k3系统网络安全基本策略.docx

《k3系统网络安全基本策略.docx》由会员分享，可在线阅读，更多相关《k3系统网络安全基本策略.docx（9页珍藏版）》请在三一办公上搜索。

1、、操作系统安全隐患分析（一）安装隐患在一台服务器上安装Windows 2000 Server操作系统时，主要存在以下隐患：1、将服务器接入网络内安装。Windows2000 Server操作系统在安装时存在一个安 全漏洞，当输入Administrator密码后，系统就自动建立7ADMIN$的共享，但是并没有 用刚刚输入的密码来保护它，这种情况一直持续到再次启动后，在此期间，任何人都可以通 过ADMIN$进入这台机器；同时，只要安装一结束，各种服务就会自动运行，而这时的服 务器是满身漏洞，计算机病毒非常容易侵入。因此，将服务器接入网络内安装是非常错误的。2、操作系统与应用系统共用一个磁盘分区。在

2、安装操作系统时，将操作系统与应用系 统安装在同一个磁盘分区，会导致一旦操作系统文件泄露时，攻击者可以通过操作系统漏洞 获取应用系统的访问权限，从而影响应用系统的安全运行。3、采用FAT32文件格式安装。FAT32文件格式不能限制用户对文件的访问，这样可 以导致系统的不安全。4、采用缺省安装。缺省安装操作系统时，会自动安装一些有安全隐患的组件，如：IIS、 DHCP、DNS等，导致系统在安装后存在安全漏洞。5、系统补丁安装不及时不全面。在系统安装完成后，不及时安装系统补丁程序，导致 病毒侵入。（二）运行隐患在系统运行过程中，主要存在以下隐患：1、默认共享。系统在运行后，会自动创建一些隐藏的共享。

3、一是C$ D$ E$每个分 区的根共享目录。二是 ADMIN$远程管理用的共享目录。三是IPC$空连接。四是 NetLogon共享。五是其它系统默认共享，如：FAX$、PRINT$共享等。这些默认共享给 系统的安全运行带来了很大的隐患。2、默认服务。系统在运行后，自动启动了许多有安全隐患的服务，如：Telnet services、 DHCP Client、DNS Client、Print spooler、Remote Registry services （选程修改注册 表服务）、SNMP Services、Terminal Services等。这些服务在实际工作中如不需要， 可以禁用。3、安全

4、策略。系统运行后，默认情况下，系统的安全策略是不启作用的，这降低了系 统的运行安全性。4、管理员帐号。系统在运行后,Administrator用户的帐号是不能被停用的，这意味 着攻击者可以一遍又一遍的尝试猜测这个账号的口令。此外，设置简单的用户帐号口令也给 系统的运行带来了隐患。5、页面文件。页面文件是用来存储没有装入内存的程序和数据文件部分的隐藏文件。 页面文件中可能含有一些敏感的资料，有可能造成系统信息的泄露。6、共享文件。默认状态下，每个人对新创建的文件共享都拥有完全控制权限，这是非 常危险的，应严格限制用户对共享文件的访问。7、Dump文件。Dump文件在系统崩溃和蓝屏的时候是一份很有

5、用的查找问题的资 料。然而，它也能够给攻击者提供一些敏感信息，比如一些应用程序的口令等，造成信息泄 露。8、WEB服务。系统本身自带的IIS服务、FTP服务存在安全隐患，容易导致系统被 攻击。二、安全防范对策（一）安装对策在进行系统安装时，采取以下对策：1、在完全安装、配置好操作系统，给系统全部安装系统补丁之前，一定不要把机器接 入网络。2、在安装操作系统时，建议至少分三个磁盘分区。第一个分区用来安装操作系统，第 二分区存放IIS、FTP和各种应用程序，第三个分区存放重要的数据和日志文件。3、采用NTFS文件格式安装操作系统，可以保证文件的安全，控制用户对文件的访问 权限。4、在安装系统组件时

6、，不要采用缺省安装，删除系统缺省选中的IIS、DHCP、DNS 等服务。5、在安装完操作系统后，应先安装在其上面的应用系统，后安装系统补丁。安装系统 补丁一定要全面。（二）运行对策在系统运行时，采取以下对策:1、关闭系统默认共享方法一：采用批处理文件在系统启动后自动删除共享。 首选在Cmd提示符下输入 “Net Share”命令，查看系统自动运行的所有共享目录。然后建立一个批处理文件 SHAREDEL.BAT，将该批处理文件放入计划任务中，设为每次开机时运行。文件内容如 下：NET SHARE C$ /DELETENET SHARE D$ /DELETENET SHARE E$ /DELETE

7、NET SHARE IPC$ /DELETENET SHARE ADMIN$ /DELETE方法二：修改系统注册表，禁止默认共享功能。在Local_Machine SystemCurrentControlSetServicesLanmanserverparameters下新建一个双字节项 “auto shareserver”，其值为 “0”。2、删除多余的不需要的网络协议删除网络协议中的NWLink NetBIOS协议，NWLink IPX/SPX/NetBIOS协议， NeBEUI PROtocol协议和服务等，只保留TCP/IP网络通讯协议。3、关闭不必要的有安全隐患的服务用户可以根据实际

8、情况，关闭表1中所示的系统自动运行的有安全隐患的服务。更改操作停止并禁用停止并禁用停止并禁用停止并禁用 停止并禁用 停止并禁用 停止并禁用 停止并禁用表1需要关闭的服务表服务名称DHCP CLIENTDNS CLIENTREOMTE REGISTRY SERVECESSNMP SERVICESTELNET SERVICESTERMINAL SERVICESWorkstationMessengerClipBook停止并禁用4、启用安全策略安全策略包括以下五个方面：(1) 帐号锁定策略。设置帐号锁定阀值，5次无效登录后，即锁定帐号。(2) 密码策略。一是密码必须符合复杂性要求，即密码中必须包括字母

9、、数字以及特 殊字符，如：上档键上的七()*&八%$#!?”：等特殊字符。二是服务器密码长度最 少设置为8位字符以上。三是密码最长保留期。一般设置为1至3个月，即30 9。天。 四是密码最短存留期：3天。四是强制密码历史：0个记住的密码。五是“为域中所有用户 使用可还原的加密来储存密码”，停用。(3) 审核策略。默认安装时是关闭的。激活此功能有利于管理员很好的掌握机器的状 态，有利于系统的入侵检测。可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访 问等等。开启安全审核是系统最基本的入侵检测方法。当攻击者尝试对用户的系统进行某些 方式(如尝试用户口令,改变账号策略，未经许可的文件访问等等)

10、入侵的时候，都会被安 全审核记录下来。避免不能及时察觉系统遭受入侵以致系统遭到破坏。建议至少审核登录事 件、帐户登录事件、帐户管理三个事件。(4) “用户权利指派”。在“用户权利指派”中，将“从远端系统强制关机”权限设 置为禁止任何人有此权限，防止黑客从远程关闭系统。(5) “安全选项”。在“安全选项”中，将“对匿名连接的额外限制”权限改为“不 允许枚举SAM帐号和共享”。也可以通过修改注册表中的值来禁止建立空连接，将 Local_Machine SystemCurrentControlSetControl LSA-RestrictAnonymous 的值改为“1”。如在LSA目录下如无该键值

11、，可以新建一个双字节值，名为“restrictanonymous”，值为“1”，十六进制。此举可以有效地防止利用IPC$空连接 枚举SAM帐号和共享资源，造成系统信息的泄露。5、加强对Administrator帐号和Guest帐号的管理监控将Administrator帐号重新命名，创建一个陷阱账号，名为“Administrator”，口 令为10位以上的复杂口令，其权限设置成最低，即：将其设为不隶属于任何一个组，并通 过安全审核，借此发现攻击者的入侵企图。设置2个管理员用账号，一个具有一般权限， 用来处理一些日常事物；另一个具有Administrators权限，只在需要的时候使用。修改 Gue

12、st用户口令为复杂口令，并禁用GUEST用户帐号。6、禁止使用共享严格限制用户对共享目录和文件的访问，无特殊情况，严禁通过共享功能访问服务器。7、清除页面文件修改注册表 HKLMSYSTEMCurrentControlSetControl Session ManagerMemory Management 中“ClearPageFileAtShutdown” 的值为 “1”，可以 禁止系统产生页面文件，防止信息泄露。8、清除Dump文件打开控制面板-系统属性f高级f启动和故障恢复，将“写入调试信息”改成“无”， 可以清除Dump文件，防止信息泄露。9、WEB服务安全设置确需提供WEB服务和FTP

13、服务的，建议采取以下措施：（1）IIS-WEB网站服务。在安装时不要选择IIS服务，安装完毕后，手动添加该服务， 将其安装目录设为如D:INTE等任意字符，以加大安全性。删除INTERNET服务管理器， 删除样本页面和脚本，卸载INTERNET打印服务，删除除ASP外的应用程序映射。针对不 同类型文件建立不同文件夹并设置不同权限。对脚本程序设为纯脚本执行许可权限，二进制 执行文件设为脚本和可执行程序权限，静态文件设为读权限。对安全扫描出的CGI漏洞文 件要及时删除。（2）FTP文件传输服务。不要使用系统自带的FTP服务，该服务与系统账户集成认 证，一旦密码泄漏后果十分严重。建议利用第三方软件S

14、ERV-U提供FTP服务，该软件用 户管理独立进行，并采用单向hash函数（MD5）加密用户口令，加密后的口令保存在 ServUDaemon.ini或是注册表中。用户采用多权限和模拟域进行权限管理。虚拟路径和物 理路径可以随时变换。利用IP规则，用户权限，用户域，用户口令多重保护防止非法入侵。 利用攻击规则可以自动封闭拒绝攻击，密码猜解发起计算机的IP并计入黑名单。三、结束语以上是笔者根据多年的工作经验总结的一点心得，有些地方研究的还不够深入，希望本 文能给操作系统安全防范工作提供帮助。日常管理工作中，系统管理员还必须及时安装微软 发布的最新系统安全漏洞补丁程序，安装防病毒软件并及时升级病毒定

15、义库，来防止计算机 病毒的入侵，保障操作系统的安全运行。K/3系统与防火墙配置一、名词解释防火墙（FireWall）是通过创建一个中心控制点来实现网络安全控制的一种技术。 通过在专用网和Internet之间的设置路卡、防火墙监视所有出入专用网的信息流，并决定 哪些是可以通过的，哪些是不可以的。安全的防火墙意味着网络的安全。端口（Port）计算机用于通讯所使用的通道，如web用的端口 80,开放的端口越 多，则越容易被非法入侵。TCPTransmission Control Protocol 的简称，是 Internet 上广为使用的一种计算机协议。UDPUser Datagram Protoc

16、ol 的简称，Windows NT 常使用的协议。DCOM分布式组件对象模型。二、操作指南：由于安全性的问题，防火墙只允许通过Internet信息数据交换使用特定端口（如web 用80），而DCOM创建对象时使用的是1024-65535之间的动态port，并且由于防火墙 的IP伪装特性，这使DCOM在有防火墙的服务器上是不能进行正常连接的，为解决此问 题，需如下处理：（一）K3数据库端口设置由于开放Port越多，则安全性越差，一般防火墙都关闭了大量端口，以防止非法入侵， 但DCOM要使用大量的Ports，要解决二者的矛盾，可通过统一的RPC管理（远程过程调 用），（由RPC统一进行创建DCOM

17、对象所需的port的映射处理）所以需在防火墙服务器 上打开RPC端口 135。具休操作如下：1、运行 DCOMCNFG.EXE应用程序|状认屋性|默认安全机制 默认协谀|如下图所示，选择默认协议-面向连接的TCP/IP-属性-添加端口范围（至少5个以 上），例如:4000-4005，当然如果使用其他连续5个端口也可以，最后确定保存并重 新启动计算机。添加一.|便用端口范围控件从蔷口分类中添加成朋隙端口范围，这 些端口范围将与报丈过滤或防火墙软件一起使用.十面向炷主矿面向连主端口范围指派L Internet 范围（） iRtranet 范围 0）厂面向连接的TCP/IP描述这台计耸用忧先缀默U.

18、的动态品口分配Internet 范围国） In.trsite t 范国（X）确定I取消I2、为数据库开放的端口：a） TCP 端口： 135 （RPC）、1433 （数据库）、4000、4001、4002、4003、 4004、4005 （COM Internet 端口范围）b） UDP 端口：无2、重新启动服务器即可。3、测试（可选项）：打开网卡属性-TCP/IP-高级-选项，重新启动，使用中间层藏 套管理测试是否正常。如下图所示：（二）K3中间层端口设置具休操作如下：4、运行 DCOMCNFG.EXE如下图所示，选择默认协议-面向连接的TCP/IP-属性-添加端口范围（至少35个 以上，有

19、多少个组件包，就必须设置开放相同数量连续端口），例如：4000-4035，当 然如果使用其他连续35个端口也可以，最后确定保存并重新启动计算机。应用程序I驮认屋性I默认安全机制 默认协议ICOM Internet服罟的屈性描述这台f使用满口范围控件从端口分类中添加或删除满口范围这 些端口范围将与报文过滤或防火墙软件一起使用-用忧9分布式COM配置尾性DCOM协议您）;寸面向连接的TCP/IP 面向连援的廿工 旷面向阵推的WNREIIT汇面向2、为中间层开放的端口：A、TCP端口： 135 （RPC）、4000、4001、4002、4035 （COM Internet 端口范围）B、UDP 端口：无三、数据库服务器与中间层服务器操作系统登录账号关系一一非域用户情形约定：登录中间层账号A_count属于本地系统管理员组，密码为99999贝IJ：数据库服务器需创建本地账号为A_count,密码为99999,同时务必将该账号属性 USERS组删除。测试：账套备份和恢复立即正常建议：不要使用administrator账号登录。防止可能性的计算机病毒由于账号和密码 完全一样，且均为系统管理员组，造成病毒蔓延。