k3系統(tǒng)網(wǎng)絡(luò)安全基本策略

1、一、操作系統(tǒng)安全隱患分析 （一）安裝隱患 在一臺(tái)服務(wù)器上安裝Windows 2000 Server操作系統(tǒng)時(shí)，主要存在以下隱患： 1、將服務(wù)器接入網(wǎng)絡(luò)內(nèi)安裝。Windows2000 Server操作系統(tǒng)在安裝時(shí)存在一個(gè)安全漏洞，當(dāng)輸入Administrator密碼后，系統(tǒng)就自動(dòng)建立了ADMIN$的共享，但是并沒有用剛剛輸入的密碼來保護(hù)它，這種情況一直持續(xù)到再次啟動(dòng)后，在此期間，任何人都可以通過ADMIN$進(jìn)入這臺(tái)機(jī)器；同時(shí)，只要安裝一結(jié)束，各種服務(wù)就會(huì)自動(dòng)運(yùn)行，而這時(shí)的服務(wù)器是滿身漏洞，計(jì)算機(jī)病毒非常容易侵入。因此，將服務(wù)器接入網(wǎng)絡(luò)內(nèi)安裝是非常錯(cuò)誤的。 2、操作系統(tǒng)與應(yīng)用系統(tǒng)共用一個(gè)磁盤分區(qū)。

2、在安裝操作系統(tǒng)時(shí)，將操作系統(tǒng)與應(yīng)用系統(tǒng)安裝在同一個(gè)磁盤分區(qū)，會(huì)導(dǎo)致一旦操作系統(tǒng)文件泄露時(shí)，攻擊者可以通過操作系統(tǒng)漏洞獲取應(yīng)用系統(tǒng)的訪問權(quán)限，從而影響應(yīng)用系統(tǒng)的安全運(yùn)行。 3、采用FAT32文件格式安裝。FAT32文件格式不能限制用戶對文件的訪問，這樣可以導(dǎo)致系統(tǒng)的不安全。 4、采用缺省安裝。缺省安裝操作系統(tǒng)時(shí)，會(huì)自動(dòng)安裝一些有安全隱患的組件，如：IIS、DHCP、DNS等，導(dǎo)致系統(tǒng)在安裝后存在安全漏洞。 5、系統(tǒng)補(bǔ)丁安裝不及時(shí)不全面。在系統(tǒng)安裝完成后，不及時(shí)安裝系統(tǒng)補(bǔ)丁程序，導(dǎo)致病毒侵入。 （二）運(yùn)行隱患 在系統(tǒng)運(yùn)行過程中，主要存在以下隱患： 1、默認(rèn)共享。系統(tǒng)在運(yùn)行后，會(huì)自動(dòng)創(chuàng)建一些隱藏的共

3、享。一是C$ D$ E$ 每個(gè)分區(qū)的根共享目錄。二是ADMIN$ 遠(yuǎn)程管理用的共享目錄。三是IPC$ 空連接。四是NetLogon共享。五是其它系統(tǒng)默認(rèn)共享，如：FAX$、PRINT$共享等。這些默認(rèn)共享給系統(tǒng)的安全運(yùn)行帶來了很大的隱患。 2、默認(rèn)服務(wù)。系統(tǒng)在運(yùn)行后，自動(dòng)啟動(dòng)了許多有安全隱患的服務(wù)，如：Telnet services、DHCP Client、DNS Client、Print spooler、Remote Registry services（選程修改注冊表服務(wù)）、SNMPServices 、Terminal Services 等。這些服務(wù)在實(shí)際工作中如不需要，可以禁用。 3、安全

4、策略。系統(tǒng)運(yùn)行后，默認(rèn)情況下，系統(tǒng)的安全策略是不啟作用的，這降低了系統(tǒng)的運(yùn)行安全性。 4、管理員帳號(hào)。系統(tǒng)在運(yùn)行后，Administrator用戶的帳號(hào)是不能被停用的，這意味著攻擊者可以一遍又一遍的嘗試猜測這個(gè)賬號(hào)的口令。此外，設(shè)置簡單的用戶帳號(hào)口令也給系統(tǒng)的運(yùn)行帶來了隱患。 5、頁面文件。頁面文件是用來存儲(chǔ)沒有裝入內(nèi)存的程序和數(shù)據(jù)文件部分的隱藏文件。頁面文件中可能含有一些敏感的資料，有可能造成系統(tǒng)信息的泄露。 6、共享文件。默認(rèn)狀態(tài)下，每個(gè)人對新創(chuàng)建的文件共享都擁有完全控制權(quán)限，這是非常危險(xiǎn)的，應(yīng)嚴(yán)格限制用戶對共享文件的訪問。 7、Dump文件。Dump文件在系統(tǒng)崩潰和藍(lán)屏的時(shí)候是一份很有用

5、的查找問題的資料。然而，它也能夠給攻擊者提供一些敏感信息，比如一些應(yīng)用程序的口令等，造成信息泄露。 8、WEB服務(wù)。系統(tǒng)本身自帶的IIS服務(wù)、FTP服務(wù)存在安全隱患，容易導(dǎo)致系統(tǒng)被攻擊。 二、安全防范對策 （一）安裝對策 在進(jìn)行系統(tǒng)安裝時(shí)，采取以下對策： 1、在完全安裝、配置好操作系統(tǒng)，給系統(tǒng)全部安裝系統(tǒng)補(bǔ)丁之前，一定不要把機(jī)器接入網(wǎng)絡(luò)。 2、在安裝操作系統(tǒng)時(shí)，建議至少分三個(gè)磁盤分區(qū)。第一個(gè)分區(qū)用來安裝操作系統(tǒng)，第二分區(qū)存放IIS、FTP和各種應(yīng)用程序，第三個(gè)分區(qū)存放重要的數(shù)據(jù)和日志文件。 3、采用NTFS文件格式安裝操作系統(tǒng)，可以保證文件的安全，控制用戶對文件的訪問權(quán)限。 4、在安裝系統(tǒng)組件

6、時(shí)，不要采用缺省安裝，刪除系統(tǒng)缺省選中的IIS、DHCP、DNS等服務(wù)。 5、在安裝完操作系統(tǒng)后，應(yīng)先安裝在其上面的應(yīng)用系統(tǒng)，后安裝系統(tǒng)補(bǔ)丁。安裝系統(tǒng)補(bǔ)丁一定要全面。 （二）運(yùn)行對策 在系統(tǒng)運(yùn)行時(shí)，采取以下對策： 1、關(guān)閉系統(tǒng)默認(rèn)共享 方法一：采用批處理文件在系統(tǒng)啟動(dòng)后自動(dòng)刪除共享。首選在Cmd提示符下輸入“Net Share”命令，查看系統(tǒng)自動(dòng)運(yùn)行的所有共享目錄。然后建立一個(gè)批處理文件SHAREDEL.BAT，將該批處理文件放入計(jì)劃任務(wù)中，設(shè)為每次開機(jī)時(shí)運(yùn)行。文件內(nèi)容如下： NET SHARE C$ /DELETE NET SHARE D$ /DELETE NET SHARE E$ /DEL

7、ETE NET SHARE IPC$ /DELETE NET SHARE ADMIN$ /DELETE 方法二：修改系統(tǒng)注冊表，禁止默認(rèn)共享功能。在Local_Machine System CurrentControlSetServicesLanmanserverparameters下新建一個(gè)雙字節(jié)項(xiàng)“auto shareserver”，其值為“0”。 2、刪除多余的不需要的網(wǎng)絡(luò)協(xié)議 刪除網(wǎng)絡(luò)協(xié)議中的NWLink NetBIOS協(xié)議，NWLink IPX/SPX/NetBIOS 協(xié)議，NeBEUI PROtocol協(xié)議和服務(wù)等，只保留TCP/IP網(wǎng)絡(luò)通訊協(xié)議。 3、關(guān)閉不必要的有安全隱患的服務(wù)

8、 用戶可以根據(jù)實(shí)際情況，關(guān)閉表1中所示的系統(tǒng)自動(dòng)運(yùn)行的有安全隱患的服務(wù)。 表1需要關(guān)閉的服務(wù)表服務(wù)名稱 更改操作DHCP CLIENT 停止并禁用DNS CLIENT 停止并禁用REOMTE REGISTRY SERVECES 停止并禁用SNMP SERVICES 停止并禁用TELNET SERVICES 停止并禁用TERMINAL SERVICES 停止并禁用Workstation 停止并禁用Messenger 停止并禁用ClipBook 停止并禁用4、啟用安全策略 安全策略包括以下五個(gè)方面： （1）帳號(hào)鎖定策略。設(shè)置帳號(hào)鎖定閥值，5次無效登錄后，即鎖定帳號(hào)。 （2）密碼策略。一是密碼必須符

9、合復(fù)雜性要求，即密碼中必須包括字母、數(shù)字以及特殊字符，如：上檔鍵上的+_（）*&%$#!?><”:等特殊字符。二是服務(wù)器密碼長度最少設(shè)置為8位字符以上。三是密碼最長保留期。一般設(shè)置為1至3個(gè)月，即3090天。四是密碼最短存留期：3天。四是強(qiáng)制密碼歷史：0個(gè)記住的密碼。五是“為域中所有用戶使用可還原的加密來儲(chǔ)存密碼”，停用。 （3）審核策略。默認(rèn)安裝時(shí)是關(guān)閉的。激活此功能有利于管理員很好的掌握機(jī)器的狀態(tài)，有利于系統(tǒng)的入侵檢測?？梢詮娜罩局辛私獾綑C(jī)器是否在被人蠻力攻擊、非法的文件訪問等等。開啟安全審核是系統(tǒng)最基本的入侵檢測方法。當(dāng)攻擊者嘗試對用戶的系統(tǒng)進(jìn)行某些方式（如嘗試用戶口

10、令,改變賬號(hào)策略，未經(jīng)許可的文件訪問等等）入侵的時(shí)候，都會(huì)被安全審核記錄下來。避免不能及時(shí)察覺系統(tǒng)遭受入侵以致系統(tǒng)遭到破壞。建議至少審核登錄事件、帳戶登錄事件、帳戶管理三個(gè)事件。 （4）“用戶權(quán)利指派”。在“用戶權(quán)利指派”中，將“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”權(quán)限設(shè)置為禁止任何人有此權(quán)限，防止黑客從遠(yuǎn)程關(guān)閉系統(tǒng)。 （5）“安全選項(xiàng)”。在“安全選項(xiàng)”中，將“對匿名連接的額外限制”權(quán)限改為“不允許枚舉SAM帳號(hào)和共享”。也可以通過修改注冊表中的值來禁止建立空連接，將Local_Machine SystemCurrentControlSetControl LSA-RestrictAnonymous 的值改為“

11、1”。如在LSA目錄下如無該鍵值，可以新建一個(gè)雙字節(jié)值，名為“restrictanonymous”，值為“1”，十六進(jìn)制。此舉可以有效地防止利用IPC$空連接枚舉SAM帳號(hào)和共享資源，造成系統(tǒng)信息的泄露。 5、加強(qiáng)對Administrator帳號(hào)和Guest帳號(hào)的管理監(jiān)控 將Administrator帳號(hào)重新命名，創(chuàng)建一個(gè)陷阱賬號(hào)，名為“Administrator”，口令為10位以上的復(fù)雜口令，其權(quán)限設(shè)置成最低，即：將其設(shè)為不隸屬于任何一個(gè)組，并通過安全審核，借此發(fā)現(xiàn)攻擊者的入侵企圖。設(shè)置2個(gè)管理員用賬號(hào)，一個(gè)具有一般權(quán)限，用來處理一些日常事物；另一個(gè)具有Administrators 權(quán)限，只

12、在需要的時(shí)候使用。修改Guest用戶口令為復(fù)雜口令，并禁用GUEST用戶帳號(hào)。 6、禁止使用共享 嚴(yán)格限制用戶對共享目錄和文件的訪問，無特殊情況，嚴(yán)禁通過共享功能訪問服務(wù)器。 7、清除頁面文件 修改注冊表HKLMSYSTEMCurrentControlSetControl Session ManagerMemory Management中“ClearPageFileAtShutdown”的值為“1”，可以禁止系統(tǒng)產(chǎn)生頁面文件，防止信息泄露。 8、清除Dump文件 打開控制面板系統(tǒng)屬性高級(jí)啟動(dòng)和故障恢復(fù)，將“寫入調(diào)試信息”改成“無”，可以清除Dump文件，防止信息泄露。 9、WEB服務(wù)安全設(shè)置

13、確需提供WEB服務(wù)和FTP服務(wù)的，建議采取以下措施： （1）IIS-WEB網(wǎng)站服務(wù)。在安裝時(shí)不要選擇IIS服務(wù)，安裝完畢后，手動(dòng)添加該服務(wù)，將其安裝目錄設(shè)為如D:INTE等任意字符，以加大安全性。刪除INTERNET服務(wù)管理器，刪除樣本頁面和腳本，卸載INTERNET打印服務(wù)，刪除除ASP外的應(yīng)用程序映射。針對不同類型文件建立不同文件夾并設(shè)置不同權(quán)限。對腳本程序設(shè)為純腳本執(zhí)行許可權(quán)限，二進(jìn)制執(zhí)行文件設(shè)為腳本和可執(zhí)行程序權(quán)限，靜態(tài)文件設(shè)為讀權(quán)限。對安全掃描出的CGI漏洞文件要及時(shí)刪除。 （2）FTP文件傳輸服務(wù)。不要使用系統(tǒng)自帶的FTP服務(wù)，該服務(wù)與系統(tǒng)賬戶集成認(rèn)證，一旦密碼泄漏后果十分嚴(yán)重。建

14、議利用第三方軟件SERV-U提供FTP服務(wù)，該軟件用戶管理獨(dú)立進(jìn)行，并采用單向hash函數(shù)（MD5）加密用戶口令，加密后的口令保存在ServUDaemon.ini或是注冊表中。用戶采用多權(quán)限和模擬域進(jìn)行權(quán)限管理。虛擬路徑和物理路徑可以隨時(shí)變換。利用IP規(guī)則，用戶權(quán)限，用戶域，用戶口令多重保護(hù)防止非法入侵。利用攻擊規(guī)則可以自動(dòng)封閉拒絕攻擊，密碼猜解發(fā)起計(jì)算機(jī)的IP并計(jì)入黑名單。 三、結(jié)束語 以上是筆者根據(jù)多年的工作經(jīng)驗(yàn)總結(jié)的一點(diǎn)心得，有些地方研究的還不夠深入，希望本文能給操作系統(tǒng)安全防范工作提供幫助。日常管理工作中，系統(tǒng)管理員還必須及時(shí)安裝微軟發(fā)布的最新系統(tǒng)安全漏洞補(bǔ)丁程序，安裝防病毒軟件并及時(shí)

15、升級(jí)病毒定義庫，來防止計(jì)算機(jī)病毒的入侵，保障操作系統(tǒng)的安全運(yùn)行。 K/3系統(tǒng)與防火墻配置一、 名詞解釋防火墻（FireWall）是通過創(chuàng)建一個(gè)中心控制點(diǎn)來實(shí)現(xiàn)網(wǎng)絡(luò)安全控制的一種技術(shù)。通過在專用網(wǎng)和Internet之間的設(shè)置路卡、防火墻監(jiān)視所有出入專用網(wǎng)的信息流，并決定哪些是可以通過的，哪些是不可以的。安全的防火墻意味著網(wǎng)絡(luò)的安全。端口（Port）計(jì)算機(jī)用于通訊所使用的通道，如web用的端口80，開放的端口越多，則越容易被非法入侵。TCPTransmission Control Protocol的簡稱，是Internet上廣為使用的一種計(jì)算機(jī)協(xié)議。UDPUser Datagram Protoco

16、l的簡稱，Windows NT常使用的協(xié)議。DCOM分布式組件對象模型。二、 操作指南：由于安全性的問題，防火墻只允許通過Internet信息數(shù)據(jù)交換使用特定端口（如web用80），而DCOM創(chuàng)建對象時(shí)使用的是1024-65535之間的動(dòng)態(tài)port，并且由于防火墻的IP偽裝特性，這使DCOM在有防火墻的服務(wù)器上是不能進(jìn)行正常連接的，為解決此問題，需如下處理：（一） K3數(shù)據(jù)庫端口設(shè)置由于開放Port越多，則安全性越差，一般防火墻都關(guān)閉了大量端口，以防止非法入侵，但DCOM要使用大量的Ports，要解決二者的矛盾，可通過統(tǒng)一的RPC管理(遠(yuǎn)程過程調(diào)用)，（由RPC統(tǒng)一進(jìn)行創(chuàng)建DCOM對象所需的p

17、ort的映射處理）所以需在防火墻服務(wù)器上打開RPC端口135。具休操作如下：1、 運(yùn)行DCOMCNFG.EXE如下圖所示，選擇默認(rèn)協(xié)議面向連接的TCP/IP屬性添加端口范圍（至少5個(gè)以上），例如：4000-4005，當(dāng)然如果使用其他連續(xù)5個(gè)端口也可以，最后確定保存并重新啟動(dòng)計(jì)算機(jī)。2、為數(shù)據(jù)庫開放的端口：a) TCP端口：135（RPC）、1433（數(shù)據(jù)庫）、4000、4001、4002、4003、4004、4005（COM Internet 端口范圍）b) UDP端口：無2、 重新啟動(dòng)服務(wù)器即可。3、 測試（可選項(xiàng)）：打開網(wǎng)卡屬性TCP/IP高級(jí)選項(xiàng)，重新啟動(dòng)，使用中間層藏套管理測試是否正常。如下圖所示：（二） K3中間層端口設(shè)置具休操作如下：4、 運(yùn)行DCOMCNFG.EXE如下圖所示，選擇默認(rèn)協(xié)議面向連接的TCP/IP屬性添加端口范圍（至少35個(gè)以上,有多少個(gè)組件包，就必須設(shè)置開放相同數(shù)量連續(xù)端口），例如：4000-4035，當(dāng)然如果使用其他連續(xù)35個(gè)端口也可以，最后確定保存并重新啟動(dòng)計(jì)算機(jī)。