶賬戶的撥入權限,嚴格限制撥入權限的分配范圍,只要不是必要的就不給予此權限。對於網絡中的一些特殊用戶和固定的分支機構的用戶來說,可通過回撥技術來提高網絡安全性。這裡所謂的回撥,是指在主叫方通過驗證後立即掛斷線路,然後再回撥到主叫方的電話上。這樣,即使帳戶及其密碼被破解,也不必有任何擔心。需要注意的是,這裡需要開通來電顯示業務。 在Windows Server 2003網絡中,如果活動目錄工作在Native-mode(本機模式)下,這時就可以通過存儲在訪問服務器上或Internet驗證服務器上的遠程訪問策略來管理。針對各種應用場景的不同,可以設置多種不同的策略。具體的管理比較復雜,由於篇幅有限,大家可參考相關資料,這裡就不再作詳細介紹。 5、限制特權組成員 在Windows Server 2003網絡中,還有一種非常有效的防范黑客入侵和管理疏忽的輔助手段,這就是利用“受限制的組”安全策略。該策略可保證組成員的組成固定。在域安全策略的管理工具中添加要限制的組,在“組”對話框中鍵入或查找要添加的組。一般要對管理員組等特權組的成員加以限制。下一步就是要配置這個受限制的組的成員。在這裡選擇受限制的組的“安全性(S)”選項。然後,就可以管理這個組的成員組成,可以添加或刪除成員, 當安全策略生效後,可防止黑客將後門賬戶添加到該組中。 6、防范網絡嗅探 由於局域網采用廣播的方式進行通信,因而信息很容易被竊聽。網絡嗅探就是通過偵聽所在網絡中所傳輸的數據來嗅探有價值的信息。對於普通的網絡嗅探的防御並不困難,可通過以下手段來進行:
1)采用交換網絡 一般情況下,交換網絡對於普通的網絡嗅探手段具有先天的免疫能力。這是由於在交換網絡環境下,每一個交換端口就是一個獨立的廣播域,,同時端口之間通過交換機進行橋接,而非廣播。網絡嗅探主要針對的是廣播環境下的通信,因而在交換網絡中就失去作用了。 隨著交換網絡技術的普及,網絡嗅探所帶來的威脅也越來越低,但仍不可忽視。通過ARP地址欺騙仍然可以實現一定范圍的網絡嗅探,此外黑客通過入侵一些型號的交換機和路由器仍然可以獲得嗅探的能力。 2)加密會話 在通信雙方之間建立加密的會話連接也是非常有效的方法,特別是在企業網絡中。這樣,即使黑客成功地進行了網絡嗅探,但由於捕獲的都是密文,因而毫無價值。網絡中進行會話加密的手段有很多,可以通過定制專門的通信加密程序來進行,但是通用性較差。 這時,完善IP通信的安全機制是最根本的解決辦法。 由於歷史原因,基於IP的網絡通信技術沒有內建的安全機制。隨著互聯網的發展,安全問題逐漸暴露出來。現在經過各個方面的努力,標准的安全架構也已經基本形成。那就是IPSec機制,並且它將作為下一代IP網絡標准IPv6的重要組成。IPSec機制在新一代的操作系統中已經得到了很好的支持。在Windows Server 2003系統中,其服務器產品和客戶端產品都提供了對IPSec的支持。從而增強了安全性、可伸縮性以及可用性,同時使部署和管理更加方便。 在Windows Server 2003系統的安全策略相關的管理工具集(例如本地安全策略、域安全策略、組策略等)中,都集成了相關的管理工具。為清楚起見,通過Microsoft管理控制台MMC定制的管理工具來了解一下。 具體方法如下:首先在“開始”菜單中單擊“運行”選項,然後鍵入mmc,並同時單擊“確定”按鈕。在“控制台”菜單中選擇“添加刪除管理單元(M)”命令,然後,單擊其中的“添加”按鈕。 在可用的獨立管理單元中,選擇“IP安全策略管理”選項,雙擊或單擊“添加”按鈕,在這裡選擇被該管理單元所管理的計算機,然後單擊“完成”按鈕。關閉添加管理單元的相關窗口,就得到了一個新的管理工具,在這裡可以為其命名並保存。 此時可以看到已有的安全策略,用戶可以根據情況來添加、修改和刪除相應的IP安全策略。其中Windows Server 2003系統自帶的有以下幾個策略: 安全服務器(要求安全設置); 客戶端(只響應); 服務器(請求安全設置); 其中的“客戶端(只響應)”策略是根據對方的要求來決定是否采用IPSec;“服務器(請求安全設置)”策略要求支持IP安全機制的客戶端使用IPSec,但允許不支持IP安全機制的客戶端來建立不安全的連接;而“安全服務器(要求安全設置)”策略則最為嚴格,它要求雙方必須使用IPSec協議。 不過,“安全服務器(要求安全設置)”策略默認允許不加密的受信任的通信,因此仍然能夠被竊聽。直接修改此策略或定制專門的策略,就可以實現有效的防范。選擇其中的“所有IP通訊”選項,在這裡可以編輯其規則屬性。 選擇“篩選器操作”選項卡,選擇其中的“要求安全設置”選項。
