[转载]小型网络的安全策略
信息来源:[url]www.e-works.net.cn[/url] 余海编者按: 对于安全的认识,许多用户存在误区,认为只要部署了安全产品和安全方案,就可以高枕无忧地享受安全了。其实不然,安全界早就有“三分技术、七分管理”之说。且不论这个比例是否恰当,但是管理对安全的重要性从中可见一斑。今天的用户应该树立这样一种观念,实现网络安全不能依靠厂商,而只能依靠自己,用户要从加强自身的网络管理做起。选登的这篇文章是一位网络管理员在小型网络环境中的安全管理经验,他的做法也许会对读者有所启示。
随着计算机网络技术的快速发展,针对网络进行的安全管理己显得越来越重要。对于小型网络来说,安全管理通常需要注意以下几个方面。
针对服务系统的资源分配及安全机制: 管理员必须采取能够确保服务器安全、分配好各类用户权限的安全策略,并且要了解哪些资源是整个网络中的重要公共数据(限制写)和机密数据(限制读)以及这些数据分布的位置、供哪些人使用、属于哪些人、丢失或泄露这些数据将会造成怎样的损失。管理员要将这些重要数据集中起来放在位于中心机房的服务器内,并交由有安全经验的人员管理。服务器最好只安装nt,确保服务器只能从nt启动。并且服务器上的卷最好都使用ntfs。管理员最好经常使用最新的service pack升级nt系统。管理员需要设置服务器的bios,禁止他人从可移动存储设备(软驱光驱、zip、scis设备)启动,确保服务器从nt启动,并置于nt安全机制的管理之下。管理员可以通过bios设置软驱无效,并设置bios口令,防止非法用户利用控制台获取敏感数据,防止病毒通过软驱感染服务器。
针对服务系统的交互管理情况 将服务器注册表打开,通过下列给出的路径,将local_machine\ software\microsoft\windowsnt\currentversion\ winlogon项中的don’t display last user name串数据修改为1,隐藏上次登陆控制台的用户名。不要将服务器的windows nt设置为自动登录,使用nt security对话框(ctrl+alt+del)注册。修改默认“administrator”用户名,加上“强口令”(多于10个字符且必须包括数字和符号),最好再创建一个具有“强口令”的管理员特权账号,使网络管理员账号不易被攻破。c/s软件的服务器端如果采用用户模式运行(即需要从服务器端登录),需要管理员将nt resource kit中的autoexnt设置为启动时自动运行形式。管理员账号仅用于网络管理,不要在任何客户机上使用管理员账号。记住口令文件保存在\\winnt \system32\config目录的sam文件中,并在\\winnt\repair目录中做好sam备份。对sam文件写入、更改权限等进行审计。利用windows9x的系统策略编辑器”建立策略文件,存入服务器,控制windows9x客户机的注册表。建议打开计算机策略中的“需要使用network for windows access进行验证”,控制windows9x用户必须首先到网上注册,这样可以防止用户通过“放弃”使用windows9x从而降低客户机安全。鼓励用户将数据保存到服务器中,dos和windows9x客户机没有nt提供的安全性,所以建议用户不要在本地硬盘上共享文件。限制可以登录到有敏感数据的服务器的用户数,这样在出现问题时可以缩小怀疑范围。通过“系统策略编辑器”可以进一步控制一般用户或组在windows9x客户机上的行为,禁止一般用户在服务器上拥有除读/执行以外的权限。nt本身不支持用户空间限制,这一点对校园网安全特别重要。限制guest账号的权限,最好不允许使用guest账号,不要在everyone组中增加任何权限,因为guest也属于该组。一般不直接给用户赋权,而通过用户组分配用户权限。新增用户时分配一个口令,并控制用户“首次登录必须更改口令”,最好进一步设置成口令不低于6个字符,以此杜绝安全漏洞。至少对用户“登录和注销”网络、“安全规则更改”等活动进行审计,但是不要忘记过多的审计将影响系统性能。
针对提供internet访问服务网络的情况 文件服务器最好不与internet直接连接,最好设置专用代理服务器。禁止客户机通过modem连到internet,形成在防火墙内的连接。利用“tcp/ip安全”对话框,关闭internet上不用的tcp/udp端口,过滤流入服务器的请求,特别是限制使用tcp/udp的137、138、139端口,取消服务器上不用的服务和协议,这是因为网络上的服务和协议越多安全性越差。可以考虑将对外的web服务器放在防火墙之外,隔离外界对内网的访问以保护内部的敏感数据。对只提供内部访问的服务器和客户机,可以采用非tcp/ip协议实现连接,这样可以隔离internet访问。利用端口扫描工具,定期在防火墙外对网络内所有的服务器和客户进行端口扫描。
针对远程讯问服务情况 禁止除nt ras以外的机器应答远程访问请求,最好设置专门的远程访问服务器,并将该服务器置于中心机房。对于偶尔进行的远程访问可以采用人工控制ras服务的方式进行。对于固定用户,最好采取回叫的方式实现远程连接。通过ras服务器的ip地址分配,限制远程用户的ip地址,进而利用防火墙隔离远程访问客户。对于远程访问口令,最好采取加密鉴别(如ms-chap),以保证用户口令在远程线路上安全传送。
以上几点,是笔者在实际工作当中总结出的一些防范经验。网络技术日新月异,只有不断的学习和提高,才能做好网络安全管理工作,这是笔者的一点切身体会。
页:
[1]