应电脑报之约而写就此文,此文由于版面关系缩减了很多文字,缩减幅度将近一半。今天发到51CTO博客上,是为完整版。原文刊登在
《电脑报》2007年第16期。
五一长假网络安全防护
五一长假即将到来,人们当然很期待这样的假期的,因为那些参加了工作的人们,没有了学生时代的寒暑假,所以春节、五一和十一长假是显得那么的难得。通常这期间企业里人去楼空,一切都静悄悄的。
但是,在这静悄悄的背后,互联网上确是暗涛汹涌,还记得吗?
2004年五一期间爆发的“震荡波”(
Sasser)至今仍然让人心悸。当时震荡波扩展涵盖了全国各省市,电力、公安、银行等重要系统也未能幸免。不要说其他年份的长假期间曾经爆发过的病毒,只看震荡波就应该让所有的人记住那永远的痛。前车之鉴,记住这个教训,积极应对即将到来的五一长假。
眼下广泛传播的病毒虽然在不断改变,但是病毒威胁源主要还是邮件、
web,
FTP,
P2P网络,
IRC通道等等。另外还有部分多媒体源如
disks,
CD-ROM,磁盘等。事实证明,不仅网络蠕虫利用邮件作为传播工具而且很多病毒和***也是。它们的不同在于前者有自我传播职能,并且能积极实现自我传播。而后者是被动地需要病毒制作者或携带者通过发送方式才能传播。
网络安全是个很大的话题,但是由于版面关系,字数有限制,本文不可能面面俱到,只能简单讲述要点及关键处,网管可根据提到的内容,自行参阅相关资料,本文也罗列了一些参考资料的网址。若能做到抛砖引玉,那么笔者的目的也就达到了。
服务器的安全防护
服务器的安全防护是企业网络安全防护重中之重。
因为一旦企业的服务器一旦被攻陷,那它所在的网络就不复有安全可言了。轻则无法正常使用网络,重则带来业务上的损失,所以首先要做的是服务器的安全防护。
Windows服务器在企业中占有相当的比重,如作为域控制器、
Web服务器、
ISA服务器、
***等。
为了加固服务器和客户端的安全,把网络安全风险降至最低,可以通过补丁服务器来统一对企业内部的计算机进行统一安装补丁,使得网管的工作降到最低。
看下面的示意图,你就会明白为什么安装
SUS服务器是那么的重要:
产品发行 漏洞被发现 漏洞被公开 发布更新
客户部署更新
大多数***发生此阶段
现在有这样的趋势必须值得网管高度重视的是:系统漏洞公布与病毒爆发的间隔天数不断压缩,如
Nimda病毒间隔
331天、
SQL Slammer病毒间隔
180天、
Blaster病毒间隔
25天,
Sasser病毒间隔
11天,刚刚爆发的
ani病毒更是缩短至不到一周!且
ani病毒一天就出现
5个变种!病毒传染的速度加快,意味著企业对於外在资安环境变化需要具备高度敏感性。
微软补丁服务器有
SUS和
SMS,其中,
SUS是免费的,虽然相对于
SMS,功能不如后者丰富,但能满足将服务器及客户端升级到最新的更新、安全更新和服务包的最基本要求,对中小型企业而言,选择
MBSA和
SUS是一个很不错的解决方案。故本文以配置
SUS为例讲述。
简单的说,
SUS的作用就是定期从微软升级网站有选择的下载最新的更新、安全更新和服务包到本地,然后分发给它所管辖的客户端,客户端就不必在外网直接链接到
Windows Update来更新了。
SUS
的部署
Windows 2000 SP2及更高的版本,
IIS 5及更高的版本,
IE6及更高的版本,必须装在
NTFS分区,至少
6GB的硬盘空间,相信这些要求,现在企业的服务器都能满足。
SUS最新版本是
3.0,即将于今年
7月份发布,故本文以
SUS 2.0为例
可以去
[url]http://go.microsoft.com/fwlink/?LinkId=47374[/url]下载当前版本的
SUS(直接下载地址为:
关于
SUS的配置和配置,由于微软发布了《
Windows Server Update Services 入门循序渐进指南》、《
Windows Server Update Services 自述文件中文文档》,有需要的网管可以下载参考,限于篇幅笔者不再对
SUS具体的操作进行阐述,上述两个文档可以在下列地址下载:
关于
SUS的技术网站,特向读者推荐一些笔者经常访问的站点:
SUSserver Forums:
[url]http://forums.susserver.com/index.php?showforum=14[/url]
Windows Server Update Services WIKI
:
[url]http://www.wsuswiki.com/[/url]
WSUS ~ Windows Server Update Services
:
[url]http://www.msfaq.com/[/url]
这里提供一些有用的技巧和注意的地方:
一、手动启动
WSUS 服务器检测:
在客户端上的命令提示符中运行
wuauclt.exe /detectnow
此命令行选项将指示自动更新立即连接到
WSUS 服务器。一旦应用了组策略,便可手动启动检测。如果执行此步骤,则不必等待
20 分钟便可将客户端计算机连接到
WSUS 服务器。这条命令很方便,网管一定要牢记。
二、在客户端上快速识别是否应用了
WSUS :
打开
%SystemRoot%\windows 文件夹,查找“
WindowsUpdate.log”,如果发现该日志文件则说明
WSUS已经成功的应用在该客户端上。使用
WU和
SUS的话生成更新日志文件是“
Windows Update.log”,细心的话就能发现,原来
WSUS的日志文件的文件名比
WU和
SUS的少了一个空格。
三、使客户端
cookie过期:
WSUS使用
cookie在客户端存储各种类型的信息,其中包含呵护端计算机属于的组成员信息(
Client side),默认在
WSUS创建它以后的一个小时过期,使用以下命令可以立即更新组成员:
wuauclt.exe /resetauthorization /detectnow
客户端获得
WSUS的更新是根据配好组策略,后台自动执行
wuauclt进行的,不需要手动去干预。 假设
WSUS服务器地址是
192.168.0.1,并在服务器上同步了更新,批准安装更新,服务器端基本就没有其他操作了。接着在客户端上配组策略,默认情况下组策略配置完毕后
10~
20分钟后生效,之后会自动访问
WSUS,
WSUS也会自动收集客户端信息…… 如果服务器端设置没错的话,关键还是正确配好客户端。
1. 在“运行”中执行
gpedit.msc来打开组策略对象编辑器,依次展开“计算机配置”、“管理模板”、“
Windows 组件”,然后单击“
Windows Update”。
2. 在详细信息窗格中,单击“指定
Intranet Microsoft 更新服务位置”。
3. 同时在“为检测更新设置
Intranet 更新服务”和“设置
Intranet 统计服务器”中键入同一
WSUS 服务器的
HTTP URL。例如,在上述两个文本框中键入
http://服务器名,其中服务器名是
WSUS 服务器的名称。
4. 单击“确定”,然后配置自动更新的行为。
另外有一个地方要注意,客户端不支持
Windows 9X,还有就是
Windows XP Home没有组策略,为了能用上局域网中的
SUS,只能用注册表来部署,将下面代码复制到记事本,并命名后缀名为
reg的文件,导入注册表即可:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate] "WUServer"=[url]http://WSUS[/url]
"WUStatusServer"="http://WSUS" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"UseWUServer"=dword:00000001
"RescheduleWaitTime"=dword:00000005 "NoAutoRebootWithLoggedOnUsers"=dword:00000001
其中
[url]http://WSUS[/url]这一行要改成你安装
sus服务器的地址。
Windows
服务器的安全
服务器通常是
24x7全天候运行的,所以,当五一长假人们都去放假的时候,服务器并不会也跟着放假。在这无人值守的期间里,要想保证服务器的安全,做一些安全加固措施还是有必要的。
在企业中,
Windows 服务器通常作为以下角色:
Web Server、
ISA Server、
*** Server,这类角色应用比较多,故本文将重点介绍如何防护。
Web Server的安全,极其重要,如果在安全设置上有所疏忽,往往会被***挂上网页***,这样,当访问此
Web Server时,就不知不觉自动运行了***,从而大面积传播。也有病毒利用
IIS漏洞,感染
Web Server,快速的散播病毒,如前几年的红色代码。
Windows 的
Web Server是
IIS,有关
IIS安全的话题比较宽泛,限于篇幅,这里只简单介绍利用微软提供的加强
IIS安全的工具来加固安全性。
微软对
IIS的防护提供了一些有用的工具,如
IIS Lockdown Tool(
[url]http://www.microsoft.com/technet/security/tools/locktool.mspx[/url] )、
UrlScan(
[url]http://www.microsoft.com/technet/security/tools/urlscan.mspx[/url] )。
应用这两个工具可以做到:禁用或者删除不必要的
IIS服务和组件;修改默认配置,提高系统文件和
Web内容目录的安全性;用
URLScan来过滤
HTTP请求。
本文不准备详谈,请参考微软官方站点:
不管服务器是作为何种角色,保护服务器自身的安全是首要的,只有做好了
Windows自身的安全,才能谈得上它作为其他角色的安全。请参见:
Windows Server 2003安全指南:
在即将到来的长假前,对服务器作一番安全基准检查是非常有必要的。微软官方提供了这样的一个工具,叫
Microsoft基准安全分析器
MBSA。大部分的微软软件检测器都包含在内(如
windows2000/2003/xp,IIS,SQL7.0/2000,IE,office2000/2002/2003),除了检测漏洞之外,还提供了详细的解决方案以及补丁下载地址,
MBSA Ver2.0.1包含图形和命令行界面,可以进行本地和远程扫描。使用
MBSA可以确保没有遗漏的安全漏洞,由于
MBSA可以自动更新,所以应该定期使用以检查新出现的漏洞。
MBSA最新版本为
2.1,但微软中文关于
MBSA的介绍却没有更新,仍然为
1.2。
MBSA2.0.1可以在下面地址下载:
MBSA 2.1现在还是测试版,主要是为
Vista提供了完整的支持。
有关
MBSA的白皮书可以参见:
注意,虽然该中文白皮书是以
MBSA 1.2为例,但对于
MBSA 2是通用的。见图:
对于企业市面上发行的一些安全软件,如
360安全卫士,就提供了扫描系统漏洞并下载漏洞补丁的功能,见图:
不过目前
360安全卫士暂时不提供
Windows Server和
Vista版的系统漏洞扫描的功能。但企业中的客户端完全可以用来扫描系统的漏洞并打补丁。
客户端的安全防护
对于客户端而言,未采取域的,自然就没有应用域上的组策略,也就不能按照域控制器上的组策略配合
SUS服务器自动进行安全更新,可以主动检测系统漏洞,采用
MBSA或
360安全卫士等带有检测系统漏洞并打补丁的功能的安全产品来完成。如果限于条件,企业网络没有
SUS补丁服务器的话,上述措施就显得更有必要了。
客户端需要做的措施还有:
关闭不必要的程序和服务,以减小***免;
使用基于主机的防火墙;
安装病毒防护软件,并升级到最新病毒库;
客户端的安全使用行为也很重要,如不随意运行来历不明的文件、不随意访问不明网站。
其他建议
有条件的企业,可以成立主动防病毒响应小组,制定值班制度负责监视外部的恶意软件警报站点以预警恶意软件的***。
建立网络安全及病毒事件出现后的应急机制和处置方案,由专人负责事件处理工作。确保企业在网络安全及病毒事件发生时能做好及时有效的处理,防止病毒感染,遏制病毒扩散,最大限度降低病毒发作带来的损失。企业可以根据实际情况来安排节日期间的值班,如遇问题联络国家计算机病毒应急处理中心或当地公共信息网络安全监察部门。
做好物理安全也不容忽视,如防盗、禁止无关人员接近服务器,这点非常重要。
如果企业能在五一长假前安排一次网络安全演练,也未尝不可,但目前中小型企业能做到这一点者,寥寥无几。只有那些对网络运行的安全性和稳定性有更高要求的企业,才会进行网络安全演练。
结语
关于如何做好长假前的企业网络安全措施,由于版面的关系,只能就此收笔,最后祝广大企业网管度过一个平安、祥和的五一长假!
185
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
