IT系統,無論是軟件還是硬件,都日益成為企業日常運作不可或缺的支撐。於是,如何保護IT系統,使其安全平穩運行,發揮其業務支撐作用,成為IT支持人員的必修課。本期,我們精選了十個應用面比較廣泛的領域
,介紹100個保護IT系統的方法,供讀者參考。
保護IIS Web服務器
互聯網信息服務(IIS)是黑客喜歡攻擊的目標。因而,管理IIS Web服務器的管理員確保它們得到了保護就很重要。默認安裝的IIS 4.0和IIS 5.0特別容易受到攻擊。
1.要僅僅為IIS應用軟件和數據設定一個NTFS驅動器。如果可能,禁止通過IUSER(或者其他匿名用戶名)訪問任何其他驅動器。如果應用軟件因通過匿名用戶無法訪問其他驅動器上的程序而遇到任何問題,那麼使用Sysinternals的FileMon,檢測它無法訪問哪個文件,然後把該程序移到 IIS驅動器,設法找到解決辦法。如果這不可能實現,那麼允許通過IUSER僅僅訪問該文件。
2.設定驅動器上的NTFS權限: Developers = Full; IUSER = Read and execute only; System and admin = Full。
3.使用軟件防火牆確保沒有最終用戶(只有開發人員)可以訪問IIS機器上除端口80以外的其他任何端口。
4.使用保護機器安全的微軟工具: IIS Lockdown和UrlScan。
5.啟用IIS的日誌功能。除了IIS日誌外,還要儘可能使用防火牆的日誌功能。
6.把日誌移到默認位置以外的地方,確保它們被備份起來了。複製一份日誌文件夾,那樣總有副本放在第二個位置。
7.對IIS服務器啟用Windows審計功能,因為在設法追蹤任何攻擊者的活動時,數據根本不夠多。甚至有可能要運行腳本,使用審計日誌,檢查任何可疑活動,然後發送報告給管理員。這聽上去可能有點極端,但如果安全對你而言至關重要,這種操作不失為一種好的做法。設置審計功能,報告任何失敗的賬戶登錄。另外,與IIS日誌一樣,也要把默認位置(c:\winnt\system32\config\secevent.log)改成不同位置,並確保已有備份、複製副本。
8.儘可能經常地閱讀安全文章(從各個來源)。比較明智的方法是儘可能地瞭解IIS以及一般的安全方法,而不只是採用別人告訴你的方法。
9.訂閱有關IIS錯誤的郵件列表,並經常閱讀。互聯網安全系統公司的X-Force Alerts and Advisories就是這樣一種列表。
10.最後,定期運行Windows更新,確保真正打上了補丁。
保護SQL Server
1.確保SQL Server有一個非常強的「sa」(管理員)口令極其重要,這個口令要結合使用字母、數字和符號。這可以減小口令被猜中或者被破解的可能性。
2.要求SQL Server使用「
Windows授權」,這有助於防止互聯網攻擊,因為它比混合模式授權要安全得多。
3.在任何某個時間點,微軟基準安全分析器(MBSA)都能提供運行SQL Server的Windows服務器安全狀態的詳細情況。可以本地運行MBSA,也可以在網絡上運行它。下載地址: http://www.microsoft.com/technet/security/tools/mbsahome.mspx。
4.只要讓SQL Server服務包版本最新,就可以確保最新的安全漏洞和系統錯誤能得到解決。
5.除了最新的SQL Server服務包外,微軟還發佈可以下載的SQL Server安全補丁。需要結合最新的SQL Server服務包和最新的安全補丁,這樣才能確保系統完全打上了補丁。可以在微軟TechNet網站尋找適用於SQL Server的補丁。
6.在安裝SQL Server時,會創建兩個服務賬戶: MSSQLSERVER和SQLSERVERAGENT。只要作為域用戶賬戶運行這些賬戶,就可以限制萬一它們的安全受到危及時可能造成的破壞。
7.從SQL Server 2000操作指南獲得信息,留意其列出來的安全建議。該文檔涉及安全、監控、變更控制及有助於保護SQL Server,尤其是SQL Server 2000安全的其他諸多話題。
8.Windows 2000預先封裝了可以對文件進行加密的EFS。結合使用EFS和SQL Server,就可以對客戶機/服務器數據進行加密,確保公司最重要的資產(專有數據)安全。
9.安裝了默認安裝的SQL Server後,端口1433和1434都是使用的基本端口。一條最佳實踐就是明確過濾掉向防火牆上這些端口發送的數據包(並把企圖訪問這些端口的任何活動記入日誌)。這將有助於防止SQL Server受到外部攻擊者的破壞。
10. 默認安裝的SQL Server既不對備份內容進行加密,也不進行壓縮。雖然可以對備份內容添加口令,但任何文本編輯器都會危及備份資料的安全。所以要使用 LiteSpeed for SQL Server(http://www.imceda.com/LiteSpeed_Download.htm)等軟件來進行加密。
保護Web Apache服務器
1.為Apache的文件設定權限,以便它們只能夠由根賬戶(管理員)來編輯或者執行,可以確保它們不被人篡改。許多Web服務器的配置文件擁有用戶組甚至全局權限。這將有助於確保: 配置文件和
可執行文件無法被非根賬戶用戶篡改,從而避免它們鑽系統的空子。使用chmod把Apache的配置文件改成「600」、把Apache庫改成「500」。只要有可能,除了絕對需要訪問權的管理員外,拒絕所有用戶加以訪問。
2.確保Apache作為非根賬戶用戶來運行。萬一攻擊者暗中破壞了Apache,這就可以確保攻擊者只能在該用戶賬戶允許的範圍內進行破壞活動。該用戶賬戶應當限於Apache程序本身,以維持整個服務器的不可侵犯性。可通過以下操作來實現這一步: 創建本地用戶和用戶組,然後修改httpd.conf中的「用戶」和「用戶組」參數。確保創建的用戶有一個不存在的主目錄,這可以防止任何人使用該賬戶登錄到服務器。默認狀態下,Apache服務器將作為根賬戶來啟動,但所有子進程都將作為所選擇的那個用戶來運行。而Apache根進程本身根本不處理請求。
3.如果在Apache上運行關鍵任務型網站,就把它運行在專用的Web服務器上。不要在上面運行BIND,也不要運行Sendmail。往Apache 設備上添加FTP服務器之類的東西可能很簡單,這個硬件處理起來可能輕鬆,但要記住: 運行的服務越多,給黑客留下的攻擊途徑就越多。只要攻擊者破壞了某一個守護程序、獲得根賬戶訪問權,Apache的種種安全措施都無法阻止對方。
4.把Apache的版本號及其他關鍵信息隱藏起來,讓潛在的攻擊者無法看見。在httpd.conf裡面添加ServerSignature Off和ServerTokens Prod命令。這可以限制任何外人從服務器收集信息。攻擊的信息收集部分被稱為「特徵探測」,攻擊者可以用來確認某個版本的Apache或者其中一個模塊所特有的漏洞。另外,蠕蟲和病毒甚至可以掃瞄查找這些信息。另外,清除圖標和手動目錄等默認內容。這些內容同樣可用來確認某些版本的Apache。
5.時時瞭解最新的安全信息,可以及早避免許多問題出現。但如果某個蠕蟲或者病毒迅速傳播,並不總是這樣。不過許多時候,從首次報告到最初帶來影響會有一個時間差。漏洞和弱點往往在漏洞被人利用之前公佈。要養成訪問CERT.org、訂閱Apache郵件列表或者甚至經常閱讀Slashdot的習慣。事實證明,Apache是市面上最穩定、最安全的Web服務器之一,包括商用產品和開源產品。即便如此,由於佔有60%以上的市場份額,它總是攻擊者的一大目標。
6.禁用目錄索引功能,改動符號鏈接。只要從目錄配置部分去除「Indexes」關鍵字,就很容易禁用索引功能。如果沒有發現合適的索引文件,這可以禁止翻閱字典內容的功能。訪問目錄的原始內容會暴露不想顯示的材料,並洩露有關服務器文件結構的信息。應當使用目錄設置下的 SymLinksIfOwnerMatch,而不是FollowSymLinks命令。這樣,只有在當前的目錄和目標的所有者是同一人時,才允許使用符號鏈接。這可以禁用鏈接至不想每個人都能查看的路徑。請注意: 如果使用SymLinksIfOwnerMatch,性能會受到影響,因為需要一兩個額外的lstat()。這些信息並不緩存起來,所以可能需要在實施到高性能Web服務器之前評估這一步。
7.清除所有不必要的模塊,這跟清除服務器上不需要的服務是同一個道理。不是所有的漏洞都出現在Apache代碼中,許多漏洞可能出現在Web服務器使用的外部模塊裡。默認狀態下,各種模塊添加到了Apache裡面,有些是不同的Linux版本所帶的。這需要一番研究,因為不同部署需要不同模塊。事先在這方面花點時間從長遠來看是值得的。
8.在Apache用戶的許可下,具有SSI功能的文件可以執行CGI代碼和系統程序。可使用IncludesNOEXC Options命令來禁用SSI。如果CGI腳本從ScriptAlias目錄運行,可以繼續工作。運行CGI時,不妨考慮使用suEXEC等工具來提供更嚴密的安全。如果使用suEXEC,可以在與Apache使用的用戶和用戶組不同的用戶和用戶組下運行CGI程序。
9.有些模塊是專門為Apache的安全功能而開發的,包括mod_security、mod_paramguard和mod_dosevasive等模塊。有了這些實用程序,可以實現一系列功能,譬如掩蓋服務器簽名、過濾URL中通常被人濫用的參數和CGI訪問請求、檢測及響應DoS攻擊等。
10.如果想確保Apache根本不會造成任何破壞,可以把它放到chroot jail環境裡面。這個程序需要相當的工作量: 必須在文件系統中創建一個部分,只存放Apache及其運行所需的特定文件和庫。結果就是,無法從「jail」環境裡面訪問系統的其他部分,即便是 Apache完全受到了威脅亦然,這正是這種方法有效的原因。
保護Exchange服務器
1.如果不使用任何外部的郵件服務,就禁止Exchange服務器使用它們; 如果只使用特定服務,就禁用不使用的那些服務; 如果只有某些用戶需要訪問這些資源,就禁止不需要使用的用戶使用它們。這可以大大
減少受到外部攻擊的可能性。
2.不但要隨時更新微軟的Exchange補丁,還要更新底層的Windows系統及已經安裝在Exchange上的任何第三方插件的補丁。雖然不建議在生產環境下啟用「自動更新」特性(除非它們來自內部的SUS服務器,並且已通過測試),但可以訂閱微軟的安全公告牌,這樣一旦發佈了新補丁,就可以進行測試及部署。
3.確保使用了SSL和Outlook Web訪問(OWA),不用購買證書就可以實現這一步,因為可以使用微軟的「證書服務」來生成證書。儘管它不是可證實的第三方證書,但仍可以對通過OWA傳送的所有郵件進行加密。
4.對OWA實行URL掃瞄。這將過濾掉針對OWA服務器的被認為不合適的請求,無論它們是攻擊,還是畸形文件。要注意的一個地方是,如果使用默認設置,用戶將無法打開標題裡面有某些字符的一些郵件。但只要編輯%windir%\system32\inetsrv\urlscan文件夾裡面的 urlscan.ini文件,就可以更改這種默認行為。
5.郵箱的安全完全取決於相關賬戶使用的口令,不但存在黑客攻擊的風險,還存在用戶共享口令的風險。如果安裝了Outlook Web Access則尤其危險,因為用戶使用共享用戶名和口令,就可以登錄OWA。所以應當確保落實了強口令政策,並且禁止用戶之間共享口令。
6.Exchange運行在Windows上,需要活動目錄(Exchange 2000及更高版本),而如果這些基本元素未得到保護,那麼Exchange的任何保護措施其效果都會打折扣。
7.Exchange安全模板與相應的指南可以創建加固的Exchange環境。不過有一點需要警告: 在部署這些模板時要非常小心,因為配置不當會導致Exchange環境的重要部分無法正常運行,應儘可能先在測試環境測試一下。
8.如果Exchange服務器用來接收入站郵件,或者允許用戶遠程訪問郵件,就要確保它在防火牆後面得到了合理保護,只允許環境所需的端口向互聯網開放。可能的話,在防火牆的非軍事區(DMZ)組建第二台Exchange服務器,用它來滿足外部郵件需求。
9.始終確保所有Exchange服務器上的所有SMTP服務都得到了保護。
10.在Windows 2003服務器技術上運行Exchange環境可以在默認狀態下提高安全,因為這加強了操作系統本身的安全。Windows 2003在設計時已考慮到了安全,甚至在安裝Exchange之前就可以減少保護Windows系統所需的工作量。
保護Windows Server 2003
1.Windows Server 2003 Service Pack 1(SP1)包括了安全方面的許多改進,其中包括對IE瀏覽器的重大改進(這有助於
終端服務服務器)、新的防火牆、旨在保護服務器的新的安全配置嚮導程序,以及「安裝後安全更新」(Post-Setup Security Update)服務。這項服務可以把系統從網絡上斷開,直到進行了Windows 更新,確保系統處於最新狀態。
2.十多年前,Windows NT最先採用了NT文件系統(NTFS),如今它依然是保護Windows系統的最有效的方法之一。NTFS對用戶權限提供了細粒度控制,可以只為用戶授予訪問某個文件或者文件夾的權限。
3.只安裝所需軟件和服務,這是最簡單但也是最重要的安全建議。安裝到服務器上並加以運行的軟件和服務越多,系統因被人攻擊而受到破壞的可能性就越大。尤其是,不要把互聯網信息服務系統(IIS)或者文件/打印服務等服務安裝到不需要這些特定服務的服務器上。
4.保護服務器的一個辦法就是確保操作系統是安裝在單一磁盤或者分區上的惟一組件。把公司文件和程序放在其他磁盤或者分區上。這樣一來,即使用戶或者黑客通過另一個進程的漏洞獲得了未授權的訪問權,也不大可能訪問所安裝的操作系統並造成破壞。當然,這招不是在所有情況下都能夠起到保護作用,卻只是為服務器添加另一道安全的簡便方法。
5.雖然Windows Server 2003在許多情況下減少了服務賬戶的需要,但仍需要這些賬戶來獲取某些Windows服務和某些第三方應用軟件。正因為如此,在某個時候仍然需要創建賬戶,以便這些產品進入系統。所以,儘量為運行應用軟件的服務器創建本地賬戶,而不是創建域賬戶。因為域賬戶一旦受到威脅,就有可能被黑客用來訪問其他服務器。
6.管理員賬戶、C:\WINNT和C:\WINDOWS目錄是經驗並不老到的黑客喜歡下手的目標,而且往往硬編碼到了互聯網上隨處可見的不懷好意的漏洞腳本裡面。就算獲得系統訪問權的這些方法很原始,它們也往往很有效。為了阻止部分這些腳本對系統造成破壞,對管理員賬戶進行更名,並且把Windows Server 2003安裝到C:\WINNT或者C:\WINDOWS以外的目錄裡面。
7.即使郵件服務器和每台PC上安裝了防病毒軟件,服務器上還是需要裝一個病毒掃瞄器,尤其是文件服務器上。要是其中一個桌面系統沒有定期更新病毒特徵,最後病毒也可能會出現在服務器上。要是情況好,受感染的文件只是處於閒置狀態; 要是情況不好,這個文件就會在服務器上打開,從而導致服務器被感染、可能無法使用服務。
8.微軟通常每個月會為其產品發佈一系列新補丁。雖然盲目地安裝微軟發佈的每個補丁不是什麼好想法,但被標為嚴重補丁、可能涉及自身環境的補丁應當立即在測試系統/實驗室環境進行檢查及測試,然後盡快部署。如今,往往幾小時而不是幾週後就會發佈針對重大漏洞的攻擊代碼,所以及時打上補丁不可或缺。
9. Windows Server 2003 SP1為管理員提供了許多新的組策略選項,可以集中管理SP1里面新的安全特性。譬如說,Windows Server 2003 SP1單單為管理新的防火牆提供了組策略的近30個選項。幾乎每個安全選項都可以通過組策略來管理,可以針對所有服務器提供嚴加保護的計算環境。
10.微軟免費提供了Windows Server 2003安全指南,它可以幫助管理員合理保護Windows服務器,這份指南是一個切實可行的重要工具,應當成為每個Windows管理員手中的一件安全武器
保護小公司的網絡
1.要確保任何小公司網絡的安全,最重要的第一步就是,為所有桌面系統購買、安裝並且定期更新防病毒軟件,這是因為單單一個嚴重的蠕蟲或者病毒就有可能在短短時間內破壞整
個小公司網絡。
2.如今,間諜軟件和廣告軟件比比皆是,會帶來諸多問題,必須採取措施防止這種惡意軟件。首先,在所有工作站上安裝阻止彈出廣告的程序,Google工具欄裡面就有一款免費的阻止程序。其次,讓用戶意識到訪問某些網站帶來的危險,解釋某些網站會在用戶不知道的情況下下載惡意文件。為了防止感染,需要定期運行間諜軟件/廣告軟件清除工具。建議使用以下工具: Spybot Search and Destroy、Ad-Aware和微軟Windows間諜軟件清除工具。
3.沒有理由不使用硬件防火牆來保護與互聯網相連的網絡,還應當考慮在網絡上的每台PC上安裝軟件防火牆。不過要小心,因為有些桌面防火牆可能會引起應用程序無法正常運行,所以在每台機器上安裝防火牆之前,一定要先進行一番測試。
4.大多數黑客或者病毒編寫者利用了操作系統和軟件存在的已知漏洞,所以為其打上補丁很重要。
5.最簡單的安全策略就是以書面形式明確公司的計算機安全規章制度。譬如說,小公司的安全策略可能明確了不允許訪問哪些網站內容(譬如色情和仇視團體)、使用公司設備只能用於工作等。策略還可以提供強口令及其他最佳實踐方面的指導準則。
6.垃圾郵件確實很煩人,為了避免垃圾郵件,先要指導用戶儘可能避免訂閱要求提供電子郵件地址的服務。另外,如今的大多數電子郵件系統都有某種垃圾郵件阻擋工具。電子郵件的另一種威脅是網絡釣魚。雖然網絡釣魚者有許多做法看上去非常正規,但沒有哪家正規的公司會以這種方式獲取信息。
7.口令保護是確保小公司網絡安全的重要步驟。首先,確保互聯網防火牆/路由器、服務器及其他任何網絡設備不是採用默認的口令和安全設置配置而成的。其次,規定必須使用更強的口令,並且儘量通過策略來加以執行,安全策略裡面要明確口令策略。
8.幾乎所有路由器、調制解調器、傳真機、網絡打印機、PC及其他設備都有某種內置的安全設置,只是其中有些在默認狀態下就啟用,而許多設備要求採取步驟來進行設置、獲得最佳安全。確保已經調查了網絡上的設備,並且啟用了所有相關的安全設置。
9.許多小公司已部署了無線網絡,但重要的是不能允許任何人都可以用它來訪問你的網絡。無論是隔壁公司還是明目張膽的路人,保護無線接入點遠離不需要的用戶至關重要。至少要確保無線接入點啟用了有線對等保密(WEP)。另外,現在還可以使用Wi-Fi受保護訪問(WPA)等新的無線安全技術。還要確保服務集標識符(SSID)沒有在四處廣播。可以對照廠商的說明手冊對設備進行配置。
10.安全工作是為了防範目前所知的威脅,但某個未知威脅可能會在某個時候,突然悄悄出現在網絡上,所以不管你在安全方面做了多少充分的工作,備份至關重要。利用外置USB硬盤備份關鍵數據只需要很少的成本。另一個經濟可行的方案就是使用光盤刻錄機進行備份。這兩種方法都是備份最重要的文件、以防不測的好辦法。成本稍高的方案就是購買及使用傳統的磁帶備份驅動器。
保護活動目錄
1.默認狀態下,Windows Server 2003版本的活動目錄比Windows Server 2000版本安全得多。這不是說沒法讓Windows Server 2000版本的活動
目錄高度安全,只是說,使用Windows Server 2003版本可以簡化工作,因為確保安全不需要同樣多的工作量。如果無法升級到Windows Server 2003,應儘量確保禁用Windows 2000以前的所有特性,譬如「與Windows 2000以前的服務器兼容的權限」。
2.使用「管理員控制委託」等活動目錄技術,或者通過合理使用「內置組」和「活動目錄權限」,可以大大增強活動目錄的安全性。應當只向真正需要的那些IT員工分配特定任務和功能,從而對權限進行微調,而不是向所有管理員分配廣泛的全面權限。
3.活動目錄高度依賴DNS,因為DNS包含了活動目錄網絡的重要信息,所以確保存放活動目錄記錄的DNS服務器安全可靠、遠離電子和物理窺視很重要。建議的一項配置就是只允許「安全動態更新」。
4.靈活單主機操作(FSMO)角色對活動目錄而言非常重要。尤其是,主域控制器模擬器(PDC Emulator)負責許多重要功能,譬如時間同步、組策略更新及賬戶鎖定處理等。此外,架構主機(Schema Master)控制著架構的更新,也必須加以保護。可能要考慮使用容錯服務器、可靠備份以及其他常見對策來保護FSMO服務器。
5.審計功能讓管理員可以確定活動目錄出了什麼問題。只要啟用審計功能,就可以審計賬戶管理、登錄事件、策略變化和權限使用情況。
6.理想情況下所有的域控制器都應當只用做域控制器,要避免在上面運行任何不必要的服務和軟件,確保只有一組極少的應用和服務在運行,儘可能避免使用域控制器作為文件服務器或者Web服務器。
7.安全模板是跨域提供一致安全性的一種有效手段,謹慎、注重安全的管理員應考慮使用它。
8.微軟每個月(有時更加頻繁)會發佈重要及標準的安全補丁,管理員需要確保域控制器及時打上了補丁。
9.確保域控制器得到了物理保護: 隔離到上鎖的房間或者櫃子。如果不懷好意的員工或者來客獲得了域控制器的物理訪問權,並使用管理員賬戶登錄,該人就會對活動目錄基礎設施造成重大危害。
10.必須明白活動目錄的複製架構和災難恢復模式,並規劃拓撲結構,以減少能預料到的最常見的問題和服務中斷
保護Outlook 2003
1.使用微軟更新可以自動或者手動下載及安裝Office和Windows補丁,可以從微軟的Office網站下載專門針對Office的補丁。如果管理許多桌面電腦,不妨考慮使用W
indows服務器更新服務(WSUS),它包括了通過自動更新機制支持Office產品的功能。另外,可以從Office資源工具包網站手動下載補丁。
2.如果客戶端和Exchange服務器之間的網絡並非完全安全,那麼應當對Outlook和Exchange之間的通信通道進行加密。為此,點擊「工具」、「電子郵件賬戶」,選擇「查看」或者更改現有的電子郵件賬戶,然後點擊「下一步」。選擇用戶的Exchange電子郵件賬戶,然後點擊「更改」。點擊「更多設置」,選擇「安全」選項卡。在「加密」選項中,選中標為「對微軟Office Outlook和微軟Exchange Server之間的數據進行加密」複選框,點擊「確定」。
3.Outlook 2003包含了附件阻止功能,旨在保護最終用戶,避免運行危險的附件。但如果需要收到附件類型被Outlook 2003阻止的郵件,可以讓發送者在發送前壓縮文件(除非你選擇了阻止zip文件),或者提供一個地址供你下載。如果想阻止某個文件類型(可能是zip文件),可以編輯桌面電腦的註冊表,添加想阻止的這個新的文件類型。
4.組建公鑰基礎設施(PKI)以支持更安全的郵件傳送。但這是Outlook無法實現的,需要創建證書基礎設施。微軟知識庫文章包括了許多步驟,可以用來管理用數字證書保護的Outlook環境。
5.以純文本格式讀取郵件,HTML電子郵件可能含有病毒或者惡意腳本。默認狀態下,Outlook允許讀取HTML格式的郵件,但可以禁止這種行為,以純文本格式讀取郵件。
6.讓Outlook發現更多垃圾郵件,或者考慮使用白名單。Outlook 2003具有發現垃圾郵件、並把它放到Outlook中垃圾郵件文件夾的功能。不過,要注意白名單方法會帶來相當大的管理開銷。
7.在前幾個版本的Outlook中,「閱讀窗格」(Reading Pane)帶來了隱私風險,因為用戶可以看到HTML郵件及其他可能不安全的內容,這些內容會向發件人返回郵件已讀取的信息。正因為如此,許多人禁用了「閱讀窗格」,以防止可能打開惡意郵件。然而,Outlook 2003含有使「閱讀窗口」(它可能非常有用)可以安全使用的特性。這是由於Outlook新的默認設置禁止自動下載HTML郵件中的圖片。
8.使用微軟基準安全分析器進行掃瞄、保護安全。2.0版本的微軟基準安全分析器(MBSA)可以掃瞄系統、查找漏掉的補丁,包括微軟Office XP及以後版本的補丁。
9.默認狀態下,Outlook的宏安全被設置成高級,這將自動阻止未簽名的宏執行,下一級即最高級只能運行來自可靠來源的宏。不推薦使用最高的安全級別,建議讓這個選項設置成默認的高級。不過在下一個「可信發佈者」選項上,考慮不要選中「信任所有已經安裝的插件和模板」。
10.用口令保護PST文件,這對於筆記本電腦用戶來說特別重要,因為要是有人得到了PST文件,就可能獲得打開數據王國的鑰匙
保護Pocket PC
1.和筆記本電腦一樣,一旦失竊或者丟失,PDA上的數據很容易被人訪問,所以,儘可能對設備上的內容進行加密,以便數據比較難訪問。市面上有不少面向Pocket PC的加密解決方案。
2. 許多最新的Pocket PC包括了Wi-Fi和藍牙功能,另外,如今有些PDA還包括集成的移動電話功能,譬如三星i600智能電話或者Audiovox XV6600。雖然能夠連接到各種網絡確實很方便,但PDA上啟用了這些連接會給設備留下攻擊途徑。如果用戶主要使用移動網絡,那麼禁用Wi-Fi和藍牙。如果他們一般僅僅使用Wi-Fi,那麼禁用其他通信模式。
3.假設用戶把Pocket PC落在了出租車上,裡面含有聯繫人名單、銷售線索、員工個人信息和公司專有的收益信息,這可能是個重大的安全問題。為了防範這種問題,應當使設備在啟用、超時時,都要求輸入口令。雖然解決該問題的這種辦法其科技含量不是很高,但確實提供了另一道障礙。如果結合加密和設備清除功能使用,效果會相當好。
4.顯然,如果用戶的PDA受損或者丟失,裡面又存儲了關鍵數據,你就會明白確保一切數據定期備份的重要性。用戶應當定期與PC進行同步(至少每天一次),或者IT部門可以為用戶提供GoodLink之類的產品,可以自動為使用移動網絡的PDA進行無線同步。
5.應考慮在PDA上安裝防火牆軟件,以防止未授權訪問,尤其是包含移動電話功能的PDA。市面上有好幾個軟件包可以通過這種方法保護用戶的移動設備,其中包括Bluefire Security Suite、Airscanner和Mobile Armor等。
6.如果PDA失竊或者丟失,得到它的人企圖登錄進去以訪問機密數據,該怎麼辦?只有一個完全安全的辦法,那就是銷毀數據。PDA Defense公司的軟件具有這功能,一旦PDA Defense發現一定次數的登錄失敗後,就會開始使用所謂的「比特清除炸彈」技術,在不提示用戶的情況下清除設備上存儲的所有內容。當然,這並不針對偶爾使用的Pocket PC用戶,但在非常敏感的數據落到壞人手裡可能危害極大的情況下很有用。
7.如果Pocket PC運行Windows操作系統版本,那最好安裝病毒掃瞄器,幫助防止感染上WinCE4.Dust等病毒。這方面有許多產品,其中包括Airscanner產品、Symantec Antivirus for Handhelds及其他產品。
8.保護幾個Pocket PC的安全不會太難,但要是有50個、100個甚至500個設備,該怎麼辦?這種情況下,確實需要一種辦法來集中管理大批PDA,為所有設備提供集中執行的安全策略。可以使用SOTI公司的MobiControl等軟件,幫助集中管理及保護大量PDA。
9.如今,通過使用儲存口令的PDA登錄到企業網絡既快速又簡單,但這樣一來,用戶也把數據和企業網絡置於險境,所以,要儘可能實施並執行不允許在這些移動設備上存儲口令的政策。
10.褲兜、衣袋、錢包或者其他觸手可及的地方使得PDA容易丟失或者受損,不妨試一下把PDA塞入衣袋,然後俯身去撿東西。PDA很可能會掉出來。起碼要為用戶提供保護盒,以防PDA受損。另外,建議把設備放在安全的袋子或者公文包中,或者別在腰帶上。
保護筆記本電腦
1.對硬盤上的內容進行加密。要是硬盤沒有經過加密,竊賊要訪問這台電腦的本地硬盤上的私人數據,可謂小菜一碟,甚至不用知道用戶名或者口令。可以通過對硬盤上的內容進行加密來防範這種風險。
Windows 2000和Windows XP可以利用加密文件系統完成這項操作,不過Windows 2000用戶和沒有加入域的用戶需要更加注意,避免口令忘記而引起數據永久性丟失。可以使用不同產品、用諸多不同方法對Linux筆記本電腦進行加密。另外,Mac OS X用戶可以使用FileVault。
2.單單允許系統從硬盤啟動,然後設置啟動口令,就可以加大竊賊獲取數據的難度,如果決定不使用加密文件系統(EFS),更是如此。如果真的需要從軟盤或者光盤啟動,可以暫時更改啟動順序。
3.筆記本電腦對竊賊來說具有很大的吸引力。為了遏制越來越多的筆記本電腦失竊事件,許多公司如今銷售這樣一種軟件: 一旦失竊電腦重新連接到網絡上,它就會悄悄「通知原主人」。如果使用這樣的軟件,加上執法部門的努力,追回設備的可能性就會大大增加。這種產品包括 CyberAngel、zTrace和XTool Computer Tracker等。
4.擁有的數據越多,丟失的勢必也會越多。如果是長途旅行,可以通過公司的VPN連接到公司網絡上,從筆記本電腦把文件上傳到公司裡面安全的文件服務器上。這樣一來,即使筆記本電腦果真失竊,數據也是安全、可用的。
5.考慮讓遠程用戶使用瘦客戶機計算模式。公司網絡內部的服務器和桌面電腦幾乎總是比筆記本電腦來得安全。因為如今大多數酒店、機場、咖啡店和書店都提供高速互聯網連接,所以就有可能組建這樣的遠程連接解決方案: 最終用戶只要連接到「終端服務(Terminal Services)」,或者使用「遠程桌面(Remote Desktop)」,通過VPN連接到公司網絡內部的專用桌面機器。這可以防止在筆記本電腦上進行任何實際工作。
6.通過公司政策,並通過Windows、Linux和Mac OS具有的技術機制,制定及執行強口令策略。
7.筆記本電腦帶回到辦公室後,就要隔離起來,進行掃瞄,確保它沒有任何有害的病毒或者間諜軟件。畢竟,這個設備之前已在公司防火牆外面訪問間諜軟件和病毒到處肆虐的互聯網,有時很難清除它們,甚至很難發現。
8.不用時把電腦鎖起來,這點可能相當明顯,但往往被人忽視,所以有必要強調一下。
9.如果用戶在無線網絡上的公共區域,就要告訴他們千萬不要登錄網站,除非他們使用SSL(HTTPS)。另外還要告訴他們不要使用公司的VPN,除非所有流量都經過了加密,而不是啟用分離隧道機制。還要確保筆記本電腦上的任何共享區都通過合理設置權限而得到了保護。
10.如果用戶的筆記本電腦不幸失竊,就要告訴用戶除了立即通知IT部門和可能簽約的任何追蹤公司外,還要立即通知有關當局
資料來源 China CISSP論壇 http://bbs.chinacissp.com/viewtopic.php?t=8783
,介紹100個保護IT系統的方法,供讀者參考。
保護IIS Web服務器
互聯網信息服務(IIS)是黑客喜歡攻擊的目標。因而,管理IIS Web服務器的管理員確保它們得到了保護就很重要。默認安裝的IIS 4.0和IIS 5.0特別容易受到攻擊。
1.要僅僅為IIS應用軟件和數據設定一個NTFS驅動器。如果可能,禁止通過IUSER(或者其他匿名用戶名)訪問任何其他驅動器。如果應用軟件因通過匿名用戶無法訪問其他驅動器上的程序而遇到任何問題,那麼使用Sysinternals的FileMon,檢測它無法訪問哪個文件,然後把該程序移到 IIS驅動器,設法找到解決辦法。如果這不可能實現,那麼允許通過IUSER僅僅訪問該文件。
2.設定驅動器上的NTFS權限: Developers = Full; IUSER = Read and execute only; System and admin = Full。
3.使用軟件防火牆確保沒有最終用戶(只有開發人員)可以訪問IIS機器上除端口80以外的其他任何端口。
4.使用保護機器安全的微軟工具: IIS Lockdown和UrlScan。
5.啟用IIS的日誌功能。除了IIS日誌外,還要儘可能使用防火牆的日誌功能。
6.把日誌移到默認位置以外的地方,確保它們被備份起來了。複製一份日誌文件夾,那樣總有副本放在第二個位置。
7.對IIS服務器啟用Windows審計功能,因為在設法追蹤任何攻擊者的活動時,數據根本不夠多。甚至有可能要運行腳本,使用審計日誌,檢查任何可疑活動,然後發送報告給管理員。這聽上去可能有點極端,但如果安全對你而言至關重要,這種操作不失為一種好的做法。設置審計功能,報告任何失敗的賬戶登錄。另外,與IIS日誌一樣,也要把默認位置(c:\winnt\system32\config\secevent.log)改成不同位置,並確保已有備份、複製副本。
8.儘可能經常地閱讀安全文章(從各個來源)。比較明智的方法是儘可能地瞭解IIS以及一般的安全方法,而不只是採用別人告訴你的方法。
9.訂閱有關IIS錯誤的郵件列表,並經常閱讀。互聯網安全系統公司的X-Force Alerts and Advisories就是這樣一種列表。
10.最後,定期運行Windows更新,確保真正打上了補丁。
保護SQL Server
1.確保SQL Server有一個非常強的「sa」(管理員)口令極其重要,這個口令要結合使用字母、數字和符號。這可以減小口令被猜中或者被破解的可能性。
2.要求SQL Server使用「
Windows授權」,這有助於防止互聯網攻擊,因為它比混合模式授權要安全得多。
3.在任何某個時間點,微軟基準安全分析器(MBSA)都能提供運行SQL Server的Windows服務器安全狀態的詳細情況。可以本地運行MBSA,也可以在網絡上運行它。下載地址: http://www.microsoft.com/technet/security/tools/mbsahome.mspx。
4.只要讓SQL Server服務包版本最新,就可以確保最新的安全漏洞和系統錯誤能得到解決。
5.除了最新的SQL Server服務包外,微軟還發佈可以下載的SQL Server安全補丁。需要結合最新的SQL Server服務包和最新的安全補丁,這樣才能確保系統完全打上了補丁。可以在微軟TechNet網站尋找適用於SQL Server的補丁。
6.在安裝SQL Server時,會創建兩個服務賬戶: MSSQLSERVER和SQLSERVERAGENT。只要作為域用戶賬戶運行這些賬戶,就可以限制萬一它們的安全受到危及時可能造成的破壞。
7.從SQL Server 2000操作指南獲得信息,留意其列出來的安全建議。該文檔涉及安全、監控、變更控制及有助於保護SQL Server,尤其是SQL Server 2000安全的其他諸多話題。
8.Windows 2000預先封裝了可以對文件進行加密的EFS。結合使用EFS和SQL Server,就可以對客戶機/服務器數據進行加密,確保公司最重要的資產(專有數據)安全。
9.安裝了默認安裝的SQL Server後,端口1433和1434都是使用的基本端口。一條最佳實踐就是明確過濾掉向防火牆上這些端口發送的數據包(並把企圖訪問這些端口的任何活動記入日誌)。這將有助於防止SQL Server受到外部攻擊者的破壞。
10. 默認安裝的SQL Server既不對備份內容進行加密,也不進行壓縮。雖然可以對備份內容添加口令,但任何文本編輯器都會危及備份資料的安全。所以要使用 LiteSpeed for SQL Server(http://www.imceda.com/LiteSpeed_Download.htm)等軟件來進行加密。
保護Web Apache服務器
1.為Apache的文件設定權限,以便它們只能夠由根賬戶(管理員)來編輯或者執行,可以確保它們不被人篡改。許多Web服務器的配置文件擁有用戶組甚至全局權限。這將有助於確保: 配置文件和
可執行文件無法被非根賬戶用戶篡改,從而避免它們鑽系統的空子。使用chmod把Apache的配置文件改成「600」、把Apache庫改成「500」。只要有可能,除了絕對需要訪問權的管理員外,拒絕所有用戶加以訪問。
2.確保Apache作為非根賬戶用戶來運行。萬一攻擊者暗中破壞了Apache,這就可以確保攻擊者只能在該用戶賬戶允許的範圍內進行破壞活動。該用戶賬戶應當限於Apache程序本身,以維持整個服務器的不可侵犯性。可通過以下操作來實現這一步: 創建本地用戶和用戶組,然後修改httpd.conf中的「用戶」和「用戶組」參數。確保創建的用戶有一個不存在的主目錄,這可以防止任何人使用該賬戶登錄到服務器。默認狀態下,Apache服務器將作為根賬戶來啟動,但所有子進程都將作為所選擇的那個用戶來運行。而Apache根進程本身根本不處理請求。
3.如果在Apache上運行關鍵任務型網站,就把它運行在專用的Web服務器上。不要在上面運行BIND,也不要運行Sendmail。往Apache 設備上添加FTP服務器之類的東西可能很簡單,這個硬件處理起來可能輕鬆,但要記住: 運行的服務越多,給黑客留下的攻擊途徑就越多。只要攻擊者破壞了某一個守護程序、獲得根賬戶訪問權,Apache的種種安全措施都無法阻止對方。
4.把Apache的版本號及其他關鍵信息隱藏起來,讓潛在的攻擊者無法看見。在httpd.conf裡面添加ServerSignature Off和ServerTokens Prod命令。這可以限制任何外人從服務器收集信息。攻擊的信息收集部分被稱為「特徵探測」,攻擊者可以用來確認某個版本的Apache或者其中一個模塊所特有的漏洞。另外,蠕蟲和病毒甚至可以掃瞄查找這些信息。另外,清除圖標和手動目錄等默認內容。這些內容同樣可用來確認某些版本的Apache。
5.時時瞭解最新的安全信息,可以及早避免許多問題出現。但如果某個蠕蟲或者病毒迅速傳播,並不總是這樣。不過許多時候,從首次報告到最初帶來影響會有一個時間差。漏洞和弱點往往在漏洞被人利用之前公佈。要養成訪問CERT.org、訂閱Apache郵件列表或者甚至經常閱讀Slashdot的習慣。事實證明,Apache是市面上最穩定、最安全的Web服務器之一,包括商用產品和開源產品。即便如此,由於佔有60%以上的市場份額,它總是攻擊者的一大目標。
6.禁用目錄索引功能,改動符號鏈接。只要從目錄配置部分去除「Indexes」關鍵字,就很容易禁用索引功能。如果沒有發現合適的索引文件,這可以禁止翻閱字典內容的功能。訪問目錄的原始內容會暴露不想顯示的材料,並洩露有關服務器文件結構的信息。應當使用目錄設置下的 SymLinksIfOwnerMatch,而不是FollowSymLinks命令。這樣,只有在當前的目錄和目標的所有者是同一人時,才允許使用符號鏈接。這可以禁用鏈接至不想每個人都能查看的路徑。請注意: 如果使用SymLinksIfOwnerMatch,性能會受到影響,因為需要一兩個額外的lstat()。這些信息並不緩存起來,所以可能需要在實施到高性能Web服務器之前評估這一步。
7.清除所有不必要的模塊,這跟清除服務器上不需要的服務是同一個道理。不是所有的漏洞都出現在Apache代碼中,許多漏洞可能出現在Web服務器使用的外部模塊裡。默認狀態下,各種模塊添加到了Apache裡面,有些是不同的Linux版本所帶的。這需要一番研究,因為不同部署需要不同模塊。事先在這方面花點時間從長遠來看是值得的。
8.在Apache用戶的許可下,具有SSI功能的文件可以執行CGI代碼和系統程序。可使用IncludesNOEXC Options命令來禁用SSI。如果CGI腳本從ScriptAlias目錄運行,可以繼續工作。運行CGI時,不妨考慮使用suEXEC等工具來提供更嚴密的安全。如果使用suEXEC,可以在與Apache使用的用戶和用戶組不同的用戶和用戶組下運行CGI程序。
9.有些模塊是專門為Apache的安全功能而開發的,包括mod_security、mod_paramguard和mod_dosevasive等模塊。有了這些實用程序,可以實現一系列功能,譬如掩蓋服務器簽名、過濾URL中通常被人濫用的參數和CGI訪問請求、檢測及響應DoS攻擊等。
10.如果想確保Apache根本不會造成任何破壞,可以把它放到chroot jail環境裡面。這個程序需要相當的工作量: 必須在文件系統中創建一個部分,只存放Apache及其運行所需的特定文件和庫。結果就是,無法從「jail」環境裡面訪問系統的其他部分,即便是 Apache完全受到了威脅亦然,這正是這種方法有效的原因。
保護Exchange服務器
1.如果不使用任何外部的郵件服務,就禁止Exchange服務器使用它們; 如果只使用特定服務,就禁用不使用的那些服務; 如果只有某些用戶需要訪問這些資源,就禁止不需要使用的用戶使用它們。這可以大大
減少受到外部攻擊的可能性。
2.不但要隨時更新微軟的Exchange補丁,還要更新底層的Windows系統及已經安裝在Exchange上的任何第三方插件的補丁。雖然不建議在生產環境下啟用「自動更新」特性(除非它們來自內部的SUS服務器,並且已通過測試),但可以訂閱微軟的安全公告牌,這樣一旦發佈了新補丁,就可以進行測試及部署。
3.確保使用了SSL和Outlook Web訪問(OWA),不用購買證書就可以實現這一步,因為可以使用微軟的「證書服務」來生成證書。儘管它不是可證實的第三方證書,但仍可以對通過OWA傳送的所有郵件進行加密。
4.對OWA實行URL掃瞄。這將過濾掉針對OWA服務器的被認為不合適的請求,無論它們是攻擊,還是畸形文件。要注意的一個地方是,如果使用默認設置,用戶將無法打開標題裡面有某些字符的一些郵件。但只要編輯%windir%\system32\inetsrv\urlscan文件夾裡面的 urlscan.ini文件,就可以更改這種默認行為。
5.郵箱的安全完全取決於相關賬戶使用的口令,不但存在黑客攻擊的風險,還存在用戶共享口令的風險。如果安裝了Outlook Web Access則尤其危險,因為用戶使用共享用戶名和口令,就可以登錄OWA。所以應當確保落實了強口令政策,並且禁止用戶之間共享口令。
6.Exchange運行在Windows上,需要活動目錄(Exchange 2000及更高版本),而如果這些基本元素未得到保護,那麼Exchange的任何保護措施其效果都會打折扣。
7.Exchange安全模板與相應的指南可以創建加固的Exchange環境。不過有一點需要警告: 在部署這些模板時要非常小心,因為配置不當會導致Exchange環境的重要部分無法正常運行,應儘可能先在測試環境測試一下。
8.如果Exchange服務器用來接收入站郵件,或者允許用戶遠程訪問郵件,就要確保它在防火牆後面得到了合理保護,只允許環境所需的端口向互聯網開放。可能的話,在防火牆的非軍事區(DMZ)組建第二台Exchange服務器,用它來滿足外部郵件需求。
9.始終確保所有Exchange服務器上的所有SMTP服務都得到了保護。
10.在Windows 2003服務器技術上運行Exchange環境可以在默認狀態下提高安全,因為這加強了操作系統本身的安全。Windows 2003在設計時已考慮到了安全,甚至在安裝Exchange之前就可以減少保護Windows系統所需的工作量。
保護Windows Server 2003
1.Windows Server 2003 Service Pack 1(SP1)包括了安全方面的許多改進,其中包括對IE瀏覽器的重大改進(這有助於
終端服務服務器)、新的防火牆、旨在保護服務器的新的安全配置嚮導程序,以及「安裝後安全更新」(Post-Setup Security Update)服務。這項服務可以把系統從網絡上斷開,直到進行了Windows 更新,確保系統處於最新狀態。
2.十多年前,Windows NT最先採用了NT文件系統(NTFS),如今它依然是保護Windows系統的最有效的方法之一。NTFS對用戶權限提供了細粒度控制,可以只為用戶授予訪問某個文件或者文件夾的權限。
3.只安裝所需軟件和服務,這是最簡單但也是最重要的安全建議。安裝到服務器上並加以運行的軟件和服務越多,系統因被人攻擊而受到破壞的可能性就越大。尤其是,不要把互聯網信息服務系統(IIS)或者文件/打印服務等服務安裝到不需要這些特定服務的服務器上。
4.保護服務器的一個辦法就是確保操作系統是安裝在單一磁盤或者分區上的惟一組件。把公司文件和程序放在其他磁盤或者分區上。這樣一來,即使用戶或者黑客通過另一個進程的漏洞獲得了未授權的訪問權,也不大可能訪問所安裝的操作系統並造成破壞。當然,這招不是在所有情況下都能夠起到保護作用,卻只是為服務器添加另一道安全的簡便方法。
5.雖然Windows Server 2003在許多情況下減少了服務賬戶的需要,但仍需要這些賬戶來獲取某些Windows服務和某些第三方應用軟件。正因為如此,在某個時候仍然需要創建賬戶,以便這些產品進入系統。所以,儘量為運行應用軟件的服務器創建本地賬戶,而不是創建域賬戶。因為域賬戶一旦受到威脅,就有可能被黑客用來訪問其他服務器。
6.管理員賬戶、C:\WINNT和C:\WINDOWS目錄是經驗並不老到的黑客喜歡下手的目標,而且往往硬編碼到了互聯網上隨處可見的不懷好意的漏洞腳本裡面。就算獲得系統訪問權的這些方法很原始,它們也往往很有效。為了阻止部分這些腳本對系統造成破壞,對管理員賬戶進行更名,並且把Windows Server 2003安裝到C:\WINNT或者C:\WINDOWS以外的目錄裡面。
7.即使郵件服務器和每台PC上安裝了防病毒軟件,服務器上還是需要裝一個病毒掃瞄器,尤其是文件服務器上。要是其中一個桌面系統沒有定期更新病毒特徵,最後病毒也可能會出現在服務器上。要是情況好,受感染的文件只是處於閒置狀態; 要是情況不好,這個文件就會在服務器上打開,從而導致服務器被感染、可能無法使用服務。
8.微軟通常每個月會為其產品發佈一系列新補丁。雖然盲目地安裝微軟發佈的每個補丁不是什麼好想法,但被標為嚴重補丁、可能涉及自身環境的補丁應當立即在測試系統/實驗室環境進行檢查及測試,然後盡快部署。如今,往往幾小時而不是幾週後就會發佈針對重大漏洞的攻擊代碼,所以及時打上補丁不可或缺。
9. Windows Server 2003 SP1為管理員提供了許多新的組策略選項,可以集中管理SP1里面新的安全特性。譬如說,Windows Server 2003 SP1單單為管理新的防火牆提供了組策略的近30個選項。幾乎每個安全選項都可以通過組策略來管理,可以針對所有服務器提供嚴加保護的計算環境。
10.微軟免費提供了Windows Server 2003安全指南,它可以幫助管理員合理保護Windows服務器,這份指南是一個切實可行的重要工具,應當成為每個Windows管理員手中的一件安全武器
保護小公司的網絡
1.要確保任何小公司網絡的安全,最重要的第一步就是,為所有桌面系統購買、安裝並且定期更新防病毒軟件,這是因為單單一個嚴重的蠕蟲或者病毒就有可能在短短時間內破壞整
個小公司網絡。
2.如今,間諜軟件和廣告軟件比比皆是,會帶來諸多問題,必須採取措施防止這種惡意軟件。首先,在所有工作站上安裝阻止彈出廣告的程序,Google工具欄裡面就有一款免費的阻止程序。其次,讓用戶意識到訪問某些網站帶來的危險,解釋某些網站會在用戶不知道的情況下下載惡意文件。為了防止感染,需要定期運行間諜軟件/廣告軟件清除工具。建議使用以下工具: Spybot Search and Destroy、Ad-Aware和微軟Windows間諜軟件清除工具。
3.沒有理由不使用硬件防火牆來保護與互聯網相連的網絡,還應當考慮在網絡上的每台PC上安裝軟件防火牆。不過要小心,因為有些桌面防火牆可能會引起應用程序無法正常運行,所以在每台機器上安裝防火牆之前,一定要先進行一番測試。
4.大多數黑客或者病毒編寫者利用了操作系統和軟件存在的已知漏洞,所以為其打上補丁很重要。
5.最簡單的安全策略就是以書面形式明確公司的計算機安全規章制度。譬如說,小公司的安全策略可能明確了不允許訪問哪些網站內容(譬如色情和仇視團體)、使用公司設備只能用於工作等。策略還可以提供強口令及其他最佳實踐方面的指導準則。
6.垃圾郵件確實很煩人,為了避免垃圾郵件,先要指導用戶儘可能避免訂閱要求提供電子郵件地址的服務。另外,如今的大多數電子郵件系統都有某種垃圾郵件阻擋工具。電子郵件的另一種威脅是網絡釣魚。雖然網絡釣魚者有許多做法看上去非常正規,但沒有哪家正規的公司會以這種方式獲取信息。
7.口令保護是確保小公司網絡安全的重要步驟。首先,確保互聯網防火牆/路由器、服務器及其他任何網絡設備不是採用默認的口令和安全設置配置而成的。其次,規定必須使用更強的口令,並且儘量通過策略來加以執行,安全策略裡面要明確口令策略。
8.幾乎所有路由器、調制解調器、傳真機、網絡打印機、PC及其他設備都有某種內置的安全設置,只是其中有些在默認狀態下就啟用,而許多設備要求採取步驟來進行設置、獲得最佳安全。確保已經調查了網絡上的設備,並且啟用了所有相關的安全設置。
9.許多小公司已部署了無線網絡,但重要的是不能允許任何人都可以用它來訪問你的網絡。無論是隔壁公司還是明目張膽的路人,保護無線接入點遠離不需要的用戶至關重要。至少要確保無線接入點啟用了有線對等保密(WEP)。另外,現在還可以使用Wi-Fi受保護訪問(WPA)等新的無線安全技術。還要確保服務集標識符(SSID)沒有在四處廣播。可以對照廠商的說明手冊對設備進行配置。
10.安全工作是為了防範目前所知的威脅,但某個未知威脅可能會在某個時候,突然悄悄出現在網絡上,所以不管你在安全方面做了多少充分的工作,備份至關重要。利用外置USB硬盤備份關鍵數據只需要很少的成本。另一個經濟可行的方案就是使用光盤刻錄機進行備份。這兩種方法都是備份最重要的文件、以防不測的好辦法。成本稍高的方案就是購買及使用傳統的磁帶備份驅動器。
保護活動目錄
1.默認狀態下,Windows Server 2003版本的活動目錄比Windows Server 2000版本安全得多。這不是說沒法讓Windows Server 2000版本的活動
目錄高度安全,只是說,使用Windows Server 2003版本可以簡化工作,因為確保安全不需要同樣多的工作量。如果無法升級到Windows Server 2003,應儘量確保禁用Windows 2000以前的所有特性,譬如「與Windows 2000以前的服務器兼容的權限」。
2.使用「管理員控制委託」等活動目錄技術,或者通過合理使用「內置組」和「活動目錄權限」,可以大大增強活動目錄的安全性。應當只向真正需要的那些IT員工分配特定任務和功能,從而對權限進行微調,而不是向所有管理員分配廣泛的全面權限。
3.活動目錄高度依賴DNS,因為DNS包含了活動目錄網絡的重要信息,所以確保存放活動目錄記錄的DNS服務器安全可靠、遠離電子和物理窺視很重要。建議的一項配置就是只允許「安全動態更新」。
4.靈活單主機操作(FSMO)角色對活動目錄而言非常重要。尤其是,主域控制器模擬器(PDC Emulator)負責許多重要功能,譬如時間同步、組策略更新及賬戶鎖定處理等。此外,架構主機(Schema Master)控制著架構的更新,也必須加以保護。可能要考慮使用容錯服務器、可靠備份以及其他常見對策來保護FSMO服務器。
5.審計功能讓管理員可以確定活動目錄出了什麼問題。只要啟用審計功能,就可以審計賬戶管理、登錄事件、策略變化和權限使用情況。
6.理想情況下所有的域控制器都應當只用做域控制器,要避免在上面運行任何不必要的服務和軟件,確保只有一組極少的應用和服務在運行,儘可能避免使用域控制器作為文件服務器或者Web服務器。
7.安全模板是跨域提供一致安全性的一種有效手段,謹慎、注重安全的管理員應考慮使用它。
8.微軟每個月(有時更加頻繁)會發佈重要及標準的安全補丁,管理員需要確保域控制器及時打上了補丁。
9.確保域控制器得到了物理保護: 隔離到上鎖的房間或者櫃子。如果不懷好意的員工或者來客獲得了域控制器的物理訪問權,並使用管理員賬戶登錄,該人就會對活動目錄基礎設施造成重大危害。
10.必須明白活動目錄的複製架構和災難恢復模式,並規劃拓撲結構,以減少能預料到的最常見的問題和服務中斷
保護Outlook 2003
1.使用微軟更新可以自動或者手動下載及安裝Office和Windows補丁,可以從微軟的Office網站下載專門針對Office的補丁。如果管理許多桌面電腦,不妨考慮使用W
indows服務器更新服務(WSUS),它包括了通過自動更新機制支持Office產品的功能。另外,可以從Office資源工具包網站手動下載補丁。
2.如果客戶端和Exchange服務器之間的網絡並非完全安全,那麼應當對Outlook和Exchange之間的通信通道進行加密。為此,點擊「工具」、「電子郵件賬戶」,選擇「查看」或者更改現有的電子郵件賬戶,然後點擊「下一步」。選擇用戶的Exchange電子郵件賬戶,然後點擊「更改」。點擊「更多設置」,選擇「安全」選項卡。在「加密」選項中,選中標為「對微軟Office Outlook和微軟Exchange Server之間的數據進行加密」複選框,點擊「確定」。
3.Outlook 2003包含了附件阻止功能,旨在保護最終用戶,避免運行危險的附件。但如果需要收到附件類型被Outlook 2003阻止的郵件,可以讓發送者在發送前壓縮文件(除非你選擇了阻止zip文件),或者提供一個地址供你下載。如果想阻止某個文件類型(可能是zip文件),可以編輯桌面電腦的註冊表,添加想阻止的這個新的文件類型。
4.組建公鑰基礎設施(PKI)以支持更安全的郵件傳送。但這是Outlook無法實現的,需要創建證書基礎設施。微軟知識庫文章包括了許多步驟,可以用來管理用數字證書保護的Outlook環境。
5.以純文本格式讀取郵件,HTML電子郵件可能含有病毒或者惡意腳本。默認狀態下,Outlook允許讀取HTML格式的郵件,但可以禁止這種行為,以純文本格式讀取郵件。
6.讓Outlook發現更多垃圾郵件,或者考慮使用白名單。Outlook 2003具有發現垃圾郵件、並把它放到Outlook中垃圾郵件文件夾的功能。不過,要注意白名單方法會帶來相當大的管理開銷。
7.在前幾個版本的Outlook中,「閱讀窗格」(Reading Pane)帶來了隱私風險,因為用戶可以看到HTML郵件及其他可能不安全的內容,這些內容會向發件人返回郵件已讀取的信息。正因為如此,許多人禁用了「閱讀窗格」,以防止可能打開惡意郵件。然而,Outlook 2003含有使「閱讀窗口」(它可能非常有用)可以安全使用的特性。這是由於Outlook新的默認設置禁止自動下載HTML郵件中的圖片。
8.使用微軟基準安全分析器進行掃瞄、保護安全。2.0版本的微軟基準安全分析器(MBSA)可以掃瞄系統、查找漏掉的補丁,包括微軟Office XP及以後版本的補丁。
9.默認狀態下,Outlook的宏安全被設置成高級,這將自動阻止未簽名的宏執行,下一級即最高級只能運行來自可靠來源的宏。不推薦使用最高的安全級別,建議讓這個選項設置成默認的高級。不過在下一個「可信發佈者」選項上,考慮不要選中「信任所有已經安裝的插件和模板」。
10.用口令保護PST文件,這對於筆記本電腦用戶來說特別重要,因為要是有人得到了PST文件,就可能獲得打開數據王國的鑰匙
保護Pocket PC
1.和筆記本電腦一樣,一旦失竊或者丟失,PDA上的數據很容易被人訪問,所以,儘可能對設備上的內容進行加密,以便數據比較難訪問。市面上有不少面向Pocket PC的加密解決方案。
2. 許多最新的Pocket PC包括了Wi-Fi和藍牙功能,另外,如今有些PDA還包括集成的移動電話功能,譬如三星i600智能電話或者Audiovox XV6600。雖然能夠連接到各種網絡確實很方便,但PDA上啟用了這些連接會給設備留下攻擊途徑。如果用戶主要使用移動網絡,那麼禁用Wi-Fi和藍牙。如果他們一般僅僅使用Wi-Fi,那麼禁用其他通信模式。
3.假設用戶把Pocket PC落在了出租車上,裡面含有聯繫人名單、銷售線索、員工個人信息和公司專有的收益信息,這可能是個重大的安全問題。為了防範這種問題,應當使設備在啟用、超時時,都要求輸入口令。雖然解決該問題的這種辦法其科技含量不是很高,但確實提供了另一道障礙。如果結合加密和設備清除功能使用,效果會相當好。
4.顯然,如果用戶的PDA受損或者丟失,裡面又存儲了關鍵數據,你就會明白確保一切數據定期備份的重要性。用戶應當定期與PC進行同步(至少每天一次),或者IT部門可以為用戶提供GoodLink之類的產品,可以自動為使用移動網絡的PDA進行無線同步。
5.應考慮在PDA上安裝防火牆軟件,以防止未授權訪問,尤其是包含移動電話功能的PDA。市面上有好幾個軟件包可以通過這種方法保護用戶的移動設備,其中包括Bluefire Security Suite、Airscanner和Mobile Armor等。
6.如果PDA失竊或者丟失,得到它的人企圖登錄進去以訪問機密數據,該怎麼辦?只有一個完全安全的辦法,那就是銷毀數據。PDA Defense公司的軟件具有這功能,一旦PDA Defense發現一定次數的登錄失敗後,就會開始使用所謂的「比特清除炸彈」技術,在不提示用戶的情況下清除設備上存儲的所有內容。當然,這並不針對偶爾使用的Pocket PC用戶,但在非常敏感的數據落到壞人手裡可能危害極大的情況下很有用。
7.如果Pocket PC運行Windows操作系統版本,那最好安裝病毒掃瞄器,幫助防止感染上WinCE4.Dust等病毒。這方面有許多產品,其中包括Airscanner產品、Symantec Antivirus for Handhelds及其他產品。
8.保護幾個Pocket PC的安全不會太難,但要是有50個、100個甚至500個設備,該怎麼辦?這種情況下,確實需要一種辦法來集中管理大批PDA,為所有設備提供集中執行的安全策略。可以使用SOTI公司的MobiControl等軟件,幫助集中管理及保護大量PDA。
9.如今,通過使用儲存口令的PDA登錄到企業網絡既快速又簡單,但這樣一來,用戶也把數據和企業網絡置於險境,所以,要儘可能實施並執行不允許在這些移動設備上存儲口令的政策。
10.褲兜、衣袋、錢包或者其他觸手可及的地方使得PDA容易丟失或者受損,不妨試一下把PDA塞入衣袋,然後俯身去撿東西。PDA很可能會掉出來。起碼要為用戶提供保護盒,以防PDA受損。另外,建議把設備放在安全的袋子或者公文包中,或者別在腰帶上。
保護筆記本電腦
1.對硬盤上的內容進行加密。要是硬盤沒有經過加密,竊賊要訪問這台電腦的本地硬盤上的私人數據,可謂小菜一碟,甚至不用知道用戶名或者口令。可以通過對硬盤上的內容進行加密來防範這種風險。
Windows 2000和Windows XP可以利用加密文件系統完成這項操作,不過Windows 2000用戶和沒有加入域的用戶需要更加注意,避免口令忘記而引起數據永久性丟失。可以使用不同產品、用諸多不同方法對Linux筆記本電腦進行加密。另外,Mac OS X用戶可以使用FileVault。
2.單單允許系統從硬盤啟動,然後設置啟動口令,就可以加大竊賊獲取數據的難度,如果決定不使用加密文件系統(EFS),更是如此。如果真的需要從軟盤或者光盤啟動,可以暫時更改啟動順序。
3.筆記本電腦對竊賊來說具有很大的吸引力。為了遏制越來越多的筆記本電腦失竊事件,許多公司如今銷售這樣一種軟件: 一旦失竊電腦重新連接到網絡上,它就會悄悄「通知原主人」。如果使用這樣的軟件,加上執法部門的努力,追回設備的可能性就會大大增加。這種產品包括 CyberAngel、zTrace和XTool Computer Tracker等。
4.擁有的數據越多,丟失的勢必也會越多。如果是長途旅行,可以通過公司的VPN連接到公司網絡上,從筆記本電腦把文件上傳到公司裡面安全的文件服務器上。這樣一來,即使筆記本電腦果真失竊,數據也是安全、可用的。
5.考慮讓遠程用戶使用瘦客戶機計算模式。公司網絡內部的服務器和桌面電腦幾乎總是比筆記本電腦來得安全。因為如今大多數酒店、機場、咖啡店和書店都提供高速互聯網連接,所以就有可能組建這樣的遠程連接解決方案: 最終用戶只要連接到「終端服務(Terminal Services)」,或者使用「遠程桌面(Remote Desktop)」,通過VPN連接到公司網絡內部的專用桌面機器。這可以防止在筆記本電腦上進行任何實際工作。
6.通過公司政策,並通過Windows、Linux和Mac OS具有的技術機制,制定及執行強口令策略。
7.筆記本電腦帶回到辦公室後,就要隔離起來,進行掃瞄,確保它沒有任何有害的病毒或者間諜軟件。畢竟,這個設備之前已在公司防火牆外面訪問間諜軟件和病毒到處肆虐的互聯網,有時很難清除它們,甚至很難發現。
8.不用時把電腦鎖起來,這點可能相當明顯,但往往被人忽視,所以有必要強調一下。
9.如果用戶在無線網絡上的公共區域,就要告訴他們千萬不要登錄網站,除非他們使用SSL(HTTPS)。另外還要告訴他們不要使用公司的VPN,除非所有流量都經過了加密,而不是啟用分離隧道機制。還要確保筆記本電腦上的任何共享區都通過合理設置權限而得到了保護。
10.如果用戶的筆記本電腦不幸失竊,就要告訴用戶除了立即通知IT部門和可能簽約的任何追蹤公司外,還要立即通知有關當局
資料來源 China CISSP論壇 http://bbs.chinacissp.com/viewtopic.php?t=8783
全站熱搜
留言列表
