安全指南 > 产品与技术

Windows NT 4.0 和 Windows 98 威胁缓解指南

第 8 章:结论

发布日期: 2004年10月27日

本指南讨论了在企业环境中部署较早的 Microsoft® Windows NT® 版本 4.0 和 Microsoft Windows® 98 客户端时遇到的许多困难。 指南中提到了 Trey Research 的经历,这是一家虚构的公司,它需要识别并缓解安全漏洞。 需要实施自己的安全网络环境的组织同样面临着 Trey 所解决的许多问题。

本指南中提供的信息使您能够识别安全网络基础结构、为运行较早操作系统的服务器和工作站创建基准配置、确定可靠的修补程序管理的过程并创立主动的防病毒策略。 可同时使用这些方法帮助延长重要资产的使用寿命,直到组织可以升级到更高、更安全的操作系统。

尽管 Trey Research 方案可能与您的特定环境不一致,但此处介绍的方法可适用于各种规模的组织和大多数环境。 需牢记的最重要一点是:可靠的安全是一个持续进行的过程,应该融入到 IT 组织的日常工作中,而且安全涉及安装、确定基准、监视和更新过程。

本页内容
Trey 环境中的威胁Trey 环境中的威胁
小结小结

Trey 环境中的威胁

Trey 确定的需进行风险分析的威胁需要详细的识别和缓解计划。 以下部分介绍了 Trey IT 人员计划和执行保护公司网络的任务的方法。

物理安全威胁

Trey 系统最大的物理安全威胁包括对其计算机的不受控的物理访问。 许多关键服务器和工作站位于保护措施相对较差的区域。 Trey 通过使用物理锁定和更好的访问控制,并将重要的服务器移至较为安全的位置,部分缓解了这种威胁。 其他物理安全威胁(例如环境破坏)通过非技术措施得到了缓解。

拒绝服务威胁

影响 Trey 网络的大多数拒绝服务威胁可以通过 Windows NT 4.0 中的网络加强和过滤功能来解决。 为了支持此保护,他们在其 Windows 98 和 Windows NT 计算机上安装了个人防火墙。 除了适当的服务器和工作站配置之外,适当的网络分段和防火墙配置有助于 Trey 指定允许哪种通信传至特定的计算机。 但是,Trey 不能完全缓解网络通信篡改和欺骗威胁。 Microsoft Windows 2000、Windows XP 和 Windows Server™ 2003 支持使用 Internet 协议安全扩展 (IPsec) 保护敏感的网络通信,但 Windows 98 或 Windows NT 不支持 IPsec。

恶意代码威胁

Trey 识别了三种主要的恶意代码威胁:用户执行恶意代码、病毒发作和蠕虫发作。 他们以三种具体的方法解决了这些威胁:

为了部分缓解用户执行恶意代码威胁,Trey 将其工作站升级到 Internet Explorer 6.0 SP1 并应用了限制型更高的安全设置。 但是,一种更有效的方法(使用 Windows 软件限制策略来仅允许可信的应用程序运行)无法应用,原因是 Windows NT 和 Windows 98 不支持限制策略。

为了防止可能的病毒感染,Trey Research 安装了集中管理的防病毒软件以保护所有服务器和工作站。 病毒定义现在每日进行更新,而且可以安排每周扫描,或从防病毒控制台手动启动扫描。 如果受病毒感染的计算机、下载的文件或介质进入到网络中,受保护的客户端受感染的危险会大大降低。

为了有助于防护蠕虫,Trey 对其网络进行了分段,这样所有较早的计算机都处于其自己单独的网络段中,具有自己的防火墙。 他们制定了修补程序管理过程以确保将新的修补程序及时地部署到所有系统,且检查并限制其防火墙配置以确保没有打开不需要的端口。

Trey 缓解这些威胁的工作很复杂,原因是 Windows NT 或 Windows 98 都不支持 Microsoft 和其他第三方供应商提供的全部修补程序管理工具。 特别地,Trey 不能使用 Microsoft 基准安全分析器 (MBSA) 扫描其 Windows 98 计算机,因此公司的员工必须清点这些计算机,然后将修补程序手动应用到这些计算机。 这对于 Trey 是一个严重问题,仅当公司完成了其 IT 现代化之后才能解决。

最后,对恶意代码最好的防护方法是教育用户使用良好的安全做法。 这些做法包括选择适当的 Internet Explorer 安全设置,并在下载和执行程序或附件时保持警惕。

信息泄漏威胁

Trey 采取三种主要的措施以缓解在第 2 章中介绍的信息泄漏威胁。 首先,公司开始要求对所有计算机使用 NTLMv2 身份验证。 这种要求对兼容性有很大的影响,而且不如纯粹的 Kerberos 部署安全。 但是,这种做法足以作为一种权宜的保护措施,直到 Trey 可以完成其 IT 现代化并部署 IPsec。

作为一种附加的保护措施,Trey 对其 Windows NT、Windows 2000 和 Windows Server 2003 计算机启用了服务器消息块 (SMB) 签名。 这种方法有助于确保较早的计算机能够保证所有网络传输的可靠性。 它制定了一个计划以监视计算机的性能瓶颈。 预计会有 10% 到 15% 的性能降低;如果证实这对某些服务器的影响太大,Trey 可以从受影响的客户端删除 RequireSecuritySignature 设置。 Microsoft Active Directory® 目录服务中匹配的组策略对象 (GPO) 可为本机 Active Directory 服务器和工作站控制 SMB 签名;Trey 可能也需要对其进行重新设置。

为了进一步防护对安全帐户管理器 (SAM) 数据库的攻击,Trey 要求在所有 Windows NT、Windows 2000 和 Windows 2003 服务器上使用 Syskey 实用工具。 这有助于降低攻击者从这些机器获取敏感的安全数据的威胁。

Trey 不能有效地缓解从公司的移动计算机盗取数据的威胁。 Windows 2000 和 Windows XP 中的加密文件系统 (EFS) 使用户能够选择性地加密其计算机上的关键数据,因此,如果攻击者盗取了数据,他无法恢复加密的数据;这样,EFS 对公司提供了有效的缓解措施。

帐户泄漏威胁

Trey 面临的最大的帐户威胁是由于弱密码而造成的攻击者危及帐户安全的可能性。 因为 Windows 98 支持的最大密码长度为 8 个字符,所以 Trey 无法充分地缓解此威胁。 但是,NTLMv2 身份验证的使用有助于降低密码哈希从网络恢复的威胁。 还存在攻击者在个别计算机上重置本地密码的威胁;Windows 2000、Windows XP 和 Windows Server 2003 包括一些可防止此类攻击的功能。

小结

本指南介绍了如何在包含运行 Windows 98 和 Windows NT 4.0(工作站和服务器)的计算机的网络环境中识别和缓解安全威胁。

第 1 章讨论了 Trey 基础结构并介绍了其规模的一种典型的网络环境。

第 2 章介绍了 SRMD 过程和组件,例示了它们如何适应 Trey IT 环境。 然后本章使用 SRMD 原则以审核并识别公司网络中的漏洞。

第 3 章介绍了安全地设计网络基础结构的方法,以便支持必需的通信,同时拒绝不必要或有害的通信。

第 4 章和第 5 章介绍了缓解 Windows NT 4.0 服务器和工作站以及 Windows 98 工作站的方法。 关键主题包括配置计算机以参与 Active Directory、应用安全策略以及选择可靠和安全的身份验证和通信协议。

第 6 章制定了实施正在进行的修补程序管理过程的步骤,并讨论了审核、设置基准、修补程序安装以及过程自动化。

第 7 章分析了不断增加的病毒、蠕虫和特洛伊木马威胁,并讨论了缓解这些威胁的可靠方法。

在日常工作过程中中执行这些类型任务的组织将在系统正常工作时间、用户满意度和延长较早计算机的使用寿命等方面获得回报。


返回页首返回页首上一页第 9 页,共 10 页下一页
**
**