TA的每日心情![](source/plugin/dsu_paulsign/img/emot/ch.gif) | 擦汗 2023-2-15 09:27 |
---|
签到天数: 66 天 [LV.6]常住居民II
|
木桶原理不仅在现实生活中有参考价值,在企业网络安全管理中,也有非常大的实用价值。木桶最大容量不是由其最长的木板决定,而是其最短的木板决定。在企业网络安全中,整个网络的安全状态也是由其最薄弱的一个环节所决定的。而根据最新的官方调研报告显示,远程连接的安全性是影响企业网络安全的一个重要杀手。以至于不少对安全要求比较高的企业,都把一些重要的应用跟网络独立开来,以建立一个干净的网络环境。 % h& D; u1 M; N& J
, Q+ o0 K9 a7 ]# k3 K/ s5 E0 v& a
一般网络管理员在组建企业内部网络的时候,都是出于一个“信任”的原则组建网络。平时把眼光都放在企业内部网络跟外部网络的交接点上,而忽视了来自于企业内部的安全威胁。有一个企业安全管理人员不乐意接受的数据,提示了他们的这一“愚蠢”的行为。75%以上的安全事故都是由企业内部人员所引起的。
% |/ h+ N. D9 b* Y, x. U1 w H/ u5 l2 O& w6 k4 h
可见,保障内部员工远程网络连接的安全性,已经成为了我们网络安全管理的重头戏。其实,这项工作也没有大家想得那么复杂。一般情况下,只需要短短的五招就可以提高其远程连接的安全性。 % X4 z1 V) X6 w. _! r: j; m3 d
0 h& L8 \" e2 E* y
招数一:安全审计
: R1 \2 G0 P% z% p* ]0 C" D7 ~2 H/ Y& |) v, j
不少企业的IT制度中,可能有详细的安全管理规定。如客户主机必须设置密码;每隔一段时间要更改密码;密码要保持一定的复杂性;员工之间不能够调换使用电脑等等。但是,效果不怎么明显。为什么会如此呢?这主要是执行起来不利。
, l9 O- r2 W( e7 {' A4 ]% |* [' _
如笔者以前也定义过这么一套安全制度,可惜的是,能够严格贯彻执行的少之又少。这主要是员工没有安全观念。因为通过其他的电脑来访问他们电脑中的资源,这对于他们来说,是不可想象的。这就好像放在家来的钱,小偷可以不用进他们的门就拿到。由于没有受过专业的教育,他们认为这是不可能完成的任务。所以,就会放松警惕。认为只要电脑在自己的旁边,里面的资料就是安全的。 % J+ S: l. X! J& H3 s. o
H/ ^" D: c# T6 D- ~1 D4 P8 g. O3 D
在这种错误观念的影响下,他们很少会关注密码的重要性。有些时候,几年下来都不会更改密码。或者说,连密码都懒得设。这就给远程连接埋下了一个安全隐患。我们都知道,远程连接侵入的一个必要条件就是知道管理员用户的账号与密码。现在有不少的工具可以扫描企业网络的主机,并进行密码测试。若员工主机没有设置管理员密码或者设置的比较简单,如123456,则经过扫描工具一扫,就会一览无遗的显示在不法攻击者面前。
$ A, F4 o' h+ H
% w% L; e: q+ H+ W( o& S" @ 笔者现在学聪明了,采用利用一些安全审计工具,来保障这些措施落实。如笔者通过组策略,来强制实现密码的安全性。通过微软的组策略,可以强制实现密码的复杂性验证;可以拒绝使用空密码;可以强制让用户每隔一段时间更改密码等等。通过这些安全审计工具,就可以把一些纸面上的安全管理制度落实到实处。 : |6 [. J9 M& b7 w# I
1 b2 G @' K5 t! ^' h 所以,虽然说员工之间的相互信任是提升企业管理团队的一个重要因素。但是,在企业网络安全管理中,最好还是不要相信员工会自觉的去执行相关的安全制度。要通过一切可以通过的手段,去强制落实这些安全法则,这才是聪明之举。
* U% M+ g! u2 l4 a5 I# W0 A: {招数二:禁用Schedule服务
* n" s2 S u1 `# `
+ d, |' b1 R4 X. G8 h 当非法攻击者进行远程攻击之时,首先要获得主机的管理员用户与密码。然后,会往主机上上传一段代码或者非法程序。通过Schedule服务,在一个固定的时刻执行这个代码,从而实现他不可告人的目的。 8 W6 O k8 T- G
) h) Q* v& r! o- ]
如以前出现过一个Backdoor病毒。这个病毒为后门类的木马病毒。这个病毒运行后,会复制到操作系统的目录下,衍生病毒文件。他主要是修改注册表中Schedule服务的值,实现随机启动的目的。当病毒启动的时候,会自动连接一些恶意网站,下载其他的病毒与木马。其他人就可以通过这个后门,控制这台主机,以获取他们想要了解的内容。当其他员工获知管理员密码之后,就可以把这个病毒放到其他员工主机上。然后通过Schedule服务指定其启动的时间。如此的话,他就可以在神不知鬼不觉的情况下,控制员工主机。
" R; u2 ~, C2 m# f0 p9 H) o' x# @4 M. x6 v1 p5 |
所以,要实现远程攻击的话,还必须有Schedule服务的支持。Schedule服务主要是让用户能够在主机上配置和制定自动任务的日程。如在某个时候自动执行某个程序等等。如果禁止这个服务的话,某些任务将无法在日程时间里运行;任何依赖它的服务都将无法启动。
4 W2 k# M) b$ Z6 \8 i9 y1 o! v6 E& m" ^) H/ J
通常情况下,若员工主机上没有安装一些特殊应用,如SQL Server服务器等等,这个服务用户也不大。故笔者建议,普通员工的主机可以把这个服务禁用掉,以降低被远程攻击的危险。
9 ^0 D) K6 w6 l4 w+ b# J6 T6 l9 o$ B% o- g/ b
招数三:确保IPC$连接的安全
/ B2 u" k0 }4 L# N9 N, g; T' ~& y9 i2 E% o% g) e
IPC$是共享命名管道的简称。它是为了让进程间通信而开发的命名管道,可以通过验证用户名和密码而获得相应的权限,实现远程管理计算机和查看计算机的资源。如在2000的主机上,默认是开启了这个共享。用户只需要知道管理员与密码,就可以查看这台主机的所有资源。所有IPC$共享也是一种很危险的远程连接方式。 ; o# H# r, L4 j, d
* D+ H2 p* b, } 其实,虽然说关掉IPC$默认共享是保障其安全性的一个最彻底的方法。但是,有不少管理员仍然希望开通整个服务。如此,他们直接可以对员工主机进行远程管理。那我们该如何提高整个服务的安全性呢? 6 u$ N* `3 U" a) g
# A3 U: E# R; C- J" A9 O2 o7 ~ 要利用这个漏洞进行攻击的话,必须同时满足四个条件。一是操作系统的条件。IPC$服务只有在NT以上的操作系统中存在,其他的操作系统中没有这个服务。二是防火墙过滤掉了139或者445端口。若要利用IPC$连接的话,则必须开通这两个端口,否则的话,连接就会被拒绝。三是关闭这个IPC$默认共享服务。当禁用掉这个服务后,当然也就无法使用这个漏洞了。四是知道管理员用户与密码。如用户名密码不对的话,员工也是连不上其他主机的电脑。从这里也可以看出,用户名密码安全的重要性。 9 `0 z2 Z6 V' L
! L* ` E8 g& Y' J+ s6 z5 g( r 需要注意的是,以上四个条件必须同时满足。若有一个没有满足的话,则就不能够使用IPC$服务连接到其他员工的主机上。若你想提高IPC$服务的安全性,则只需要把上面的某个条件取消掉即可。如可以提高密码的安全性,或者通过防火墙禁用掉特定端口等等,就可以提高IPC$连接的安全性。
" p2 P4 d6 k4 d* D. A招数四:防火墙,给主机配置一个安全大门 ! t) s8 H, c: Y+ S, B) k* {1 f
& D( S' B2 Z& s0 v 防火墙对于企业网络的安全具有非常大的作用。无论是硬件防火墙,还是软件防火墙,其主要有两个重要的功能。一是允许或者禁止哪些程序访问网络,二是允许或者禁止通过哪些端口访问。通常情况下,利用防火墙的默认配置即可以保障企业网络安全的需要。如有特殊的安全考虑的话,则可以通过手工调整以实现企业的特殊需求。 4 }6 \* j7 _- x2 S! f
* E6 J) V# R2 ]* Y+ d 如笔者基本上是通过远程对各个员工主机进行维护。所以,提高远程连接的安全性就是笔者所关注的问题。笔者的做法就是通过防火墙,指定只有笔者主机的MAC地址才可以连接到其他员工主机进行远程管理。其他任何一台主机都不行。通过这种方式,就限制了远程连接的身份,从而提高了远程连接的安全性。 3 \! g' d4 \' W6 G/ Q
# v* _* _% H( E0 I4 Y6 l
招数五:基于策略建立远程连接
3 l1 m: M. }9 ]" o! L+ @- m& X) Y2 a8 m7 Y
在没有充分理由的情况下,最好关闭远程连接的功能。若有必要使用的话,则最好为此建立一套安全机制与安全策略。而不能够简单的凭着对员工的信任,认为他们不会对网络进行恶意攻击。或者说,认为他们没有这个能力进行攻击等等。 # z8 F) t9 c6 I
- B% F& L6 |6 e, s0 Y- Q 其实,现在针对远程攻击,如IPC$攻击,网上一找,可以找到很多的攻击案例。最可怕的是,很多都实现了傻瓜式的攻击。就像安装操作系统一样,只要按照其提示,一步步的做下去,就可以完成连接、上传代码、远程执行等功能。这就让一些没有计算机背景的普通员工,也可以当一回黑客。
- _- c+ B: [+ Q" T+ g3 q" i7 P" w4 _
* ^* j8 i: K% P# E1 O 所以,企业在有远程管理需要的情况下,要为此设置一些安全策略。而不是简单的凭着对员工的一种信任,就放任不管了。 |
评分
-
查看全部评分
|