论文部分内容阅读
[摘 要]本文通过探讨某公司现有的网络系统用Windows2003进行改造所采用的安全方案实例,进而阐述如何做才能使一个基于域的局域网更安全、更便于管理。
[关键词]集中管理 安全 方案 组策略
随着一些企事业局域网的规模日趋扩大、作用日趋重要的同时,网络环境也日趋复杂,管理难度在上升、而安全程度在下降,当初网络系统单一数据共享的简单应用已难满足企业发展运作的需求,一些企事业网络系统的改造势在必行。下面谈一下某公司网络系统改造方案。
一、某公司现有的网络和系统现状
120台PC分布于4个办公楼层,每个楼层都有一条100MB的链路连接到机房,PC网络以工作组方式共享文件、打印机等设备。公司中的PC分桌面PC和笔记本电脑,系统一般为Windows 2000和XP为主。通往Internet的链路为一根2MB的ADSL线路。
二、某公司对于整个网络系统的安全应用要求和需要解决的问题
问题一:员工把公司文件和个人文件都存储在个人的PC中,如果PC瘫痪,需要花费很多的时间修复PC获得其中的文件。需要指定相应的方案,防止或减少此类问题的出现。
问题二:公司网络中病毒泛滥,经常导致公司资料丢失。整个公司使用的杀毒软件也不统一,对于杀毒软件的更新会消耗桌面支持较大的工作。
问题三:员工在上班时间经常上一些与工作无关的网络,下载可能带有病毒的文件,私自安装游戏,影响到工作。对于普通员工,希能设置Internet内容访问的控制,下载文件的控制,对于主管和经理级的用户,因业务的需要,需要设置较大的权限与安全等级。
问题四:各个部门的共享文件内文件的安全,如果访问密码泄露,会导致公司无法估计的损失。需要定制安全的密码和访问机制。
问题五:公司的网站及内部的BBS论坛并不安全,时有麻烦出现,希能提高稳定性。
问题六:对于主要应用Windows的PC系统来说,系统和安全补丁的安装消耗了桌面支持人员很大的工作时间,希望得到改善。
问题七:现在的4层办公区域,需要至少4个桌面支持进行对于120台PC的桌面支持,在空闲的时候,可能只需要1到2个桌面支持,但在繁忙或大规模病毒发作的时候,4个桌面支持根本忙不过来。如果公司的规模进一步的发展,希望在以尽量少的桌面支持来维护整体公司的网络系统。
问题八:其它安全方面。
三、解决方案与思路
实际上该公司网络所存在的问题是具有普遍性的,一个网络系统如果缺少有效的集中管理模式与安全机制,则必存在着很大的安全漏洞与难以克服的混乱及低效率运作,该公司网络改造方案的思路就是建立起有效的集中管理模式与安全机制。将该公司的网络升级为一个基于域的局域网系统,统筹建立集中管理模式与安全机制。
四、具体实施步骤
1.在域建好后,问题一可通过将员工把公司文件重定向到安全性增强的某个服务器来解决,步骤如下:
在服务器上建立一个共享文件夹,以下是这个文件夹的网络访问配置和本地安全配置。文件名可为“user_data”
将Everyone 组的共享权限设置为完全控制。
在Active Directory 用户和计算机中新建一个OU,把你所需要定义文件夹重定向的用户移动到这个OU,之后编辑这个OU的组策略。在组策略管理器中选择用户配置(Windows设置)文件夹重定向,在这里,Windows提供了Application Data,桌面,我的文档和开始菜单的配置功能,Application Data的设定,其中Application Data存放的是用户软件配置信息,桌面、我的文档、开始菜单直接映射用户的桌面文件、桌面、我的文档、开始菜单。需要注意的是在设定“开始菜单”的时候,在根路径最后需要加上%username%,这样,用户的开始菜单数据才会写入这个用户的文件夹中,不然,文件会写入user data目录中。
2.使用统一的企业级杀毒软件Symantec AntiVirus,可较好解决问题二。简述如下:
首先分别在服务器和客户端安装好Symantec AntiVirus企业版及Symantec AntiVirus客户端,接着配置Symantec AntiVirus企业版: 选择组→新建组→把服务器下的客户端放入组中→配置组。其中调度扫描是定义这个组中客户端扫描病毒的时间,点击新建可以配置新的扫描时间和周期。病毒定义管理器:可以定义客户端升级病毒定义更新程序的方式。隔离区选项:这里如果安装的隔离中心,可以把在客户端扫描发现带有病毒的文件隔离到服务器,在客户端做彻底删除。配置历史记录:可以配置服务器记录客户端历史记录的最长时间。客户端自动防护选项:可以配置客户端病毒防护的具体配置,如果在选项前面加锁,客户端用户就无法更改配置了。客户端管理员专用选项:在安全选项中配置是否允许删除,和删除程序密码,扫描网络文件夹的方式。客户端漫游定义:如果客户端是移动笔记本用户,时常在2个有Symantec AntiVirus服务器的网络中漫游,可以设定客户端选择服务器的名称,间隔的时间等。
完成以上这些,这个Symantec AntiVirus服务器基本配置完成了,如果客户端发现病毒,服务器会马上在Symantec System Center中显示出来,当然,在事件日志中可查看详细的记录。
3.问题三的解决可以使用交换机作VLAN,在路由器上作访问控制列表,也可使用带用数据包筛选功能的代理软件,如ISA SERVER来做控制。可参见相关资料,这里不详述。
4.帐户安全:最简便的做法是把需要设定帐户安全的PC放入一个OU,配置这个OU的组策略:在计算机配置Windows设置→安全设置→密码策略中,可以设定:密码必须符合复杂性要求:要求用户密码必须由大小写英文加数字组成,密码长度最小值:设定用户密码最小长度,密码最长使用期限:用户密码使用最大的天数:密码最短使用期限:到用户密码使用时间超过这个期限,系统会在用户登录时提示用户更换密码,强制密码历史:可以记录之前使用的密码的个数,被记录的密碼不能再次使用。
5.公司的网站及内部的BBS论坛并不安全,时有麻烦出现,希能提高稳定性。解决问题五的指导思想是需要考虑如何增强IIS Server的安全性及减少IIS服务器的被攻击面。在IIS服务器上首先应该安全配置Windows服务器,尽可能少的安装其他网络服务,停止不相关的服务,并且只是安装满足需要的IIS组件。
安全配置IIS Server包括以下等几个方面,简述如下:
(1)配置IIS的应用程序隔离模式: 默认情况下IIS 6工作在工作进程隔离模式下,如果你的Web应用程序不能兼容此模式,那么你需要将IIS 6配置为工作在IIS 5 隔离模式下,配置过程:点击开始,指向控制面板,然后选择Internet信息服务(IIS)管理器,在弹出的Internet信息服务(IIS)管理器上右击网站文件夹,选择属性,然后在弹出的网站属性对话框上点击服务标签,在隔离模式下勾选以IIS 5.0隔离模式运行WWW服务即可。
(2)配置MIME类型:从安全性上考虑,IIS 6中只是定义了常见的MIME类型(文件扩展名),而没有和IIS 5一样包含通配符MIME映射。这样当客户端浏览器从IIS 6 Web服务器上请求某个文件时,如果该文件的扩展名并没有在IIS的MIME类型中进行定义,IIS 会返回404错误-文件或目录未找到。对于使用Access数据库的站点,为了防止别人下载Access数据库,有些文章中介绍了将Access数据库改名为.asp来防止下载的方法,这并不安全,最好的办法就是将Access数据库的扩展名修改为MIME类型中未定义的扩展名,这样别人就无法访问此数据库。
(3)删除不必要的虚拟目录:IIS安装完成后在wwwroot下默认生成了一些目录,并默认设置了几个虚拟目录,包括IISHelp、IISAdmin、IISSamples、MSADC等,它们的实际位置有的是在系统安装目录下,有的是在重要的Program files下,从安全的角度来看很不安全,而且这些设置实际也没有太大的作用,所以我们可以删除这些不必要的虚拟目录。
(4) Internet服务管理器(HTML):这是基于Web 的IIS服务器管理页面,一般情况下不应通过Web进行管理,建议卸载它。
(5) SMTP Service和NNTP Service:如果不打算使用服务器转发邮件和提供新闻组服务,就可以删除这两项,否则,可能因为它们的漏洞带来新的不安全。
(6) 样本页面和脚本:这些样本中有些是专门为显示IIS的强大功能设计的,但同样可被用来从Internet上执行应用程序和浏览服务器,建议删除。
(7)为IIS中的文件分类设置权限:除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为它们设置权限,以期做到双保险。一般而言,对一个文件夹永远也不应同时设置写和执行權限,以防止攻击者向站点上传并执行恶意代码。另外目录浏览功能也应禁止,预防攻击者把站点上的文件夹浏览个遍最后找到漏洞。一个好的设置策略是:为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。
(8)保护日志安全:日志是系统安全策略的一个重要坏节,IIS带有日志功能,能记录所有的用户请求。确保日志的安全能有效提高系统整体安全性。
(9)修改IIS日志的存放路径:IIS的日志默认保存在一个众所周知的位置(%WinDir%\System32\LogFil-es),这对Web日志的安全很不利。所以我们最好改变它的位置。
6.后续问题解决方案的指导思想是:仔细梳理公司各楼面,各办公室用户的工作性质及职责范围,应用组策略为不同工作组的用户配置应获得的最小权限和不同的统一操作界面,这样做的好处是不言而喻的,不仅限制了用户做与工作无关的事,而且网络用户的维护工作也变得十分简单,网络系统安全性提高的同时管理趋于简捷。当然,配置不同的组策略最初要花费大量的时间和精力,但这是必须的和值得的。
网络系统的架构无论从提高安全性还是从降低管理难度上看,都应建立在集中管理模式和用户权限最小化基础上,服务器在提供满足需要的服务同时,也应使提供服务最小化,而组策略的应用使网络系统的架构变得简捷和强壮。
参考文献
[1]Microsoft 著.网络环境管理[M].北京:高等教育出版社,2003.8
[2]程迎春编著.Windows安全应用策略和实施方案手册.人民邮电出版社,2005-5-1
[关键词]集中管理 安全 方案 组策略
随着一些企事业局域网的规模日趋扩大、作用日趋重要的同时,网络环境也日趋复杂,管理难度在上升、而安全程度在下降,当初网络系统单一数据共享的简单应用已难满足企业发展运作的需求,一些企事业网络系统的改造势在必行。下面谈一下某公司网络系统改造方案。
一、某公司现有的网络和系统现状
120台PC分布于4个办公楼层,每个楼层都有一条100MB的链路连接到机房,PC网络以工作组方式共享文件、打印机等设备。公司中的PC分桌面PC和笔记本电脑,系统一般为Windows 2000和XP为主。通往Internet的链路为一根2MB的ADSL线路。
二、某公司对于整个网络系统的安全应用要求和需要解决的问题
问题一:员工把公司文件和个人文件都存储在个人的PC中,如果PC瘫痪,需要花费很多的时间修复PC获得其中的文件。需要指定相应的方案,防止或减少此类问题的出现。
问题二:公司网络中病毒泛滥,经常导致公司资料丢失。整个公司使用的杀毒软件也不统一,对于杀毒软件的更新会消耗桌面支持较大的工作。
问题三:员工在上班时间经常上一些与工作无关的网络,下载可能带有病毒的文件,私自安装游戏,影响到工作。对于普通员工,希能设置Internet内容访问的控制,下载文件的控制,对于主管和经理级的用户,因业务的需要,需要设置较大的权限与安全等级。
问题四:各个部门的共享文件内文件的安全,如果访问密码泄露,会导致公司无法估计的损失。需要定制安全的密码和访问机制。
问题五:公司的网站及内部的BBS论坛并不安全,时有麻烦出现,希能提高稳定性。
问题六:对于主要应用Windows的PC系统来说,系统和安全补丁的安装消耗了桌面支持人员很大的工作时间,希望得到改善。
问题七:现在的4层办公区域,需要至少4个桌面支持进行对于120台PC的桌面支持,在空闲的时候,可能只需要1到2个桌面支持,但在繁忙或大规模病毒发作的时候,4个桌面支持根本忙不过来。如果公司的规模进一步的发展,希望在以尽量少的桌面支持来维护整体公司的网络系统。
问题八:其它安全方面。
三、解决方案与思路
实际上该公司网络所存在的问题是具有普遍性的,一个网络系统如果缺少有效的集中管理模式与安全机制,则必存在着很大的安全漏洞与难以克服的混乱及低效率运作,该公司网络改造方案的思路就是建立起有效的集中管理模式与安全机制。将该公司的网络升级为一个基于域的局域网系统,统筹建立集中管理模式与安全机制。
四、具体实施步骤
1.在域建好后,问题一可通过将员工把公司文件重定向到安全性增强的某个服务器来解决,步骤如下:
在服务器上建立一个共享文件夹,以下是这个文件夹的网络访问配置和本地安全配置。文件名可为“user_data”
将Everyone 组的共享权限设置为完全控制。
在Active Directory 用户和计算机中新建一个OU,把你所需要定义文件夹重定向的用户移动到这个OU,之后编辑这个OU的组策略。在组策略管理器中选择用户配置(Windows设置)文件夹重定向,在这里,Windows提供了Application Data,桌面,我的文档和开始菜单的配置功能,Application Data的设定,其中Application Data存放的是用户软件配置信息,桌面、我的文档、开始菜单直接映射用户的桌面文件、桌面、我的文档、开始菜单。需要注意的是在设定“开始菜单”的时候,在根路径最后需要加上%username%,这样,用户的开始菜单数据才会写入这个用户的文件夹中,不然,文件会写入user data目录中。
2.使用统一的企业级杀毒软件Symantec AntiVirus,可较好解决问题二。简述如下:
首先分别在服务器和客户端安装好Symantec AntiVirus企业版及Symantec AntiVirus客户端,接着配置Symantec AntiVirus企业版: 选择组→新建组→把服务器下的客户端放入组中→配置组。其中调度扫描是定义这个组中客户端扫描病毒的时间,点击新建可以配置新的扫描时间和周期。病毒定义管理器:可以定义客户端升级病毒定义更新程序的方式。隔离区选项:这里如果安装的隔离中心,可以把在客户端扫描发现带有病毒的文件隔离到服务器,在客户端做彻底删除。配置历史记录:可以配置服务器记录客户端历史记录的最长时间。客户端自动防护选项:可以配置客户端病毒防护的具体配置,如果在选项前面加锁,客户端用户就无法更改配置了。客户端管理员专用选项:在安全选项中配置是否允许删除,和删除程序密码,扫描网络文件夹的方式。客户端漫游定义:如果客户端是移动笔记本用户,时常在2个有Symantec AntiVirus服务器的网络中漫游,可以设定客户端选择服务器的名称,间隔的时间等。
完成以上这些,这个Symantec AntiVirus服务器基本配置完成了,如果客户端发现病毒,服务器会马上在Symantec System Center中显示出来,当然,在事件日志中可查看详细的记录。
3.问题三的解决可以使用交换机作VLAN,在路由器上作访问控制列表,也可使用带用数据包筛选功能的代理软件,如ISA SERVER来做控制。可参见相关资料,这里不详述。
4.帐户安全:最简便的做法是把需要设定帐户安全的PC放入一个OU,配置这个OU的组策略:在计算机配置Windows设置→安全设置→密码策略中,可以设定:密码必须符合复杂性要求:要求用户密码必须由大小写英文加数字组成,密码长度最小值:设定用户密码最小长度,密码最长使用期限:用户密码使用最大的天数:密码最短使用期限:到用户密码使用时间超过这个期限,系统会在用户登录时提示用户更换密码,强制密码历史:可以记录之前使用的密码的个数,被记录的密碼不能再次使用。
5.公司的网站及内部的BBS论坛并不安全,时有麻烦出现,希能提高稳定性。解决问题五的指导思想是需要考虑如何增强IIS Server的安全性及减少IIS服务器的被攻击面。在IIS服务器上首先应该安全配置Windows服务器,尽可能少的安装其他网络服务,停止不相关的服务,并且只是安装满足需要的IIS组件。
安全配置IIS Server包括以下等几个方面,简述如下:
(1)配置IIS的应用程序隔离模式: 默认情况下IIS 6工作在工作进程隔离模式下,如果你的Web应用程序不能兼容此模式,那么你需要将IIS 6配置为工作在IIS 5 隔离模式下,配置过程:点击开始,指向控制面板,然后选择Internet信息服务(IIS)管理器,在弹出的Internet信息服务(IIS)管理器上右击网站文件夹,选择属性,然后在弹出的网站属性对话框上点击服务标签,在隔离模式下勾选以IIS 5.0隔离模式运行WWW服务即可。
(2)配置MIME类型:从安全性上考虑,IIS 6中只是定义了常见的MIME类型(文件扩展名),而没有和IIS 5一样包含通配符MIME映射。这样当客户端浏览器从IIS 6 Web服务器上请求某个文件时,如果该文件的扩展名并没有在IIS的MIME类型中进行定义,IIS 会返回404错误-文件或目录未找到。对于使用Access数据库的站点,为了防止别人下载Access数据库,有些文章中介绍了将Access数据库改名为.asp来防止下载的方法,这并不安全,最好的办法就是将Access数据库的扩展名修改为MIME类型中未定义的扩展名,这样别人就无法访问此数据库。
(3)删除不必要的虚拟目录:IIS安装完成后在wwwroot下默认生成了一些目录,并默认设置了几个虚拟目录,包括IISHelp、IISAdmin、IISSamples、MSADC等,它们的实际位置有的是在系统安装目录下,有的是在重要的Program files下,从安全的角度来看很不安全,而且这些设置实际也没有太大的作用,所以我们可以删除这些不必要的虚拟目录。
(4) Internet服务管理器(HTML):这是基于Web 的IIS服务器管理页面,一般情况下不应通过Web进行管理,建议卸载它。
(5) SMTP Service和NNTP Service:如果不打算使用服务器转发邮件和提供新闻组服务,就可以删除这两项,否则,可能因为它们的漏洞带来新的不安全。
(6) 样本页面和脚本:这些样本中有些是专门为显示IIS的强大功能设计的,但同样可被用来从Internet上执行应用程序和浏览服务器,建议删除。
(7)为IIS中的文件分类设置权限:除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为它们设置权限,以期做到双保险。一般而言,对一个文件夹永远也不应同时设置写和执行權限,以防止攻击者向站点上传并执行恶意代码。另外目录浏览功能也应禁止,预防攻击者把站点上的文件夹浏览个遍最后找到漏洞。一个好的设置策略是:为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。
(8)保护日志安全:日志是系统安全策略的一个重要坏节,IIS带有日志功能,能记录所有的用户请求。确保日志的安全能有效提高系统整体安全性。
(9)修改IIS日志的存放路径:IIS的日志默认保存在一个众所周知的位置(%WinDir%\System32\LogFil-es),这对Web日志的安全很不利。所以我们最好改变它的位置。
6.后续问题解决方案的指导思想是:仔细梳理公司各楼面,各办公室用户的工作性质及职责范围,应用组策略为不同工作组的用户配置应获得的最小权限和不同的统一操作界面,这样做的好处是不言而喻的,不仅限制了用户做与工作无关的事,而且网络用户的维护工作也变得十分简单,网络系统安全性提高的同时管理趋于简捷。当然,配置不同的组策略最初要花费大量的时间和精力,但这是必须的和值得的。
网络系统的架构无论从提高安全性还是从降低管理难度上看,都应建立在集中管理模式和用户权限最小化基础上,服务器在提供满足需要的服务同时,也应使提供服务最小化,而组策略的应用使网络系统的架构变得简捷和强壮。
参考文献
[1]Microsoft 著.网络环境管理[M].北京:高等教育出版社,2003.8
[2]程迎春编著.Windows安全应用策略和实施方案手册.人民邮电出版社,2005-5-1