|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來(lái)的新技術(shù)��,它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作�����,使人們能夠透明地使用資源的整體能力并按需獲取信息�����。資源包括高性能計(jì)算機(jī)��、存儲(chǔ)資源�、數(shù)據(jù)資源����、信息資源、知識(shí)資源�、專家資源�、大型數(shù)據(jù)庫(kù)��、網(wǎng)絡(luò)、傳感器等���。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段����。 (二)運(yùn)行對(duì)策
在系統(tǒng)運(yùn)行時(shí)���,采取以下對(duì)策:
1��、關(guān)閉系統(tǒng)默認(rèn)共享
方法一:采用批處理文件在系統(tǒng)啟動(dòng)后自動(dòng)刪除共享���!∈走x在Cmd提示符下輸入“Net Share”命令,查看系統(tǒng)自動(dòng)運(yùn)行的所有共享目錄�。然后建立一個(gè)批處理文件SHAREDEL.BAT��,將該批處理文件放入計(jì)劃任務(wù)中,設(shè)為每次開(kāi)機(jī)時(shí)運(yùn)行���。文件內(nèi)容如下:
NET SHARE C$ /DELETE
NET SHARE D$ /DELETE
NET SHARE E$ /DELETE
……
NET SHARE IPC$ /DELETE
NET SHARE ADMIN$ /DELETE
方法二:修改系統(tǒng)注冊(cè)表,禁止默認(rèn)共享功能����。在Local_Machine\ System\ CurrentControlSet\Services\Lanmanserver\parameters下新建一個(gè)雙字節(jié)項(xiàng)“auto shareserver”�,其值為“0”���。
2����、刪除多余的不需要的網(wǎng)絡(luò)協(xié)議
刪除網(wǎng)絡(luò)協(xié)議中的NWLink NetBIOS協(xié)議,NWLink IPX/SPX/NetBIOS 協(xié)議�,NeBEUI PROtocol協(xié)議和服務(wù)等�����,只保留TCP/IP網(wǎng)絡(luò)通訊協(xié)議���。
3���、關(guān)閉不必要的有安全隱患的服務(wù)
用戶可以根據(jù)實(shí)際情況��,關(guān)閉表1中所示的系統(tǒng)自動(dòng)運(yùn)行的有安全隱患的服務(wù)����。
表1 需要關(guān)閉的服務(wù)表
4、啟用安全策略
安全策略包括以下五個(gè)方面:
(1)帳號(hào)鎖定策略����。設(shè)置帳號(hào)鎖定閥值�,5次無(wú)效登錄后����,即鎖定帳號(hào)。
(2)密碼策略����。一是密碼必須符合復(fù)雜性要求����,即密碼中必須包括字母�����、數(shù)字以及特殊字符�����,如:上檔鍵上的+_()*&^%$#@!?><”:{} 等特殊字符。二是服務(wù)器密碼長(zhǎng)度最少設(shè)置為8位字符以上���。三是密碼最長(zhǎng)保留期。一般設(shè)置為1至3個(gè)月����,即30-90天����。四是密碼最短存留期:3天�����。四是強(qiáng)制密碼歷史:0個(gè)記住的密碼�����。五是“為域中所有用戶使用可還原的加密來(lái)儲(chǔ)存密碼”,停用。
����。3)審核策略�。默認(rèn)安裝時(shí)是關(guān)閉的�����。激活此功能有利于管理員很好的掌握機(jī)器的狀態(tài)����,有利于系統(tǒng)的入侵檢測(cè)�����。可以從日志中了解到機(jī)器是否在被人蠻力攻擊�、非法的文件訪問(wèn)等等�。開(kāi)啟安全審核是系統(tǒng)最基本的入侵檢測(cè)方法�。當(dāng)攻擊者嘗試對(duì)用戶的系統(tǒng)進(jìn)行某些方式(如嘗試用戶口令,改變賬號(hào)策略,未經(jīng)許可的文件訪問(wèn)等等)入侵的時(shí)候��,都會(huì)被安全審核記錄下來(lái)�。避免不能及時(shí)察覺(jué)系統(tǒng)遭受入侵以致系統(tǒng)遭到破壞。建議至少審核登錄事件�����、帳戶登錄事件��、帳戶管理三個(gè)事件����。
��。4)“用戶權(quán)利指派”��。在“用戶權(quán)利指派”中,將“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”權(quán)限設(shè)置為禁止任何人有此權(quán)限�,防止黑客從遠(yuǎn)程關(guān)閉系統(tǒng)���。
�����。5)“安全選項(xiàng)”。在“安全選項(xiàng)”中���,將“對(duì)匿名連接的額外限制”權(quán)限改為“不允許枚舉SAM帳號(hào)和共享”。也可以通過(guò)修改注冊(cè)表中的值來(lái)禁止建立空連接���,將Local_Machine \System\CurrentControlSet\Control \LSA-RestrictAnonymous 的值改為“1”。如在LSA目錄下如無(wú)該鍵值�����,可以新建一個(gè)雙字節(jié)值�����,名為“restrictanonymous”����,值為“1”�����,十六進(jìn)制�����。此舉可以有效地防止利用IPC$空連接枚舉SAM帳號(hào)和共享資源,造成系統(tǒng)信息的泄露����。
5�、加強(qiáng)對(duì)Administrator帳號(hào)和Guest帳號(hào)的管理監(jiān)控
將Administrator帳號(hào)重新命名��,創(chuàng)建一個(gè)陷阱賬號(hào)����,名為“Administrator”��,口令為10位以上的復(fù)雜口令���,其權(quán)限設(shè)置成最低,即:將其設(shè)為不隸屬于任何一個(gè)組,并通過(guò)安全審核,借此發(fā)現(xiàn)攻擊者的入侵企圖。設(shè)置2個(gè)管理員用賬號(hào),一個(gè)具有一般權(quán)限,用來(lái)處理一些日常事物;另一個(gè)具有Administrators 權(quán)限�����,只在需要的時(shí)候使用�。修改Guest用戶口令為復(fù)雜口令,并禁用GUEST用戶帳號(hào)。
6、禁止使用共享
嚴(yán)格限制用戶對(duì)共享目錄和文件的訪問(wèn)���,無(wú)特殊情況,嚴(yán)禁通過(guò)共享功能訪問(wèn)服務(wù)器。
7�、清除頁(yè)面文件
修改注冊(cè)表HKLM\SYSTEM\CurrentControlSet\Control\ Session Manager\Memory Management中“ClearPageFileAtShutdown”的值為“1”�,可以禁止系統(tǒng)產(chǎn)生頁(yè)面文件����,防止信息泄露。
8、清除Dump文件
打開(kāi)控制面板→系統(tǒng)屬性→高級(jí)→啟動(dòng)和故障恢復(fù)���,將“寫(xiě)入調(diào)試信息”改成“無(wú)”,可以清除Dump文件,防止信息泄露��。
9�、WEB服務(wù)安全設(shè)置
確需提供WEB服務(wù)和FTP服務(wù)的,建議采取以下措施:
����。1)IIS-WEB網(wǎng)站服務(wù)�。在安裝時(shí)不要選擇IIS服務(wù)��,安裝完畢后�����,手動(dòng)添加該服務(wù),將其安裝目錄設(shè)為如D:\INTE等任意字符,以加大安全性。刪除INTERNET服務(wù)管理器���,刪除樣本頁(yè)面和腳本,卸載INTERNET打印服務(wù),刪除除ASP外的應(yīng)用程序映射���。針對(duì)不同類型文件建立不同文件夾并設(shè)置不同權(quán)限���。對(duì)腳本程序設(shè)為純腳本執(zhí)行許可權(quán)限��,二進(jìn)制執(zhí)行文件設(shè)為腳本和可執(zhí)行程序權(quán)限���,靜態(tài)文件設(shè)為讀權(quán)限�����。對(duì)安全掃描出的CGI漏洞文件要及時(shí)刪除���。
�����。2)FTP文件傳輸服務(wù)。不要使用系統(tǒng)自帶的FTP服務(wù)��,該服務(wù)與系統(tǒng)賬戶集成認(rèn)證����,一旦密碼泄漏后果十分嚴(yán)重。建議利用第三方軟件SERV-U提供FTP服務(wù)���,該軟件用戶管理獨(dú)立進(jìn)行,并采用單向hash函數(shù)(MD5)加密用戶口令,加密后的口令保存在ServUDaemon.ini或是注冊(cè)表中�����。用戶采用多權(quán)限和模擬域進(jìn)行權(quán)限管理��。虛擬路徑和物理路徑可以隨時(shí)變換���。利用IP規(guī)則,用戶權(quán)限�����,用戶域�����,用戶口令多重保護(hù)防止非法入侵�����。利用攻擊規(guī)則可以自動(dòng)封閉拒絕攻擊,密碼猜解發(fā)起計(jì)算機(jī)的IP并計(jì)入黑名單��。
三���、結(jié)束語(yǔ)
以上是筆者根據(jù)多年的工作經(jīng)驗(yàn)總結(jié)的一點(diǎn)心得���,有些地方研究的還不夠深入�����,希望本文能給操作系統(tǒng)安全防范工作提供幫助��。日常管理工作中,系統(tǒng)管理員還必須及時(shí)安裝微軟發(fā)布的最新系統(tǒng)安全漏洞補(bǔ)丁程序���,安裝防病毒軟件并及時(shí)升級(jí)病毒定義庫(kù),來(lái)防止計(jì)算機(jī)病毒的入侵����,保障操作系統(tǒng)的安全運(yùn)行��。
網(wǎng)絡(luò)的神奇作用吸引著越來(lái)越多的用戶加入其中�����,正因如此�,網(wǎng)絡(luò)的承受能力也面臨著越來(lái)越嚴(yán)峻的考驗(yàn)―從硬件上�����、軟件上�����、所用標(biāo)準(zhǔn)上......,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì),對(duì)應(yīng)發(fā)展��,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑���。
|
溫馨提示:喜歡本站的話,請(qǐng)收藏一下本站��!
