为什么我公司的网络这么脆弱?前不久,在一个企业网络的安全论坛上,笔者多次被问到这个问题。怎么说呢,这是一个范畴很大的问题。如你管理不当,或者没有采用一定的网络安全设备,又或者网络设计不当等等,都会造成公司网络安全环节的薄弱。既然有人了问了这个问题,我就举了一些例子。
为什么我公司的网络这么脆弱?前不久,在一个企业网络的安全论坛上,笔者多次被问到这个问题。怎么说呢,这是一个范畴很大的问题。如你管理不当,或者没有采用一定的网络安全设备,又或者网络设计不当等等,都会造成公司网络安全环节的薄弱。既然有人了问了这个问题,我就举了一些例子。
脆弱环节一:没有设置主机管理员密码或者设置的太过于简单。
其实,根据权威部门的调查报告显示,给企业造成的安全威胁的因素80%是来自于企业的内部,或者说就来自于企业用户的终端主机上。为什么会如此呢?这主要是因为很多企业网络管理人员,太过于重视外界的攻击,把企业的门户保护的好好的,就疏忽了来自于企业内部的不稳定因素。
最常见的就是管理员密码没有设置或者设置的太过于简单,让别人不用花多少时间就可以取得系统的管理员权限。
我们都知道,对于Windows操作系统,其实任何操作系统都一样,一般有两种角色,一是系统管理员角色,他具有对整个操作系统进行管理与配置的权限,包括注册表等的更改权限。另一个是用户操作权限,其又包括普通用户、超级用户等角色,这些角色下,一般不具有多操作系统进行管理的权限,但是对于正常办公来说,权限已经足够。
现在的问题是,在系统安装完毕之后,默认情况下都会建立一个管理员用户,问题就是出在这个管理员用户身上。
一是对于这个管理员用户,很多系统管理员会忘记设置密码,因为默认情况下,操作系统是不会提醒管理员设置密码。正是因为如此,所以,攻击者可以非常轻松的就获取到操作系统的管理员权限。如此造成的后果,就是攻击者可以利用管理员的权限登陆到用户的终端上,然后在系统中部署一些木马或者网络窃听软件,从而,给企业的网络就造成了一些不稳定因素。
二是管理员用户密码设置的过于简单。有些系统管理员虽然设置了管理员用户的密码,但是,设置的非常的简单。如用纯数字密码。了解一些密码破解知识的人,相信都会了解,如果设置了一个八位纯数字的密码,则借助于密码破解工具,则只需要半天的时间就可以破解这个密码,可见,若采用纯数字的密码是非常危险的。另外,就是有些系统管理人员喜欢把整个公司所有终端的管理员密码设置为一样,如都是“welcome”作为系统管理员用户的密码。如此的话,只要破解一台电脑的密码的话,则其他客户端电脑也都破解了。这也是一种非常危险的做法。
三是没有为普通用户设置合适的权限。普通的员工需要管理员权限吗?当然不需要。但是,在实际工作中,有些人为了自己省力一点,如安装软件之类的不用自己出马,让员工自己安装。所以,就给他们的帐户有了管理员的权限。如此,如果他们接收了带病毒的垃圾邮件,或者通过U盘等工具从外面带回来了一些木马,则这些病毒与木马马上可以利用系统登陆帐户的管理员权限更改系统配置,从而达到其在操作系统中生根发芽的目的。等到起在操作系统中安家后,其就成为了企业网络安全的一大隐患,因为其在必要的时候,随时可以发起一些攻击,如DDOS、ARP攻击等等,从而导致企业网络运行的不正常;也可以利用键盘记录软件,非法获取用户的帐户与密码等等。
综上所述,我们发现,由于管理员用户管理不当,给企业造成了很大的安全隐患。为此,针对这个管理员用户配置,笔者有如下建议:
一是更改管理员用户的名字。默认情况下,微软操作系统安装后,其管理员用户名为固定的,就是“administrator”,这个用户隶属于管理员组。而且,无论是木马或者病毒在攻击之前,都会试着去寻找是否存在这个用户名,若存在的话,则会尝试破解这个用户名的密码。为此,我们若能够把这个用户名改掉,改成其他的名字,如此的话,木马与病毒就不知道那个用户名具有管理员权限,只好一个个的破解过去,这会大大的增加他们攻击的成本。我比较喜欢的做法是,先把这个管理员用户改名,然后再建立一个“admininstrator”帐户,并为其设置比较复杂的密码。但是,其权限只有普通用户,甚至只有GUEST组的权限。如果攻击者花了很多时间破解这个用户名与密码,破解后才发现这个用户是个伪管理员用户,只有GUEST权限时,他们会气个半死。这也可以算是报了我们一箭之仇。
二是为管理员权限的帐户设置比较复杂的密码。对于企业来说,还需要注意,就是不能够为每台主机的管理员帐户设置相同的密码,这是一件很忌讳的事情。笔者现在的做法是,利用一个密码生成工具,根据主机的IP地址(我们采用固定的IP地址),生成一个8位数的字符与数字混合的密码。这即方便了我们的管理,也提高了安全性。
三是为用户配置合理的权限。给用户最小的权限,不仅可以提高系统以及网络的安全性能,而且,也可以防止用户对电脑进行一些不必要的修改,如更改IP地址或者电脑名等等,从而造成网络地址或者名字的冲突等等。我在公司里给用户配置的一般都是普通用户组(USER组)的权限,最多只给与POWERUSER组的权限。这里要特别强调一点,不要给他们配置Administrator组的权限。
脆弱环节二:对于移动存储设备缺乏管理。
现在U盘、存储卡等设备的流行,是大大方便了用户的办公,但是,也给我们网络安全带来了很大的挑战。正如我们上面所说的,企业很大一部分安全威胁都来自于企业内部。那么,这80%的安全威胁中,又有很多来自于U盘等移动存储设备。
为什么这么说呢?因为在企业边界网络安全设置的比较完善的时候,则木马或者病毒只有通过内部才能够攻击企业的网络。那么这些木马与病毒如果进入到企业的内部网络呢?很明显,通过U盘等移动存储设备,木马与病毒可以轻松的绕过企业的防火墙等安全设备,进入到企业的内往。U盘等移动存储设备,成为了传播病毒或者木马的最好的载体。
一方面,员工有时候出差在外,或者在家里办公,没有受到企业防火墙的保护,则他们的U盘等存储设备,在使用的过程中,就很可能受到病毒或者木马的感染。然后,当他们拿回道自己的公司,开始使用的时候,就有可能把病毒或者木马传染给他们的主机。然后,病毒与木马再通过主机等发散出去。
另一方面,员工通过U盘等存储工具,可以很方便的把企业的一些机密文件复制或则转移到U盘上。如此的话,若员工把这些资料拿出去卖钱,则会给企业带来很大的损失。企业机密信息的泄漏,这也已经成为了威胁企业网络安全的另一大杀手。
可见,移动存储设备已经逐渐成为了黑客、木马或者不良员工作案的工具之一。所以,我们在日常工作中,需要加强对这些移动设备的管理。
1、没有特殊必要的话,不要让用户使用USB设备。现在很多移动存储设备都是采用USB接口的。若我们能够在不影响工作的情况下,禁用掉这个USB接口的话,则就不用担心来自于移动存储设备的威胁了。我们可以通过BIOS、或者其它控制手段,把USB接口禁用掉,从而限制用户使用移动存储设备。
2、当用户一定要使用USB设备时,采取强制杀毒的策略。我们可以通过技术手段,当用户接收带附件的邮件需要病毒扫描。同样,我们也可以利用技术手段,来控制用户使用U盘等存储设备时,必须要先进行病毒扫描,才能够使用。如当他们从U盘中复制一个文件到电脑主机上的话,需要先对这个文件进行病毒查杀,以确保这个文件没有已知的病毒,从而提高系统的安全性,减少U盘等设备的不良影响。
3、采用文件加密手段,防止员工通过移动存储设备泄漏公司信息。我们都知道,U盘等设备由于体积小、容量大,所以,若利用它来复制公司机密文件的话,则是很方便地一个作案工具。所以,若允许员工使用U盘等存储工具的话,则就需要在文件级别上,设置一些安全策略。如对文件进行EFS加密或者设置复杂的密码,让他们及时获得这些文件,但是也打不开,只能够干瞪眼。特别是对于一些关系到企业生存发展的机密文件,最好采用EFS加密手段。因为采用EFS加密技术加密过的文件,一般文件离开主机(确切的来说,是某个帐户)的话,其它人就无法打开,这是一种很好的文件保护手段。