當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 黑龍江OA系統(tǒng) > 哈爾濱OA系統(tǒng) > 哈爾濱OA軟件行業(yè)資訊
Windows網(wǎng)絡(luò)安全審計(jì)的四部曲
申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114
文章來(lái)源:泛普軟件什么是網(wǎng)絡(luò)安全審計(jì),各個(gè)專家對(duì)此都沒(méi)有統(tǒng)一的認(rèn)識(shí)。筆者認(rèn)為,網(wǎng)絡(luò)安全審計(jì)就是對(duì)企業(yè)網(wǎng)絡(luò)安全的脆弱性進(jìn)行測(cè)試、評(píng)估、分析的過(guò)程。其目的是為了在最大限度內(nèi)保障企業(yè)網(wǎng)絡(luò)與信息的安全。
雖然有時(shí)候通過(guò)防火墻、入侵檢測(cè)等網(wǎng)絡(luò)設(shè)備,可以有效提高企業(yè)網(wǎng)絡(luò)的安全。但是,平心而論,筆者非常不贊同在安全問(wèn)題上,對(duì)于硬件設(shè)備太過(guò)于依賴。因?yàn)閷?duì)于硬件設(shè)備一味的依賴與迷信,往往會(huì)讓用戶降低安全認(rèn)識(shí)。其實(shí),筆者認(rèn)為,有時(shí)候好的安全認(rèn)識(shí)與健全的網(wǎng)絡(luò)安全管理,可能比所謂的網(wǎng)絡(luò)安全設(shè)備更加的高效。正是出于這種原因,企業(yè)網(wǎng)絡(luò)安全管理人員有必要定時(shí)的對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行安全設(shè)計(jì),以發(fā)現(xiàn)可能存在的安全漏洞。
雖然網(wǎng)絡(luò)安全審計(jì)在國(guó)內(nèi)可能還不怎么流行,看其來(lái)有一點(diǎn)莫測(cè)高深的樣子。其實(shí),網(wǎng)絡(luò)安全審計(jì)并沒(méi)有我們想象中的那么困難。筆者今天就談?wù)刉indows網(wǎng)絡(luò)安全審計(jì)的四部曲,跟大家分享一下基于Windows網(wǎng)絡(luò)環(huán)境的安全設(shè)計(jì)心得。
一、關(guān)注未使用過(guò)的帳戶
在實(shí)際工作中,可能會(huì)存在這種情況。一個(gè)新人來(lái)面試過(guò)后,企業(yè)決定錄用他。在其還沒(méi)有到企業(yè)報(bào)道之前,只要企業(yè)決定錄用他,則企業(yè)人事部門就會(huì)把這個(gè)新員工的信息告訴給網(wǎng)絡(luò)管理員。讓我們網(wǎng)絡(luò)安全人員給其建立帳戶??墒?,出于種種原因,新員工可能會(huì)改變初始的想法。如其可能認(rèn)為路途遠(yuǎn)、上班不方便;又或者找到了其他更好的工作,而臨時(shí)改變主意,不到企業(yè)來(lái)上班了。此時(shí),這些帳戶從建立起來(lái)就根本沒(méi)用過(guò)。日積月累,這些從未使用過(guò)的帳戶就會(huì)成為企業(yè)的一大安全隱患。
因?yàn)槲覀優(yōu)榱斯芾淼姆奖悖瑢?duì)于這些新員工的帳戶往往會(huì)設(shè)置一個(gè)初始密碼。然后當(dāng)新員工第一次登陸企業(yè)網(wǎng)絡(luò)的話,就強(qiáng)迫他們進(jìn)行密碼的更改。這本來(lái)是一個(gè)很好的安全策略,但是,因?yàn)檫@些從未使用過(guò)的帳戶的存在,就出現(xiàn)了一個(gè)很大的安全漏洞。其他員工就有可能冒充新員工的身份,登陸到企業(yè)的服務(wù)器中進(jìn)行破壞活動(dòng)??梢?jiàn)這些從未被使用過(guò)的帳戶,其有比較大的安全隱患。
所以,在Windows網(wǎng)絡(luò)的安全設(shè)計(jì)中,對(duì)于從未使用過(guò)帳戶的安全設(shè)計(jì),就是其中一個(gè)重要的組成部分。筆者平時(shí)對(duì)下屬分公司進(jìn)行安全審計(jì)的時(shí)候,經(jīng)常會(huì)發(fā)現(xiàn)這方面的管理漏洞。為此,筆者給他們提供了兩個(gè)處理建議。
一是對(duì)于這些帳戶給與一個(gè)有效期限。也就是說(shuō),當(dāng)網(wǎng)絡(luò)安全管理人員在建立域用戶帳戶的時(shí)候,其初始密碼有三天的使用期限。如果這個(gè)員工在三天之內(nèi)沒(méi)有利用分配給他的用戶名與密碼登陸的話,則這個(gè)用戶名與密碼會(huì)自動(dòng)失效。如此的話,其他員工也就不能夠利用這個(gè)空子來(lái)進(jìn)行身份的冒充。
二是要定期對(duì)這些帳戶進(jìn)行清理。筆者規(guī)定,每一個(gè)月要對(duì)這些未用的帳戶以及離職員工的帳戶進(jìn)行清理。對(duì)于這些帳戶要及時(shí)的進(jìn)行注銷或者刪除處理。而不能夠讓這些帳戶永久的存儲(chǔ)在域控制器中,成為危害企業(yè)安全的害群之馬。
二、用戶權(quán)限的審計(jì)
筆者企業(yè)網(wǎng)絡(luò)是一個(gè)基于Windows域的網(wǎng)絡(luò)環(huán)境。企業(yè)的域帳戶統(tǒng)一通過(guò)域控制器來(lái)進(jìn)行管理。在域控制器中,還有一個(gè)文件服務(wù)器,方便企業(yè)各個(gè)部門之前文件的相互訪問(wèn)。為了保障這些文件的安全性,筆者企業(yè)還制定了一套嚴(yán)格的文件訪問(wèn)制度。誰(shuí)可以訪問(wèn)那些網(wǎng)絡(luò)資源,誰(shuí)對(duì)哪些共享文件具有修改權(quán)限等等,都規(guī)定的一清二楚。
當(dāng)網(wǎng)絡(luò)安全人員在剛開(kāi)始建立用戶的時(shí)候,可能會(huì)嚴(yán)格按照這個(gè)制度來(lái)做。但是,隨著企業(yè)網(wǎng)絡(luò)用戶的增多與網(wǎng)絡(luò)環(huán)境的日趨復(fù)雜,企業(yè)是否仍然嚴(yán)格按照這個(gè)制度在執(zhí)行呢?有沒(méi)有用戶存在越權(quán)的行為呢?這個(gè)就是Windows網(wǎng)絡(luò)安全審計(jì)的重要內(nèi)容。
其實(shí),在網(wǎng)絡(luò)安全管理中,往往會(huì)出現(xiàn)這些越權(quán)的用戶。如由于銷售經(jīng)理結(jié)婚,公司給了其一個(gè)月的婚假。但是,其的工作仍然要有人來(lái)做。為此,公司決定來(lái)銷售經(jīng)理助理暫時(shí)代替銷售經(jīng)理的角色,來(lái)負(fù)責(zé)管理銷售部門的相關(guān)業(yè)務(wù)。此時(shí),網(wǎng)絡(luò)安全管理人員就必須要給這個(gè)銷售經(jīng)理助理一些額外的權(quán)限,讓其能夠訪問(wèn)銷售經(jīng)理角色下所有可以訪問(wèn)的權(quán)限。為此,網(wǎng)絡(luò)安全管理人員往往會(huì)把銷售經(jīng)理助理的用戶加入到銷售經(jīng)理的角色中,讓其繼承銷售經(jīng)理的相關(guān)權(quán)限。當(dāng)銷售經(jīng)理回來(lái)后,按照理論上來(lái)說(shuō),必須重新調(diào)整銷售經(jīng)理助理的權(quán)限,去掉其不應(yīng)該有的文件訪問(wèn)權(quán)限。但是,往往網(wǎng)絡(luò)管理員一疏忽,或者沒(méi)有人通知網(wǎng)絡(luò)安全管理人員銷售經(jīng)理已經(jīng)復(fù)職。故網(wǎng)絡(luò)安全人員在不知情的情況下,就沒(méi)有對(duì)銷售經(jīng)理助理的權(quán)限進(jìn)行重新調(diào)整。此時(shí),銷售經(jīng)理助理的權(quán)限就不適合了。其過(guò)大的網(wǎng)絡(luò)訪問(wèn)權(quán)限會(huì)給企業(yè)網(wǎng)絡(luò)與信息安全留下安全隱患。
故網(wǎng)絡(luò)安全管理人員要根據(jù)相關(guān)的網(wǎng)絡(luò)資源訪問(wèn)權(quán)限,對(duì)相關(guān)帳戶進(jìn)行安全審計(jì)??纯雌涫欠裼幸恍┰綑?quán)的權(quán)限。若有的話,要及時(shí)進(jìn)行調(diào)整。筆者在實(shí)際工作中,每三個(gè)月會(huì)對(duì)賬戶進(jìn)行安全審計(jì)一次。盡量減少越權(quán)用戶的存在。
三、適當(dāng)關(guān)注被鎖定的帳戶與密碼為空的帳戶
我們網(wǎng)絡(luò)安全管理人員為了域帳戶的安全,往往會(huì)為其設(shè)置鎖定策略。當(dāng)用戶連續(xù)輸入密碼三次都錯(cuò)誤的話,則這個(gè)用戶名會(huì)自動(dòng)被鎖住。被鎖住的用戶名要重新使用的話,有兩種方法。一是有我們安全管理人員重新激活這個(gè)賬戶;二是讓系統(tǒng)在一段時(shí)間后,如一個(gè)小時(shí)后讓這個(gè)用戶名自動(dòng)激活。無(wú)論采用哪種方式,為了這些帳戶的安全,定期對(duì)這些帳戶進(jìn)行監(jiān)控,并且查找相關(guān)的原因,可以提高企業(yè)網(wǎng)絡(luò)的安全性。
因?yàn)橘~戶被鎖主要是應(yīng)為用戶連續(xù)輸入錯(cuò)誤密碼所導(dǎo)致的。頻繁的發(fā)生用戶賬戶鎖定,通常情況下只有兩種原因。一是用戶確實(shí)忘記了密碼;二是企業(yè)網(wǎng)絡(luò)中有非法用戶企圖通過(guò)密碼探測(cè)對(duì)文件進(jìn)行未經(jīng)授權(quán)的訪問(wèn),由于密碼探測(cè)不成功而導(dǎo)致用戶名被頻繁鎖定。這些鎖定信息將會(huì)被記錄到Windows事件日志中。若網(wǎng)絡(luò)安全管理人員能夠及時(shí)關(guān)注這些信息,對(duì)這些賬戶進(jìn)行安全審計(jì),或許就可以發(fā)現(xiàn)那些可疑的攻擊人員。
另外,雖然我們網(wǎng)絡(luò)安全管理人員給用戶都設(shè)置了初始化密碼。但是一些沒(méi)有網(wǎng)絡(luò)安全意識(shí)的員工,往往會(huì)在重置密碼的時(shí)候,把密碼清空,以方便他們下次的輸入。他們認(rèn)為在登陸的時(shí)候,輸入密碼是一件非常麻煩的事情。很明顯,這些密碼為空的賬戶的存在是企業(yè)網(wǎng)絡(luò)安全中的一個(gè)巨大隱患。為此,在網(wǎng)絡(luò)安全審計(jì)中,網(wǎng)絡(luò)安全管理人員要關(guān)注,企業(yè)中是否存在著比較多的密碼為空的賬戶,特別是要注意這些賬戶中是否有比較高的權(quán)限。同時(shí),為了避免這種情況,網(wǎng)絡(luò)安全人員最好能夠建立一個(gè)防止用戶使用空密碼的安全策略。如在域控制器中的域用戶與組中,選擇用戶密碼不能為空復(fù)選框。如此的話,當(dāng)用戶密碼為空的時(shí)候,將提示錯(cuò)誤信息,密碼重置將不會(huì)被保存。
四、管理員權(quán)限賬戶不宜過(guò)多
在實(shí)際工作中,有時(shí)候?yàn)榱斯芾淼姆奖悖覀兺鶗?huì)給某些用戶管理員的權(quán)限。如有個(gè)員工需要安裝一個(gè)Flashget軟件,但是其現(xiàn)在的權(quán)限是沒(méi)有權(quán)利在系統(tǒng)中安全應(yīng)用軟件的。但是,那時(shí)候我們又走不開(kāi)。而我們也知道,這個(gè)員工還是有一定的計(jì)算機(jī)知識(shí)的,裝一個(gè)應(yīng)用軟件沒(méi)有問(wèn)題。為此,我們就可能會(huì)把管理員的角色賦予給他。本來(lái)我們的想法是,等到他應(yīng)用軟件安裝完成后,再把權(quán)限收回來(lái)??墒?,在百忙之中,我們往往會(huì)忘記這件事情。長(zhǎng)久下去,企業(yè)中這些管理員賬戶就會(huì)越來(lái)越多,從而給網(wǎng)絡(luò)安全帶來(lái)巨大的安全隱患。
為此,無(wú)論是普通的工作站,又或者是服務(wù)器,大多數(shù)的系統(tǒng)管理任務(wù)都需要有管理員權(quán)限才能夠執(zhí)行。也就是說(shuō),具有管理員權(quán)限的用戶可以訪問(wèn)全部的網(wǎng)絡(luò)資源。如安裝或者刪除應(yīng)用程序、更改網(wǎng)絡(luò)配置等等;當(dāng)然還有更改網(wǎng)絡(luò)訪問(wèn)權(quán)限等等。
另外,在Windows的域環(huán)境中,有域管理員與本地管理員之分。為了管理方便,在管理員帳戶安全審計(jì)過(guò)程中,最好讓域管理員帳戶有本地管理員帳戶的權(quán)限。只有如此,域管理員才能夠通過(guò)遠(yuǎn)程管理的方式,對(duì)工作站進(jìn)行軟件維護(hù)、系統(tǒng)更新等操作。(IT專家網(wǎng))
- 1三個(gè)步驟 企業(yè)基礎(chǔ)設(shè)施成功過(guò)渡到虛擬化
- 2我國(guó)電子尋找RFID產(chǎn)業(yè)鏈突破點(diǎn)
- 3內(nèi)網(wǎng)安全管理系統(tǒng)的創(chuàng)新與技術(shù)應(yīng)用
- 4數(shù)據(jù)中心的纜線防火需求與其標(biāo)準(zhǔn)
- 5服務(wù)器安全保護(hù)十二大熱點(diǎn)技術(shù)
- 6容易受到網(wǎng)絡(luò)攻擊的智能電網(wǎng)系統(tǒng)
- 7成功部署企業(yè)統(tǒng)一通信的四個(gè)步驟
- 8服務(wù)器內(nèi)存和固態(tài)硬盤到底選擇誰(shuí)
- 9OA與股份公司提供的LDAP進(jìn)行集成整合
- 10虛擬化需要完善的網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃
- 11虛擬化的工作原理及虛擬化的類型
- 12中小企業(yè)租用服務(wù)器勿以低價(jià)論英雄
- 13搜索引擎優(yōu)化的9個(gè)技巧
- 14Web安全市場(chǎng)正經(jīng)歷“蝴蝶效應(yīng)”
- 15哈爾濱OA支持每分鐘100個(gè)事務(wù)的觸發(fā)運(yùn)作
- 16部署主存儲(chǔ)優(yōu)化方案的六種需求
- 17汪琪:災(zāi)難恢復(fù)的發(fā)展趨勢(shì)與變革
- 182015年云計(jì)算將成為企業(yè)主流應(yīng)用
- 19經(jīng)濟(jì)危機(jī)之下的安全與風(fēng)險(xiǎn)管理
- 20十種常用的安全問(wèn)題解決方案
- 21從傳統(tǒng)歸檔到云存儲(chǔ)歸檔的進(jìn)化演變
- 22下一代虛擬綠色數(shù)據(jù)中心推動(dòng)企業(yè)業(yè)務(wù)增長(zhǎng)
- 23存儲(chǔ)區(qū)域網(wǎng)絡(luò)SAN已開(kāi)始走向末路?
- 24服務(wù)器虛擬化值不值得企業(yè)去選擇?
- 25IDC:云計(jì)算平臺(tái)只是提供云服務(wù)的第一步
- 26劉家義:信息系統(tǒng)審計(jì)應(yīng)把握三個(gè)關(guān)鍵點(diǎn)
- 27Vista系統(tǒng)操作速度緩慢五大解決方案
- 28機(jī)房節(jié)能遇挑戰(zhàn) 數(shù)據(jù)中心節(jié)能芯片來(lái)助陣
- 29從IDF2009看服務(wù)器市場(chǎng)風(fēng)云變幻(二)
- 30虛擬化給操作系統(tǒng)帶來(lái)的改變
成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓