k3系統(tǒng)網(wǎng)絡(luò)安全基本策略

1、精品資料一、操作系統(tǒng)安全隱患分析（一）安裝隱患在一臺服務(wù)器上安裝 Windows 2000 Server 操作系統(tǒng)時，主要存在以下隱患：1 、將服務(wù)器接入網(wǎng)絡(luò)內(nèi)安裝。 Windows2000 Server 操作系統(tǒng)在安裝時存在一個安 全漏洞，當(dāng)輸入 Administrator 密碼后，系統(tǒng)就自動建立了 ADMIN$ 的共享，但是并沒有 用剛剛輸入的密碼來保護(hù)它， 這種情況一直持續(xù)到再次啟動后， 在此期間， 任何人都可以通 過 ADMIN$ 進(jìn)入這臺機(jī)器；同時，只要安裝一結(jié)束，各種服務(wù)就會自動運(yùn)行，而這時的服 務(wù)器是滿身漏洞， 計(jì)算機(jī)病毒非常容易侵入。 因此，將服務(wù)器接入網(wǎng)絡(luò)內(nèi)安裝是非常錯誤的。

2、2、操作系統(tǒng)與應(yīng)用系統(tǒng)共用一個磁盤分區(qū)。在安裝操作系統(tǒng)時，將操作系統(tǒng)與應(yīng)用系 統(tǒng)安裝在同一個磁盤分區(qū)， 會導(dǎo)致一旦操作系統(tǒng)文件泄露時， 攻擊者可以通過操作系統(tǒng)漏洞 獲取應(yīng)用系統(tǒng)的訪問權(quán)限，從而影響應(yīng)用系統(tǒng)的安全運(yùn)行。3 、采用 FAT32 文件格式安裝。 FAT32 文件格式不能限制用戶對文件的訪問，這樣可 以導(dǎo)致系統(tǒng)的不安全。4、 采用缺省安裝。缺省安裝操作系統(tǒng)時， 會自動安裝一些有安全隱患的組件，女如: IIS、 DHCP 、 DNS 等，導(dǎo)致系統(tǒng)在安裝后存在安全漏洞。5、系統(tǒng)補(bǔ)丁安裝不及時不全面。在系統(tǒng)安裝完成后，不及時安裝系統(tǒng)補(bǔ)丁程序，導(dǎo)致 病毒侵入。（二）運(yùn)行隱患在系統(tǒng)運(yùn)行過程中，主

3、要存在以下隱患：1、 默認(rèn)共享。系統(tǒng)在運(yùn)行后，會自動創(chuàng)建一些隱藏的共享。一是C$ D$ E$ 每個分 區(qū)的根共享目錄。二是 ADMIN$ 遠(yuǎn)程管理用的共享目錄。三是 IPC$ 空連接。四是 NetLogon 共享。五是其它系統(tǒng)默認(rèn)共享，如： FAX$ 、 PRINT$ 共享等。這些默認(rèn)共享給 系統(tǒng)的安全運(yùn)行帶來了很大的隱患。2、默認(rèn)服務(wù)。 系統(tǒng)在運(yùn)行后， 自動啟動了許多有安全隱患的服務(wù)， 如： Telnet services 、 DHCP Client 、 DNS Client 、 Print spooler 、 Remote Registry services （選程修改注冊 表服務(wù)）、 S

4、NMP Services 、 Terminal Services 等。這些服務(wù)在實(shí)際工作中如不需要， 可以禁用。3、安全策略。系統(tǒng)運(yùn)行后，默認(rèn)情況下，系統(tǒng)的安全策略是不啟作用的，這降低了系 統(tǒng)的運(yùn)行安全性。4 、管理員帳號。系統(tǒng)在運(yùn)行后， Administrator 用戶的帳號是不能被停用的，這意味 著攻擊者可以一遍又一遍的嘗試猜測這個賬號的口令。 此外， 設(shè)置簡單的用戶帳號口令也給 系統(tǒng)的運(yùn)行帶來了隱患。5、頁面文件。頁面文件是用來存儲沒有裝入內(nèi)存的程序和數(shù)據(jù)文件部分的隱藏文件。 頁面文件中可能含有一些敏感的資料，有可能造成系統(tǒng)信息的泄露。6、共享文件。默認(rèn)狀態(tài)下，每個人對新創(chuàng)建的文件共享都

5、擁有完全控制權(quán)限，這是非 常危險的，應(yīng)嚴(yán)格限制用戶對共享文件的訪問。7、Dump 文件。 Dump 文件在系統(tǒng)崩潰和藍(lán)屏的時候是一份很有用的查找問題的資 料。然而， 它也能夠給攻擊者提供一些敏感信息， 比如一些應(yīng)用程序的口令等，造成信息泄 >fe露。8、WEB 服務(wù)。系統(tǒng)本身自帶的 IIS 服務(wù)、 FTP 服務(wù)存在安全隱患，容易導(dǎo)致系統(tǒng)被 攻擊。二、安全防范對策（一）安裝對策在進(jìn)行系統(tǒng)安裝時，采取以下對策：1、在完全安裝、配置好操作系統(tǒng)，給系統(tǒng)全部安裝系統(tǒng)補(bǔ)丁之前，一定不要把機(jī)器接 入網(wǎng)絡(luò)。2、在安裝操作系統(tǒng)時，建議至少分三個磁盤分區(qū)。第一個分區(qū)用來安裝操作系統(tǒng)，第 二分區(qū)存放 IIS

6、、 FTP 和各種應(yīng)用程序，第三個分區(qū)存放重要的數(shù)據(jù)和日志文件。3 、采用 NTFS 文件格式安裝操作系統(tǒng)，可以保證文件的安全，控制用戶對文件的訪問 權(quán)限。4、在安裝系統(tǒng)組件時，不要采用缺省安裝，刪除系統(tǒng)缺省選中的IIS 、DHCP 、DNS等服務(wù)。5、在安裝完操作系統(tǒng)后，應(yīng)先安裝在其上面的應(yīng)用系統(tǒng)，后安裝系統(tǒng)補(bǔ)丁。安裝系統(tǒng) 補(bǔ)丁一定要全面。（二）運(yùn)行對策在系統(tǒng)運(yùn)行時，采取以下對策：1 、關(guān)閉系統(tǒng)默認(rèn)共享方法一：采用批處理文件在系統(tǒng)啟動后自動刪除共享。 首選在 Cmd 提示符下輸入 Net Share ”命令，查看系統(tǒng)自動運(yùn)行的所有共享目錄。然后建立一個批處理文件SHAREDEL.BAT 下：

7、，將該批處理文件放入計(jì)劃任務(wù)中，設(shè)為每次開機(jī)時運(yùn)行。文件內(nèi)容如NET SHARE C$ /DELETENET SHARE D$ /DELETENET SHARE E$ /DELETENET SHARE IPC$ /DELETENET SHARE ADMIN$ /DELETE方法二：修改系統(tǒng)注冊表，禁止默認(rèn)共享功能。在 Local_Machine System CurrentControlSetServicesLanmanserverparameters 下新建一個雙字節(jié)項(xiàng) “ auto shareserver ”，其值為“ 0 ”。2、刪除多余的不需要的網(wǎng)絡(luò)協(xié)議刪除網(wǎng)絡(luò)協(xié)議中的 NWLink

8、NetBIOS 協(xié)議， NWLink IPX/SPX/NetBIOS 協(xié)議， NeBEUI PROtocol 協(xié)議和服務(wù)等，只保留 TCP/IP 網(wǎng)絡(luò)通訊協(xié)議。3、關(guān)閉不必要的有安全隱患的服務(wù)用戶可以根據(jù)實(shí)際情況，關(guān)閉表 1 中所示的系統(tǒng)自動運(yùn)行的有安全隱患的服務(wù)。更改操作 停止并禁用 停止并禁用 停止并禁用 停止并禁用 停止并禁用 停止并禁用 停止并禁用 停止并禁用表 1 需要關(guān)閉的服務(wù)表服務(wù)名稱DHCP CLIENTDNS CLIENTREOMTE REGISTRY SERVECESSNMP SERVICESTELNET SERVICESTERMINAL SERVICESWorkstati

9、onMessengerClipBook 停止并禁用4 、啟用安全策略安全策略包括以下五個方面：( 1)帳號鎖定策略。設(shè)置帳號鎖定閥值，5 次無效登錄后，即鎖定帳號。(2)密碼策略。一是密碼必須符合復(fù)雜性要求，即密碼中必須包括字母、數(shù)字以及特殊字符，如：上檔鍵上的+_ () *&人$#!?><” ：等特殊字符。二是服務(wù)器密碼長度最少設(shè)置為 8 位字符以上。三是密碼最長保留期。一般設(shè)置為 1 至 3 個月，即 30 90 天。 四是密碼最短存留期： 3 天。四是強(qiáng)制密碼歷史： 0 個記住的密碼。五是“為域中所有用戶 使用可還原的 加密 來儲存密碼”，停用。( 3)審核策略。默認(rèn)

10、安裝時是關(guān)閉的。激活此功能有利于管理員很好的掌握機(jī)器的狀 態(tài)，有利于系統(tǒng)的 入侵檢測 ?？梢詮娜罩局辛私獾綑C(jī)器是否在被人蠻力攻擊、非法的文件訪 問等等。 開啟安全審核是系統(tǒng)最基本的入侵檢測方法。 當(dāng)攻擊者嘗試對用戶的系統(tǒng)進(jìn)行某些 方式(如嘗試用戶口令 ,改變賬號策略，未經(jīng)許可的文件訪問等等)入侵的時候，都會被安 全審核記錄下來。 避免不能及時察覺系統(tǒng)遭受入侵以致系統(tǒng)遭到破壞。 建議至少審核登錄事 件、帳戶登錄事件、帳戶管理三個事件。( 4 )“用戶權(quán)利指派”。在“用戶權(quán)利指派”中，將“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”權(quán)限設(shè) 置為禁止任何人有此權(quán)限，防止 黑客 從遠(yuǎn)程關(guān)閉系統(tǒng)。( 5)“安全選項(xiàng)”。在“安全

11、選項(xiàng)”中，將“對匿名連接的額外限制”權(quán)限改為“不 允許枚舉 SAM 帳號和共享”。也可以通過修改注冊表中的值來禁止建立空連接，將 Local_Machine SystemCurrentControlSetControl LSA-RestrictAnonymous 的值改為“ 1 ”。如在 LSA 目錄下如無該鍵值，可以新建一個雙字節(jié)值，名為 “restrictanonymous”，值為“ 1 ”，十六進(jìn)制。此舉可以有效地防止利用 IPC$ 空連接枚舉 SAM 帳號和共享資源，造成系統(tǒng)信息的泄露。5、加強(qiáng)對 Administrator 帳號和 Guest 帳號的管理監(jiān)控將 Administrat

12、or 帳號重新命名，創(chuàng)建一個陷阱賬號，名為“ Administrator ”，口 令為 10 位以上的復(fù)雜口令，其權(quán)限設(shè)置成最低，即：將其設(shè)為不隸屬于任何一個組，并通 過安全審核，借此發(fā)現(xiàn)攻擊者的入侵企圖。設(shè)置 2 個管理員用賬號，一個具有一般權(quán)限， 用來處理一些日常事物；另一個具有 Administrators 權(quán)限，只在需要的時候使用。修改 Guest 用戶口令為復(fù)雜口令，并禁用 GUEST 用戶帳號。6、禁止使用共享嚴(yán)格限制用戶對共享目錄和文件的訪問，無特殊情況，嚴(yán)禁通過共享功能訪問服務(wù)器。7、清除頁面文件修改注冊表 HKLMSYSTEMCurrentControlSetControl

13、SessionManagerMemory Management 中“ ClearPageFileAtShutdown”的值為“ 1”，可以禁止系統(tǒng)產(chǎn)生頁面文件，防止信息泄露。8 、清除 Dump 文件打開控制面板系統(tǒng)屬性高級啟動和故障恢復(fù)，將“寫入調(diào)試信息”改成“無”， 可以清除 Dump 文件，防止信息泄露。9、WEB 服務(wù)安全設(shè)置確需提供 WEB 服務(wù)和 FTP 服務(wù)的，建議采取以下措施：（ 1）IIS-WEB 網(wǎng)站服務(wù)。 在安裝時不要選擇 IIS 服務(wù)， 安裝完畢后， 手動添加該服務(wù)， 將其安裝目錄設(shè)為如 D:INTE 等任意字符， 以加大安全性。 刪除 INTERNET 服務(wù)管理器，

14、刪除樣本頁面和腳本，卸載 INTERNET 打印服務(wù)，刪除除 ASP 外的應(yīng)用程序映射。針對不 同類型文件建立不同文件夾并設(shè)置不同權(quán)限。 對腳本程序設(shè)為純腳本執(zhí)行許可權(quán)限， 二進(jìn)制 執(zhí)行文件設(shè)為腳本和可執(zhí)行程序權(quán)限，靜態(tài)文件設(shè)為讀權(quán)限。對安全掃描出的CGI 漏洞文件要及時刪除。（ 2）FTP 文件傳輸服務(wù)。不要使用系統(tǒng)自帶的FTP 服務(wù)，該服務(wù)與系統(tǒng)賬戶集成認(rèn)證，一旦密碼泄漏后果十分嚴(yán)重。建議利用第三方軟件 SERV-U 提供 FTP 服務(wù)，該軟件用 戶管理獨(dú)立進(jìn)行，并采用單向 hash 函數(shù)（ MD5 ）加密用戶口令，加密后的口令保存在 ServUDaemon.ini 或是注冊表中。 用戶采

15、用多權(quán)限和模擬域進(jìn)行權(quán)限管理。 虛擬路徑和物 理路徑可以隨時變換。利用 IP 規(guī)則，用戶權(quán)限，用戶域，用戶口令多重保護(hù)防止非法入侵。 利用攻擊規(guī)則可以自動封閉拒絕攻擊，密碼猜解發(fā)起計(jì)算機(jī)的IP 并計(jì)入黑名單。三、結(jié)束語以上是筆者根據(jù)多年的工作經(jīng)驗(yàn)總結(jié)的一點(diǎn)心得， 有些地方研究的還不夠深入， 希望本 文能給操作系統(tǒng)安全防范工作提供幫助。 日常管理工作中， 系統(tǒng)管理員還必須及時安裝微軟 發(fā)布的最新系統(tǒng)安全漏洞補(bǔ)丁程序， 安裝防病毒軟件并及時升級病毒定義庫， 來防止計(jì)算機(jī) 病毒的入侵，保障操作系統(tǒng)的安全運(yùn)行。K/3 系統(tǒng)與防火墻配置一、名詞解釋防火墻（ FireWall ）是通過創(chuàng)建一個中心控制點(diǎn)來

16、實(shí)現(xiàn)網(wǎng)絡(luò)安全控制的一種技術(shù)。 通過在專用網(wǎng)和 Internet 之間的設(shè)置路卡、防火墻監(jiān)視所有出入專用網(wǎng)的信息流，并決定 哪些是可以通過的，哪些是不可以的。安全的防火墻意味著網(wǎng)絡(luò)的安全。端口（ Port ）計(jì)算機(jī)用于通訊所使用的通道，如web 用的端口 80 ，開放的端口越多，則越容易被非法入侵。TCP Transmission Control Protocol的簡稱，是 Internet 上廣為使用的一種計(jì)算機(jī)協(xié)議。UDPUSer Datagram Protocol的簡稱，Win dows NT 常使用的協(xié)議。DCoM分布式組件對象模型。二、操作指南：由于安全性的問題，防火墻只允許通過In

17、ternet信息數(shù)據(jù)交換使用特定端口（如 Web用80 ）,而DCOM 創(chuàng)建對象時使用的是 1024-65535 之間的動態(tài)port ,并且由于防火墻 的IP偽裝特性，這使 DCOM在有防火墻的服務(wù)器上是不能進(jìn)行正常連接的，為解決此問 題，需如下處理：（一） K3數(shù)據(jù)庫端口設(shè)置由于開放Port越多，則安全性越差，一般防火墻都關(guān)閉了大量端口，以防止非法入侵，但DCOM要使用大量的Ports ,要解決二者的矛盾，可通過統(tǒng)一的RPC管理（遠(yuǎn)程過程調(diào)用），（由RPC統(tǒng)一進(jìn)行創(chuàng)建 DCOM對象所需的port的映射處理）所以需在防火墻服務(wù)器 上打開 RPC端口 135。具休操作如下：1、運(yùn)行 DCOMCN

18、FG.EXE如下圖所示，選擇默認(rèn)協(xié)議面向連接的TCP/IP 屬性添加端口范圍（至少5個以上），例如：4000-4005 ,當(dāng)然如果使用其他連續(xù) 5個端口也可以，最后確定保存并重 新啟動計(jì)算機(jī)。2、為數(shù)據(jù)庫開放的端口：a） TCP 端口： 135（ RPC ）、1433 （數(shù)據(jù)庫）、4000、4001、4002、4003、 4004、4005 （ COM Internet端口范圍）b） UDP 端口：無2、重新啟動服務(wù)器即可。3、測試（可選項(xiàng)）：打開網(wǎng)卡屬性 TCP/IP 高級選項(xiàng)，重新啟動，使用中間層藏 套管理測試是否正常。如下圖所示：YIM2選項(xiàng)可編輯修改描謹(jǐn)：TCP/IP 1 TCF/IF険流:主部允許D：?只允許（IJ:全部尤許©O'OiTCFI> 端.典巨啟用 TCmF (rise) ¢)®全都允許C只允許（L）IF廊觀取消（二）K3中間層端口設(shè)置具休操作如下：4、運(yùn)行 DCOMCNFG.EXE如下圖所示，選擇默認(rèn)協(xié)議面向連接的TCP/IP 屬性添加端口范圍（至少 35個以上,有多少個組件包，就必須設(shè)置開放相同數(shù)量連續(xù)端口），例如：4000-4035 ,當(dāng)然如果使用其他連續(xù) 35個端口也可以，最后確定保存