高校Windows办公终端安全策略配置实践:windows家庭版添加安全策略
时间:2019-01-07 03:28:40 来源:雅意学习网 本文已影响 人 
摘 要: 本文阐述了组织内部信息安全问题及终端计算机在安全管理链中的重要性,讨论了高校Windows办公终端具有特殊性,研究如何使用微软的安全模板对这些终端计算机进行安全策略配置管理。
关键词: Windows安全策略 安全模板 自动化部署
1.引言
近年来,2002年美国FBI和CSI通过对484家公司的调查统计发现,超过85%的安全威胁来自组织内部,[1]系统内部信息安全问题一直受到人们的普遍关注。今天越来越多的业务和数据依赖计算机和网络,高校各级部门也越来越重视信息安全。
终端计算机作为信息和数据处理的基本单元,涉及信息和数据的输入、处理、存储、传播等环节,是内部网络的一个重要组成,也是病毒和木马最容易滋生的地方。终端计算机的安全性对于整个校园网络的信息安全至关重要,有必要对终端计算机进行安全配置和管理。
2.高校终端计算机安全风险分析
(1)分散性。由于历史及发展原因,党政机构和各教学系部并不在同一区域办公,地理位置相隔较远,导致终端计算机分布较广,由一个统一的管理机构对终端计算机实现完全掌控较为困难,不能第一时间到现场处理爆发的安全问题,所以事前做好安全配置及部署分布性安全管理系统很重要。
(2)集中性。办公用终端计算机大部分是Microsoft公司的Windows XP系统,日常应用软件主要集中在文字处理、数据统计和报表处理类软件,OA平台,即时通讯软件和网络信息浏览软件上。这为我们应用统一的安全配置提供了可能。
(3)办公室人员的计算机应用水平参差不齐,计算机安全意识缺乏,不仅给高校信息化建设和应用带来困难,而且对终端计算机安全造成隐患。我们有必要根据安全要求对终端计算机进行配置和监控,把风险控制在可接受的范围之内,避免造成更大损失。
(4)根据我们的经验,主要安全威胁来自于木马病毒,传播途径主要集中在U盘传播和利用IE及其它应用软件漏洞进行网页挂马传播。
3.安全策略配置原则
(1)最少服务及最小权限(LUA)原则。最少服务原则规定,计算机可用的操作系统和网络协议应当仅运行支持业务应用所切实必需的服务和协议。最小权限原则规定,您为实体分配完成其工作所需的最少数量的访问权限,而不分配任何其他权限。[2]此原则是进行安全策略配置的基本原则。最小权限方法可阻止安装未经授权的、无许可证的或恶意的软件,还可阻止用户对其计算机进行未知更改。
(2)安全性与易用性平衡原则。在保证可接受的安全性同时,采取措施保证终端计算机的易用性,避免用户操作受挫而产生焦虑感,进而影响工作效率。
(3)可持续管理原则。安全策略的可扩展性和可维护性能好,能追溯终端安全配置的未经授权更改。
(4)安全策略实施应尽量使用系统本身功能实现,避免使用第三方软件带来的安全及性能问题。
4.重点安全配置
(1)帐户权限设置。以LUA为基本原则,严格限制办公终端登陆帐户权限。各建立了一个administrators组和Users组帐号,分别把“显示名”设定为“管理专用”和“日常工作”。在默认情况下,只在登陆界面显示“日常工作”帐号。
(2)文件权限设置。更改硬盘权限设定,除系统分区之外的其它分区为Users组增加写权限;去掉非系统分区根目录的可执行权限,使根目录下的应用程序无法执行,避免用户误执行U盘病毒。对于某些不符合LUA规范的软件,需要对一些目录进行特别的权限设置才能使其在受限帐户下使用。
(3)系统服务设置。根据需要关闭Remote Registry、Computer Browser、Routing and Remote Access、Messenger、Telnet、TCP/IP NetBIOS Helper、Server等服务。确保“Secondary Logon”服务项的启动类型为“自动”,实现在受限帐户下能输入管理员凭证以管理员权限启动程序。
(4)审核策略。审核“审核策略更改”、“审核登录事件”、“审核账户登录事件”和“审核帐户管理”的成功与失败操作,只关注“审核对象访问”、“审核过程追踪”、“审核特权使用”和“审核系统事件”的失败操作。
(5)帐户策略。确保用户密码必须符合复杂性要求,不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分,至少有9个字符长。设定帐户锁定阈值、帐户锁定时间和复位帐户锁定计数器,增加暴力猜解密码难度。
(6)安全选项。禁止SAM帐户和共享的匿名枚举,停止匿名SID/名称转换,使用空白密码的本地帐户只允许进行控制台登录,重命名来宾帐户和系统管理员帐户,等等。给“日常工作”帐户增加修改系统时间一类平时需要的权限。
(7)软件限制策略。通过设定软件限制策略,防止用户运行未经授权的软件和访问关键注册表项,并提供措施防止病毒和特洛伊木马程序的攻击。
(8)浏览器安全设置。重点配置Internet安全属性的Internet区域、可信站点区域和受限站点区域,特别是Internet区域的“ActiveX控件和插件”和“二进制和脚本行为”项,禁止下载未签名的ActiveX控件,禁用未标记为可安全执行脚本的ActiveX控件,等等。将确定为安全可靠的站点增加到可信站点区域中,将恶意网址添加到受限站点中。
(9)自动更新策略。在受限帐户下,需要将Windows自动更新设置为自动下载推荐更新,并确定一个特定的时间段安装它们,否则无法自动安装更新。
(10)禁止U盘自动运行。在默认情况下,一旦用户将U盘插入USB口,自动运行程序就开始从U盘中读取,恶意软件利用此特性进行传播,故要通过组策略禁止所有驱动器的自动播放。
5.安全策略实现
(1)通过安全模板生成安全配置文件。安全模板是一种表示安全配置的文件,以一定的格式保存我们对“帐户策略”、“本地策略”、“事件日志”、“系统服务”、“注册表”和“文件系统权限”等所做的配置,通过“安全模板”、“安全配置和分析”管理工具可以对安全模板进行编辑、分析和应用。[3]
①打开Microsoft管理控制台,添加“安全模板”、“安全配置和分析”管理单元并保存。
②通过控制台中的“安全模板”打开Windows自带的模板,按预定的安全策略配置方案进行修改,并另存为新的模板备用。
③从控制台中的“安全配置和分析”打开Windows自带的安全数据库文件secedit.sdb,导入刚保存好的模板,对主机进行配置分析操作,检测策略配置效果,根据需要进行策略调整,完成后保存数据库及导出保存模板。
(2)通过脚本文件进行自动化部署。使用Secedit.exe命令行工具通过脚本文件实现对终端计算机应用安全策略自动化。Secedit命令的语法可以通过输入“Secedit/?”得到,安全模板不能完成用户帐户的新建和修改,所以在脚本中使用命令行的方式实现,如果需要修改终端计算机注册表项,可以使用reg命令行进行处理。把secedit.exe、生成的安全配置数据库、安全模板文件和创建好的安全配置脚本文件存放到同一个目录下,复制到目标终端运行即可完成安全策略部署。安全配置脚本的一个典型应用实例见下图所示。
title ××学院终端系统自动配置[配置安全级别:SO1][版本号:V2010.09.19]
echo?摇系统安全策略自动配置脚本[版本V2010.09.19]
@echo→脚本将在您的系统中应用设定好的安全策略,自动新建与修改用户操作,请按任意键继续,终止运行请按ctrl+c。
pause>nul
secedit/configure/db B1SecSet.sdb/cfg bO1.inf/log bO1configure.txt/overwrite/quietnet user administrator/FULLNAME:"管理用户"
net user user/a dd/FULLNAME:"日常用户"/USERCOMMENT:"受限用户"/COMMENT:"这是平常工作专用的受限帐户"/EXPIRES:NEVER
exit
6.结语
经过几年的实践证明,使用该方法对办公终端计算机进行安全策略配置后,终端安全事件明显减少,减少了终端计算机维护时间和成本,减轻了系统管理人员工作量,提高了办公效率。
参考文献:
[1]吴亚非等主编.信息安全风险评估[M].北京:清华大学出版社,2007-4.
[2]微软.服务和服务帐户安全规划指南.http://www.省略/china/technet/security/.
[3]刘晖编著.Windows安全指南[M].北京:电子工业出版社,2008-02.
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文
