Windows網(wǎng)絡(luò)安全審計(jì)的四部曲

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

什么是網(wǎng)絡(luò)安全審計(jì)，各個(gè)專家對(duì)此都沒(méi)有統(tǒng)一的認(rèn)識(shí)。筆者認(rèn)為，網(wǎng)絡(luò)安全審計(jì)就是對(duì)企業(yè)網(wǎng)絡(luò)安全的脆弱性進(jìn)行測(cè)試、評(píng)估、分析的過(guò)程。其目的是為了在最大限度內(nèi)保障企業(yè)網(wǎng)絡(luò)與信息的安全。

雖然有時(shí)候通過(guò)防火墻、入侵檢測(cè)等網(wǎng)絡(luò)設(shè)備，可以有效提高企業(yè)網(wǎng)絡(luò)的安全。但是，平心而論，筆者非常不贊同在安全問(wèn)題上，對(duì)于硬件設(shè)備太過(guò)于依賴。因?yàn)閷?duì)于硬件設(shè)備一味的依賴與迷信，往往會(huì)讓用戶降低安全認(rèn)識(shí)。其實(shí)，筆者認(rèn)為，有時(shí)候好的安全認(rèn)識(shí)與健全的網(wǎng)絡(luò)安全管理，可能比所謂的網(wǎng)絡(luò)安全設(shè)備更加的高效。正是出于這種原因，企業(yè)網(wǎng)絡(luò)安全管理人員有必要定時(shí)的對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行安全設(shè)計(jì)，以發(fā)現(xiàn)可能存在的安全漏洞。

雖然網(wǎng)絡(luò)安全審計(jì)在國(guó)內(nèi)可能還不怎么流行，看其來(lái)有一點(diǎn)莫測(cè)高深的樣子。其實(shí)，網(wǎng)絡(luò)安全審計(jì)并沒(méi)有我們想象中的那么困難。筆者今天就談?wù)刉indows網(wǎng)絡(luò)安全審計(jì)的四部曲，跟大家分享一下基于Windows網(wǎng)絡(luò)環(huán)境的安全設(shè)計(jì)心得。

一、關(guān)注未使用過(guò)的帳戶

在實(shí)際工作中，可能會(huì)存在這種情況。一個(gè)新人來(lái)面試過(guò)后，企業(yè)決定錄用他。在其還沒(méi)有到企業(yè)報(bào)道之前，只要企業(yè)決定錄用他，則企業(yè)人事部門就會(huì)把這個(gè)新員工的信息告訴給網(wǎng)絡(luò)管理員。讓我們網(wǎng)絡(luò)安全人員給其建立帳戶?？墒牵鲇诜N種原因，新員工可能會(huì)改變初始的想法。如其可能認(rèn)為路途遠(yuǎn)、上班不方便；又或者找到了其他更好的工作，而臨時(shí)改變主意，不到企業(yè)來(lái)上班了。此時(shí)，這些帳戶從建立起來(lái)就根本沒(méi)用過(guò)。日積月累，這些從未使用過(guò)的帳戶就會(huì)成為企業(yè)的一大安全隱患。

因?yàn)槲覀優(yōu)榱斯芾淼姆奖?，?duì)于這些新員工的帳戶往往會(huì)設(shè)置一個(gè)初始密碼。然后當(dāng)新員工第一次登陸企業(yè)網(wǎng)絡(luò)的話，就強(qiáng)迫他們進(jìn)行密碼的更改。這本來(lái)是一個(gè)很好的安全策略，但是，因?yàn)檫@些從未使用過(guò)的帳戶的存在，就出現(xiàn)了一個(gè)很大的安全漏洞。其他員工就有可能冒充新員工的身份，登陸到企業(yè)的服務(wù)器中進(jìn)行破壞活動(dòng)?？梢?jiàn)這些從未被使用過(guò)的帳戶，其有比較大的安全隱患。

所以，在Windows網(wǎng)絡(luò)的安全設(shè)計(jì)中，對(duì)于從未使用過(guò)帳戶的安全設(shè)計(jì)，就是其中一個(gè)重要的組成部分。筆者平時(shí)對(duì)下屬分公司進(jìn)行安全審計(jì)的時(shí)候，經(jīng)常會(huì)發(fā)現(xiàn)這方面的管理漏洞。為此，筆者給他們提供了兩個(gè)處理建議。

一是對(duì)于這些帳戶給與一個(gè)有效期限。也就是說(shuō)，當(dāng)網(wǎng)絡(luò)安全管理人員在建立域用戶帳戶的時(shí)候，其初始密碼有三天的使用期限。如果這個(gè)員工在三天之內(nèi)沒(méi)有利用分配給他的用戶名與密碼登陸的話，則這個(gè)用戶名與密碼會(huì)自動(dòng)失效。如此的話，其他員工也就不能夠利用這個(gè)空子來(lái)進(jìn)行身份的冒充。

二是要定期對(duì)這些帳戶進(jìn)行清理。筆者規(guī)定，每一個(gè)月要對(duì)這些未用的帳戶以及離職員工的帳戶進(jìn)行清理。對(duì)于這些帳戶要及時(shí)的進(jìn)行注銷或者刪除處理。而不能夠讓這些帳戶永久的存儲(chǔ)在域控制器中，成為危害企業(yè)安全的害群之馬。

二、用戶權(quán)限的審計(jì)

筆者企業(yè)網(wǎng)絡(luò)是一個(gè)基于Windows域的網(wǎng)絡(luò)環(huán)境。企業(yè)的域帳戶統(tǒng)一通過(guò)域控制器來(lái)進(jìn)行管理。在域控制器中，還有一個(gè)文件服務(wù)器，方便企業(yè)各個(gè)部門之前文件的相互訪問(wèn)。為了保障這些文件的安全性，筆者企業(yè)還制定了一套嚴(yán)格的文件訪問(wèn)制度。誰(shuí)可以訪問(wèn)那些網(wǎng)絡(luò)資源，誰(shuí)對(duì)哪些共享文件具有修改權(quán)限等等，都規(guī)定的一清二楚。

當(dāng)網(wǎng)絡(luò)安全人員在剛開(kāi)始建立用戶的時(shí)候，可能會(huì)嚴(yán)格按照這個(gè)制度來(lái)做。但是，隨著企業(yè)網(wǎng)絡(luò)用戶的增多與網(wǎng)絡(luò)環(huán)境的日趨復(fù)雜，企業(yè)是否仍然嚴(yán)格按照這個(gè)制度在執(zhí)行呢？有沒(méi)有用戶存在越權(quán)的行為呢？這個(gè)就是Windows網(wǎng)絡(luò)安全審計(jì)的重要內(nèi)容。

其實(shí)，在網(wǎng)絡(luò)安全管理中，往往會(huì)出現(xiàn)這些越權(quán)的用戶。如由于銷售經(jīng)理結(jié)婚，公司給了其一個(gè)月的婚假。但是，其的工作仍然要有人來(lái)做。為此，公司決定來(lái)銷售經(jīng)理助理暫時(shí)代替銷售經(jīng)理的角色，來(lái)負(fù)責(zé)管理銷售部門的相關(guān)業(yè)務(wù)。此時(shí)，網(wǎng)絡(luò)安全管理人員就必須要給這個(gè)銷售經(jīng)理助理一些額外的權(quán)限，讓其能夠訪問(wèn)銷售經(jīng)理角色下所有可以訪問(wèn)的權(quán)限。為此，網(wǎng)絡(luò)安全管理人員往往會(huì)把銷售經(jīng)理助理的用戶加入到銷售經(jīng)理的角色中，讓其繼承銷售經(jīng)理的相關(guān)權(quán)限。當(dāng)銷售經(jīng)理回來(lái)后，按照理論上來(lái)說(shuō)，必須重新調(diào)整銷售經(jīng)理助理的權(quán)限，去掉其不應(yīng)該有的文件訪問(wèn)權(quán)限。但是，往往網(wǎng)絡(luò)管理員一疏忽，或者沒(méi)有人通知網(wǎng)絡(luò)安全管理人員銷售經(jīng)理已經(jīng)復(fù)職。故網(wǎng)絡(luò)安全人員在不知情的情況下，就沒(méi)有對(duì)銷售經(jīng)理助理的權(quán)限進(jìn)行重新調(diào)整。此時(shí)，銷售經(jīng)理助理的權(quán)限就不適合了。其過(guò)大的網(wǎng)絡(luò)訪問(wèn)權(quán)限會(huì)給企業(yè)網(wǎng)絡(luò)與信息安全留下安全隱患。

故網(wǎng)絡(luò)安全管理人員要根據(jù)相關(guān)的網(wǎng)絡(luò)資源訪問(wèn)權(quán)限，對(duì)相關(guān)帳戶進(jìn)行安全審計(jì)?？纯雌涫欠裼幸恍┰綑?quán)的權(quán)限。若有的話，要及時(shí)進(jìn)行調(diào)整。筆者在實(shí)際工作中，每三個(gè)月會(huì)對(duì)賬戶進(jìn)行安全審計(jì)一次。盡量減少越權(quán)用戶的存在。

三、適當(dāng)關(guān)注被鎖定的帳戶與密碼為空的帳戶

我們網(wǎng)絡(luò)安全管理人員為了域帳戶的安全，往往會(huì)為其設(shè)置鎖定策略。當(dāng)用戶連續(xù)輸入密碼三次都錯(cuò)誤的話，則這個(gè)用戶名會(huì)自動(dòng)被鎖住。被鎖住的用戶名要重新使用的話，有兩種方法。一是有我們安全管理人員重新激活這個(gè)賬戶；二是讓系統(tǒng)在一段時(shí)間后，如一個(gè)小時(shí)后讓這個(gè)用戶名自動(dòng)激活。無(wú)論采用哪種方式，為了這些帳戶的安全，定期對(duì)這些帳戶進(jìn)行監(jiān)控，并且查找相關(guān)的原因，可以提高企業(yè)網(wǎng)絡(luò)的安全性。

因?yàn)橘~戶被鎖主要是應(yīng)為用戶連續(xù)輸入錯(cuò)誤密碼所導(dǎo)致的。頻繁的發(fā)生用戶賬戶鎖定，通常情況下只有兩種原因。一是用戶確實(shí)忘記了密碼；二是企業(yè)網(wǎng)絡(luò)中有非法用戶企圖通過(guò)密碼探測(cè)對(duì)文件進(jìn)行未經(jīng)授權(quán)的訪問(wèn)，由于密碼探測(cè)不成功而導(dǎo)致用戶名被頻繁鎖定。這些鎖定信息將會(huì)被記錄到Windows事件日志中。若網(wǎng)絡(luò)安全管理人員能夠及時(shí)關(guān)注這些信息，對(duì)這些賬戶進(jìn)行安全審計(jì)，或許就可以發(fā)現(xiàn)那些可疑的攻擊人員。

另外，雖然我們網(wǎng)絡(luò)安全管理人員給用戶都設(shè)置了初始化密碼。但是一些沒(méi)有網(wǎng)絡(luò)安全意識(shí)的員工，往往會(huì)在重置密碼的時(shí)候，把密碼清空，以方便他們下次的輸入。他們認(rèn)為在登陸的時(shí)候，輸入密碼是一件非常麻煩的事情。很明顯，這些密碼為空的賬戶的存在是企業(yè)網(wǎng)絡(luò)安全中的一個(gè)巨大隱患。為此，在網(wǎng)絡(luò)安全審計(jì)中，網(wǎng)絡(luò)安全管理人員要關(guān)注，企業(yè)中是否存在著比較多的密碼為空的賬戶，特別是要注意這些賬戶中是否有比較高的權(quán)限。同時(shí)，為了避免這種情況，網(wǎng)絡(luò)安全人員最好能夠建立一個(gè)防止用戶使用空密碼的安全策略。如在域控制器中的域用戶與組中，選擇用戶密碼不能為空復(fù)選框。如此的話，當(dāng)用戶密碼為空的時(shí)候，將提示錯(cuò)誤信息，密碼重置將不會(huì)被保存。

四、管理員權(quán)限賬戶不宜過(guò)多

在實(shí)際工作中，有時(shí)候?yàn)榱斯芾淼姆奖?，我們往往?huì)給某些用戶管理員的權(quán)限。如有個(gè)員工需要安裝一個(gè)Flashget軟件，但是其現(xiàn)在的權(quán)限是沒(méi)有權(quán)利在系統(tǒng)中安全應(yīng)用軟件的。但是，那時(shí)候我們又走不開(kāi)。而我們也知道，這個(gè)員工還是有一定的計(jì)算機(jī)知識(shí)的，裝一個(gè)應(yīng)用軟件沒(méi)有問(wèn)題。為此，我們就可能會(huì)把管理員的角色賦予給他。本來(lái)我們的想法是，等到他應(yīng)用軟件安裝完成后，再把權(quán)限收回來(lái)?？墒牵诎倜χ校覀兺鶗?huì)忘記這件事情。長(zhǎng)久下去，企業(yè)中這些管理員賬戶就會(huì)越來(lái)越多，從而給網(wǎng)絡(luò)安全帶來(lái)巨大的安全隱患。

為此，無(wú)論是普通的工作站，又或者是服務(wù)器，大多數(shù)的系統(tǒng)管理任務(wù)都需要有管理員權(quán)限才能夠執(zhí)行。也就是說(shuō)，具有管理員權(quán)限的用戶可以訪問(wèn)全部的網(wǎng)絡(luò)資源。如安裝或者刪除應(yīng)用程序、更改網(wǎng)絡(luò)配置等等；當(dāng)然還有更改網(wǎng)絡(luò)訪問(wèn)權(quán)限等等。

另外，在Windows的域環(huán)境中，有域管理員與本地管理員之分。為了管理方便，在管理員帳戶安全審計(jì)過(guò)程中，最好讓域管理員帳戶有本地管理員帳戶的權(quán)限。只有如此，域管理員才能夠通過(guò)遠(yuǎn)程管理的方式，對(duì)工作站進(jìn)行軟件維護(hù)、系統(tǒng)更新等操作。（IT專家網(wǎng)）