引言：各信息系統(tǒng)終端是企業(yè)網(wǎng)絡(luò)的信息節(jié)點(diǎn)，也是關(guān)乎信息系統(tǒng)安全的重要環(huán)節(jié)。為有效防范入侵檢測(cè)、信息竊取、APT攻擊等安全威脅，做好信息終端防護(hù)才能把好“自家大門”，那么平時(shí)需要做好的具體工作有哪些呢？筆者結(jié)合工作經(jīng)驗(yàn)做詳細(xì)介紹。

大多數(shù)信息系統(tǒng)應(yīng)用人員可能認(rèn)為網(wǎng)絡(luò)安全是網(wǎng)管部門需要關(guān)注解決的專業(yè)問題，與用戶終端關(guān)系不大。其實(shí)不然，各信息系統(tǒng)終端是企業(yè)網(wǎng)絡(luò)的信息節(jié)點(diǎn)，也是關(guān)乎信息系統(tǒng)安全的重要環(huán)節(jié)。為有效防范入侵檢測(cè)、信息竊取、APT攻擊等安全威脅，做好信息終端防護(hù)才能把好“自家大門”，那么平時(shí)需要做好的具體工作有哪些呢？就這一問題，筆者結(jié)合工作經(jīng)驗(yàn)做詳細(xì)介紹。

完善本地安全策略

1.密碼策略設(shè)置

嚴(yán)防網(wǎng)絡(luò)攻擊的最基本要求就是配置帳戶密碼，設(shè)置密碼時(shí)通常要求密碼要盡可能復(fù)雜，同時(shí)合理配置密碼長(zhǎng)度最小值、最短使用期限、最長(zhǎng)使用期限等策略參數(shù)，登錄時(shí)密碼輸入錯(cuò)誤達(dá)到指定次數(shù)，系統(tǒng)要能自動(dòng)鎖定該登錄帳戶，可通過依次打開“管理工具”、“本地安全策略”對(duì)話框，依次選擇“帳戶策略”、“密碼策略”選項(xiàng)進(jìn)行設(shè)置，如圖1所示。

圖1 密碼策略設(shè)置

圖2 審核策略設(shè)置

2.審核策略設(shè)置

為了保證審核安全信息質(zhì)量相對(duì)提高，減少資源占用率，可通過依次打開“管理工具”、“本地安全策略”對(duì)話框，選擇“審核策略”選項(xiàng)設(shè)置帳戶登錄、系統(tǒng)事件的審核包含成功和失敗操作，策略更改、帳戶管理等事件的審核包含成功操作，如圖2所示。

3.用戶權(quán)限分配

防止默認(rèn)共享(IPC$, C$, ADMIN$)被用作入侵通道，應(yīng)嚴(yán)格限制用戶的完全控制權(quán)限，對(duì)威脅系統(tǒng)安全的權(quán)限應(yīng)做到禁用或嚴(yán)格限制，可通過依次打開“管理工具”、“本地安全策略”對(duì)話框，選擇“用戶權(quán)限分配”選項(xiàng)進(jìn)行設(shè)置。

優(yōu)化系統(tǒng)注冊(cè)表設(shè)置

1.設(shè)置注冊(cè)表修改權(quán)限

用戶在使用時(shí)非常容易忽視注冊(cè)表，還有許多用戶因?yàn)榕缕茐南到y(tǒng)而不敢隨意改動(dòng)注冊(cè)表，比較安全的做法是僅允許管理員訪問注冊(cè)表，具體方法是，在系統(tǒng)Windows目錄下找到“regedit.exe”文件，右鍵選擇“權(quán)限”選項(xiàng)，將無(wú)關(guān)用戶權(quán)限取消，如圖3所示。

2.清空遠(yuǎn)程可訪問的注冊(cè)表路徑

為有效防止入侵者通過遠(yuǎn)程訪問注冊(cè)表讀取系統(tǒng)信息，應(yīng)打開“組策略編輯器”，在“運(yùn)行”里輸入“gpedit.msc”，依次打開“計(jì)算機(jī)配置”、“Windows 設(shè)置”“安全設(shè)置”、“本地策略”、“安全選項(xiàng)”，找到“網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊(cè)表路徑”選項(xiàng)，將內(nèi)容全部刪除。

3.修改注冊(cè)表安全選項(xiàng)

圖3 設(shè)置注冊(cè)表修改權(quán)限

圖4 系統(tǒng)注冊(cè)表

[HKEY_LOCAL_MACHINE]是系統(tǒng)注冊(cè)表重要配置，其中存放了系統(tǒng)中各項(xiàng)重要的核心設(shè)置數(shù)據(jù)，只有管理員權(quán)限的用戶可以訪問。然而有許多項(xiàng)通常情況下都是默認(rèn)設(shè)置，如圖4所示，存在諸多隱患，所以需要修改參數(shù)確保系統(tǒng)更加安全。具體步驟是，打開“開始”按鈕，點(diǎn)擊“運(yùn)行”，輸入“regedit”，打開注冊(cè)表編輯器，進(jìn)行以下操作：為防范ICMP重定向報(bào)文攻擊，需改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcp ipParameters，將Enable ICMPRedirects值由1設(shè)為0；為防范SYN洪水攻擊，需改HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetServicesTcpipParameters，新建DWORD值，名為SynAttackProtect， 值為2；為防范IPC空連接隱患，需改HKEY_LOCAL_MACHINESYSTEMCurrent Control SetControlLsa，將restrictanonymous值由0設(shè)成1。相關(guān)安全設(shè)置還有很多，在此省略。

制定IP安全策略

IPSec支持系列加密算法，可進(jìn)行數(shù)據(jù)源認(rèn)證，篩選特定IP或端口，提供安全、透明、高效的網(wǎng)絡(luò)防護(hù)?？稍凇癐P安全策略”里配置：

1.定義策略

依次打開“管理工具”、“本地安全設(shè)置”對(duì)話框，右擊“IP安全策略”選項(xiàng)，選擇“創(chuàng)建IP安全策略”。

2.定義篩選器

右鍵點(diǎn)擊“IP安全策略”選擇“管理IP篩選器表和篩選器操作”，定義“IP 篩選器列表”和“IP 篩選器屬性”，設(shè)置“源地址”、“目標(biāo)地址”、“協(xié)議類型”、“協(xié)議端口”。

3.定義規(guī)則屬性

在“新規(guī)則屬性”窗口中點(diǎn)選創(chuàng)建的規(guī)則，點(diǎn)擊“管理篩選器操作”選項(xiàng)卡下的“添加”，選擇“安全措施”下的“阻止”選項(xiàng)。

4.策略生效

在“組策略”窗口中，右擊“創(chuàng)建的策略”，選擇“分配”選項(xiàng)，啟用該策略。