2011年11月20日 星期日

Windows Server 在資訊安全性上的建議

為了避免公司內部使用中的主機中毒(或被入侵), 被裝了後門(backdoor) 或木馬(Trojan), 或跳板(Proxy), 小弟有幾點建議:

 ● 1. Server主機上都需要安裝防毒軟體, 沒$$的話, 可以暫時用Windows 免費防毒軟體 - Microsoft Security Essentials.

 ● 2. 在遠端登入的地方, 設定增加 Log來記錄, 是誰登入進來. 看看是不是Hacker, 手動連進來, 如果可以的話, 最好還是把 3389 改成別的 Port, 避免在同一個LAN 裡, 有已經中毒的電腦監聽(sniffer) 3389 port.

 ● 3. Administrator 應該定期更換密碼.

 ● 4. 定時使用 Microsoft Baseline Security Analyzer 檢查主機, 是否有系統的設定上或Windows Update上需要加強的地方.

 ● 5. 加裝 Microsoft Port Report + PortReportParser (Log 分析) 監控封包是否有異常, 有機會可以在出事後, 看到攻擊的過程與方法.

 ● 6. 針對各個的主機, 設定 IPSEC 規則, 在內網(intranet的部份) 不要允許 access (連入/連出) 自己單位的主機以外的 IP(和Port), 避免在主機被中毒(或入侵)後對別台主機做攻擊, 而且打掛別人在用的主機.

一般公司都會有外部防火牆來防止駭客直接入侵,應該還需要內部防火牆,來防內賊的,一般無內部防火牆的情況下,只要知道資料庫的IP、帳號及密碼,在內網就能夠去取得資料庫的資料,如果使用IPSec來建立內部防火牆,就能設定IP白名單,僅允許白名單上的伺服器可連接資料庫,也可以減少主機被內部的PC(或NB) 攻破的機率,也可以減少中毒(或被入侵)後對別台主機的影響.

 ● 7. 建議不要使用 c$ ... 的共享.
--------------------------------------------------------
禁止C$、D$ 等管理分享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name:AutoShareServer
Type:DWORD
Value:0
--------------------------------------------------------
禁止ADMIN$ 預設共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
Name:AutoShareWks
Type:REG_DWORD
Value:0x0
--------------------------------------------------------
  * 附註: 強烈建議別分享 c$, 因為帳號/密碼等的資料可能會被偷走, 而且還有可能被放入開機自動執行的批次檔, 或 Windows 資料夾裡被放入有風險的執行檔.


 ● 8. 建議可以"停用"掉下列的服務,提高安全性和系統效率. (如果該服務沒有在被使用的話)
--------------------------------------------------------
Computer Browser 維護網絡上計算機的最新列表以及提供這個列表
Routing and Remote Access在局域網以及廣域網環境中為企業提供路由服務
Removable storage 管理可移動媒體、驅動程序和庫
Remote Registry Service 允許遠程註冊表操作
Print Spooler 將文件加載到內存中以便以後打印。要用打印機的朋友不能禁用這項
Distributed Link Tracking Client 當文件在網絡域的NTFS卷中移動時發送通知
Alerter 通知選定的用戶和計算機管理警報
Error Reporting Service 收集、存儲和向Microsoft報告異常應用程序
Messenger 傳輸客戶端和服務器之間的NET SEND和警報器服務消息
Telnet 允許遠程用戶登錄到此計算機並運行程序
DHCP (主機應該幾乎沒有人在用 DHCP 取得 ip 的吧).


 ● 9. 避免使用 "共用(通用)" 的密碼, 例如: 我們常用的那幾組.
--------------------------------------------------------
因為, 如果密碼是通用的, 一台主機被攻破(或被登入)後, 其他台主機就 "很容易" 被攻破.


對於, 已被入侵過的, 重要的主機, 建議找時間重灌, 不重要的 + 上面的案子(系統) 太多的話, 建議把封包監控+防毒+防火牆的規則設好.

當然, 定時對主機做 windows update, 是一定的, 就不列了.

沒有留言:

張貼留言

Facebook 留言板