配置符合三級等保要求的虛機(jī)

■ 江蘇 朱賢斌

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊愈演愈烈，針對服務(wù)器的攻擊事件也層出不窮。云計(jì)算環(huán)境中基本都使用了虛擬化技術(shù)，通過物理資源創(chuàng)建虛擬資源池，再創(chuàng)建虛擬服務(wù)器（虛機(jī)）。虛機(jī)可以等同于物理服務(wù)器，其中一個(gè)優(yōu)點(diǎn)就是可以使用統(tǒng)一的模版進(jìn)行部署，也就是將一臺安裝了原始系統(tǒng)的虛機(jī)經(jīng)過安全加固、漏洞修復(fù)和補(bǔ)丁升級后，用于云計(jì)算環(huán)境中。本文研究并定制一個(gè)符合等級保護(hù)三級要求的虛機(jī)。

概述

等級保護(hù)2.0標(biāo)準(zhǔn)（簡稱“等保2.0”）于2019年12月1日正式實(shí)施。相較于1.0，等保2.0主要的變化如下。

一是調(diào)整了分類，新標(biāo)準(zhǔn)分為安全技術(shù)要求和安全管理要求兩大類。其中安全技術(shù)要求又分為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心；安全管理要求又分為安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理。

二是調(diào)整各個(gè)級別的安全要求為安全通用要求、云計(jì)算安全擴(kuò)展要求、移動互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求和工業(yè)控制系統(tǒng)擴(kuò)展要求。也就是在通用要求的基礎(chǔ)上，對云計(jì)算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和工控系統(tǒng)四個(gè)場景提出了更高的安全要求。

本文主要研究在云計(jì)算環(huán)境下，怎樣做好安全計(jì)算環(huán)境的要求。

安全計(jì)算環(huán)境第三級安全要求

參照《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南》（GB/T 22240-2008），根據(jù)云計(jì)算中心的業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全遭到破壞時(shí)所侵害的客體和對客體的侵害程度考量，云計(jì)算中心保護(hù)等級肯定是三級以上。

所以本文重點(diǎn)研究安全計(jì)算環(huán)境第三級安全要求。

安全計(jì)算環(huán)境的通用要求有：身份鑒別、訪問控制、安全審計(jì)、可信驗(yàn)證、入侵防范、惡意代碼防范、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)和個(gè)人信息保護(hù)。云計(jì)算安全擴(kuò)展要求新增了鏡像和快照保護(hù)，具體如下。

1.身份鑒別

（1）應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別。身份標(biāo)識具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期進(jìn)行更換。

（2）應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會話，限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時(shí)自動退出等相關(guān)措施。

（3）當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。

（4）應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)。

云計(jì)算安全擴(kuò)展要求：當(dāng)遠(yuǎn)程管理云計(jì)算平臺中設(shè)備時(shí)，管理終端和云計(jì)算平臺之間應(yīng)建立雙向身份驗(yàn)證機(jī)制。

2.訪問控制

（1）應(yīng)對登錄的用戶分配賬戶和權(quán)限。

（2）應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令。

（3）應(yīng)及時(shí)刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。

（4）應(yīng)授予管理用戶所需的最小權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離。

（5）應(yīng)由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則。

（6）訪問控制的粒度應(yīng)達(dá)到主體為用戶級或進(jìn)程級，客體為文件、數(shù)據(jù)庫表級。

（7）應(yīng)對重要主體和客體設(shè)置安全標(biāo)記，并控制主體對有安全標(biāo)記信息資源的訪問。

云計(jì)算安全擴(kuò)展要求：

（1）應(yīng)保證當(dāng)虛擬機(jī)遷移時(shí)，訪問控制策略隨其遷移。

（2）應(yīng)允許云服務(wù)客戶設(shè)置不同虛擬機(jī)之間的訪問控制策略。

3.安全審計(jì)

（1）應(yīng)啟用安全審計(jì)功能，審計(jì)覆蓋到每個(gè)用戶，對重要的用戶行為和重要安全事件進(jìn)行審計(jì)。

（2）審計(jì)記錄應(yīng)包括事件的H期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。

（3）應(yīng)對審計(jì)記錄進(jìn)行保護(hù)和定期備份，避免受未預(yù)期的刪除、修改或覆蓋等。

（4）應(yīng)對審計(jì)進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的中斷。

4.入侵防范

（1）應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序。

（2）應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。

（3）應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制。

（4）應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，以保證通過人機(jī)接口輸入或通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求。

（5）應(yīng)能夠發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)充分測試評估后及時(shí)修補(bǔ)漏洞。

（6）應(yīng)能夠檢測到對重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。

云計(jì)算安全擴(kuò)展要求：

（1）應(yīng)能夠檢測虛擬機(jī)之間的資源隔離失效，并進(jìn)行告警。

（2）應(yīng)能夠檢測非授權(quán)新建虛擬機(jī)或者重新啟用虛擬機(jī)，并進(jìn)行告警。

（3）應(yīng)能夠檢測惡意代碼感染及在虛擬機(jī)間蔓延的情況，并進(jìn)行告警。

5.惡意代碼防范

應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動免疫可信驗(yàn)證機(jī)制，及時(shí)識別入侵和病毒行為，進(jìn)行有效阻斷。

6.可信驗(yàn)證

可基于可信根，對計(jì)算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)以及應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證，在檢測到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心。

7.數(shù)據(jù)完整性和保密性

（1）應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性，包括但不限千鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等。

（2）應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等。

（3）應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等。

（4）應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性，包括但不限千鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等。

云計(jì)算安全擴(kuò)展要求：

（1）應(yīng)確保云服務(wù)客戶數(shù)據(jù)、用戶個(gè)人信息等存儲于中國境內(nèi)，如需出境應(yīng)遵循國家相關(guān)規(guī)定。

（2）應(yīng)確保只有在云服務(wù)客戶授權(quán)下，云服務(wù)商或第三方才具有云服務(wù)客戶數(shù)據(jù)的管理權(quán)限。

（3）應(yīng)使用校驗(yàn)碼或密碼技術(shù)確保虛擬機(jī)遷移過程中重要數(shù)據(jù)的完整性，并在檢測到完整性受到破壞時(shí)采取必要的恢復(fù)措施。

（4）應(yīng)支持云服務(wù)客戶部署密鑰管理解決方案，保證云服務(wù)客戶自行實(shí)現(xiàn)數(shù)據(jù)的加解密過程。

8.數(shù)據(jù)備份恢復(fù)

（1）應(yīng)提供異地實(shí)時(shí)備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實(shí)時(shí)備份至備份場地。

（2）應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。

云計(jì)算安全擴(kuò)展要求：

（1）云服務(wù)客戶應(yīng)在本地保存其業(yè)務(wù)數(shù)據(jù)的備份。

（2）應(yīng)提供查詢云服務(wù)客戶數(shù)據(jù)及備份存儲位置的能力。

（3）云服務(wù)商的云存儲服務(wù)應(yīng)保證云服務(wù)客戶數(shù)據(jù)存在若干個(gè)可用的副本，各副本之間的內(nèi)容應(yīng)保持一致。

（4）應(yīng)為云服務(wù)客戶將業(yè)務(wù)系統(tǒng)及數(shù)據(jù)遷移到其他云計(jì)算平臺和本地系統(tǒng)提供技術(shù)手段，并協(xié)助完成遷移過程。

9.剩余信息保護(hù)

（1）應(yīng)保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除。

（2）應(yīng)保證存有敏感數(shù)據(jù)的存儲空間被釋放或重新分配前得到完全清除。

云計(jì)算安全擴(kuò)展要求：

（1）應(yīng)保證虛擬機(jī)所使用的內(nèi)存和存儲空間回收時(shí)得到完全清除。

（2）云服務(wù)客戶刪除業(yè)務(wù)應(yīng)用數(shù)據(jù)時(shí)，云計(jì)算平臺應(yīng)將云存儲中所有副本刪除。

10.個(gè)人信息保護(hù)

（1）應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個(gè)人信息。

（2）應(yīng)禁止未授權(quán)訪問和非法使用用戶的個(gè)人信息。

11.鏡像和快照保護(hù)

此項(xiàng)是云計(jì)算安全擴(kuò)展要求。

（1）應(yīng)針對重要業(yè)務(wù)系統(tǒng)提供加固的操作系統(tǒng)鏡像，或操作系統(tǒng)安全加固服務(wù)。

（2）應(yīng)提供虛擬機(jī)鏡像、快照完整性校驗(yàn)功能，防止虛擬機(jī)鏡像被惡意篡改。

（3）應(yīng)采取密碼技術(shù)或其他技術(shù)手段防止虛擬機(jī)鏡像、快照中可能存在的敏感資源被非法訪問。

安全計(jì)算環(huán)境的策略及修復(fù)

安全要求可以分為：信息安全類要求（S）、服務(wù)保證類要求（A）和通用安全類要求（G）。其中信息安全類要求是指保護(hù)數(shù)據(jù)在存儲、傳輸、處理過程中不被泄露、破壞和免受未授權(quán)的修改；服務(wù)保證類要求是指保護(hù)系統(tǒng)連續(xù)正常的運(yùn)行，免受對系統(tǒng)的未授權(quán)修改、破壞而導(dǎo)致系統(tǒng)不可用；通用安全類要求包括安全管理要求和安全擴(kuò)展要求。

不同級別的等級保護(hù)對象對業(yè)務(wù)信息的安全性要求和系統(tǒng)服務(wù)的連續(xù)性要求是不同的，即使相同級別的等級保護(hù)對象，其對業(yè)務(wù)信息的安全性要求和系統(tǒng)服務(wù)的連續(xù)性要求也不同。安全保護(hù)等級第三級要求有五種組合，即S1A3G3、S2A3G3、S3A3G3、S3A1G3和S3A2G3?？紤]云計(jì)算中心是關(guān)鍵基礎(chǔ)設(shè)施，關(guān)鍵基礎(chǔ)設(shè)施應(yīng)該在等級保護(hù)制度下實(shí)行重點(diǎn)保護(hù)，所以云計(jì)算中心的虛機(jī)統(tǒng)一采用S3A3G3要求。

以下按照S3A3G3要求，以Windows操作系統(tǒng)為例，對單個(gè)虛機(jī)進(jìn)行安全加固，制作虛機(jī)模版。

身份鑒別（S3）

身份鑒別的大部分策略都在組策略里面設(shè)置，運(yùn)行命令“gpeit.msc”進(jìn)入組策略，如圖1所示。

1.密碼必須符合復(fù)雜性要求

瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→帳戶策略→密碼策略”，在右邊窗格中找到“密碼必須符合復(fù)雜性要求”，配置為“已啟用”。

2.密碼長度最小值

瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→帳戶策略→密碼策略”，在右邊窗格中找到“密碼長度最小值”，配置為不小于“6”。

3.密碼最短使用期限

瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→帳戶策略→密碼策略”，在右邊窗格中找到“密碼最短存留期(使用期限)”，配置為非0值。若希望“強(qiáng)制密碼歷史”有效，需將密碼最短使用期限設(shè)置為大于0 的值。

4.密碼最長使用期限

圖1 組策略選項(xiàng)

瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→帳戶策略→密碼策略”，在右邊窗格中找到“密碼最長存留期(使用期限)”，配置為90天。

5.強(qiáng)制密碼歷史

瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→帳戶策略→密碼策略”，在右邊窗格中找到“強(qiáng)制密碼歷史”，配置為不小于“5”。

6.帳戶鎖定閥值

瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→帳戶策略→帳戶鎖定策略”，在右邊窗格中找到“帳戶鎖定閾值”，配置為“6”。

7.帳戶鎖定時(shí)間

瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→帳戶策略→帳戶鎖定策略”，在右邊窗格中找到“帳戶鎖定時(shí)間”，配置為30 min。

8.重置帳戶鎖定計(jì)數(shù)器

瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→ Windows設(shè)置→安全設(shè)置→帳戶策略→帳戶鎖定策略”，在右邊窗格中找到“復(fù)位(重置)帳戶鎖定計(jì)數(shù)器”，配置為30 min。

9.遠(yuǎn)程桌面(RDP)服務(wù)端口

瀏覽到路徑HKEY_LO CAL_MACHINESYSTEMCur rentControlSetControlTerminalServerWinSta tionsRDP-Tcp”，修改“Port Number”的數(shù)值，使其不等于3899，此數(shù)據(jù)的有效值為1～65535。

10.禁止Windows自動登錄

瀏覽到路徑HKEY_LOCAL_MACHINESoftwareMicro softWindows NTCurrent VersionWinlogon，將“Auto AdminLogon”的值修改為0。

資源控制（A3）

在組策略中的安全設(shè)置里面修改相關(guān)配置。

1.配置“允許本地登錄”策略

瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)限分配(用戶權(quán)利指派)”，在右邊窗格中找到“(允許)在本地登錄”，配置為指定授權(quán)用戶或組。

2.啟用“當(dāng)?shù)卿洉r(shí)間用完時(shí)自動注銷用戶”策略

瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)”，在右邊窗格中找到“Microsoft網(wǎng)絡(luò)服務(wù)器：登錄時(shí)間過期后斷開與客戶端的連接”，配置為“已啟用”。

3.禁用“登錄時(shí)無須按Ctrl+Alt+Del”策略

瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)”，在右邊窗格中找到“交互式登錄：無需按Ctrl+Alt+Del”，配置為“已禁用(停用)”。

4.配置服務(wù)器在暫停會話前所需的空閑時(shí)間量

瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)”，在右邊窗格中找到“(Microsoft網(wǎng)絡(luò)服務(wù)器)暫停(掛起、斷開)會話前所需的空閑時(shí)間量”，將其配置為標(biāo)準(zhǔn)值。

5.啟用并正確配置屏幕保護(hù)程序

在桌面空白處點(diǎn)擊右鍵，打開屬性中的“個(gè)性化”面板，切換到“屏幕保護(hù)程序”選項(xiàng)卡，選擇一個(gè)屏保程序，將等待時(shí)間配置為不大于標(biāo)準(zhǔn)值(以秒為單位)的值，且勾選“在恢復(fù)時(shí)需要密碼保護(hù)(顯示登錄屏幕)”。

訪問控制（S3）

1.共享文件夾的權(quán)限設(shè)置

運(yùn)行命令“compmgmt.msc”，打開計(jì)算機(jī)管理面板，瀏覽到路徑“計(jì)算機(jī)管理(本地)→系統(tǒng)工具→共享文件夾→共享”，查看每個(gè)自定義共享文件夾的共享權(quán)限，若其中包含“Everyone(任何人)”，則將其刪除。

2.刪除可遠(yuǎn)程訪問的注冊表路徑和子路徑

打開組策略編輯器，瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)”，如圖2所示（以下策略都可以在此圖中找到配置項(xiàng)），在右邊窗格中找到“網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑”，配置為空。

3.刪除可匿名訪問的共享和命名管道

同樣在上述“安全選項(xiàng)”中，在右邊窗格中找到“網(wǎng)絡(luò)訪問：可匿名訪問的命名管道”和“網(wǎng)絡(luò)訪問：可匿名訪問的共享”，配置為空。

4.更改管理員帳戶名稱

在上述“安全選項(xiàng)”中，在右邊窗格中找到“帳戶：重命名系統(tǒng)管理員帳戶”，將“Administrator”更改為其他名稱。

5.刪除或禁用高危帳戶

在“安全選項(xiàng)”中，在右邊窗格中找到“帳戶：來賓帳戶狀態(tài)”，配置為“已禁用”。

安全審計(jì)（G3）

1.配置審核策略

如圖3所示，將所有審核策略都勾選“成功”和“失敗”。

2.正確配置系統(tǒng)日志

運(yùn)行“eventvwr.msc”命令，打開事件查看器。瀏覽到路徑“事件查看器”，右鍵點(diǎn)擊“系統(tǒng)”，打開其屬性對話框，切換到“常規(guī)”選項(xiàng)卡，配置“日志文件最大大小”為不小于標(biāo)準(zhǔn)值和“日志文件達(dá)到最大大小時(shí)”為“按需要覆蓋事件”。

圖2 刪除可遠(yuǎn)程訪問的注冊表路徑和子路徑

3.正確配置應(yīng)用程序日志

瀏覽到路徑“事件查看器”，右鍵點(diǎn)擊“應(yīng)用程序”，打開其屬性對話框，切換到“常規(guī)”選項(xiàng)卡，配置“日志文件最大大小”為不小于標(biāo)準(zhǔn)值和“日志文件達(dá)到最大大小時(shí)”為“按需要覆蓋事件”。

圖3 配置審核策略

4.正確配置安全日志

瀏覽到路徑“事件查看器”，右擊“安全”項(xiàng)，打開其屬性對話框，切換到“常規(guī)”選項(xiàng)卡，配置“日志文件最大大小”為不小于標(biāo)準(zhǔn)值和“日志文件達(dá)到最大大小時(shí)”為“按需要覆蓋事件”。

備份和恢復(fù)（A3）

對于虛機(jī)來說，可以利用快照來對系統(tǒng)進(jìn)行快速恢復(fù)。所以要在虛擬化平臺上制定好虛機(jī)快照策略。

剩余信息保護(hù)（S3）

1.啟用“不顯示最后的用戶名”策略

運(yùn)行“gpedit.msc”命令打開組策略編輯器，如圖4所示。

瀏覽到路徑“本地計(jì)算機(jī)策略→計(jì)算機(jī)配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項(xiàng)”，在右邊窗格中找到“交互式登錄：不顯示上次登錄的用戶名”，配置為“已啟用”。

2.正確配置“鎖定會話時(shí)顯示用戶信息”策略

瀏覽到上述路徑中的“安全選項(xiàng)”，在右邊窗格中找到“交互式登錄：鎖定會話時(shí)顯示用戶信息”，配置為“不顯示用戶信息”。

入侵防范（G3）

1.關(guān)閉不必要的服務(wù)

停用并禁止如下服務(wù)：

Simple TCP/IP Services

Simple Mail Transport Protocol(SMTP)

Windows Internet Name Service(WINS)

DHCP Server

DHCP Client

Remote Access Connec tion Manage

Message Queuing

2.啟用并正確配置Win dows自動更新

圖4 啟用“不顯示最后的用戶名”策略

打開控制面板，找到“自動更新(Windows Update)”，配置為自動下載更新并安裝。

3.禁用Windows硬盤默認(rèn)共享

打開計(jì)算機(jī)管理面板，瀏覽到路徑“計(jì)算機(jī)管理(本地)→系統(tǒng)工具→共享文件夾→共享”，刪除所有硬盤默認(rèn)共享。然后在命令提示符中打開注冊表編輯器，瀏覽到路徑“HKEY_LOCAL_MACHINESystemCurrentControlSetSer vicesLanmanServerPara meters”，添加名稱為“Auto ShareServer”和“AutoShare Wks”、類型為DWORD、數(shù)據(jù)為0的兩個(gè)數(shù)值，若已存在則修改其數(shù)據(jù)。

4.關(guān)閉不必要的端口445

通過修改注冊表“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetser vicesNetBTParameters”，然后新建DWORD/QWORD項(xiàng)“SMBDeviceEnabled”，將值改為0。之后運(yùn)行“services.msc”，禁用并停止server服務(wù)。

5.開啟Windows防火墻

打開控制面板，找到“Windows防火墻”，將當(dāng)前網(wǎng)絡(luò)位置的防火墻配置為“啟用”，并根據(jù)實(shí)際需求設(shè)置例外。

6.啟用并正確配置SYN攻擊保護(hù)

（1）處于SYN_RCVD狀態(tài)下的TCP連接閾值。

打開注冊表編輯器，然后找到路徑“HKEY_LOCAL _MACHINESYSTEMCurrent ControlSetServicesTcpipParameters”，添加名稱為“TcpMaxHalfOpen”，類型為DWORD，數(shù)據(jù)為標(biāo)準(zhǔn)值(16進(jìn)制)的數(shù)值，若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為在64～ffff(16進(jìn)制)。

（2）取消嘗試響應(yīng)SYN請求之前要重新傳輸SYNACK 的次數(shù)。

打開注冊表編輯器，然后找到路徑“HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetServicesTcpipParameters”，并添加名稱為“TcpMaxConnectResponse Retransmissions”，類型為DWORD，數(shù)據(jù)為標(biāo)準(zhǔn)值的數(shù)值，若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為0～255。

（3）處于SYN_RCVD狀態(tài)下，且至少已經(jīng)進(jìn)行了一次重新傳輸?shù)腡CP連接閾值。

打開注冊表編輯器，然后找到路徑“HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetServicesTcpipParameters”，添加名稱為“TcpMaxHalfOpenRetried”，類型為DWORD，數(shù)據(jù)為標(biāo)準(zhǔn)值(16進(jìn)制)的數(shù)值，若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為在50～ffff(16進(jìn)制)。

（4）TCP連接請求閾值。

運(yùn)行“regedit”命令打開注冊表編輯器，瀏覽到路徑“HKEY_LOCAL_MACHINESYSTEMCurrentControl SetServicesTcpipPara meters”，添加名為“Tcp Max PortsExhausted”，類型為DWORD，數(shù)據(jù)為標(biāo)準(zhǔn)值(16進(jìn)制)的數(shù)值，若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為在0～ffff(16進(jìn)制)。

（5）啟用SYN攻擊保護(hù)。

運(yùn)行“regedit”命令打開注冊表編輯器，瀏覽到路徑“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParame ters”，添加名稱為“SynAttack Protect”，類型為DWORD，數(shù)據(jù)為標(biāo)準(zhǔn)值(16進(jìn)制)的數(shù)值，若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為0～1。

7.啟用并正確配置TCP碎片攻擊保護(hù)碎片攻擊保護(hù)

運(yùn)行“regedit”命令打開注冊表編輯器，瀏覽到路徑“HKEY_LOCAL_MACHINESYSTEMCurrentControl SetServicesTcpipPara meters”，添加名稱為“Ena ble PMTUDiscovery”，類型為DWORD，數(shù)據(jù)為標(biāo)準(zhǔn)值的數(shù)值，若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為0～1，其中0表示不自動探測MTU大小，都使用576字節(jié)的MTU，1表示自動探測MTU大小。如果不將該值設(shè)置為0，攻擊者可能會強(qiáng)制MTU值變得非常小，從而導(dǎo)致堆棧負(fù)荷過大。

8.配置TCP“連接存活時(shí)間”

運(yùn)行“regedit”命令打開注冊表編輯器，瀏覽到路徑“HKEY_LOCAL_MACHINESYSTEMCurrentControl SetServicesTcpipPara meters”，添加名稱為“Keep AliveTime”，類型為DWORD，數(shù)據(jù)為標(biāo)準(zhǔn)值(以毫秒為單位)以內(nèi)的數(shù)值，若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為1～0xFFFFFFFF。該值控制TCP通過發(fā)送“保持活動”的數(shù)據(jù)包來驗(yàn)證空閑連接仍然完好無損的頻率。如果仍能連接到遠(yuǎn)程計(jì)算機(jī)，該計(jì)算機(jī)就會對“保持活動”的數(shù)據(jù)包作出應(yīng)答。默認(rèn)情況下不發(fā)送“保持活動”的數(shù)據(jù)包。建議將該值設(shè)置為300 000（5 min）（十進(jìn)制基數(shù)格式）。

9.配置重傳單獨(dú)數(shù)據(jù)片段的次數(shù)

打開注冊表編輯器，找到路徑“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParame ters”，添加名稱為“TcpMax Data Retrans missions”,類型為DWORD,數(shù)據(jù)為標(biāo)準(zhǔn)值的數(shù)值，若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為0～65 535。

10.禁用路由發(fā)現(xiàn)功能

打開注冊表編輯器，找到路徑“HKEY_LOCAL_MACHINESYSTEMCurrentControl SetServicesTcpipParame ters”，添加名稱為“Perform Router Discovery”,類型為DWORD,數(shù)據(jù)為標(biāo)準(zhǔn)值的數(shù)值，若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為0～1。0表示禁用此功能，1表示開啟。“路由發(fā)現(xiàn)”請求路由信息以構(gòu)建整個(gè)網(wǎng)絡(luò)，如果開啟此功能，系統(tǒng)會將此信息添加到路由表中。

11.啟用并正確配置ICMP攻擊保護(hù)

打開注冊表編輯器，找到路徑“HKEY_LOCAL_MACHIN ESYSTEMCurrentControl SetServicesTcpipParame ters”，添加名為“Enable ICMP Redirect”，類型為DWORD，數(shù)據(jù)為標(biāo)準(zhǔn)值的數(shù)值，若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為0～1。

12.啟用并正確配置源路由攻擊保護(hù)

打開注冊表編輯器，瀏覽到路徑“HKEY_LOCAL_MACHI NESYSTEMCurrentControl SetServicesTcpipParame ters”，添加名稱為“Disable IPSource Routing”,類型為DWORD,數(shù)據(jù)為標(biāo)準(zhǔn)值的數(shù)值，若已存在則修改其數(shù)據(jù)。此數(shù)據(jù)的有效值為0～2，其中0表示轉(zhuǎn)發(fā)所有數(shù)據(jù)包，1表示不轉(zhuǎn)發(fā)源路由的數(shù)據(jù)包，2表示丟棄所有傳入源路由的數(shù)據(jù)包。

惡意代碼防范

因?yàn)榫W(wǎng)絡(luò)版殺毒軟件或者虛擬化殺毒都是需要授權(quán)的，按照使用量來購買授權(quán)，所以對于虛機(jī)模版來說，可以暫時(shí)不用安裝殺毒軟件。在虛機(jī)部署階段必須要安裝殺毒軟件。

以上策略并不是全部的，因?yàn)闆]有絕對的安全，只有相對的安全，完善好以上策略還需要結(jié)合漏洞掃描系統(tǒng)，對虛機(jī)進(jìn)行一次體檢。漏掃掃描主要是對操作系統(tǒng)進(jìn)行掃描，比如是否更新了系統(tǒng)最新的補(bǔ)丁，是否關(guān)閉了不必要的端口或者服務(wù)等等。根據(jù)漏掃的結(jié)果，再次對虛機(jī)進(jìn)行修復(fù)，最后形成一個(gè)相對安全的虛機(jī)模版。

在云計(jì)算中心需要部署應(yīng)用時(shí)，可以用此模版安裝相關(guān)中間件、數(shù)據(jù)庫等軟件。在應(yīng)用部署完畢后，還要再一次進(jìn)行漏洞掃描和基線檢查，甚至進(jìn)行滲透測試，來保證系統(tǒng)和應(yīng)用的相對安全，以免“帶病運(yùn)行”。

經(jīng)過以上檢測、測試后，應(yīng)用系統(tǒng)可以上線試運(yùn)行。但是安全工作是沒有終點(diǎn)的，還需要對該應(yīng)用系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全等級保護(hù)工作，包括定級、備案、測評和整改。等級保護(hù)工作需要定期開展，三級系統(tǒng)每年需要進(jìn)行一次等保測評，二級系統(tǒng)每兩年進(jìn)行一次等保測評。除了定期進(jìn)行等保測評外，還需要定期對應(yīng)用系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估。

日常安全工作中，也需要定期對應(yīng)用系統(tǒng)進(jìn)行漏洞掃描、滲透測試等安全技術(shù)檢查，發(fā)現(xiàn)問題及時(shí)整改，形成安全工作的閉環(huán)，保障應(yīng)用系統(tǒng)安全穩(wěn)定地運(yùn)行。