构筑信息终端防护“安全之门”
2016-11-26
引言:各信息系统终端是企业网络的信息节点,也是关乎信息系统安全的重要环节。为有效防范入侵检测、信息窃取、APT攻击等安全威胁,做好信息终端防护才能把好“自家大门”,那么平时需要做好的具体工作有哪些呢?笔者结合工作经验做详细介绍。
大多数信息系统应用人员可能认为网络安全是网管部门需要关注解决的专业问题,与用户终端关系不大。其实不然,各信息系统终端是企业网络的信息节点,也是关乎信息系统安全的重要环节。为有效防范入侵检测、信息窃取、APT攻击等安全威胁,做好信息终端防护才能把好“自家大门”,那么平时需要做好的具体工作有哪些呢?就这一问题,笔者结合工作经验做详细介绍。
完善本地安全策略
1.密码策略设置
严防网络攻击的最基本要求就是配置帐户密码,设置密码时通常要求密码要尽可能复杂,同时合理配置密码长度最小值、最短使用期限、最长使用期限等策略参数,登录时密码输入错误达到指定次数,系统要能自动锁定该登录帐户,可通过依次打开“管理工具”、“本地安全策略”对话框,依次选择“帐户策略”、“密码策略”选项进行设置,如图1所示。
图1 密码策略设置
图2 审核策略设置
2.审核策略设置
为了保证审核安全信息质量相对提高,减少资源占用率,可通过依次打开“管理工具”、“本地安全策略”对话框,选择“审核策略”选项设置帐户登录、系统事件的审核包含成功和失败操作,策略更改、帐户管理等事件的审核包含成功操作,如图2所示。
3.用户权限分配
防止默认共享(IPC$, C$, ADMIN$)被用作入侵通道,应严格限制用户的完全控制权限,对威胁系统安全的权限应做到禁用或严格限制,可通过依次打开“管理工具”、“本地安全策略”对话框,选择“用户权限分配”选项进行设置。
优化系统注册表设置
1.设置注册表修改权限
用户在使用时非常容易忽视注册表,还有许多用户因为怕破坏系统而不敢随意改动注册表,比较安全的做法是仅允许管理员访问注册表,具体方法是,在系统Windows目录下找到“regedit.exe”文件,右键选择“权限”选项,将无关用户权限取消,如图3所示。
2.清空远程可访问的注册表路径
为有效防止入侵者通过远程访问注册表读取系统信息,应打开“组策略编辑器”,在“运行”里输入“gpedit.msc”,依次打开“计算机配置”、“Windows 设置”“安全设置”、“本地策略”、“安全选项”,找到“网络访问:可远程访问的注册表路径”选项,将内容全部删除。
3.修改注册表安全选项
图3 设置注册表修改权限
图4 系统注册表
[HKEY_LOCAL_MACHINE]是系统注册表重要配置,其中存放了系统中各项重要的核心设置数据,只有管理员权限的用户可以访问。然而有许多项通常情况下都是默认设置,如图4所示,存在诸多隐患,所以需要修改参数确保系统更加安全。具体步骤是,打开“开始”按钮,点击“运行”,输入“regedit”,打开注册表编辑器,进行以下操作:为防范ICMP重定向报文攻击,需改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcp ipParameters,将Enable ICMPRedirects值由1设为0;为防范SYN洪水攻击,需改HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetServicesTcpipParameters,新建DWORD值,名为SynAttackProtect, 值为2;为防范IPC空连接隐患,需改HKEY_LOCAL_MACHINESYSTEMCurrent Control SetControlLsa,将restrictanonymous值由0设成1。相关安全设置还有很多,在此省略。
制定IP安全策略
IPSec支持系列加密算法,可进行数据源认证,筛选特定IP或端口,提供安全、透明、高效的网络防护。可在“IP安全策略”里配置:
1.定义策略
依次打开“管理工具”、“本地安全设置”对话框,右击“IP安全策略”选项,选择“创建IP安全策略”。
2.定义筛选器
右键点击“IP安全策略”选择“管理IP筛选器表和筛选器操作”,定义“IP 筛选器列表”和“IP 筛选器属性”,设置“源地址”、“目标地址”、“协议类型”、“协议端口”。
3.定义规则属性
在“新规则属性”窗口中点选创建的规则,点击“管理筛选器操作”选项卡下的“添加”,选择“安全措施”下的“阻止”选项。
4.策略生效
在“组策略”窗口中,右击“创建的策略”,选择“分配”选项,启用该策略。