只需五招！保障远程网络连接安全

radio9

木桶原理不仅在现实生活中有参考价值，在企业网络安全管理中，也有非常大的实用价值。木桶最大容量不是由其最长的木板决定，而是其最短的木板决定。在企业网络安全中，整个网络的安全状态也是由其最薄弱的一个环节所决定的。而根据最新的官方调研报告显示，远程连接的安全性是影响企业网络安全的一个重要杀手。以至于不少对安全要求比较高的企业，都把一些重要的应用跟网络独立开来，以建立一个干净的网络环境。

　　一般网络管理员在组建企业内部网络的时候，都是出于一个“信任”的原则组建网络。平时把眼光都放在企业内部网络跟外部网络的交接点上，而忽视了来自于企业内部的安全威胁。有一个企业安全管理人员不乐意接受的数据，提示了他们的这一“愚蠢”的行为。75%以上的安全事故都是由企业内部人员所引起的。
% |/ h+ N. D9 b
　　可见，保障内部员工远程网络连接的安全性，已经成为了我们网络安全管理的重头戏。其实，这项工作也没有大家想得那么复杂。一般情况下，只需要短短的五招就可以提高其远程连接的安全性。

　　招数一：安全审计
: R1 \2 G0 P% z% p* ]
　　不少企业的IT制度中，可能有详细的安全管理规定。如客户主机必须设置密码；每隔一段时间要更改密码；密码要保持一定的复杂性；员工之间不能够调换使用电脑等等。但是，效果不怎么明显。为什么会如此呢？这主要是执行起来不利。
, l9 O- r2 W( e7 {
　　如笔者以前也定义过这么一套安全制度，可惜的是，能够严格贯彻执行的少之又少。这主要是员工没有安全观念。因为通过其他的电脑来访问他们电脑中的资源，这对于他们来说，是不可想象的。这就好像放在家来的钱，小偷可以不用进他们的门就拿到。由于没有受过专业的教育，他们认为这是不可能完成的任务。所以，就会放松警惕。认为只要电脑在自己的旁边，里面的资料就是安全的。

　　在这种错误观念的影响下，他们很少会关注密码的重要性。有些时候，几年下来都不会更改密码。或者说，连密码都懒得设。这就给远程连接埋下了一个安全隐患。我们都知道，远程连接侵入的一个必要条件就是知道管理员用户的账号与密码。现在有不少的工具可以扫描企业网络的主机，并进行密码测试。若员工主机没有设置管理员密码或者设置的比较简单，如123456，则经过扫描工具一扫，就会一览无遗的显示在不法攻击者面前。
$ A, F4 o' h+ H
% w% L; e: q+ H+ W( o& S" @　　笔者现在学聪明了，采用利用一些安全审计工具，来保障这些措施落实。如笔者通过组策略，来强制实现密码的安全性。通过微软的组策略，可以强制实现密码的复杂性验证；可以拒绝使用空密码；可以强制让用户每隔一段时间更改密码等等。通过这些安全审计工具，就可以把一些纸面上的安全管理制度落实到实处。

1 b2 G  @' K5 t! ^' h　　所以，虽然说员工之间的相互信任是提升企业管理团队的一个重要因素。但是，在企业网络安全管理中，最好还是不要相信员工会自觉的去执行相关的安全制度。要通过一切可以通过的手段，去强制落实这些安全法则，这才是聪明之举。
* U% M+ g! u2 l4 a5 I# W0 A: {招数二：禁用Schedule服务
* n" s2 S  u1 `# `
+ d, |' b1 R4 X. G8 h　　当非法攻击者进行远程攻击之时，首先要获得主机的管理员用户与密码。然后，会往主机上上传一段代码或者非法程序。通过Schedule服务，在一个固定的时刻执行这个代码，从而实现他不可告人的目的。

　　如以前出现过一个Backdoor病毒。这个病毒为后门类的木马病毒。这个病毒运行后，会复制到操作系统的目录下，衍生病毒文件。他主要是修改注册表中Schedule服务的值，实现随机启动的目的。当病毒启动的时候，会自动连接一些恶意网站，下载其他的病毒与木马。其他人就可以通过这个后门，控制这台主机，以获取他们想要了解的内容。当其他员工获知管理员密码之后，就可以把这个病毒放到其他员工主机上。然后通过Schedule服务指定其启动的时间。如此的话，他就可以在神不知鬼不觉的情况下，控制员工主机。
" R; u2 ~, C2 m# f0 p
　　所以，要实现远程攻击的话，还必须有Schedule服务的支持。Schedule服务主要是让用户能够在主机上配置和制定自动任务的日程。如在某个时候自动执行某个程序等等。如果禁止这个服务的话，某些任务将无法在日程时间里运行；任何依赖它的服务都将无法启动。
4 W2 k# M) b$ Z6 \8 i
　　通常情况下，若员工主机上没有安装一些特殊应用，如SQL Server服务器等等，这个服务用户也不大。故笔者建议，普通员工的主机可以把这个服务禁用掉，以降低被远程攻击的危险。
9 ^0 D) K6 w6 l4 w+ b# J
　　招数三：确保IPC$连接的安全
/ B2 u" k0 }4 L# N9 N
　　IPC$是共享命名管道的简称。它是为了让进程间通信而开发的命名管道，可以通过验证用户名和密码而获得相应的权限，实现远程管理计算机和查看计算机的资源。如在2000的主机上，默认是开启了这个共享。用户只需要知道管理员与密码，就可以查看这台主机的所有资源。所有IPC$共享也是一种很危险的远程连接方式。

* D+ H2 p* b, }　　其实，虽然说关掉IPC$默认共享是保障其安全性的一个最彻底的方法。但是，有不少管理员仍然希望开通整个服务。如此，他们直接可以对员工主机进行远程管理。那我们该如何提高整个服务的安全性呢?

# A3 U: E# R; C- J" A9 O2 o7 ~　　要利用这个漏洞进行攻击的话，必须同时满足四个条件。一是操作系统的条件。IPC$服务只有在NT以上的操作系统中存在，其他的操作系统中没有这个服务。二是防火墙过滤掉了139或者445端口。若要利用IPC$连接的话，则必须开通这两个端口，否则的话，连接就会被拒绝。三是关闭这个IPC$默认共享服务。当禁用掉这个服务后，当然也就无法使用这个漏洞了。四是知道管理员用户与密码。如用户名密码不对的话，员工也是连不上其他主机的电脑。从这里也可以看出，用户名密码安全的重要性。

! L* `  E8 g& Y' J+ s6 z5 g( r　　需要注意的是，以上四个条件必须同时满足。若有一个没有满足的话，则就不能够使用IPC$服务连接到其他员工的主机上。若你想提高IPC$服务的安全性，则只需要把上面的某个条件取消掉即可。如可以提高密码的安全性，或者通过防火墙禁用掉特定端口等等，就可以提高IPC$连接的安全性。
" p2 P4 d6 k4 d* D. A招数四：防火墙，给主机配置一个安全大门

& D( S' B2 Z& s0 v　　防火墙对于企业网络的安全具有非常大的作用。无论是硬件防火墙，还是软件防火墙，其主要有两个重要的功能。一是允许或者禁止哪些程序访问网络，二是允许或者禁止通过哪些端口访问。通常情况下，利用防火墙的默认配置即可以保障企业网络安全的需要。如有特殊的安全考虑的话，则可以通过手工调整以实现企业的特殊需求。

* E6 J) V# R2 ]* Y+ d　　如笔者基本上是通过远程对各个员工主机进行维护。所以，提高远程连接的安全性就是笔者所关注的问题。笔者的做法就是通过防火墙，指定只有笔者主机的MAC地址才可以连接到其他员工主机进行远程管理。其他任何一台主机都不行。通过这种方式，就限制了远程连接的身份，从而提高了远程连接的安全性。

　　招数五：基于策略建立远程连接
3 l1 m: M. }9 ]" o! L
　　在没有充分理由的情况下，最好关闭远程连接的功能。若有必要使用的话，则最好为此建立一套安全机制与安全策略。而不能够简单的凭着对员工的信任，认为他们不会对网络进行恶意攻击。或者说，认为他们没有这个能力进行攻击等等。

- B% F& L6 |6 e, s0 Y- Q　　其实，现在针对远程攻击，如IPC$攻击，网上一找，可以找到很多的攻击案例。最可怕的是，很多都实现了傻瓜式的攻击。就像安装操作系统一样，只要按照其提示，一步步的做下去，就可以完成连接、上传代码、远程执行等功能。这就让一些没有计算机背景的普通员工，也可以当一回黑客。
- _- c+ B: [+ Q" T+ g3 q" i7 P" w4 _
* ^* j8 i: K% P# E1 O　　所以，企业在有远程管理需要的情况下，要为此设置一些安全策略。而不是简单的凭着对员工的一种信任，就放任不管了。

chendaihua

感谢分享。对于网管员来说是很好的资料

转身离开

杀毒软件跟防火墙都是必须的