Windows网络安全审计四部曲
来源:IT专家网 更新时间:2009-02-18

 

  网络安全审计看似莫测高深,其实网络安全审计并没有我们想象中的那么困难。笔者今天就谈谈Windows网络安全审计的四部曲,跟大家分享一下基于Windows网络环境的安全设计心得。

   什么是网络安全审计,各个专家对此都没有统一的认识。笔者认为,网络安全审计就是对企业网络安全的脆弱性进行测试、评估、分析的过程。其目的是为了在最大限度内保障企业网络与信息的安全。

  虽然有时候通过防火墙、入侵检测等网络设备,可以有效提高企业网络的安全。但是,平心而论,笔者非常不赞同在安全问题上,对于硬件设备太过于依赖。因为对于硬件设备一味的依赖与迷信,往往会让用户降低安全认识。其实,笔者认为,有时候好的安全认识与健全的网络安全管理,可能比所谓的网络安全设备更加的高效。正是出于这种原因,企业网络安全管理人员有必要定时的对企业网络进行安全设计,以发现可能存在的安全漏洞。

  虽然网络安全审计在国内可能还不怎么流行,看其来有一点莫测高深的样子。其实,网络安全审计并没有我们想象中的那么困难。笔者今天就谈谈Windows网络安全审计的四部曲,跟大家分享一下基于Windows网络环境的安全设计心得。

  一、关注未使用过的帐户

  在实际工作中,可能会存在这种情况。一个新人来面试过后,企业决定录用他。在其还没有到企业报道之前,只要企业决定录用他,则企业人事部门就会把这个新员工的信息告诉给网络管理员。让我们网络安全人员给其建立帐户。可是,出于种种原因,新员工可能会改变初始的想法。如其可能认为路途远、上班不方便;又或者找到了其他更好的工作,而临时改变主意,不到企业来上班了。此时,这些帐户从建立起来就根本没用过。日积月累,这些从未使用过的帐户就会成为企业的一大安全隐患。

  因为我们为了管理的方便,对于这些新员工的帐户往往会设置一个初始密码。然后当新员工第一次登陆企业网络的话,就强迫他们进行密码的更改。这本来是一个很好的安全策略,但是,因为这些从未使用过的帐户的存在,就出现了一个很大的安全漏洞。其他员工就有可能冒充新员工的身份,登陆到企业的服务器中进行破坏活动。可见这些从未被使用过的帐户,其有比较大的安全隐患。

  所以,在Windows网络的安全设计中,对于从未使用过帐户的安全设计,就是其中一个重要的组成部分。笔者平时对下属分公司进行安全审计的时候,经常会发现这方面的管理漏洞。为此,笔者给他们提供了两个处理建议。

  一是对于这些帐户给与一个有效期限。也就是说,当网络安全管理人员在建立域用户帐户的时候,其初始密码有三天的使用期限。如果这个员工在三天之内没有利用分配给他的用户名与密码登陆的话,则这个用户名与密码会自动失效。如此的话,其他员工也就不能够利用这个空子来进行身份的冒充。

  二是要定期对这些帐户进行清理。笔者规定,每一个月要对这些未用的帐户以及离职员工的帐户进行清理。对于这些帐户要及时的进行注销或者删除处理。而不能够让这些帐户永久的存储在域控制器中,成为危害企业安全的害群之马。

  二、用户权限的审计

  笔者企业网络是一个基于Windows域的网络环境。企业的域帐户统一通过域控制器来进行管理。在域控制器中,还有一个文件服务器,方便企业各个部门之前文件的相互访问。为了保障这些文件的安全性,笔者企业还制定了一套严格的文件访问制度。谁可以访问那些网络资源,谁对哪些共享文件具有修改权限等等,都规定的一清二楚。

  当网络安全人员在刚开始建立用户的时候,可能会严格按照这个制度来做。但是,随着企业网络用户的增多与网络环境的日趋复杂,企业是否仍然严格按照这个制度在执行呢?有没有用户存在越权的行为呢?这个就是Windows网络安全审计的重要内容。

  其实,在网络安全管理中,往往会出现这些越权的用户。如由于销售经理结婚,公司给了其一个月的婚假。但是,其的工作仍然要有人来做。为此,公司决定来销售经理助理暂时代替销售经理的角色,来负责管理销售部门的相关业务。此时,网络安全管理人员就必须要给这个销售经理助理一些额外的权限,让其能够访问销售经理角色下所有可以访问的权限。为此,网络安全管理人员往往会把销售经理助理的用户加入到销售经理的角色中,让其继承销售经理的相关权限。当销售经理回来后,按照理论上来说,必须重新调整销售经理助理的权限,去掉其不应该有的文件访问权限。但是,往往网络管理员一疏忽,或者没有人通知网络安全管理人员销售经理已经复职。故网络安全人员在不知情的情况下,就没有对销售经理助理的权限进行重新调整。此时,销售经理助理的权限就不适合了。其过大的网络访问权限会给企业网络与信息安全留下安全隐患。

  故网络安全管理人员要根据相关的网络资源访问权限,对相关帐户进行安全审计。看看其是否有一些越权的权限。若有的话,要及时进行调整。笔者在实际工作中,每三个月会对账户进行安全审计一次。尽量减少越权用户的存在。

  三、适当关注被锁定的帐户与密码为空的帐户

  我们网络安全管理人员为了域帐户的安全,往往会为其设置锁定策略。当用户连续输入密码三次都错误的话,则这个用户名会自动被锁住。被锁住的用户名要重新使用的话,有两种方法。一是有我们安全管理人员重新激活这个账户;二是让系统在一段时间后,如一个小时后让这个用户名自动激活。无论采用哪种方式,为了这些帐户的安全,定期对这些帐户进行监控,并且查找相关的原因,可以提高企业网络的安全性。

  因为账户被锁主要是应为用户连续输入错误密码所导致的。频繁的发生用户账户锁定,通常情况下只有两种原因。一是用户确实忘记了密码;二是企业网络中有非法用户企图通过密码探测对文件进行未经授权的访问,由于密码探测不成功而导致用户名被频繁锁定。这些锁定信息将会被记录到Windows事件日志中。若网络安全管理人员能够及时关注这些信息,对这些账户进行安全审计,或许就可以发现那些可疑的攻击人员。

  另外,虽然我们网络安全管理人员给用户都设置了初始化密码。但是一些没有网络安全意识的员工,往往会在重置密码的时候,把密码清空,以方便他们下次的输入。他们认为在登陆的时候,输入密码是一件非常麻烦的事情。很明显,这些密码为空的账户的存在是企业网络安全中的一个巨大隐患。为此,在网络安全审计中,网络安全管理人员要关注,企业中是否存在着比较多的密码为空的账户,特别是要注意这些账户中是否有比较高的权限。同时,为了避免这种情况,网络安全人员最好能够建立一个防止用户使用空密码的安全策略。如在域控制器中的域用户与组中,选择用户密码不能为空复选框。如此的话,当用户密码为空的时候,将提示错误信息,密码重置将不会被保存。

  四、管理员权限账户不宜过多

  在实际工作中,有时候为了管理的方便,我们往往会给某些用户管理员的权限。如有个员工需要安装一个Flashget软件,但是其现在的权限是没有权利在系统中安全应用软件的。但是,那时候我们又走不开。而我们也知道,这个员工还是有一定的计算机知识的,装一个应用软件没有问题。为此,我们就可能会把管理员的角色赋予给他。本来我们的想法是,等到他应用软件安装完成后,再把权限收回来。可是,在百忙之中,我们往往会忘记这件事情。长久下去,企业中这些管理员账户就会越来越多,从而给网络安全带来巨大的安全隐患。

  为此,无论是普通的工作站,又或者是服务器,大多数的系统管理任务都需要有管理员权限才能够执行。也就是说,具有管理员权限的用户可以访问全部的网络资源。如安装或者删除应用程序、更改网络配置等等;当然还有更改网络访问权限等等。

  另外,在Windows的域环境中,有域管理员与本地管理员之分。为了管理方便,在管理员帐户安全审计过程中,最好让域管理员帐户有本地管理员帐户的权限。只有如此,域管理员才能够通过远程管理的方式,对工作站进行软件维护、系统更新等操作。