頻道欄目
首頁 > 資訊 > 企業安全 > 正文

五一企業網管安全防護3大招

07-04-26        來源:[db:作者]  
收藏   我要投稿

五一長假即將到來。通常這期間企業里人去樓空,一切都回歸平靜。但是,平靜之下隱藏著危機,五一后就是病毒高發期。我們不要等到病毒大面積發作,導致整個企業網絡癱瘓才去解決問題,我們要將問題發生的可能性降到最低。還記得嗎?2004年五一后爆發的“震蕩波”至今仍然讓人心悸。前車之鑒,企業網管應積極為即將到來的五一長假作好準備。

  第一招:部署補丁服務器

  重要指數:★★★★★

  加固服務器和客戶端的安全,把網絡安全風險降至最低,可以通過補丁服務器(Server Update Service)來統一對企業內部的計算機進行統一安裝補丁,使得網管的工作降到最低。

  補丁服務器的重要性

  產品發行 漏洞被發現 漏洞被公開 發布更新 客戶端部署更新

  大多數攻擊發生此階段

  現在,有這樣的趨勢必須值得網管高度重視,系統漏洞公布與病毒爆發的間隔天數不斷壓縮,如Nimda病毒間隔331天、SQL Slammer病毒間隔180天、Blaster病毒間隔25天,Sasser病毒間隔11天,剛剛爆發的ANI蠕蟲病毒更是縮短到一周!

  微軟補丁服務器有SUS和SMS。SUS是免費的,雖然相對于SMS,功能不如后者豐富,但能滿足將服務器及客戶端升級到最新的更新、安全更新和服務包的最基本要求,對中小型企業而言,選擇MBSA和SUS是一個很不錯的解決方案。

  簡單地說,SUS的作用就是定期從微軟升級網站有選擇的下載最新的更新、安全更新和服務包到本地,然后分發給它所管轄的客戶端,客戶端就不必在外網直接鏈接到Windows Update來更新了。

  SUS操作注意事項

  關于SUS的配置和配置,微軟發布了《Windows Server Update Services 入門循序漸進指南》、《Windows Server Update Services 自述文件中文文檔》,有需要的網管可以下載參考,限于篇幅,我們不再對SUS具體的操作進行闡述。這里我們提供一些有用的技巧和要注意的地方。

  一、手動啟動 SUS 服務器檢測。

  在客戶端上的命令提示符中運行“wuauclt.exe /detectnow”。此命令將指示自動更新立即連接到 SUS 服務器。如果執行此步驟,則可將客戶端計算機立即連接到 SUS 服務器。這條命令很方便,網管一定要牢記。

  二、在客戶端上快速識別是否應用了SUS。

  打開 %SystemRoot%windows 文件夾,查找“WindowsUpdate.log”,如果發現該日志文件則說明SUS已經成功的應用在該客戶端上。
三、使客戶端cookies過期。

  SUS使用cookies在客戶端存儲各種類型的信息,其中包含客戶端計算機組的成員信息(Client side),默認在SUS創建它以后的一個小時過期,使用以下命令可以立即更新組成員“wuauclt.exe /resetauthorization /detectnow”。

  設置客戶端需要注意的問題:

  1. 在“運行”中執行gpedit.msc來打開組策略對象編輯器,依次展開“計算機配置”、“管理模板”、“Windows 組件”,然后單擊“Windows Update”。

  2. 在詳細信息窗格中,單擊“指定 Intranet Microsoft 更新服務位置”。

  3. 同時在“為檢測更新設置 Intranet 更新服務”和“設置 Intranet 統計服務器”中鍵入同一WSUS 服務器的 HTTP URL。例如,在上述兩個文本框中鍵入 http://服務器名,其中服務器名是 WSUS 服務器的名稱(圖2)。

 

  4. 單擊“確定”,然后配置自動更新的行為。

  注意:客戶端不支持Windows 9X,還有就是Windows XP Home沒有組策略,為了能用上局域網中的SUS,只能用注冊表來部署,將下面代碼復制到記事本,并命名后綴名為reg的文件,導入注冊表即可。


 [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftwindowsWindowsUpdate] "WUServer"=http://WSUS

  "WUStatusServer"="http://WSUS" [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftwindowsWindowsUpdateAU]

  "NoAutoUpdate"=dword:00000000

  "AUOptions"=dword:00000003

  "ScheduledInstallDay"=dword:00000000

  "ScheduledInstallTime"=dword:00000003

  "UseWUServer"=dword:00000001

  "RescheduleWaitTime"=dword:00000005 "NoAutoRebootWithLoggedOnUsers"=dword:00000001

  其中http://WSUS這一行要改成你安裝sus服務器的地址。
第二招:為服務器加把安全鎖

  重要指數:★★★★

  服務器通常是24x7全天候運行的,所以,當五一長假人們都去放假的時候,服務器并不會跟著放假。在這無人值守的期間里,要想保證服務器的安全,做一些安全加固措施還是有必要的。

  Web服務器的安全

  Windows 的Web 服務器是IIS,有關IIS安全的話題比較寬泛,這里只簡單介紹利用微軟提供的加強IIS安全的工具來加固安全性。

  微軟對IIS的防護提供了一些有用的工具,如IIS Lockdown Tool、UrlScan(下載地址:http://download.cpcw.com )。

  應用這兩個工具可以做到:禁用或者刪除不必要的IIS服務和組件;修改默認配置,提高系統文件和Web內容目錄的安全性;用URLScan來過濾HTTP請求。

  用MBSA檢查服務器

  在即將到來的長假前,對服務器作一番安全基準檢查是非常有必要的。微軟官方提供了這樣的一個工具,叫Microsoft基準安全分析器MBSA。MBSA Ver2.0.1包含圖形和命令行界面,可以進行本地和遠程掃描(圖3)。

  使用MBSA可以確保沒有遺漏的安全漏洞,由于MBSA可以自動更新,所以應該定期使用以檢查新出現的漏洞。

  MBSA最新版本為2.1(下載地址:http://download.cpcw.com)。雖然MBSA沒有中文版本,但卻相當好用,不過還是有必要交代一下注意事項。

  MBSA對Windows、Office、IIS等軟件進行的掃描包括兩種:安全掃描和更新掃描。

  “安全掃描”是指掃描以上軟件是否進行了安全的配置,如:IIS鎖定工具是否已運行,文件系統的類型是否都采用了NTFS格式等。

  “更新掃描”是指掃描以上軟件是否安裝了最新的補丁程序。

  MBSA執行的是微軟所謂的“基準掃描”,即只掃描和報告Windows Update定義的“關鍵更新”,而不是掃描和報告所有的更新。而且MBSA不會自動安裝更新,需用戶另行操作完成。否則,漏洞依然存在。

  MBSA是基于IE頁面開發的,所以要運行MBSA需要 Internet Explorer 5.01 以上才行,而且IE的所有設置項都會影響MBSA的運行。

  每次掃描后生成的安全報告是以明碼格式保存到固定的文件夾中。因此,容易被黑客利用從而找出計算機的漏洞所在。所以應對安全報告另行處理(如打印、備份到其它目錄等),然后徹底刪除“SecurityScans”文件夾中的所有文件,以防被他人利用。

 

  第三招:加強客戶端電腦的安全防護

  重要指數:★★★

  對于客戶端而言,未采取域的,自然就沒有應用域上的組策略,也就不能按照域控制器上的組策略配合SUS服務器進行安全更新。這時,我們可以采取主動檢測系統漏洞的方法。

  采用MBSA或360安全衛士(圖4)等帶有檢測系統漏洞并打補丁的功能的安全產品來完成。如果限于條件,企業網絡沒有SUS補丁服務器的話,上述措施就顯得更有必要了。

  另外,作為企業網管,還應該發布安全公告,通知客戶端用戶采取以下措施。

  1. 使用基于主機的防火墻;安裝病毒防護軟件,在五一假期來到前升級到最新病毒庫。

  2. 在五一長假回來后,用戶不要隨意運行來歷不明的文件、不隨意訪問不明網站。

相關TAG標簽
上一篇:CHI病毒破壞力漸失 你的電腦成“肉雞”沒
下一篇:微軟稱 Vista系統安全能力有限 不能期望改變現狀
相關文章
圖文推薦

關于我們 | 聯系我們 | 廣告服務 | 投資合作 | 版權申明 | 在線幫助 | 網站地圖 | 作品發布 | Vip技術培訓 | 舉報中心

版權所有: 紅黑聯盟--致力于做實用的IT技術學習網站

美女MM131爽爽爽毛片