構筑信息終端防護“安全之門”

引言：各信息系統終端是企業網絡的信息節點，也是關乎信息系統安全的重要環節。為有效防范入侵檢測、信息竊取、APT攻擊等安全威脅，做好信息終端防護才能把好“自家大門”，那么平時需要做好的具體工作有哪些呢？筆者結合工作經驗做詳細介紹。

大多數信息系統應用人員可能認為網絡安全是網管部門需要關注解決的專業問題，與用戶終端關系不大。其實不然，各信息系統終端是企業網絡的信息節點，也是關乎信息系統安全的重要環節。為有效防范入侵檢測、信息竊取、APT攻擊等安全威脅，做好信息終端防護才能把好“自家大門”，那么平時需要做好的具體工作有哪些呢？就這一問題，筆者結合工作經驗做詳細介紹。

完善本地安全策略

1.密碼策略設置

嚴防網絡攻擊的最基本要求就是配置帳戶密碼，設置密碼時通常要求密碼要盡可能復雜，同時合理配置密碼長度最小值、最短使用期限、最長使用期限等策略參數，登錄時密碼輸入錯誤達到指定次數，系統要能自動鎖定該登錄帳戶，可通過依次打開“管理工具”、“本地安全策略”對話框，依次選擇“帳戶策略”、“密碼策略”選項進行設置，如圖1所示。

圖1 密碼策略設置

圖2 審核策略設置

2.審核策略設置

為了保證審核安全信息質量相對提高，減少資源占用率，可通過依次打開“管理工具”、“本地安全策略”對話框，選擇“審核策略”選項設置帳戶登錄、系統事件的審核包含成功和失敗操作，策略更改、帳戶管理等事件的審核包含成功操作，如圖2所示。

3.用戶權限分配

防止默認共享(IPC$, C$, ADMIN$)被用作入侵通道，應嚴格限制用戶的完全控制權限，對威脅系統安全的權限應做到禁用或嚴格限制，可通過依次打開“管理工具”、“本地安全策略”對話框，選擇“用戶權限分配”選項進行設置。

優化系統注冊表設置

1.設置注冊表修改權限

用戶在使用時非常容易忽視注冊表，還有許多用戶因為怕破壞系統而不敢隨意改動注冊表，比較安全的做法是僅允許管理員訪問注冊表，具體方法是，在系統Windows目錄下找到“regedit.exe”文件，右鍵選擇“權限”選項，將無關用戶權限取消，如圖3所示。

2.清空遠程可訪問的注冊表路徑

為有效防止入侵者通過遠程訪問注冊表讀取系統信息，應打開“組策略編輯器”，在“運行”里輸入“gpedit.msc”，依次打開“計算機配置”、“Windows 設置”“安全設置”、“本地策略”、“安全選項”，找到“網絡訪問:可遠程訪問的注冊表路徑”選項，將內容全部刪除。

3.修改注冊表安全選項

圖3 設置注冊表修改權限

圖4 系統注冊表

[HKEY_LOCAL_MACHINE]是系統注冊表重要配置，其中存放了系統中各項重要的核心設置數據，只有管理員權限的用戶可以訪問。然而有許多項通常情況下都是默認設置，如圖4所示，存在諸多隱患，所以需要修改參數確保系統更加安全。具體步驟是，打開“開始”按鈕，點擊“運行”，輸入“regedit”，打開注冊表編輯器，進行以下操作：為防范ICMP重定向報文攻擊，需改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcp ipParameters，將Enable ICMPRedirects值由1設為0；為防范SYN洪水攻擊，需改HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetServicesTcpipParameters，新建DWORD值，名為SynAttackProtect， 值為2；為防范IPC空連接隱患，需改HKEY_LOCAL_MACHINESYSTEMCurrent Control SetControlLsa，將restrictanonymous值由0設成1。相關安全設置還有很多，在此省略。

制定IP安全策略

IPSec支持系列加密算法，可進行數據源認證，篩選特定IP或端口，提供安全、透明、高效的網絡防護。可在“IP安全策略”里配置：

1.定義策略

依次打開“管理工具”、“本地安全設置”對話框，右擊“IP安全策略”選項，選擇“創建IP安全策略”。

2.定義篩選器

右鍵點擊“IP安全策略”選擇“管理IP篩選器表和篩選器操作”，定義“IP 篩選器列表”和“IP 篩選器屬性”，設置“源地址”、“目標地址”、“協議類型”、“協議端口”。

3.定義規則屬性

在“新規則屬性”窗口中點選創建的規則，點擊“管理篩選器操作”選項卡下的“添加”，選擇“安全措施”下的“阻止”選項。

4.策略生效

在“組策略”窗口中，右擊“創建的策略”，選擇“分配”選項，啟用該策略。