随着Internet/Intranet迅猛普及,Windows NT网络安全问题成为日常网络管理的中心问题。笔者结合在中小型校园网安全管理的实际工作经验,讨论Windows NT网的安全规划和在实际使用时应采取的安全策略,仅供参考。
制定安全策略的原则
所谓的网络安全是指为了保护网络不受来自网络内外的各种危害而采取的防范措施的总和。网络的安全策略就是针对网络的实际情况(被保护信息价值、被攻击危险性、可投入的资金),在网络管理的整个过程,具体对各种网络安全措施进行取舍。网络的安全策略可以说是在一定条件下的成本和效率的平衡。虽然网络的具体应用环境不同,但我们在制定安全策略时应遵循一些总的原则。
1.适应性原则:安全策略是在一定条件下采取的安全措施。我们制定的安全策略必须是和网络的实际应用环境相结合的。通常,在一种情况下实施的安全策略到另一环境下就未必适合。例如:校园网环境就必须允许匿名登录,而一般的企业网络的安全策略不允许匿名登录。
2.动态性原则:安全策略又是在一定时期采取的安全措施。由于用户在不断增加,网络规模在不断扩大,网络技术本身的发展变化也很快,而安全措施是防范性的、持续不断的,所以制定的安全措施必须不断适应网络发展和环境的变化。
3.简单性原则:网络用户越多,网络管理人员越多,网络拓扑越复杂,采用网络设备种类和软件种类越多,网络提供的服务和捆绑的协议越多,出现安全漏洞的可能性就越大,出现安全问题后找出问题原因和责任者的难度就越大。安全的网络是相对简单的网络。例如:最不安全的网络可以说是Internet。
4.系统性原则:网络的安全管理是一个系统化的工作,必须考虑到整个网络的方方面面。也就是在制定安全策略时,应全面考虑网络上各类用户、各种设备、各种情况,有计划有准备地采取相应的策略。任何一点疏漏都会造成整个网络安全性的降低。
以下的安全策略是基于NT网的中小型校园网。
网络规划时的安全策略
网络的安全性最好在网络规划阶段就要考虑进去,一些安全策略在网络规划时就要实施。
1、明确网络安全的责任人和安全策略的实施者。人是制定和执行网络安全策略的主体。对于小型网络来说网络管理员可以是网络安全责任人。
2、对网络上所有的服务器和网络设备,设置物理上的安全措施(防火、防盗)和环境上的安全措施(供电、温度)。对小型的局域网最好将网络上的公用服务器和主交换设备安置在一间中心机房内集中放置。
3、网络规划应考虑容错和备份。安全策略不可能保证网络绝对安全和硬件不出故障。我们的网络应允许网络出现的一些故障,并且可以很快从灾难中恢复。网络的主备份系统应位于中心机房。
4、如果你的网络与Internet有固定连接(静态的IP地址),只要资金允许最好在网络和Internet之间安装防火墙。
5、网络使用代理服务器访问Internet。不仅可以降低访问成本,而且隐藏了网络规模和特性,加强了网络的安全性。
网络管理员的安全策略
对于小型网络来说网络管理员一般承担安全管理员的角色。网络管理员采取的安全策略,最重要的是保证服务器的安全和分配好各类用户的权限。
1.网络管理员必须了解整个网络中的重要公共数据(限制写)和机密数据(限制读)分别是哪些,它在哪儿,哪些人使用,属于哪些人,丢失或泄密会造成怎样的损失。这些重要数据集中至位于中心机房的务器上,置于有安全经验的专人管理之下。
2.定期对各类用户进行安全培训。
3.服务器上只安装NT。不要安装Windows9x和DOS,确保服务器只能从NT启动。
4.服务器上所有的卷全部使用NTFS。
5.使用最新的Service Pack升级你的NT。
6.设置服务器的BIOS,不允许从可移动的存储设备(软驱、光驱、ZIP、SCIS设备)启动。确保服务器从NT启动置于NT安全机制管理之下。
7.通过BIOS设置软驱无效,并设置BIOS口令。防止非法用户利用控制台获取敏感数据,以及由软驱感染病毒到服务器。
8.取消服务器上不用的服务和协议种类。网络上的服务和协议越多安全性越差。
9.将服务器注册表HKEY_LOCAL_ MACHINESOFTWAREMicrosoft
WindowsNTCurrentVersionWinlogon项中的Don't Display Last User Name串数据修改为1,隐藏上次登陆控制台的用户名。
10.不要将服务器的Windows NT设置为自动登录,应使用NT Security对话框(Ctrl+Alt+Del)注册。
11.C/S软件的服务器端如果是用户模式运行的(即需要从服务器端登录),用NT Resource Kit中的Autoexnt将设为启动时自动运行形式。
12.系统文件和用户数据文件分别存储在不同的卷上。方便日常的安全管理和数据备份。
13.修改默认“Administrator”用户名,加上“强口令”(多于10个字符且必须包括数字和符号),最好再创建一个具有“强口令”的管理员特权的账号,使网络管理员账号不易被攻破。
14.管理员账号仅用于网络管理,不要在任何客户机上使用管理员账号。对属于Administrator组和备份组的成员用户要特别慎重。
15.记住口令文件保存在\WINNT SYSTEM32CONFIG目录的SAM文件中,\WINNTREPAIR目录中有SAM备份。对SAM文件写入、更改权限等进行审计。
16.鼓励用户将数据保存到服务器上。DOS和Windows9x客户机没有NT提供的安全性,所以不建议用户在本地硬盘上共享文件。
17.限制可以登录到有敏感数据的服务器的用户数。这样在出现问题时可以缩小怀疑范围。
18.利用Windows9x的“系统策略编辑器”建立策略文件,存入服务器,控制的Windows9x客户机的注册表。建议打开计算机策略中的“需要使用Network for Windows Access进行验证”、“登录到WindowsNT”/“禁用域口令缓冲”,控制Windows9x用户必须首先注册到网上。这样可以防止用户通过“放弃”使用Windows9x降低客户机安全。
19.通过“系统策略编辑器”可以进一步控制一般用户或组在Windows9x客户机上的行为。
20.不允许一般用户在服务器上拥有除读/执行以外的权限。NT本身不支持用户空间限制,这一点对校园网安全特别重要。
21.限制Guest账号的权限,最好不允许使用Guest账号。不要在Everyone组增加任何权限,因为Guest也属于该组。
22.一般不直接给用户赋权,而通过用户组分配用户权限。
23.新增用户时分配一个口令,并控制用户“首次登录必须更改口令”,最好进一步设置成口令的不低于6个字符,杜绝安全漏洞。
24.至少对用户“登录和注销”网络、“重新启动、关机及系统”、“安全规则更改”活动进行审计,但不要忘了过多的审计将影响系统性能。
针对提供Internet访问服务网络的策略
25.文件服务器不与Internet直接连接,设专用代理服务器;不允许客户机通过Modem连到Internet,形成在防火墙内的连接。
26.可以利用“TCP/IP安全”对话框,关闭Internet上机器不用的TCP/UDP端口,过滤流入服务器的请求,特别是限制使用TCP/UDP的137、138、139端口。
27.可以考虑将对外的Web服务器放在防火墙之外,隔离外界对内的访问以保护内部的敏感数据。
28.对只提供内部访问的服务器和客户机可以采用非TCP/IP协议实现连接,这样可以隔离Internet访问。
29.利用端口扫描工具,定期在防火墙外对网络内所有的服务器和客户进行端口扫描。
以下的策略针对提供远程访问服务情况
30.不允许除NT的RAS以外的机器应答远程访问请求。最好设专门的远程访问服务器,并将该服务器置于中心机房。
31.对于偶尔使用远程访问可以采用人工控制RAS服务的启动和停止。
32.对固定的用户最好采取回叫的方式实现远程连接。
33.通过RAS服务器的IP地址分配,限制远程用户的IP地址,进而利用防火墙控制和隔离远程访问客户。
34.对于远程访问的口令采取某种加密鉴别(如:MS-CHAP),以保证用户口令在远程线路上安全传送。
网络用户的安全策略
网络的安全不仅仅是网络管理员的事,网络上的每一个用户都有责任。网络用户应该了解下列安全策略:
1.用一个长且难猜的口令。不要将自己的口令告诉任何人。
2.清楚自己私有数据存储的位置,知道如何备份和恢复。
3.定期参加网络知识和网络安全的培训,了解网络安全知识,养成注意安全的工作习惯。
4.尽量不要在本地硬盘上共享文件,因为这样做将影响自己的机器安全。最好将共享文件存放在服务器上,既较安全又方便了他人随时使用文件。
5.设置客户机的BIOS,不允许从软驱启动。
6.通过“系统策略编辑器/注册表编辑器”控制在Windows9x工作站上“不显示最后一次登录的用户名”和“禁止使用口令缓存”。防止口令从缓存中被获取和最后一次登录的用户被利用。
7.设置有显示的(即非黑屏,防止误认为关机)屏幕保护,并且加上口令保护。
8.当你较长时间离开机器时一定要退出网络。
9.安装启动时病毒扫描软件。虽然绝大多数病毒对NT服务器不构成威胁,但会通过NT网在户端很快传播开来。
Internet有权用户需要了解的安全策略
由于Internet是在网络外部的,访问Internet有可能将机器至于不安全的环境,需要在上述安全策略基础上进一步采取下述的安全策略:
10.确认你的机器没有安装“文件和打印机共享”服务。因为Internet上的黑客,有机会通过这个服务获取和共享文件,从而可能造成对局部数据及网络安全的威胁。
11.不要通过Modem直接连接Internet。
12.不要下载安装未经安全认证的软件和插件。
13.WEB页面中的ActiveX,Java小应用、脚本可能泄漏你的秘密,可以禁止其在浏览器上运行。
14.发出电子邮件如果没有加密,信件有内容可能泄漏。收到的电子邮