从细微处做起 全面打造系统安全.docx
《从细微处做起 全面打造系统安全.docx》由会员分享,可在线阅读,更多相关《从细微处做起 全面打造系统安全.docx(16页珍藏版)》请在冰点文库上搜索。
从细微处做起全面打造系统安全
从细微处做起全面打造系统安全
(1)
提到"系统安全"这样的字眼,相信多数人会条件反射地想到各种防火墙工具、防病毒软件等,并且会片面认为只要在系统中有了它们的存在,系统安全就会高枕无忧。
其实,系统的安全单纯靠"防"是防不住的,还需要你有足够的安全意识。
你对系统进行操作的一举一动都可能在系统"暗角"留下访问痕迹,这些痕迹要是不及时被清理的话,就很有可能会招来安全麻烦,甚至带来安全伤害;为了保证系统绝对安全,你平时就应该着重细处,及时对系统"暗角"的各种隐私痕迹进行清理,以防止这些隐私给你带来安全威胁。
当然,如何利用各种防火墙、防病毒软件等工具保护自己的系统安全也是需要略知一二的。
技术门诊是51CTO社区品牌栏目,每周邀请一位客座专家,为广大技术网友解答疑问。
从热门技术到前沿知识,从技术答疑到职业规划。
每期一个主题,站在最新最热的技术前沿为你引航
本期门诊邀特请MCSE、微软企业护航专家韩立刚与大家交流系统安全问题。
大家可以就系统安全的防护与管理以及企业级网络安全等问题与专家进行探讨。
姓名:
韩立刚
擅长领域:
系统管理、网络安全
河北师范大学软件学院讲师,微软认证讲师、微软企业护航专家、MCSE、MCDBA。
精通微软Windows、SQLServer、Exchange、ISA2006等产品。
国内第一批通过微软最新WindowsSeryer2008认证--MCITP。
从2005年至今负责河北、河南两省微软正版客户的技术支持,服务于政府、传媒、联通、移动、银行、学校等IT部门,包括网络规划、安全、高可用性设计、活动目录设计以及实施。
著有《计划、实现和维护WindowsServer2003活动目录结构》、《WindowsServer2008系统管理之道》等
查看本期门诊精彩实录:
参与最新技术门诊:
精选本期网友提问与专家解答,以供网友学习参考。
Q:
请问韩老师,要保证系统安全。
我们应该做到那几点,应该具体如何操作,平时的维护需要注意什么,注意哪个地方,具体应该如何操作?
A:
1.保护服务器安全只开必要端口禁用不必要的服务打开本地连接只打开必要的端口比如Web站点只打开TCP的80端口关闭不必要的端口实现服务安全账号安全,操作系统和杀毒软件及时更新。
最好不用服务器访问Web站点或下载文件。
不要将多种重要服务装到一个服务器上,做好重要数据的备份。
2.保护工作站(办公用的计算机)安全
启用Windows防火墙,系统和杀毒软件及时更新,使用普通用户上网办公。
如果发现系统有问题可以使用msconfig查看可疑的自动启动项和服务。
Q:
想问下韩老师,企业的WINDOWS服务器要做的安全工作都有哪些?
A:
1.先将服务器做安全评估,也就是根据服务器的角色定安全等级。
指定相应的安全策略。
比如域控制器的安全级别要比普通服务器设置的要高一些。
数据库的安全级别要比Web站点的高。
2.根据评估结果针对不同的服务器采用不同安全措施。
a.数据安全NTFS权限共享权限在命令提示符下输入gpedit.msc完成以下设置(适用于Windows2003 2008windows7和xp的professional版)
b.帐户安全密码策略帐户锁定策略
c.本地安全策略设置用户权限安全选项
d.软件限制策略使用软件限制策略禁止某些软件执行
e.受限制的组可以控制某些组的成员,比如administrators组的成员
f.网络层安全只打开必要的端口
g.数据传输安全使用IPSec或高级安全Windows防火墙配置数据通信安全
h.对服务器的安全使用不要使用服务器下载未知安全的文件
i.及时更新系统和病毒库
Q:
请问韩老师:
我个人习惯使用windows操作系统,默认账户是administrator。
听很多人说这样并不是很安全。
请问我们在设置系统账户的时候有什么特别需要注意的安全问题吗?
谢谢!
A:
administrator是系统内置的管理员账号,该账号不能删除,但可以禁用和重命名。
从安全角度考虑,可以将该用户帐户禁用或重命名,别人就没有办法猜administrator的密码了。
提示:
在禁用administrator帐户之前,最好先创建另外一个用户帐户,将其添加到administrators组。
用户的密码最好复杂一些,8位以上,比如P@ssw0rd之类的密码,其中包括了大小写字符数字特殊符号。
尤其是具有管理员权限的用户的密码更得设置复杂一些。
平时上网或办公,最好使用普通用户。
需要管理了再使用管理员登录。
Q:
ISA我自己一直在用,想问下专家有发现有高人攻破ISA服务器吗?
A:
我目前没有没有发现。
建议及时升级安装ISA的操作系统和ISA。
微软的系统更新能够及时消除安全隐患。
Q:
系统一般都会开启默认共享,就是那种C$,D$之类的,这样安全吗,是否有必要关闭?
A:
默认共享是为具有管理员权限的用户准备的,且共享权限也不能被更改,普通用户没有权限访问默认共享。
控制好系统的管理员数量,确保管理员帐户的安全就可以了。
如果还是不放心,就可以通过修改注册表删除默认共享。
在删除默认共享之前要确保你的系统上没有应用使用默认共享。
Q:
对于使用IWNDOWS2003系统架构的WEB服务器,如果配置才能使其安全风险最低?
A:
从应用层设置安全
一、帐户管理
1.重命名管理员administrator,设置复杂密码控制administrators组的成员
2.删除多余用户禁用guest用户
3.停止不必要的服务
二、审核策略
1.审核帐户管理策略
2.审核登录败策略
三、实用msconfig禁用可疑的服务和自动启动项
四、网络层安全
设置IPSec只允许TCP协议目标端口为80的数据包进入网卡,TCP源端口为80的数据包出网卡。
这样只要你的Web没有漏洞,入侵者就没有办法入侵。
万一你的服务器中了木马,木马也不能和外界建立通信,不能对你产生什么威胁。
Q:
能推荐几款在vista和windows7下方便、实用、功能强大的手杀工具吗?
冰刃、Wsyscheck都是针对XP的,vista和windows7下的表现并不太好。
A:
我还没有发现专门针对Vista或Windows7的手刹工具
Q:
刚装完系统之后系统是最不安全的,比如好多补丁没打,还有就是系统还默认开了3389,就是装完系统之后我们首先要做的几点是什么,可能WIN7,XP是有不同的地方的,请指出,谢谢!
A:
公司重要服务器最好使用带最新补丁的安装盘安装系统,为了安全起见,不要将系统联机更新,可以将补丁和更新下载下来拷贝到新装的系统中,安装更新。
设置系统本地安全策略,比如禁用默认共享,设置软件限制策略,IPSec等,创建用户规划用户密码策略,加固系统。
然后就是安装杀毒软件,更新病毒库。
如果是工作站,别忘了备一份以下系统盘。
Q:
目前各种盗号技术频出,自己使用的各种账号密码很担心被盗。
请问专家在设置账号密码的时候有什么小技巧或者需要特别注意的地方吗?
谢谢!
A:
重点防范盗号木马,安装木马查杀工具,如果怀疑中了木马,开机之后,什么也别干,在命令行下输入netstat-nb来查看是否有莫名其妙的会话,注意,确保系统没有更新,杀毒软件没有更新。
因为木马对外进行联系,终会建立会话的。
-b参数还能看到建立会话的进程。
木马大多是服务形式存在,运行MSConfig打开系统配置工具,点击"隐藏微软服务",查看可疑服务。
有些木马将自己设置为"禁用"状态。
Q:
平时维护系统时候,经常用到PE。
PE目前现在有几个核心版本啊?
网上一会说是XP核心、一会是vista、win7核心都搞晕了。
是不是核心版本越高,越好用,还是……?
顺便讨要几个在PE下能使用的安全工具。
专家能推荐几个吗?
谢谢了
A:
目前用的最多的是WindowsPE2.0。
WindowsPE2.0与以前版本的WindowsPE的对比首先,WindowsPE2.0基于WindowsVista组件,而早期版本的WindowsPE则是基于WindowsXP或MicrosoftWindowsServer2003。
因此,WindowsPE2.0支持WindowsVista驱动程序并受益于许多WindowsVista的改进(包括通过Windows防火墙提供的防网络攻击方面的改进)。
如前所述,WindowsPE2.0现在支持驱动程序注入,这使您在启动WindowsPE之前或之后都可以加载驱动程序。
现在,如果您启动WindowsPE并发现它缺少一个必需的驱动程序,您就可以从可移动媒体加载非标准驱动程序,并立即使用该硬件而无需重新启动计算机。
为了更具灵活性,尤其是在创建预安装脚本时,WindowsPE2.0现在包含已增加内容的"Windows管理规范"(WMI)支持。
使用WMI,您可以通过脚本或命令提示符执行大多数配置或管理任务。
过去,许多应用程序不能在WindowsPE1.0中运行,因为这些程序需要临时存储空间,并且WindowsPE经常从不可写入的媒体(如CD)启动。
现在,通过在计算机的RAM中提供32MB刻录空间,WindowsPE2.0可支持大部分需要对临时文件执行写操作的应用程序。
每当应用程序试图对临时文件(无论哪个文件夹)执行写操作时,WindowsPE都会将更改内容重定向到内存中的刻录空间,以模拟硬盘。
当然,当您重新启动计算机后,所有更改都将丢失。
Q:
怎么样在格式化的时候防止数据被恢复,是在磁盘上全部写0,还是低格的方法,还有没有其他的好方法,最好就是不怎么损害硬盘的方法
A:
在格式化之前先使用文件粉碎软件将文件粉碎,再格式化。
可以从网上下载,瑞星就有文件粉碎软件。
Q:
哎,最近发生在我身上一件事,无意中我把域用户全部给删了。
我想问一下老师,是否这种灾难也在系统安全的范畴之内叫?
有无很好的办法预防?
A:
安全的范畴很广,大家都把注意力放到了技术上面,其实用户的安全意识也很重要。
作为一个企业的IT管理人员,应该是未雨绸缪,考虑到潜在的风险,比如公司重要数据应该放到多个服务器上,使用DFS技术,实现冗余,避免硬件故障造成数据丢失。
应该及时备份,避免误操作造成数据丢失。
域控制器应该指定备份计划备份系统状态,来备份活动目录。
你的问题就能解决,如果没有备份谁也没办法。
Q:
专家您好,在如今社会,作为网管,我们还是比较担心内网安全,历史证明,从03年开始比较流行的SQL注入,震荡波等网络手段的新起,使得我们在做内网的时候考虑的因素也多了,如何更好的发挥内网安全技术也是考验管理人员的一个标准,但是比较头疼的是,我在这里做的比较差,所以想问问专家,在面对客户端和服务器端我们如何操作实施?
A:
对内外的服务器和计算机进行安全评估,在易用性和安全性之间取得平衡。
评估每种风险对公司带来的损失大小,采取相应的措施避免。
比如硬盘故障造成数据丢失,将会为公司带来100万的损失,你可以考虑花费2万购买数据热备系统。
从网络安全角度考虑将安全性要求一致服务器放置到特定VLAN 按部门划分VLAN比如将能够访问Internet的计算机放到一个VLAN。
安装网络监视工具,监控网络中异常的广播和多播包。
搭建域环境创建组织单元,将安全性要求一致的服务器和计算机防止到相应的组织单元,设置相应的安全策略安装MOM软件监控操作系统的异常并创建警报。
比如磁盘空间不足,CPU利用率高于某个指标。
Q:
如何进行域环境下的共享,请详细说明,或者给我一份资料,谢谢大师了!
A:
首先搭建域环境将计算机加入域然后就可以为域用户授权共享资源了。
Q:
网上所谓的影子系统,能真正做到系统安全吗?
A:
使用影子系统,可以进行一些危险的操作,比如从网上下载未知的软件安装,即便是中了病毒也无所谓。
退出影子系统一切将不存在。
不能保存任何东西,退出影子系统你编辑的文档和存储的数据都将丢失。
如果你正常办公,给领导编辑发言稿肯定要保存的,不能进入影子系统编辑,因为你需要保存编辑的文档。
可见到影子系统是安全的,因为退出后不保存任何数据,这也是其局限性。
Q:
韩老师你好:
请问下WINDOWS系统默认情况下会开启来宾用户,这样会带来不必要的安全问题。
但是关闭后又会阻碍一些共享功能,鉴于这个问题该如何解决呢?
?
?
另外为什么插上还原卡(硬件)后系统盘会消耗很大容量呢?
?
谢谢!
!
A:
如果你的服务器只需要对其他计算机提供匿名访问功能,就启用guest用户。
共享权限设置为只读。
禁用guest用户,不会影响共享的。
访问共享资源时需要用户输入服务器上的帐户密码。
插上还原卡,就会记录你对磁盘的所有操作,比如删除文件和添加文件,肯定占用磁盘空间,以便还原时用上。
Q:
20来台pc的小型局域网,现在连工作组都没建。
我打算建成一个win2008下的AD域,然后在域下统一部署防火墙/杀毒软件,应该用哪种防火墙/杀毒软件比较好呢?
A:
防火墙就是用WindowsXP或Windows7高级安全Windows防火墙即可。
杀毒建议使用瑞星,为了统一管理,可以考虑购买网络版的。
构建Windows2008活动目录域的参考文件可以从以下链接找到,
Q:
单位内所有电脑都是通过一台华为防火墙上网,部分电脑无法上微软,华为赛门铁克,瑞星,卡巴斯基这个4个网站。
如在浏览器里输入或s时经常会自动跳转到XX搜索结果页面。
点击搜索结果会出现无法显示该页。
也有直接出现无法显示该页的情况。
用nslookup能够解析到网站地址。
HOST文件没有被篡改。
怀疑是dns解析问题以排除杀毒软件原因和防火墙。
但是所有电脑dns指向都相同的情况下部分不能上,用360安全卫士修复IE也不行。
A:
这种情况极有可能你的浏览器中了恶意插件,安装IE8.0使用IE重置修复。
Q:
韩老师:
您好,我是一个刚毕业出来的学生,现在在某公司IDC工作最近公司要搬迁机房拓扑所有东西要自己做过,所以我想问问老师怎么样去系统的把整个IDC边缘的安全策略制定呢?
在防火墙方面怎么样去设置呢?
?
在IDC需要去考虑哪些安全方面问题呢?
希望老师百忙中解答一二。
学生很迷惑。
先谢谢老师了。
A:
从以下几方面考虑:
指定数据访问安全策略设置NTFS权限EFS加密共享权限系统安全策略制定审核策略帐户策略用户权利指派(比如哪些用户能够登录)安全选项软件限制策略去掉默认共享等网络安全策略使用IPSec保护服务器通信安全只允许和必要的服务器通信比如SQLServer服务器只允许Web站点访问防病毒木马部署网络版杀毒软件设置病毒库更新策略划分VLAN将安全性要求相同的服务器放置到同一VLAN
Q:
请教一个问题:
我们单位的域控是2003,用户是xp,最近用户登录时总是出现"本地策略不允许你交互式登录",这个问题,改怎么解决?
谢谢!
A:
点击"开始"-->"运行",输入secpol.msc打开本地安全策略,点开本地策略-->用户权利分配-->允许在本地登录,查看是否有普通用户组,点开本地策略-->用户权利分配-->拒绝在本地登录是否有用户。
Q:
网络通道有木马ping有时候总是丢包~ 怎么处理呢?
A:
首先ping本网段地址比如网关查看延迟
来自10.7.10.1的回复:
字节=32时间=5msTTL=255
如果丢包或时间大于50ms则有可能是内网堵塞,使用捕包工具抓包查看是否有较多的多播或广播包。
如果ping网关不丢包,而pingInternet上的计算机丢包,则有可能是你到网通或电信接入Internet的链路堵塞。
Q:
韩老师,你好,我有两个问题请教:
一、我主要是做防病毒的,现在很多企业考虑到数据安全及网络安全都做了网络隔离,断开了与互联网的链接,但是企业网络内部仍然有大量病毒感染事件导致电脑故障甚至影响网络通信,从我个人统计来看,传播方式基本上是通过U盘、文件共享和系统漏洞传播,前边两个倒是好处理,这个漏洞却不好办。
考虑到资金问题,准备用微软的WSUS来为电脑打补丁,但这个内网无法连接微软的更新服务器啊,有没有什么好的办法来更新补丁。
二、有啥免费的软件可以给服务器做安全评估啊?
谢谢!
A:
公司两个网络,一个能上internet的网络中部署一个个WSUS服务器S1,不能上internet的网络部署一个WSUS服务器S2,两个网络物理隔离,步骤:
1。
更新元数据(Metadata):
使用wsusutil.exe导出/导入元数据。
2。
更新数据(Update):
复制wsuscontent
MicrosoftBaselineSecurityAnalyzerMicrosoftBaselineSecurityAnalyzer(MBSA)是专为IT专业人员设计的一个简单易用的工具,可帮助中小型企业根据Microsoft安全建议确定其安全状态,并根据结果提供具体的修正指南。
使用MBSA检测常见的安全性错误配置和计算机系统遗漏的安全性更新,改善您的安全性管理流程。
Q:
请问一下,以现有的操作系统WindowsXP能否对对于TCP/udp协议的sysflood、DDOS攻击进行有效防治,起码使本机不会对网络能信产生破坏,提高网络的稳定性,如果不能Windows7操作系统是否能解决这个问题呢?
A:
TCP/udp协议的sysflood、DDOS攻击与操作系统无关,如果想有效防治,也只能在有入侵检测的防火墙上设置。
类似DDOS这种攻击,没有办法防止的。
这些也是正常的网络行为的,没有办法。
什么系统也没有办法的
不管XP、Linux、Windows7,都没有办法
Q:
您好,我想问一下像公司内网或者外网用的windows2003服务器装好系统后应该用什么方法打补丁?
用360好像不太专业?
但系统自带的update好像有点麻烦,而且360里提示很多补丁是不推荐打的,不知道用update会不会出问题.谢了!
A:
打系统补丁是非常慎重的事,不建议直接给服务器打补丁,我遇到过服务更新完系统后,某些服务启动不了的事情(虽然很少发生)。
应该搭建和生产环境一模一样的测试环境,现在测试环境中的服务器打上补丁,正常运行1、2周,然后再在生产环境中的服务器应用补丁。
如果公司的服务器多,最好使用WSUS和组策略将计算机分组,管理员批准服务器安装哪些补丁。
Q:
WIN2003操作系统,怎么做才算是相对安全?
大致需要注意哪些方面的(物理的除外)?
A:
1.数据存储和访问安全NTFS和共享权限设置的最恰当磁盘冗余重要数据备份
2.系统加固设置用户账户策略密码策略用户权限分配审核策略软件限制策略
3.网络层安全使用IPSec严格控制好进出服务器的流量Windows防火墙只能控制主动进入系统的浏览不能控制服务器主动出去的流量。
4.系统及时更新,病毒库及时更新,设计完整的病毒扫描和系统升级计划
具体步骤看以下文章:
Q:
您好我是刚才问了您windows打补丁的事情你说的WSUS是多是内网用的吧?
要是放在idc的公网服务器怎么及时打补丁呢?
您说搭建和生产机一样的环境先测试,这的确是好办法,但生产机的数据都是时刻变化的,不好搭建一模一样的环境,而且这太耗时耗力了.
A:
你也可以在IDC的公网部署一台WSUS,配置IDC的公网服务器使用你的WSUS下载补丁。
我说的软件环境相同,并不意味着数据相同。
只对关键业务服务器搭建测试环境,并不是所有服务器。
Q:
韩老师你好,我所接触的系统就是windows系统,也是大多是用户常用的系统,针对这样的用户系统,我们应该注意什么?
该做到那些防范措施?
如何检测我们的系统所存在的漏洞?
仅仅是打补丁就可以吗?
A:
使用普通用户登录系统,进行日常工作。
如果使用管理员登录,访问Internet,如果有病毒或恶意脚本执行的话,就可以以管理员的身份运行,向系统目录植入病毒。
普通用户由于没有管理员权限,病毒以当前用户运行,也不能破坏系统。
使用360安全卫士检测系统安全。
服务器不要轻易访问Internet,下载文件。
除了管理服务器,不要使用服务器办公。
Q:
韩老师,您好!
主要想问一下关于在DOS下使用命令来查看网络进程方面的内容.一般来说,用netstat-abn或其它命令可以侦测到那些端口的流量与所发送数据包的大小.而使用tracertXX可是用来查看数据包所跳过的路由,突然有种想法:
有没有哪条命令可以查看数据包通过哪些交换设备.一般来说城域网中若能知道所经交换与路由,对其整体网络的拓扑将会有一个更好理解?
不知道这样想法对吗?
A:
pathping或突然侧让他能够跟踪数据包经过的路由。
我还没有发现能够跟踪数据包经过二层设备的命令。
Q:
韩老师,您好,我想问一下针对WINDOWS2003及WINDOWS2008服务器的管理的学习,有什么好的书或者视频?
能否推荐一下?
A:
系统学习WindowsServer2008的教材均有详尽的视频教程
清华出版社WindowsServer2008视频突击系列教材
《WindowsServer2008系统管理之道》
《贯彻WindowsServer2008网络基础架构》
《掌控WindowsServer2008活动目录》
《WindowsServer2008安全内幕》
WindowsServer2003的学习尽快从ftp:
//下载就不要购买WindowsServer2003的教材了,视频操作比书面的要详尽的多。
或者访问我的博客
Q:
韩老师好,我们日常难免将一些个人信息泄露出去,而这些个人信息有可能被不法分子所利用,因此我想询问的是在网络中如何有效的防止个人信息的泄露。
A:
在网上注册个人信息时输入电子邮件家庭住址邮编电话手机等要谨慎。
Q:
请问高职学生往系统管理方面发展怎么样?
就业前景如何?
要重点掌握哪些方面的内容?
有哪些证书可以考取?
谢谢!
A:
如果定位自己的职业为IT管理,可以分三步走。
就业前景取决于你学的知识是否成体系,是否实用、还有你掌握的知识深度和广度,以及你解决问题的能力。
我的学生毕业之后月薪变化:
第一年石家庄1500/月-->第二年北京3000/月-->第四年北京跳槽7000/月。
总之从事IT行业,前提是喜欢从事的职业,你要找准自己的方向不断的学习,经验积累,最终成为某一领域的专家,能人之不能,会人之不会。
1.网络方面的学习
学习Cisco网络工程师课程(CCNA),这是进入IT领域的必经之路,然后在学习CCNP课程,重点学习多层交换和安全。
2.系统管理方面
微软的Windows在企业中应用很是广泛,因此需要系统学习Windows服务器的管理。
WindowsServer2003管理WindowsServer2008服务器管理Windows网络基础架构,Windows活动目录对的认证(MCSE和MCITP)。
Linuxredhat5.0企业版在大型服务器应用较多。
3.数据库
中小企业数据库SQL2005SQL2008(MCDBA)。
升级会员 