k3系統(tǒng)網(wǎng)絡(luò)安全基本策略

1、精品資料一、操作系統(tǒng)安全隱患分析（一）安裝隱患在一臺(tái)服務(wù)器上安裝Windows 2000 Server操作系統(tǒng)時(shí)，主要存在以下隱患：1 、將服務(wù)器接入網(wǎng)絡(luò)內(nèi)安裝。Windows2000Server操作系統(tǒng)在安裝時(shí)存在一個(gè)安全漏洞，當(dāng)輸入Administrator密碼后，系統(tǒng)就自動(dòng)建立了ADMIN$的共享，但是并沒(méi)有用剛剛輸入的密碼來(lái)保護(hù)它，這種情況一直持續(xù)到再次啟動(dòng)后，在此期間， 任何人都可以通過(guò) ADMIN$ 進(jìn)入這臺(tái)機(jī)器；同時(shí)，只要安裝一結(jié)束，各種服務(wù)就會(huì)自動(dòng)運(yùn)行，而這時(shí)的服務(wù)器是滿身漏洞， 計(jì)算機(jī)病毒非常容易侵入。 因此，將服務(wù)器接入網(wǎng)絡(luò)內(nèi)安裝是非常錯(cuò)誤的。2 、操作系統(tǒng)與應(yīng)用系統(tǒng)共用一

2、個(gè)磁盤(pán)分區(qū)。在安裝操作系統(tǒng)時(shí)，將操作系統(tǒng)與應(yīng)用系統(tǒng)安裝在同一個(gè)磁盤(pán)分區(qū)， 會(huì)導(dǎo)致一旦操作系統(tǒng)文件泄露時(shí)， 攻擊者可以通過(guò)操作系統(tǒng)漏洞獲取應(yīng)用系統(tǒng)的訪問(wèn)權(quán)限，從而影響應(yīng)用系統(tǒng)的安全運(yùn)行。3 、采用 FAT32 文件格式安裝。 FAT32 文件格式不能限制用戶對(duì)文件的訪問(wèn)，這樣可以導(dǎo)致系統(tǒng)的不安全。4 、采用缺省安裝。 缺省安裝操作系統(tǒng)時(shí)， 會(huì)自動(dòng)安裝一些有安全隱患的組件， 如： IIS 、 DHCP 、 DNS 等，導(dǎo)致系統(tǒng)在安裝后存在安全漏洞。5 、系統(tǒng)補(bǔ)丁安裝不及時(shí)不全面。在系統(tǒng)安裝完成后，不及時(shí)安裝系統(tǒng)補(bǔ)丁程序，導(dǎo)致病毒侵入。（二）運(yùn)行隱患在系統(tǒng)運(yùn)行過(guò)程中，主要存在以下隱患：1 、默認(rèn)共享

3、。系統(tǒng)在運(yùn)行后，會(huì)自動(dòng)創(chuàng)建一些隱藏的共享。一是C$D$E$每個(gè)分區(qū)的根共享目錄。二是ADMIN$遠(yuǎn)程管理用的共享目錄。三是IPC$空連接。四是NetLogon共享。五是其它系統(tǒng)默認(rèn)共享，如：FAX$ 、 PRINT$ 共享等。這些默認(rèn)共享給系統(tǒng)的安全運(yùn)行帶來(lái)了很大的隱患。2 、默認(rèn)服務(wù)。 系統(tǒng)在運(yùn)行后， 自動(dòng)啟動(dòng)了許多有安全隱患的服務(wù)，如：Telnet services、DHCP Client、DNS Client、Print spooler、 Remote Registry services（選程修改注冊(cè)表服務(wù)）、 SNMPServices、Terminal Services等。這些服務(wù)在實(shí)

4、際工作中如不需要，可以禁用。3 、安全策略。系統(tǒng)運(yùn)行后，默認(rèn)情況下，系統(tǒng)的安全策略是不啟作用的，這降低了系統(tǒng)的運(yùn)行安全性?？删庉嬓薷木焚Y料4 、管理員帳號(hào)。系統(tǒng)在運(yùn)行后，Administrator用戶的帳號(hào)是不能被停用的，這意味著攻擊者可以一遍又一遍的嘗試猜測(cè)這個(gè)賬號(hào)的口令。此外，設(shè)置簡(jiǎn)單的用戶帳號(hào)口令也給系統(tǒng)的運(yùn)行帶來(lái)了隱患。5 、頁(yè)面文件。頁(yè)面文件是用來(lái)存儲(chǔ)沒(méi)有裝入內(nèi)存的程序和數(shù)據(jù)文件部分的隱藏文件。頁(yè)面文件中可能含有一些敏感的資料，有可能造成系統(tǒng)信息的泄露。6 、共享文件。默認(rèn)狀態(tài)下，每個(gè)人對(duì)新創(chuàng)建的文件共享都擁有完全控制權(quán)限，這是非常危險(xiǎn)的，應(yīng)嚴(yán)格限制用戶對(duì)共享文件的訪問(wèn)。7 、 D

5、ump 文件。 Dump 文件在系統(tǒng)崩潰和藍(lán)屏的時(shí)候是一份很有用的查找問(wèn)題的資料。然而， 它也能夠給攻擊者提供一些敏感信息，比如一些應(yīng)用程序的口令等，造成信息泄露。8 、 WEB 服務(wù)。系統(tǒng)本身自帶的 IIS 服務(wù)、 FTP 服務(wù)存在安全隱患，容易導(dǎo)致系統(tǒng)被攻擊。二、安全防范對(duì)策（一）安裝對(duì)策在進(jìn)行系統(tǒng)安裝時(shí)，采取以下對(duì)策：1 、在完全安裝、配置好操作系統(tǒng)，給系統(tǒng)全部安裝系統(tǒng)補(bǔ)丁之前，一定不要把機(jī)器接入網(wǎng)絡(luò)。2 、在安裝操作系統(tǒng)時(shí)，建議至少分三個(gè)磁盤(pán)分區(qū)。第一個(gè)分區(qū)用來(lái)安裝操作系統(tǒng)，第二分區(qū)存放 IIS 、 FTP 和各種應(yīng)用程序，第三個(gè)分區(qū)存放重要的數(shù)據(jù)和日志文件。3 、采用 NTFS 文件

6、格式安裝操作系統(tǒng)，可以保證文件的安全，控制用戶對(duì)文件的訪問(wèn)權(quán)限。4 、在安裝系統(tǒng)組件時(shí)，不要采用缺省安裝，刪除系統(tǒng)缺省選中的IIS 、 DHCP 、DNS等服務(wù)。5 、在安裝完操作系統(tǒng)后，應(yīng)先安裝在其上面的應(yīng)用系統(tǒng)，后安裝系統(tǒng)補(bǔ)丁。安裝系統(tǒng)補(bǔ)丁一定要全面。（二）運(yùn)行對(duì)策在系統(tǒng)運(yùn)行時(shí)，采取以下對(duì)策：可編輯修改精品資料1 、關(guān)閉系統(tǒng)默認(rèn)共享方法一：采用批處理文件在系統(tǒng)啟動(dòng)后自動(dòng)刪除共享。首選在Cmd提示符下輸入“ Net Share ”命令，查看系統(tǒng)自動(dòng)運(yùn)行的所有共享目錄。然后建立一個(gè)批處理文件 SHAREDEL.BAT ，將該批處理文件放入計(jì)劃任務(wù)中，設(shè)為每次開(kāi)機(jī)時(shí)運(yùn)行。文件內(nèi)容如下：NET S

7、HARE C$ /DELETENET SHARE D$ /DELETENET SHARE E$ /DELETENET SHARE IPC$ /DELETENET SHARE ADMIN$ /DELETE方法二：修改系統(tǒng)注冊(cè)表，禁止默認(rèn)共享功能。在Local_MachineSystemCurrentControlSetServicesLanmanserverparameters下新建一個(gè)雙字節(jié)項(xiàng)“ autoshareserver”，其值為“ 0 ”。2 、刪除多余的不需要的網(wǎng)絡(luò)協(xié)議刪除網(wǎng)絡(luò)協(xié)議中的NWLinkNetBIOS協(xié)議， NWLinkIPX/SPX/NetBIOS協(xié)議，NeBEUI PR

8、Otocol協(xié)議和服務(wù)等，只保留TCP/IP網(wǎng)絡(luò)通訊協(xié)議。3 、關(guān)閉不必要的有安全隱患的服務(wù)用戶可以根據(jù)實(shí)際情況，關(guān)閉表1 中所示的系統(tǒng)自動(dòng)運(yùn)行的有安全隱患的服務(wù)。表 1需要關(guān)閉的服務(wù)表服務(wù)名稱更改操作DHCP CLIENT停止并禁用DNS CLIENT停止并禁用REOMTE REGISTRY SERVECES停止并禁用SNMP SERVICES停止并禁用TELNET SERVICES停止并禁用TERMINAL SERVICES停止并禁用Workstation停止并禁用Messenger停止并禁用可編輯修改精品資料ClipBook停止并禁用4 、啟用安全策略安全策略包括以下五個(gè)方面：（ 1 ）

9、帳號(hào)鎖定策略。設(shè)置帳號(hào)鎖定閥值，5 次無(wú)效登錄后，即鎖定帳號(hào)。（ 2）密碼策略。一是密碼必須符合復(fù)雜性要求，即密碼中必須包括字母、數(shù)字以及特殊字符，如：上檔鍵上的+_（） *&%$#!?><”:等特殊字符。二是服務(wù)器密碼長(zhǎng)度最少設(shè)置為 8 位字符以上。三是密碼最長(zhǎng)保留期。一般設(shè)置為1 至 3 個(gè)月，即30 90 天。四是密碼最短存留期： 3 天。四是強(qiáng)制密碼歷史： 0 個(gè)記住的密碼。五是“為域中所有用戶使用可還原的 加密 來(lái)儲(chǔ)存密碼”，停用。（ 3）審核策略。默認(rèn)安裝時(shí)是關(guān)閉的。激活此功能有利于管理員很好的掌握機(jī)器的狀態(tài)，有利于系統(tǒng)的入侵檢測(cè) ?？梢詮娜罩局辛私獾綑C(jī)器是否在

10、被人蠻力攻擊、非法的文件訪問(wèn)等等。 開(kāi)啟安全審核是系統(tǒng)最基本的入侵檢測(cè)方法。當(dāng)攻擊者嘗試對(duì)用戶的系統(tǒng)進(jìn)行某些方式（如嘗試用戶口令,改變賬號(hào)策略，未經(jīng)許可的文件訪問(wèn)等等）入侵的時(shí)候，都會(huì)被安全審核記錄下來(lái)。 避免不能及時(shí)察覺(jué)系統(tǒng)遭受入侵以致系統(tǒng)遭到破壞。建議至少審核登錄事件、帳戶登錄事件、帳戶管理三個(gè)事件。（ 4 ）“用戶權(quán)利指派”。在“用戶權(quán)利指派”中，將“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”權(quán)限設(shè)置為禁止任何人有此權(quán)限，防止 黑客 從遠(yuǎn)程關(guān)閉系統(tǒng)。（ 5 ）“安全選項(xiàng)”。在“安全選項(xiàng)”中，將“對(duì)匿名連接的額外限制”權(quán)限改為“不允許枚舉 SAM 帳號(hào)和共享”。也可以通過(guò)修改注冊(cè)表中的值來(lái)禁止建立空連接，將Lo

11、cal_Machine SystemCurrentControlSetControl LSA-RestrictAnonymous的值改為“ 1 ”。如在LSA 目錄下如無(wú)該鍵值，可以新建一個(gè)雙字節(jié)值，名為“restrictanonymous”，值為“ 1 ”，十六進(jìn)制。此舉可以有效地防止利用IPC$ 空連接枚舉 SAM 帳號(hào)和共享資源，造成系統(tǒng)信息的泄露。5 、加強(qiáng)對(duì)Administrator帳號(hào)和 Guest帳號(hào)的管理監(jiān)控將 Administrator帳號(hào)重新命名，創(chuàng)建一個(gè)陷阱賬號(hào)，名為“Administrator”，口令為 10 位以上的復(fù)雜口令，其權(quán)限設(shè)置成最低，即：將其設(shè)為不隸屬于任何

12、一個(gè)組，并通過(guò)安全審核，借此發(fā)現(xiàn)攻擊者的入侵企圖。設(shè)置2 個(gè)管理員用賬號(hào)，一個(gè)具有一般權(quán)限，用來(lái)處理一些日常事物；另一個(gè)具有 Administrators 權(quán)限，只在需要的時(shí)候使用。修改 Guest 用戶口令為復(fù)雜口令，并禁用 GUEST 用戶帳號(hào)。6 、禁止使用共享嚴(yán)格限制用戶對(duì)共享目錄和文件的訪問(wèn)，無(wú)特殊情況，嚴(yán)禁通過(guò)共享功能訪問(wèn)服務(wù)器。7 、清除頁(yè)面文件可編輯修改精品資料修改注冊(cè)表HKLMSYSTEMCurrentControlSetControl SessionManagerMemory Management中“ ClearPageFileAtShutdown”的值為“ 1 ”，可以禁

13、止系統(tǒng)產(chǎn)生頁(yè)面文件，防止信息泄露。8 、清除 Dump文件打開(kāi)控制面板系統(tǒng)屬性高級(jí)啟動(dòng)和故障恢復(fù)，將“寫(xiě)入調(diào)試信息”改成“無(wú)”，可以清除 Dump 文件，防止信息泄露。9 、 WEB服務(wù)安全設(shè)置確需提供 WEB服務(wù)和 FTP 服務(wù)的，建議采取以下措施：（ 1 ）IIS-WEB網(wǎng)站服務(wù)。 在安裝時(shí)不要選擇IIS 服務(wù)，安裝完畢后， 手動(dòng)添加該服務(wù)，將其安裝目錄設(shè)為如D:INTE等任意字符， 以加大安全性。 刪除 INTERNET服務(wù)管理器，刪除樣本頁(yè)面和腳本，卸載INTERNET打印服務(wù)，刪除除ASP 外的應(yīng)用程序映射。針對(duì)不同類型文件建立不同文件夾并設(shè)置不同權(quán)限。對(duì)腳本程序設(shè)為純腳本執(zhí)行許可權(quán)

14、限，二進(jìn)制執(zhí)行文件設(shè)為腳本和可執(zhí)行程序權(quán)限，靜態(tài)文件設(shè)為讀權(quán)限。對(duì)安全掃描出的CGI 漏洞文件要及時(shí)刪除。（ 2 ） FTP 文件傳輸服務(wù)。不要使用系統(tǒng)自帶的FTP 服務(wù)，該服務(wù)與系統(tǒng)賬戶集成認(rèn)證，一旦密碼泄漏后果十分嚴(yán)重。建議利用第三方軟件SERV-U提供 FTP 服務(wù)，該軟件用戶管理獨(dú)立進(jìn)行，并采用單向hash函數(shù)（ MD5 ）加密用戶口令，加密后的口令保存在ServUDaemon.ini或是注冊(cè)表中。用戶采用多權(quán)限和模擬域進(jìn)行權(quán)限管理。虛擬路徑和物理路徑可以隨時(shí)變換。利用IP 規(guī)則，用戶權(quán)限，用戶域，用戶口令多重保護(hù)防止非法入侵。利用攻擊規(guī)則可以自動(dòng)封閉拒絕攻擊，密碼猜解發(fā)起計(jì)算機(jī)的IP

15、 并計(jì)入黑名單。三、結(jié)束語(yǔ)以上是筆者根據(jù)多年的工作經(jīng)驗(yàn)總結(jié)的一點(diǎn)心得，有些地方研究的還不夠深入，希望本文能給操作系統(tǒng)安全防范工作提供幫助。日常管理工作中， 系統(tǒng)管理員還必須及時(shí)安裝微軟發(fā)布的最新系統(tǒng)安全漏洞補(bǔ)丁程序， 安裝防病毒軟件并及時(shí)升級(jí)病毒定義庫(kù)， 來(lái)防止計(jì)算機(jī)病毒的入侵，保障操作系統(tǒng)的安全運(yùn)行。K/3系統(tǒng)與防火墻配置一、名詞解釋防火墻（ FireWall）是通過(guò)創(chuàng)建一個(gè)中心控制點(diǎn)來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全控制的一種技術(shù)。通過(guò)在專用網(wǎng)和Internet之間的設(shè)置路卡、防火墻監(jiān)視所有出入專用網(wǎng)的信息流，并決定哪些是可以通過(guò)的，哪些是不可以的。安全的防火墻意味著網(wǎng)絡(luò)的安全。端口（ Port ）計(jì)算機(jī)用于

16、通訊所使用的通道，如web 用的端口80 ，開(kāi)放的端口越多，則越容易被非法入侵。TCP Transmission Control Protocol的簡(jiǎn)稱，是Internet上廣為使用的一種計(jì)算機(jī)協(xié)議。可編輯修改精品資料UDP User Datagram Protocol的簡(jiǎn)稱， Windows NT常使用的協(xié)議。DCOM 分布式組件對(duì)象模型。二、操作指南：由于安全性的問(wèn)題，防火墻只允許通過(guò)Internet信息數(shù)據(jù)交換使用特定端口（如web用 80 ），而 DCOM創(chuàng)建對(duì)象時(shí)使用的是1024-65535之間的動(dòng)態(tài)port ，并且由于防火墻的 IP 偽裝特性，這使 DCOM 在有防火墻的服務(wù)器上是

17、不能進(jìn)行正常連接的，為解決此問(wèn)題，需如下處理：（ 一） K3 數(shù)據(jù)庫(kù)端口設(shè)置由于開(kāi)放 Port 越多，則安全性越差， 一般防火墻都關(guān)閉了大量端口，以防止非法入侵，但 DCOM要使用大量的Ports ，要解決二者的矛盾，可通過(guò)統(tǒng)一的RPC 管理 (遠(yuǎn)程過(guò)程調(diào)用)，（由 RPC 統(tǒng)一進(jìn)行創(chuàng)建 DCOM 對(duì)象所需的 port 的映射處理）所以需在防火墻服務(wù)器上打開(kāi) RPC 端口 135 。具休操作如下：1、 運(yùn)行 DCOMCNFG.EXE如下圖所示， 選擇默認(rèn)協(xié)議面向連接的 TCP/IP 屬性添加端口范圍 （至少 5 個(gè)以上），例如： 4000-4005 ，當(dāng)然如果使用其他連續(xù) 5 個(gè)端口也可以，最

18、后確定保存并重新啟動(dòng)計(jì)算機(jī)。2 、為數(shù)據(jù)庫(kù)開(kāi)放的端口：a) TCP 端口： 135 （ RPC ）、1433 （數(shù)據(jù)庫(kù)）、4000 、4001 、4002 、4003 、4004 、4005 （COM Internet端口范圍）可編輯修改精品資料b) UDP 端口：無(wú)2、 重新啟動(dòng)服務(wù)器即可。3、 測(cè)試（可選項(xiàng)） ：打開(kāi)網(wǎng)卡屬性 TCP/IP 高級(jí)選項(xiàng)，重新啟動(dòng)，使用中間層藏套管理測(cè)試是否正常。如下圖所示：（二）K3中間層端口設(shè)置具休操作如下：4、 運(yùn)行 DCOMCNFG.EXE如下圖所示，選擇默認(rèn)協(xié)議面向連接的TCP/IP屬性添加端口范圍（至少35 個(gè)以上 ,有多少個(gè)組件包，就必須設(shè)置開(kāi)放相同數(shù)量連續(xù)端口），例如： 4000-4035，當(dāng)然如果使用其他連續(xù)35 個(gè)端口也可以，最后確定保存并重新啟動(dòng)計(jì)算機(jī)?？删庉嬓薷木焚Y料2 、為中間層開(kāi)放的端口：A 、