《从细微处做起 全面打造系统安全》由会员分享,可在线阅读,更多相关《从细微处做起 全面打造系统安全(13页珍藏版)》请在金锄头文库上搜索。
1、从细微处做起 全面打造系统安全(1)提到系统安全 这样的字眼,相信多数人会条件反射地想到各种防火墙工具、防病毒软件等,并且会片面认为只要在系统中有了它们的存在,系统安全就会高枕无忧。其实,系统的安全单纯靠防 是防不住的,还需要你有足够的安全意识。你对系统进行操作的一举一动都可能在系统暗角 留下访问痕迹,这些痕迹要是不 及时被清理的话,就很有可能会招来安全麻烦,甚至带来安全伤害;为了保证系统绝对安全,你平时就应该着重细处,及时对系统暗角 的各种隐私痕迹进行清 理,以防止这些隐私给你带来安全威胁。当然,如何利用各种防火墙、防病毒软件等工具保护自己的系统安全也是需要略知一二的。技术门诊是 51CTO
2、 社区品牌栏目,每周邀请一位客座专家,为广大技术网友解答疑问。从热门技术到前沿知识,从技术答疑到职业规划。每期一个主题,站在最新最热的技术前沿为你引航本期门诊邀特请 MCSE、微软企业护航专家韩立刚与大家交流系统安全问题。大家可以就系统安全的防护与管理以及企业级网络安全等问题与专家进行探讨。姓名:韩立刚擅长领域:系统管理、网络安全河北师范大学软件学院讲师,微软认证讲师、微软企业护航专家、MCSE、MCDBA。精通微软 Windows、SQLServer、Exchange、 ISA 2006 等产品。国内第一批通过微软最新Windows Seryer 2008 认证-MCITP 。从 2005
3、年至今负责河北、河南两省微软正版客户的技术支持,服务于政府、传媒、联通、移动、银行、学校等 IT 部门,包括网 络规划、安全、高可用性设计、活动目录设计以及实施。 著有 计划、实现和维护 Windows Server 2003活动目录结构、Windows Server 2008 系统管理之道 等查看本期门诊精彩实录:http:/ 只开必要端口 禁用不必要的服务打开本地连接 只打开必要的端口 比如 Web 站点 只打开 TCP 的 80 端口关闭不必要的端口实现服务安全账号安全,操作系统和杀毒软件及时更新。最好不用服务器访问 Web 站点或下载文件。不要将多种重要服务装到一个服务器上,做好重要数
4、据的备份。2.保护工作站(办公用的计算机)安全启用 Windows 防火墙,系统和杀毒软件及时更新,使用普通用户上网办公。如果发现系统有问题可以使用 msconfig 查看可疑的自动启动项和服务。Q:想问下韩老师,企业的 WINDOWS 服务器要做的安全工作都有哪些?A:1.先将服务器做安全评估,也就是根据服务器的角色定安全等级。指定相应的安全策略。比如域控制器的安全级别要比普通服务器设置的要高一些。数据库的安全级别要比Web 站点的高。2.根据评估结果针对不同的服务器采用不同安全措施。a.数据安全 NTFS 权限 共享权限在命令提示符下输入 gpedit.msc 完成以下设置(适用于 Win
5、dows 2003 2008 windows 7 和 xp 的 professional 版)b.帐户安全 密码策略 帐户锁定策略c.本地安全策略 设置用户权限 安全选项d.软件限制策略 使用软件限制策略禁止某些软件执行e.受限制的组 可以控制某些组的成员,比如 administrators 组的成员f.网络层安全 只打开必要的端口g.数据传输安全 使用 IPSec 或高级安全 Windows 防火墙配置数据通信安全h.对服务器的安全使用 不要使用服务器下载未知安全的文件i.及时更新系统和病毒库Q:请问韩老师:我个人习惯使用 windows 操作系统,默认账户是 administrator。听
6、很多人说这样并不是很安全。请问我们在设置系统账户的时候有什么特别需要注意的安全问题吗?谢谢!A: administrator 是系统内置的管理员账号,该账号不能删除,但可以禁用和重命名。从安全角度考虑,可以将该用户帐户禁用或重命名,别人就没有办法猜 administrator 的密码了。提示: 在禁用 administrator 帐户之前,最好先创建另外一个用户帐户,将其添加到administrators 组。用户的密码最好复杂一些,8 位以上,比如 Pssw0rd 之类的密码,其中包括了大小写字符数字特殊符号。尤其是具有管理员权限的用户的密码更得设置复杂一些。平时上网或办公,最好使用普通用户
7、。需要管理了再使用管理员登录。Q:ISA 我自己一直在用,想问下专家有发现有高人攻破 ISA 服务器吗?A: 我目前没有没有发现。建议及时升级安装 ISA 的操作系统和 ISA。微软的系统更新能够及时消除安全隐患。Q:系统一般都会开启默认共享,就是那种 C$,D$之类的,这样安全吗,是否有必要关闭?A: 默认共享是为具有管理员权限的用户准备的,且共享权限也不能被更改,普通用户没有权限访问默认共享。控制好系统的管理员数量,确保管理员帐户的安全就可以了。如果还是不放心,就可以通过修改注册表删除默认共享。在删除默认共享之前要确保你的系统上没有应用使用默认共享。Q:对于使用 IWNDOWS2003 系
8、统架构的 WEB 服务器,如果配置才能使其安全风险最低?A: 从应用层设置安全一、 帐户管理1.重命名管理员 administrator ,设置复杂密码 控制 administrators 组的成员2.删除多余用户 禁用 guest 用户3.停止不必要的服务二、审核策略1.审核帐户管理策略2.审核登录败策略三、实用 msconfig 禁用可疑的服务和自动启动项四、网络层安全设置 IPSec 只允许 TCP 协议目标端口为 80 的数据包进入网卡,TCP 源端口为 80 的数据包出网卡。这样只要你的 Web 没有漏洞,入侵者就没有办法入侵。万一你的服务器中了木马,木马也不能和外界建立通信,不能对
9、你产生什么威胁。Q:能推荐几款在 vista 和 windows7 下方便、实用、功能强大的手杀工具吗?冰刃、Wsyscheck 都是针对 XP 的, vista 和 windows7 下的表现并不太好。A:我还没有发现专门针对 Vista 或 Windows 7 的手刹工具Q:刚装完系统之后系统是最不安全的,比如好多补丁没打,还有就是系统还默认开了 3389,就是装完系统之后我们首先要做的几点是什么,可能 WIN7,XP 是有不同的地方的,请指出,谢谢!A:公司重要服务器最好使用带最新补丁的安装盘安装系统,为了安全起见,不要将系统联机更新,可以将补丁和更新下载下来 拷贝到新装的系统中,安装更
10、新。设置系统本地安全策略,比如禁用默认共享,设置软件限制策略,IPSec 等,创建用户规划用户密码策略,加固系统。然后就是安装杀毒软件,更新病毒库。如果是工作站,别忘了备一份以下系统盘。Q:目前各种盗号技术频出,自己使用的各种账号密码很担心被盗。请问专家在设置账号密码的时候有什么小技巧或者需要特别注意的地方吗?谢谢!A:重点防范盗号木马,安装木马查杀工具,如果怀疑中了木马,开机之后,什么也别干,在命令行下输入 netstat -nb 来查看是否有莫名其妙的会话,注意,确保系统没有更新,杀毒软件没有更新。因为木马对外进行联系,终会建立会话的。-b 参数还能看到建立会话的进程。木马大多是服务形式存
11、在,运行 MSConfig 打开系统配置工具,点击隐藏微软服务,查看可疑服务。有些木马将自己设置为 禁用状态。Q:平时维护系统时候,经常用到 PE。PE 目前现在有几个核心版本啊?网上一会说是 XP 核心、一会是 vista、win7 核心都搞晕了。是不是核心版本越高,越好用,还是?顺便讨要几个在 PE 下能使用的安全工具。专家能推荐几个吗?谢谢了A:目前用的最多的是 Windows PE 2.0。Windows PE 2.0 与以前版本的 Windows PE 的对比首先,Windows PE 2.0 基于 Windows Vista 组件,而早期版本的 Windows PE 则是基于 Wi
12、ndows XP 或 Microsoft Windows Server 2003。因此, Windows PE 2.0 支持 Windows Vista 驱动程序并受益于许多 Windows Vista 的改进(包括通过 Windows 防火墙提供的防网络攻击方面的改进)。如前所述,Windows PE 2.0 现在支持驱动程序注入,这使您在启动 Windows PE 之前或之后都可以加载驱动程序。现在,如果您启动 Windows PE 并发现它缺少一个必需的驱动程序,您就可以从可移动媒体加载非标准驱动程序,并立即使用该硬件而无需重新启动计算机。为了更具灵活性,尤其是在创建预安装脚本时,Win
13、dows PE 2.0 现在包含已增加内容的Windows 管理规范(WMI) 支持。使用 WMI,您可以通过脚本或命令提示符执行大多数配置或管理任务。过去,许多应用程序不能在 Windows PE 1.0 中运行,因为这些程序需要临时存储空间,并且 Windows PE 经常从不可写入的媒体(如 CD)启动。现在,通过在计算机的 RAM 中提供 32 MB 刻录空间,Windows PE 2.0 可支持大部分需要对临时文件执行写操作的应用程序。每当应用程序试图对临时文件(无论哪个文件夹)执行写操作时,Windows PE 都会将更改内容重定向到内存中的刻录空间,以模拟硬盘。当然,当您重新启动
14、计算机后,所有更改都将丢失。Q:怎么样在格式化的时候防止数据被恢复,是在磁盘上全部写 0,还是低格的方法,还有没有其他的好方法,最好就是不怎么损害硬盘的方法A:在格式化之前先 使用文件粉碎软件将文件粉碎,再格式化。可以从网上下载,瑞星 就有文件粉碎软件。Q:哎,最近发生在我身上一件事,无意中我把域用户全部给删了。我想问一下老师,是否这种灾难也在系统安全的范畴之内叫?有无很好的办法预防?A:安全的范畴很广,大家都把注意力放到了技术上面,其实用户的安全意识也很重要。作为一个企业的 IT 管理人员,应该是未雨绸缪,考虑到潜在的风险,比如公司重要数据应该放到多个服务器上,使用 DFS 技术,实现冗余,
15、避免硬件故障造成数据丢失。应该及时备份,避免误操作造成数据丢失。域控制器应该指定备份计划备份系统状态,来备份活动目录。你的问题就能解决,如果没有备份谁也没办法。Q:专家您好,在如今社会,作为网管,我们还是比较担心内网安全,历史证明,从03 年开始比较流行的 SQL 注入,震荡波等网络手段的新起,使得我们在做内网的时候考虑的因素也多了,如何更好的发挥内网安全技术也是考验管理人员的一个标准,但是比较头疼的是,我在这里做的比较差,所以想问问专家,在面对客户端和服务器端我们如何操作实施?A: 对内外的服务器和计算机进行安全评估,在易用性和安全性之间取得平衡。评估每种风险对公司带来的损失大小,采取相应的措施避免。比如硬盘故障造成数据丢失,将会为公司带来 100 万的损失,你可以考虑花费 2 万购买数据热备系统。从网络安全角度考虑将安全性要求一致服务器放置到特定 VLAN 按部门划分 VLAN 比如将能够访问Internet 的计算机放到一个 VLAN。安装网络监视工具,监控网络中异常的广播和多播包。搭建域环境创建组织单元,将安全性要求一致的服务器和计算机防止到相应的组织单元,设置相应的安全策略安装 MOM 软件监控操作系统的异常并创建警报。比如磁盘空间不足,CPU 利用率高于某个指标。Q:如何进行域环境下的共享,请详细说明,或者给我一份资料,谢谢大师
