|
Windows 2003安全策略的制定(2) 5、限制特权组成员
在Windows Server 2003网络中,还有一种非常有效的防范黑客入侵和管理疏忽的辅助手段,这就是利用“受限制的组”安全策略。该策略可保证组成员的组成固定。在域安全策略的管理工具中添加要限制的组,在“组”对话框中键入或查找要添加的组。一般要对管理员组等特权组的成员加以限制。下一步就是要配置这个受限制的组的成员。在这里选择受限制的组的“安全性(S)”选项。然后,就可以管理这个组的成员组成,可以添加或删除成员, 当安全策略生效后,可防止黑客将后门账户添加到该组中。
6、防范网络嗅探
由于局域网采用广播的方式进行通信,因而信息很容易被窃听。网络嗅探就是通过侦听所在网络中所传输的数据来嗅探有价值的信息。对于普通的网络嗅探的防御并不困难,可通过以下手段来进行:
1)采用交换网络
一般情况下,交换网络对于普通的网络嗅探手段具有先天的免疫能力。这是由于在交换网络环境下,每一个交换端口就是一个独立的广播域,同时端口之间通过交换机进行桥接,而非广播。网络嗅探主要针对的是广播环境下的通信,因而在交换网络中就失去作用了。
随着交换网络技术的普及,网络嗅探所带来的威胁也越来越低,但仍不可忽视。通过ARP地址欺骗仍然可以实现一定范围的网络嗅探,此外黑客通过入侵一些型号的交换机和路由器仍然可以获得嗅探的能力。
2)加密会话
在通信双方之间建立加密的会话连接也是非常有效的方法,特别是在企业网络中。这样,即使黑客成功地进行了网络嗅探,但由于捕获的都是密文,因而毫无价值。网络中进行会话加密的手段有很多,可以通过定制专门的通信加密程序来进行,但是通用性较差。 这时,完善IP通信的安全机制是最根本的解决办法。
由于历史原因,基于IP的网络通信技术没有内建的安全机制。随着互联网的发展,安全问题逐渐暴露出来。现在经过各个方面的努力,标准的安全架构也已经基本形成。那就是IPSec机制,并且它将作为下一代IP网络标准IPv6的重要组成。IPSec机制在新一代的操作系统中已经得到了很好的支持。在Windows Server 2003系统中,其服务器产品和客户端产品都提供了对IPSec的支持。从而增强了安全性、可伸缩性以及可用性,同时使部署和管理更加方便。
在Windows Server 2003系统的安全策略相关的管理工具集(例如本地安全策略、域安全策略、组策略等)中,都集成了相关的管理工具。为清楚起见,通过Microsoft管理控制台MMC定制的管理工具来了解一下。
具体方法如下:首先在“开始”菜单中单击“运行”选项,然后键入mmc,并同时单击“确定”按钮。在“控制台”菜单中选择“添加删除管理单元(M)”命令,然后,单击其中的“添加”按钮。 在可用的独立管理单元中,选择“IP安全策略管理”选项,双击或单击“添加”按钮,在这里选择被该管理单元所管理的计算机,然后单击“完成”按钮。关闭添加管理单元的相关窗口,就得到了一个新的管理工具,在这里可以为其命名并保存。
此时可以看到已有的安全策略,用户可以根据情况来添加、修改和删除相应的IP安全策略。其中Windows Server 2003系统自带的有以下几个策略:
安全服务器(要求安全设置);
客户端(只响应);
服务器(请求安全设置);
其中的“客户端(只响应)”策略是根据对方的要求来决定是否采用IPSec;“服务器(请求安全设置)”策略要求支持IP安全机制的客户端使用IPSec,但允许不支持IP安全机制的客户端来建立不安全的连接;而“安全服务器(要求安全设置)”策略则最为严格,它要求双方必须使用IPSec协议。
不过,“安全服务器(要求安全设置)”策略默认允许不加密的受信任的通信,因此仍然能够被窃听。直接修改此策略或定制专门的策略,就可以实现有效的防范。选择其中的“所有IP通讯”选项,在这里可以编辑其规则属性。
选择“筛选器操作”选项卡,选择其中的“要求安全设置”选项。在此筛选器操作的属性设置里可以编辑安全措施,在这里将安全措施设置为“高”选项。
以上采用IPSec加密数据通信的方法适用于企业网应用,通过部署组策略可以强制网络中的所有计算机使用IPSec加密通信。当然这种严格的限制会带来一些不便,不过对于系统安全来说是值得的。IPSec还可以应用于VPN技术中,在这里可以对IP隧道中的数据流进行加密。
对于不方便大范围实施IPSec的环境,可以考虑采用VPN。这里的VPN是指虚拟私有网络。VPN技术是目前实现端对端安全通信的最佳解决方案,它主要适用于客户端通过开放的网络与服务器的连接。例如,客户端通过Internet/Intranet连接到企业或部门的专用网络。
| 
