高校Windows辦公終端安全策略配置實踐

　　摘 要： 本文闡述了組織內部信息安全問題及終端計算機在安全管理鏈中的重要性，討論了高校Windows辦公終端具有特殊性，研究如何使用微軟的安全模板對這些終端計算機進行安全策略配置管理。
　　關鍵詞： Windows安全策略 安全模板 自動化部署
　　
　　1.引言
　　近年來，2002年美國FBI和CSI通過對484家公司的調查統計發現，超過85%的安全威脅來自組織內部，［１］系統內部信息安全問題一直受到人們的普遍關注。今天越來越多的業務和數據依賴計算機和網絡，高校各級部門也越來越重視信息安全。
　　終端計算機作為信息和數據處理的基本單元，涉及信息和數據的輸入、處理、存儲、傳播等環節，是內部網絡的一個重要組成，也是病毒和木馬最容易滋生的地方。終端計算機的安全性對于整個校園網絡的信息安全至關重要，有必要對終端計算機進行安全配置和管理。
　　2.高校終端計算機安全風險分析
　?。?）分散性。由于歷史及發展原因，黨政機構和各教學系部并不在同一區域辦公，地理位置相隔較遠，導致終端計算機分布較廣，由一個統一的管理機構對終端計算機實現完全掌控較為困難，不能第一時間到現場處理爆發的安全問題，所以事前做好安全配置及部署分布性安全管理系統很重要。
　　（2）集中性。辦公用終端計算機大部分是Microsoft公司的Windows XP系統，日常應用軟件主要集中在文字處理、數據統計和報表處理類軟件，OA平臺，即時通訊軟件和網絡信息瀏覽軟件上。這為我們應用統一的安全配置提供了可能。
　　（3）辦公室人員的計算機應用水平參差不齊，計算機安全意識缺乏，不僅給高校信息化建設和應用帶來困難，而且對終端計算機安全造成隱患。我們有必要根據安全要求對終端計算機進行配置和監控，把風險控制在可接受的范圍之內，避免造成更大損失。
　　（4）根據我們的經驗，主要安全威脅來自于木馬病毒，傳播途徑主要集中在U盤傳播和利用IE及其它應用軟件漏洞進行網頁掛馬傳播。
　　3.安全策略配置原則
　　（1）最少服務及最小權限（LUA）原則。最少服務原則規定，計算機可用的操作系統和網絡協議應當僅運行支持業務應用所切實必需的服務和協議。最小權限原則規定，您為實體分配完成其工作所需的最少數量的訪問權限，而不分配任何其他權限。［2］此原則是進行安全策略配置的基本原則。最小權限方法可阻止安裝未經授權的、無許可證的或惡意的軟件，還可阻止用戶對其計算機進行未知更改。
　?。?）安全性與易用性平衡原則。在保證可接受的安全性同時，采取措施保證終端計算機的易用性，避免用戶操作受挫而產生焦慮感，進而影響工作效率。
　　（3）可持續管理原則。安全策略的可擴展性和可維護性能好，能追溯終端安全配置的未經授權更改。
　?。?）安全策略實施應盡量使用系統本身功能實現，避免使用第三方軟件帶來的安全及性能問題。
　　4.重點安全配置
　?。?）帳戶權限設置。以LUA為基本原則，嚴格限制辦公終端登陸帳戶權限。各建立了一個administrators組和Users組帳號，分別把“顯示名”設定為“管理專用”和“日常工作”。在默認情況下，只在登陸界面顯示“日常工作”帳號。
　　（2）文件權限設置。更改硬盤權限設定，除系統分區之外的其它分區為Users組增加寫權限；去掉非系統分區根目錄的可執行權限，使根目錄下的應用程序無法執行，避免用戶誤執行U盤病毒。對于某些不符合LUA規范的軟件，需要對一些目錄進行特別的權限設置才能使其在受限帳戶下使用。
　?。?）系統服務設置。根據需要關閉Remote Registry、Computer Browser、Routing and Remote Access、Messenger、Telnet、TCP/IP NetBIOS Helper、Server等服務。確?！癝econdary Logon”服務項的啟動類型為“自動”，實現在受限帳戶下能輸入管理員憑證以管理員權限啟動程序。
　　（4）審核策略。審核“審核策略更改”、“審核登錄事件”、“審核賬戶登錄事件”和“審核帳戶管理”的成功與失敗操作，只關注“審核對象訪問”、“審核過程追蹤”、“審核特權使用”和“審核系統事件”的失敗操作。
　?。?）帳戶策略。確保用戶密碼必須符合復雜性要求，不能包含用戶的帳戶名，不能包含用戶姓名中超過兩個連續字符的部分，至少有9個字符長。設定帳戶鎖定閾值、帳戶鎖定時間和復位帳戶鎖定計數器，增加暴力猜解密碼難度。
　?。?）安全選項。禁止SAM帳戶和共享的匿名枚舉，停止匿名SID/名稱轉換，使用空白密碼的本地帳戶只允許進行控制臺登錄，重命名來賓帳戶和系統管理員帳戶，等等。給“日常工作”帳戶增加修改系統時間一類平時需要的權限。
　?。?）軟件限制策略。通過設定軟件限制策略，防止用戶運行未經授權的軟件和訪問關鍵注冊表項，并提供措施防止病毒和特洛伊木馬程序的攻擊。
　　（8）瀏覽器安全設置。重點配置Internet安全屬性的Internet區域、可信站點區域和受限站點區域，特別是Internet區域的“ActiveX控件和插件”和“二進制和腳本行為”項，禁止下載未簽名的ActiveX控件，禁用未標記為可安全執行腳本的ActiveX控件，等等。將確定為安全可靠的站點增加到可信站點區域中，將惡意網址添加到受限站點中。
　?。?）自動更新策略。在受限帳戶下，需要將Windows自動更新設置為自動下載推薦更新，并確定一個特定的時間段安裝它們，否則無法自動安裝更新。
　?。?0）禁止U盤自動運行。在默認情況下，一旦用戶將U盤插入USB口，自動運行程序就開始從U盤中讀取，惡意軟件利用此特性進行傳播，故要通過組策略禁止所有驅動器的自動播放。
　　5.安全策略實現
　　（1）通過安全模板生成安全配置文件。安全模板是一種表示安全配置的文件，以一定的格式保存我們對“帳戶策略”、“本地策略”、“事件日志”、“系統服務”、“注冊表”和“文件系統權限”等所做的配置，通過“安全模板”、“安全配置和分析”管理工具可以對安全模板進行編輯、分析和應用。［3］
　?、俅蜷_Microsoft管理控制臺，添加“安全模板”、“安全配置和分析”管理單元并保存。
　?、谕ㄟ^控制臺中的“安全模板”打開Windows自帶的模板，按預定的安全策略配置方案進行修改，并另存為新的模板備用。
　?、蹚目刂婆_中的“安全配置和分析”打開Windows自帶的安全數據庫文件secedit.sdb，導入剛保存好的模板，對主機進行配置分析操作，檢測策略配置效果，根據需要進行策略調整，完成后保存數據庫及導出保存模板。
　　（2）通過腳本文件進行自動化部署。使用Secedit.exe命令行工具通過腳本文件實現對終端計算機應用安全策略自動化。Secedit命令的語法可以通過輸入“Secedit/?”得到，安全模板不能完成用戶帳戶的新建和修改，所以在腳本中使用命令行的方式實現，如果需要修改終端計算機注冊表項，可以使用reg命令行進行處理。把secedit.exe、生成的安全配置數據庫、安全模板文件和創建好的安全配置腳本文件存放到同一個目錄下，復制到目標終端運行即可完成安全策略部署。安全配置腳本的一個典型應用實例見下圖所示。
　　title ××學院終端系統自動配置［配置安全級別：SO1］［版本號：V2010.09.19］
　　echo?搖系統安全策略自動配置腳本［版本V2010.09.19］
　　@echo→腳本將在您的系統中應用設定好的安全策略，自動新建與修改用戶操作，請按任意鍵繼續，終止運行請按ctrl+c。
　　pause＞nul
　　secedit/configure/db B1SecSet.sdb/cfg bO1.inf/log bO1configure.txt/overwrite/quietnet user administrator/FULLNAME:"管理用戶"
　　net user user/a dd/FULLNAME:"日常用戶"/USERCOMMENT:"受限用戶"/COMMENT:"這是平常工作專用的受限帳戶"/EXPIRES:NEVER
　　exit
　　6.結語
　　經過幾年的實踐證明，使用該方法對辦公終端計算機進行安全策略配置后，終端安全事件明顯減少，減少了終端計算機維護時間和成本，減輕了系統管理人員工作量，提高了辦公效率。
　　參考文獻：
　?。?］吳亞非等主編.信息安全風險評估［M］.北京：清華大學出版社，2007-4.
　　［2］微軟.服務和服務帳戶安全規劃指南.http：//www.microsoft.com/china/technet/security/.
　?。?］劉暉編著.Windows安全指南［M］.北京：電子工業出版社，2008-02.