企業終端安全防御的十大最佳實踐
在移動互聯時代,“云+端”的安全管控已成為業界的熱點和重點。在終端這塊,PC終端的安全管理仍然不可忽視,否則極易成為安全的“重災區”,因為只需要一個不小心的終端用戶便可以感染整個網絡。
如果你是系統管理員,很顯然,所有的善意和友好通訊將無法保證計算機安全在一個合理的級別上。在最開始,你必須在阻止臺式機感染惡意移動代碼、關閉漏洞并確保用戶的計算機配置正確。如果他們無法點擊惡意軟件運行,或者允許它存在電腦上,那么你已經顯著降低了惡意攻擊的威脅。許多措施可以盡量減少攻擊成功的風險,例如保護物理環境、強化操作系統保持補丁更新、使用防病毒掃描程序等,本文將給出終端安全防御的十大最佳實踐,希望大家馬上行動,保護好你的終端。
1、保證安全的物理環境
物理方面是任何計算機安全計劃的一個基本組成部分。當然,關鍵任務服務器應該被保護在一扇緊鎖的門后,但常規的電腦也需要物理保護。根據你的環境,個人電腦和筆記本電腦可能需要固定在桌子上。有幾種不同類型的鎖定裝置,從薄橡皮電線到定制的環繞一臺電腦的硬化金屬外套。如果有人晚上把他們的筆記本放在辦公桌上,它應該是安全的。在你的環境中,還有其他步驟可以用在每臺電腦上。
2、密碼保護啟動
考慮在操作系統加載之前需要一個開機口令。這通常可以在CMOS / BIOS中設置并被稱為用戶或開機口令。這對便攜式電腦,如筆記本電腦、平板電腦和智能手機尤其重要。小型個人電腦最有可能被竊取。由于大多數便攜式設備通常包括個人或機密信息,啟動順序中的密碼保護可能會讓一個非技術性的小偷無法輕易看到硬盤或存儲RAM上的數據。如果啟動口令在平板電腦或智能手機上被重置,通常要求刪除數據,所以保密性和隱私是有保障的。
3、密碼保護CMOS
一臺計算機的CMOS / BIOS設置中包含了許多潛在的安全設置,如啟動順序、遠程喚醒,防病毒引導扇區保護。確保未經授權的用戶無法訪問的CMOS / BIOS設置是非常重要的。大多數CMOS / BIOS都允許你設置一個密碼,以防止未經授權的更改。密碼應該不同其他管理密碼,但為了簡單起見,所有機器可用同一密碼。
有些方法可以繞過CMOS / BIOS和啟動密碼。通過使用從主板制造商獲得的特殊的引導軟盤或通過改變主板上的跳線設置來繞過某些啟動密碼。雖然他們不是100%可靠,一個CMOS / BIOS或啟動密碼可能會阻止一些攻擊發生。例如,灰帽子攻擊者(可信的會議主持人)過度供應給保安蘇打水,他的物理攻擊成功了,因為他可以潛入無人看守的房間,將軟盤放入驅動器中,并重新啟動服務器。如果曾經在CMOS / BIOS和引導順序密碼保護中禁用了軟盤驅動器,那么他的攻擊很可能不會成功。
各個操作系統的引導加載程序,例如Linux的LILO,允許設置啟動密碼。當然,這無法阻止某人從具有類似文件系統的另一個硬盤引導和接管機器。這就是為什么接下來的步驟非常重要。
4、禁止USB和CD引導
禁止從USB存儲設備和光盤驅動器引導啟動可以防止從這些設備上感染引導區病毒,并且阻止攻擊者通過在計算機上加載一個不同的操作系統來繞過操作系統安全。
5、加固操作系統
通過刪除不必要的軟件,禁用不需要的服務,并鎖定訪問減少操作系統的攻擊面:
通過關閉不需要的服務減少系統的攻擊面。
安裝安全軟件。
安全配置軟件設置。
定期并迅速更新系統補丁。
將網絡隔離到可信區域并且基于系統的通信需求和互聯網公開度將系統放置到這些區域。
加強認證過程。
限制管理員的數量(和特權)。
6、保持補丁更新
攻擊者最好的朋友是未打補丁的系統。在大多數情況下,所使用的漏洞已經廣為人知, 而受影響的廠商已經發布了補丁程序供系統管理員更新。不幸的是,世界上很大一部分人不會經常更新補丁,而攻擊者對未打補丁的系統攻擊成功率是非常高的。一個連續的補丁管理計劃對保護任何平臺,任何操作系統,不管它是否直接連接到互聯網都是至關重要的。
基本上,任何技術系統保持最新的軟件都是至關重要的, 因為隨著時間的推移廠商找到并修復了漏洞。不要讓漏洞一直存在于你的系統中等待攻擊者利用。
7、使用防病毒掃描程序(實時掃描)
在當今世界,防病毒掃描程序(AV)是必不可少的。它應該被強制部署在桌面上,自動更新,并且應啟動實時保護。盡管在你的電子郵件網關上部署防病毒掃描程序是一個很好的輔助或附加選擇,如果你只在一個潛在位置部署防病毒掃描程序,選擇桌面。為什么?因為無論惡意軟件來自(電子郵件、存儲設備、無線、宏、互聯網,智能手機,平板電腦,P2P或IM)何方,它必須在桌面來發動破壞。通過在桌面上部署防病毒解決方案,你可以確保無論它是如何到達那里,它將會被阻止。電子郵件和防病毒網關的解決方案在大部分時間上是有效的,但如果惡意軟件通過其他方法或意想不到的端口進來,它們將會失敗。
防病毒解決方案應該啟用實時保護,以便它掃描每個文件,因為涉及到系統或檢測計算機內存,所以它可以防止惡意軟件執行。有時,為了性能,用戶會禁用實時功能。拒絕這些請求,但實時掃描即使它會影響些性能,卻是你對抗感染的最好保護。
8、使用桌面防火墻軟件
與防病毒掃描程序同樣重要的是防火墻。防火墻在簡單的端口過濾上已經走過了漫長的道路。今天的設備狀態檢測系統能夠通過直接運行在計算機上的軟件分析發生在三至七層的威脅。防火墻能夠整理單獨的事件為一個威脅描述(如端口掃描)并可以按名稱識別攻擊(如teardrop碎片攻擊)。每一臺電腦都應該通過防火墻軟件保護。
桌面防火墻軟件(也稱為基于主機的防火墻或個人防火墻軟件),可以保護電腦免受內部和外部的威脅,通常對阻止未經授權的軟件應用程序(如木馬)啟動向外通訊流量有著額外的優勢。許多防病毒掃描程序提供防火墻組合包。
9、保證安全的網絡共享權限
最常見的一種方式是攻擊者或蠕蟲通過沒有密碼或弱密碼的網絡共享入侵系統(比如NetBIOS或SMB)。通過網絡遠程訪問文件夾和文件需應用訪問控制列表(DACLs)的最小特權原則和具備復雜的密碼。
默認情況下,允許Windows分配,大多數系統管理員, Everyone用戶組擁有整個操作系統和每個新創建的共享完全控制或讀取權限。這是相反的最小特權原則(也許應該被稱為大多數特權原則)。為了解決這個問題,你最起碼應該,首先將Everyone組的完全控制變更為Authenticated Users組的完全控制。雖然這不是比原來的設置真正意義上的更安全,但它會停止未經授權的用戶,如匿名和來賓用戶在默認情況下獲得資源的完全控制。
許多Windows系統管理員也認為是可接受Everyone組可以完全控制所有的共享文件,因為底層的NTFS權限通常并不是很寬松,所需的有效權限更加嚴格。如果你100%的準確配置NTFS權限確實如此。但是違背了縱深防御原則(洋蔥模型)。更好的策略是將共享和NTFS權限分配給最小的組和用戶列表。這樣一來,如果你不小心設置的NTFS文件權限過于開放,共享權限也可以彌補這一不足。
10、使用加密
大多數計算機系統有很多加密機會。Linux和Unix管理員應該使用SSH代替Telnet或FTP來管理他們的電腦。后者在網絡上以明文工作,而SSH是進行加密的。如果你必須使用FTP,請考慮使用SSL和數字證書加密通信后的FTP服務。為了加密后的FTP正常工作,在客戶端和服務器必須同時支持相同的加密機制。使用Windows IPSec策略需要加密服務器和客戶端之間的通信。
加密文件系統(EFS)是Windows中最激動人心的功能之一。EFS聯機加密和解密保護文件和文件夾。一旦用戶接通時,EFS會自動為用戶恢復代理生成公用/私有密鑰對。如果未經授權的用戶試圖訪問受EFS保護的文件時,它們將被拒絕訪問。打開EFS,右鍵單擊一個文件或文件夾,選擇Properties選項, 單擊屬性部分的高級按鈕,然后選擇加密內容以便保護數據。因為EFS是聯機加密和解密的,它無法阻止授權用戶登錄后的惡意軟件事件。然而,當授權用戶沒有登錄時EFS可以保護文件夾和文件。這在某些情況下可能會阻止惡意攻擊,比如常見的蠕蟲攻擊在一個文件服務器上橫行,破壞所有的數據文件(如VBS.Newlove蠕蟲一樣)。由于EFS可以協助提供額外的保護, 最終用戶幾乎是看不見的,并且性能影響最小,這種強化保護是值得考慮的。
