■ 江蘇 朱賢斌
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)攻擊愈演愈烈,針對服務(wù)器的攻擊事件也層出不窮。云計(jì)算環(huán)境中基本都使用了虛擬化技術(shù),通過物理資源創(chuàng)建虛擬資源池,再創(chuàng)建虛擬服務(wù)器(虛機(jī))。虛機(jī)可以等同于物理服務(wù)器,其中一個(gè)優(yōu)點(diǎn)就是可以使用統(tǒng)一的模版進(jìn)行部署,也就是將一臺安裝了原始系統(tǒng)的虛機(jī)經(jīng)過安全加固、漏洞修復(fù)和補(bǔ)丁升級后,用于云計(jì)算環(huán)境中。本文研究并定制一個(gè)符合等級保護(hù)三級要求的虛機(jī)。
等級保護(hù)2.0標(biāo)準(zhǔn)(簡稱“等保2.0”)于2019年12月1日正式實(shí)施。相較于1.0,等保2.0主要的變化如下。
一是調(diào)整了分類,新標(biāo)準(zhǔn)分為安全技術(shù)要求和安全管理要求兩大類。其中安全技術(shù)要求又分為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心;安全管理要求又分為安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理。
二是調(diào)整各個(gè)級別的安全要求為安全通用要求、云計(jì)算安全擴(kuò)展要求、移動互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)擴(kuò)展要求。也就是在通用要求的基礎(chǔ)上,對云計(jì)算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和工控系統(tǒng)四個(gè)場景提出了更高的安全要求。
本文主要研究在云計(jì)算環(huán)境下,怎樣做好安全計(jì)算環(huán)境的要求。
參照《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南》(GB/T 22240-2008),根據(jù)云計(jì)算中心的業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全遭到破壞時(shí)所侵害的客體和對客體的侵害程度考量,云計(jì)算中心保護(hù)等級肯定是三級以上。
所以本文重點(diǎn)研究安全計(jì)算環(huán)境第三級安全要求。
安全計(jì)算環(huán)境的通用要求有:身份鑒別、訪問控制、安全審計(jì)、可信驗(yàn)證、入侵防范、惡意代碼防范、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)和個(gè)人信息保護(hù)。云計(jì)算安全擴(kuò)展要求新增了鏡像和快照保護(hù),具體如下。
(1)應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別。身份標(biāo)識具有唯一性,身份鑒別信息具有復(fù)雜度要求并定期進(jìn)行更換。
(2)應(yīng)具有登錄失敗處理功能,應(yīng)配置并啟用結(jié)束會話,限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動退出等相關(guān)措施。
(3)當(dāng)進(jìn)行遠(yuǎn)程管理時(shí),應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。
(4)應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別,且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)。
云計(jì)算安全擴(kuò)展要求:當(dāng)遠(yuǎn)程管理云計(jì)算平臺中設(shè)備時(shí),管理終端和云計(jì)算平臺之間應(yīng)建立雙向身份驗(yàn)證機(jī)制。
(1)應(yīng)對登錄的用戶分配賬戶和權(quán)限。
(2)應(yīng)重命名或刪除默認(rèn)賬戶,修改默認(rèn)賬戶的默認(rèn)口令。
(3)應(yīng)及時(shí)刪除或停用多余的、過期的賬戶,避免共享賬戶的存在。
(4)應(yīng)授予管理用戶所需的最小權(quán)限,實(shí)現(xiàn)管理用戶的權(quán)限分離。
(5)應(yīng)由授權(quán)主體配置訪問控制策略,訪問控制策略規(guī)定主體對客體的訪問規(guī)則。
(6)訪問控制的粒度應(yīng)達(dá)到主體為用戶級或進(jìn)程級,客體為文件、數(shù)據(jù)庫表級。
(7)應(yīng)對重要主體和客體設(shè)置安全標(biāo)記,并控制主體對有安全標(biāo)記信息資源的訪問。
云計(jì)算安全擴(kuò)展要求:
(1)應(yīng)保證當(dāng)虛擬機(jī)遷移時(shí),訪問控制策略隨其遷移。
(2)應(yīng)允許云服務(wù)客戶設(shè)置不同虛擬機(jī)之間的訪問控制策略。
(1)應(yīng)啟用安全審計(jì)功能,審計(jì)覆蓋到每個(gè)用戶,對重要的用戶行為和重要安全事件進(jìn)行審計(jì)。
(2)審計(jì)記錄應(yīng)包括事件的H期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。
(3)應(yīng)對審計(jì)記錄進(jìn)行保護(hù)和定期備份,避免受未預(yù)期的刪除、修改或覆蓋等。
(4)應(yīng)對審計(jì)進(jìn)程進(jìn)行保護(hù),防止未經(jīng)授權(quán)的中斷。
(1)應(yīng)遵循最小安裝的原則,僅安裝需要的組件和應(yīng)用程序。
(2)應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。
(3)應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制。
(4)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能,以保證通過人機(jī)接口輸入或通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求。
(5)應(yīng)能夠發(fā)現(xiàn)可能存在的已知漏洞,并在經(jīng)充分測試評估后及時(shí)修補(bǔ)漏洞。
(6)應(yīng)能夠檢測到對重要節(jié)點(diǎn)進(jìn)行入侵的行為,并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。
云計(jì)算安全擴(kuò)展要求:
(1)應(yīng)能夠檢測虛擬機(jī)之間的資源隔離失效,并進(jìn)行告警。
(2)應(yīng)能夠檢測非授權(quán)新建虛擬機(jī)或者重新啟用虛擬機(jī),并進(jìn)行告警。
(3)應(yīng)能夠檢測惡意代碼感染及在虛擬機(jī)間蔓延的情況,并進(jìn)行告警。
應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動免疫可信驗(yàn)證機(jī)制,及時(shí)識別入侵和病毒行為,進(jìn)行有效阻斷。
可基于可信根,對計(jì)算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)以及應(yīng)用程序等進(jìn)行可信驗(yàn)證,并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證,在檢測到其可信性受到破壞后進(jìn)行報(bào)警,并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心。
(1)應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性,包括但不限千鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等。
(2)應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等。
(3)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等。
(4)應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性,包括但不限千鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等。
云計(jì)算安全擴(kuò)展要求:
(1)應(yīng)確保云服務(wù)客戶數(shù)據(jù)、用戶個(gè)人信息等存儲于中國境內(nèi),如需出境應(yīng)遵循國家相關(guān)規(guī)定。
(2)應(yīng)確保只有在云服務(wù)客戶授權(quán)下,云服務(wù)商或第三方才具有云服務(wù)客戶數(shù)據(jù)的管理權(quán)限。
(3)應(yīng)使用校驗(yàn)碼或密碼技術(shù)確保虛擬機(jī)遷移過程中重要數(shù)據(jù)的完整性,并在檢測到完整性受到破壞時(shí)采取必要的恢復(fù)措施。
(4)應(yīng)支持云服務(wù)客戶部署密鑰管理解決方案,保證云服務(wù)客戶自行實(shí)現(xiàn)數(shù)據(jù)的加解密過程。
(1)應(yīng)提供異地實(shí)時(shí)備份功能,利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實(shí)時(shí)備份至備份場地。
(2)應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余,保證系統(tǒng)的高可用性。
云計(jì)算安全擴(kuò)展要求:
(1)云服務(wù)客戶應(yīng)在本地保存其業(yè)務(wù)數(shù)據(jù)的備份。
(2)應(yīng)提供查詢云服務(wù)客戶數(shù)據(jù)及備份存儲位置的能力。
(3)云服務(wù)商的云存儲服務(wù)應(yīng)保證云服務(wù)客戶數(shù)據(jù)存在若干個(gè)可用的副本,各副本之間的內(nèi)容應(yīng)保持一致。
(4)應(yīng)為云服務(wù)客戶將業(yè)務(wù)系統(tǒng)及數(shù)據(jù)遷移到其他云計(jì)算平臺和本地系統(tǒng)提供技術(shù)手段,并協(xié)助完成遷移過程。
(1)應(yīng)保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除。
(2)應(yīng)保證存有敏感數(shù)據(jù)的存儲空間被釋放或重新分配前得到完全清除。
云計(jì)算安全擴(kuò)展要求:
(1)應(yīng)保證虛擬機(jī)所使用的內(nèi)存和存儲空間回收時(shí)得到完全清除。
(2)云服務(wù)客戶刪除業(yè)務(wù)應(yīng)用數(shù)據(jù)時(shí),云計(jì)算平臺應(yīng)將云存儲中所有副本刪除。
(1)應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個(gè)人信息。
(2)應(yīng)禁止未授權(quán)訪問和非法使用用戶的個(gè)人信息。
此項(xiàng)是云計(jì)算安全擴(kuò)展要求。
(1)應(yīng)針對重要業(yè)務(wù)系統(tǒng)提供加固的操作系統(tǒng)鏡像,或操作系統(tǒng)安全加固服務(wù)。
(2)應(yīng)提供虛擬機(jī)鏡像、快照完整性校驗(yàn)功能,防止虛擬機(jī)鏡像被惡意篡改。
(3)應(yīng)采取密碼技術(shù)或其他技術(shù)手段防止虛擬機(jī)鏡像、快照中可能存在的敏感資源被非法訪問。
安全要求可以分為:信息安全類要求(S)、服務(wù)保證類要求(A)和通用安全類要求(G)。其中信息安全類要求是指保護(hù)數(shù)據(jù)在存儲、傳輸、處理過程中不被泄露、破壞和免受未授權(quán)的修改;服務(wù)保證類要求是指保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行,免受對系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用;通用安全類要求包括安全管理要求和安全擴(kuò)展要求。
不同級別的等級保護(hù)對象對業(yè)務(wù)信息的安全性要求和系統(tǒng)服務(wù)的連續(xù)性要求是不同的,即使相同級別的等級保護(hù)對象,其對業(yè)務(wù)信息的安全性要求和系統(tǒng)服務(wù)的連續(xù)性要求也不同。安全保護(hù)等級第三級要求有五種組合,即S1A3G3、S2A3G3、S3A3G3、S3A1G3和S3A2G3??紤]云計(jì)算中心是關(guān)鍵基礎(chǔ)設(shè)施,關(guān)鍵基礎(chǔ)設(shè)施應(yīng)該在等級保護(hù)制度下實(shí)行重點(diǎn)保護(hù),所以云計(jì)算中心的虛機(jī)統(tǒng)一采用S3A3G3要求。
以下按照S3A3G3要求,以Windows操作系統(tǒng)為例,對單個(gè)虛機(jī)進(jìn)行安全加固,制作虛機(jī)模版。
身份鑒別(S3)
身份鑒別的大部分策略都在組策略里面設(shè)置,運(yùn)行命令“gpeit.msc”進(jìn)入組策略,如圖1所示。
1.密碼必須符合復(fù)雜性要求
瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→帳戶策略→密碼策略”,在右邊窗格中找到“密碼必須符合復(fù)雜性要求”,配置為“已啟用”。
2.密碼長度最小值
瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→帳戶策略→密碼策略”,在右邊窗格中找到“密碼長度最小值”,配置為不小于“6”。
3.密碼最短使用期限
瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→帳戶策略→密碼策略”,在右邊窗格中找到“密碼最短存留期(使用期限)”,配置為非0值。若希望“強(qiáng)制密碼歷史”有效,需將密碼最短使用期限設(shè)置為大于0 的值。
4.密碼最長使用期限
圖1 組策略選項(xiàng)
瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→帳戶策略→密碼策略”,在右邊窗格中找到“密碼最長存留期(使用期限)”,配置為90天。
5.強(qiáng)制密碼歷史
瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→帳戶策略→密碼策略”,在右邊窗格中找到“強(qiáng)制密碼歷史”,配置為不小于“5”。
6.帳戶鎖定閥值
瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→帳戶策略→帳戶鎖定策略”,在右邊窗格中找到“帳戶鎖定閾值”,配置為“6”。
7.帳戶鎖定時(shí)間
瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→帳戶策略→帳戶鎖定策略”,在右邊窗格中找到“帳戶鎖定時(shí)間”,配置為30 min。
8.重置帳戶鎖定計(jì)數(shù)器
瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→ Windows設(shè)置→安全設(shè)置→帳戶策略→帳戶鎖定策略”,在右邊窗格中找到“復(fù)位(重置)帳戶鎖定計(jì)數(shù)器”,配置為30 min。
9.遠(yuǎn)程桌面(RDP)服務(wù)端口
瀏覽到路徑HKEY_LO CAL_MACHINESYSTEMCur rentControlSetControlTerminalServerWinSta tionsRDP-Tcp”,修改“Port Number”的數(shù)值,使其不等于3899,此數(shù)據(jù)的有效值為1~65535。
10.禁止Windows自動登錄
瀏覽到路徑HKEY_LOCAL_MACHINESoftwareMicro softWindows NTCurrent VersionWinlogon,將“Auto AdminLogon”的值修改為0。
資源控制(A3)
在組策略中的安全設(shè)置里面修改相關(guān)配置。
1.配置“允許本地登錄”策略
瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)限分配(用戶權(quán)利指派)”,在右邊窗格中找到“(允許)在本地登錄”,配置為指定授權(quán)用戶或組。
2.啟用“當(dāng)?shù)卿洉r(shí)間用完時(shí)自動注銷用戶”策略
瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)”,在右邊窗格中找到“Microsoft網(wǎng)絡(luò)服務(wù)器:登錄時(shí)間過期后斷開與客戶端的連接”,配置為“已啟用”。
3.禁用“登錄時(shí)無須按Ctrl+Alt+Del”策略
瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)”,在右邊窗格中找到“交互式登錄:無需按Ctrl+Alt+Del”,配置為“已禁用(停用)”。
4.配置服務(wù)器在暫停會話前所需的空閑時(shí)間量
瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)”,在右邊窗格中找到“(Microsoft網(wǎng)絡(luò)服務(wù)器)暫停(掛起、斷開)會話前所需的空閑時(shí)間量”,將其配置為標(biāo)準(zhǔn)值。
5.啟用并正確配置屏幕保護(hù)程序
在桌面空白處點(diǎn)擊右鍵,打開屬性中的“個(gè)性化”面板,切換到“屏幕保護(hù)程序”選項(xiàng)卡,選擇一個(gè)屏保程序,將等待時(shí)間配置為不大于標(biāo)準(zhǔn)值(以秒為單位)的值,且勾選“在恢復(fù)時(shí)需要密碼保護(hù)(顯示登錄屏幕)”。
訪問控制(S3)
1.共享文件夾的權(quán)限設(shè)置
運(yùn)行命令“compmgmt.msc”,打開計(jì)算機(jī)管理面板,瀏覽到路徑“計(jì)算機(jī)管理(本地)→系統(tǒng)工具→共享文件夾→共享”,查看每個(gè)自定義共享文件夾的共享權(quán)限,若其中包含“Everyone(任何人)”,則將其刪除。
2.刪除可遠(yuǎn)程訪問的注冊表路徑和子路徑
打開組策略編輯器,瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)”,如圖2所示(以下策略都可以在此圖中找到配置項(xiàng)),在右邊窗格中找到“網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑”,配置為空。
3.刪除可匿名訪問的共享和命名管道
同樣在上述“安全選項(xiàng)”中,在右邊窗格中找到“網(wǎng)絡(luò)訪問:可匿名訪問的命名管道”和“網(wǎng)絡(luò)訪問:可匿名訪問的共享”,配置為空。
4.更改管理員帳戶名稱
在上述“安全選項(xiàng)”中,在右邊窗格中找到“帳戶:重命名系統(tǒng)管理員帳戶”,將“Administrator”更改為其他名稱。
5.刪除或禁用高危帳戶
在“安全選項(xiàng)”中,在右邊窗格中找到“帳戶:來賓帳戶狀態(tài)”,配置為“已禁用”。
安全審計(jì)(G3)
1.配置審核策略
如圖3所示,將所有審核策略都勾選“成功”和“失敗”。
2.正確配置系統(tǒng)日志
運(yùn)行“eventvwr.msc”命令,打開事件查看器。瀏覽到路徑“事件查看器”,右鍵點(diǎn)擊“系統(tǒng)”,打開其屬性對話框,切換到“常規(guī)”選項(xiàng)卡,配置“日志文件最大大小”為不小于標(biāo)準(zhǔn)值和“日志文件達(dá)到最大大小時(shí)”為“按需要覆蓋事件”。
圖2 刪除可遠(yuǎn)程訪問的注冊表路徑和子路徑
3.正確配置應(yīng)用程序日志
瀏覽到路徑“事件查看器”,右鍵點(diǎn)擊“應(yīng)用程序”,打開其屬性對話框,切換到“常規(guī)”選項(xiàng)卡,配置“日志文件最大大小”為不小于標(biāo)準(zhǔn)值和“日志文件達(dá)到最大大小時(shí)”為“按需要覆蓋事件”。
圖3 配置審核策略
4.正確配置安全日志
瀏覽到路徑“事件查看器”,右擊“安全”項(xiàng),打開其屬性對話框,切換到“常規(guī)”選項(xiàng)卡,配置“日志文件最大大小”為不小于標(biāo)準(zhǔn)值和“日志文件達(dá)到最大大小時(shí)”為“按需要覆蓋事件”。
備份和恢復(fù)(A3)
對于虛機(jī)來說,可以利用快照來對系統(tǒng)進(jìn)行快速恢復(fù)。所以要在虛擬化平臺上制定好虛機(jī)快照策略。
剩余信息保護(hù)(S3)
1.啟用“不顯示最后的用戶名”策略
運(yùn)行“gpedit.msc”命令打開組策略編輯器,如圖4所示。
瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)”,在右邊窗格中找到“交互式登錄:不顯示上次登錄的用戶名”,配置為“已啟用”。
2.正確配置“鎖定會話時(shí)顯示用戶信息”策略
瀏覽到上述路徑中的“安全選項(xiàng)”,在右邊窗格中找到“交互式登錄:鎖定會話時(shí)顯示用戶信息”,配置為“不顯示用戶信息”。
入侵防范(G3)
1.關(guān)閉不必要的服務(wù)
停用并禁止如下服務(wù):
Simple TCP/IP Services
Simple Mail Transport Protocol(SMTP)
Windows Internet Name Service(WINS)
DHCP Server
DHCP Client
Remote Access Connec tion Manage
Message Queuing
2.啟用并正確配置Win dows自動更新
圖4 啟用“不顯示最后的用戶名”策略
打開控制面板,找到“自動更新(Windows Update)”,配置為自動下載更新并安裝。
3.禁用Windows硬盤默認(rèn)共享
打開計(jì)算機(jī)管理面板,瀏覽到路徑“計(jì)算機(jī)管理(本地)→系統(tǒng)工具→共享文件夾→共享”,刪除所有硬盤默認(rèn)共享。然后在命令提示符中打開注冊表編輯器,瀏覽到路徑“HKEY_LOCAL_MACHINESystemCurrentControlSetSer vicesLanmanServerPara meters”,添加名稱為“Auto ShareServer”和“AutoShare Wks”、類型為DWORD、數(shù)據(jù)為0的兩個(gè)數(shù)值,若已存在則修改其數(shù)據(jù)。
4.關(guān)閉不必要的端口445
通過修改注冊表“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetser vicesNetBTParameters”,然后新建DWORD/QWORD項(xiàng)“SMBDeviceEnabled”,將值改為0。之后運(yùn)行“services.msc”,禁用并停止server服務(wù)。
5.開啟Windows防火墻
打開控制面板,找到“Windows防火墻”,將當(dāng)前網(wǎng)絡(luò)位置的防火墻配置為“啟用”,并根據(jù)實(shí)際需求設(shè)置例外。
6.啟用并正確配置SYN攻擊保護(hù)
(1)處于SYN_RCVD狀態(tài)下的TCP連接閾值。
打開注冊表編輯器,然后找到路徑“HKEY_LOCAL _MACHINESYSTEMCurrent ControlSetServicesTcpipParameters”,添加名稱為“TcpMaxHalfOpen”,類型為DWORD,數(shù)據(jù)為標(biāo)準(zhǔn)值(16進(jìn)制)的數(shù)值,若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為在64~ffff(16進(jìn)制)。
(2)取消嘗試響應(yīng)SYN請求之前要重新傳輸SYNACK 的次數(shù)。
打開注冊表編輯器,然后找到路徑“HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetServicesTcpipParameters”,并添加名稱為“TcpMaxConnectResponse Retransmissions”,類型為DWORD,數(shù)據(jù)為標(biāo)準(zhǔn)值的數(shù)值,若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為0~255。
(3)處于SYN_RCVD狀態(tài)下,且至少已經(jīng)進(jìn)行了一次重新傳輸?shù)腡CP連接閾值。
打開注冊表編輯器,然后找到路徑“HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetServicesTcpipParameters”,添加名稱為“TcpMaxHalfOpenRetried”,類型為DWORD,數(shù)據(jù)為標(biāo)準(zhǔn)值(16進(jìn)制)的數(shù)值,若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為在50~ffff(16進(jìn)制)。
(4)TCP連接請求閾值。
運(yùn)行“regedit”命令打開注冊表編輯器,瀏覽到路徑“HKEY_LOCAL_MACHINESYSTEMCurrentControl SetServicesTcpipPara meters”,添加名為“Tcp Max PortsExhausted”,類型為DWORD,數(shù)據(jù)為標(biāo)準(zhǔn)值(16進(jìn)制)的數(shù)值,若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為在0~ffff(16進(jìn)制)。
(5)啟用SYN攻擊保護(hù)。
運(yùn)行“regedit”命令打開注冊表編輯器,瀏覽到路徑“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParame ters”,添加名稱為“SynAttack Protect”,類型為DWORD,數(shù)據(jù)為標(biāo)準(zhǔn)值(16進(jìn)制)的數(shù)值,若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為0~1。
7.啟用并正確配置TCP碎片攻擊保護(hù)碎片攻擊保護(hù)
運(yùn)行“regedit”命令打開注冊表編輯器,瀏覽到路徑“HKEY_LOCAL_MACHINESYSTEMCurrentControl SetServicesTcpipPara meters”,添加名稱為“Ena ble PMTUDiscovery”,類型為DWORD,數(shù)據(jù)為標(biāo)準(zhǔn)值的數(shù)值,若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為0~1,其中0表示不自動探測MTU大小,都使用576字節(jié)的MTU,1表示自動探測MTU大小。如果不將該值設(shè)置為0,攻擊者可能會強(qiáng)制MTU值變得非常小,從而導(dǎo)致堆棧負(fù)荷過大。
8.配置TCP“連接存活時(shí)間”
運(yùn)行“regedit”命令打開注冊表編輯器,瀏覽到路徑“HKEY_LOCAL_MACHINESYSTEMCurrentControl SetServicesTcpipPara meters”,添加名稱為“Keep AliveTime”,類型為DWORD,數(shù)據(jù)為標(biāo)準(zhǔn)值(以毫秒為單位)以內(nèi)的數(shù)值,若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為1~0xFFFFFFFF。該值控制TCP通過發(fā)送“保持活動”的數(shù)據(jù)包來驗(yàn)證空閑連接仍然完好無損的頻率。如果仍能連接到遠(yuǎn)程計(jì)算機(jī),該計(jì)算機(jī)就會對“保持活動”的數(shù)據(jù)包作出應(yīng)答。默認(rèn)情況下不發(fā)送“保持活動”的數(shù)據(jù)包。建議將該值設(shè)置為300 000(5 min)(十進(jìn)制基數(shù)格式)。
9.配置重傳單獨(dú)數(shù)據(jù)片段的次數(shù)
打開注冊表編輯器,找到路徑“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParame ters”,添加名稱為“TcpMax Data Retrans missions”,類型為DWORD,數(shù)據(jù)為標(biāo)準(zhǔn)值的數(shù)值,若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為0~65 535。
10.禁用路由發(fā)現(xiàn)功能
打開注冊表編輯器,找到路徑“HKEY_LOCAL_MACHINESYSTEMCurrentControl SetServicesTcpipParame ters”,添加名稱為“Perform Router Discovery”,類型為DWORD,數(shù)據(jù)為標(biāo)準(zhǔn)值的數(shù)值,若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為0~1。0表示禁用此功能,1表示開啟。“路由發(fā)現(xiàn)”請求路由信息以構(gòu)建整個(gè)網(wǎng)絡(luò),如果開啟此功能,系統(tǒng)會將此信息添加到路由表中。
11.啟用并正確配置ICMP攻擊保護(hù)
打開注冊表編輯器,找到路徑“HKEY_LOCAL_MACHIN ESYSTEMCurrentControl SetServicesTcpipParame ters”,添加名為“Enable ICMP Redirect”,類型為DWORD,數(shù)據(jù)為標(biāo)準(zhǔn)值的數(shù)值,若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為0~1。
12.啟用并正確配置源路由攻擊保護(hù)
打開注冊表編輯器,瀏覽到路徑“HKEY_LOCAL_MACHI NESYSTEMCurrentControl SetServicesTcpipParame ters”,添加名稱為“Disable IPSource Routing”,類型為DWORD,數(shù)據(jù)為標(biāo)準(zhǔn)值的數(shù)值,若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為0~2,其中0表示轉(zhuǎn)發(fā)所有數(shù)據(jù)包,1表示不轉(zhuǎn)發(fā)源路由的數(shù)據(jù)包,2表示丟棄所有傳入源路由的數(shù)據(jù)包。
惡意代碼防范
因?yàn)榫W(wǎng)絡(luò)版殺毒軟件或者虛擬化殺毒都是需要授權(quán)的,按照使用量來購買授權(quán),所以對于虛機(jī)模版來說,可以暫時(shí)不用安裝殺毒軟件。在虛機(jī)部署階段必須要安裝殺毒軟件。
以上策略并不是全部的,因?yàn)闆]有絕對的安全,只有相對的安全,完善好以上策略還需要結(jié)合漏洞掃描系統(tǒng),對虛機(jī)進(jìn)行一次體檢。漏掃掃描主要是對操作系統(tǒng)進(jìn)行掃描,比如是否更新了系統(tǒng)最新的補(bǔ)丁,是否關(guān)閉了不必要的端口或者服務(wù)等等。根據(jù)漏掃的結(jié)果,再次對虛機(jī)進(jìn)行修復(fù),最后形成一個(gè)相對安全的虛機(jī)模版。
在云計(jì)算中心需要部署應(yīng)用時(shí),可以用此模版安裝相關(guān)中間件、數(shù)據(jù)庫等軟件。在應(yīng)用部署完畢后,還要再一次進(jìn)行漏洞掃描和基線檢查,甚至進(jìn)行滲透測試,來保證系統(tǒng)和應(yīng)用的相對安全,以免“帶病運(yùn)行”。
經(jīng)過以上檢測、測試后,應(yīng)用系統(tǒng)可以上線試運(yùn)行。但是安全工作是沒有終點(diǎn)的,還需要對該應(yīng)用系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全等級保護(hù)工作,包括定級、備案、測評和整改。等級保護(hù)工作需要定期開展,三級系統(tǒng)每年需要進(jìn)行一次等保測評,二級系統(tǒng)每兩年進(jìn)行一次等保測評。除了定期進(jìn)行等保測評外,還需要定期對應(yīng)用系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估。
日常安全工作中,也需要定期對應(yīng)用系統(tǒng)進(jìn)行漏洞掃描、滲透測試等安全技術(shù)檢查,發(fā)現(xiàn)問題及時(shí)整改,形成安全工作的閉環(huán),保障應(yīng)用系統(tǒng)安全穩(wěn)定地運(yùn)行。