主機安全核查系統的設計與實現

◆董禎慧

主機安全核查系統的設計與實現

◆董禎慧

（信息工程大學 河南 450000）

信息系統是由計算機及其相關配套的設備、設施（含網絡）構成的，按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。隨著信息化建設的蓬勃發展，生產生活的方方面面都表現出對信息系統極大的依賴性。從組成信息系統的服務器、網絡、終端三個層面上來看，現有的保護手段是逐層遞減的，因此一談到信息系統安全，人們就往往會想到防火墻、入侵檢測和防病毒等傳統安全手段，把過多的注意力放在對服務器和網絡的保護上，而忽略了對終端主機的保護，由于主機安全防護措施不到位而引起的信息安全事件也連連發生。

主機安全；安全核查系統；設計與實現

1 終端安全現狀和問題

終端往往是創建和存放重要數據的源頭。絕大多數的攻擊事件都是從終端發起的。

調查數據顯示，政府和企事業單位信息系統中超過80%的安全事件來自終端。我國是遭受DDoS攻擊的重災區，據全球數據統計，2017年中國承受了全球DDoS攻擊數量的84.79%。許多普通用戶的電腦成為僵尸網絡的一員。亟須在終端操作平臺實施安全防范，從終端源頭上降低被攻擊和利用的風險。

通過分析現有的安全事件，終端安全事件發生的原因中65%是配置不當，30%是沒有打補丁，5%是遭到零日漏洞的攻擊。由此可知，只是依靠殺毒軟件，或者打補丁等安全手段是不夠的，更應當對癥下藥，對主機系統實施正確的安全配置，以保障終端安全。

2 主機安全核查系統的設計目標

Windows操作系統簡單易用，用戶廣泛，在信息系統中占有較高的比例。其龐大的設備數量，復雜繁多的設置，給策略配置，安全檢查造成一定的困難。要保證該操作系統的基本安全要求必須對本地安全策略，系統服務甚至包括注冊表，文件系統權限等安全功能進行配置。為了減少配置和檢查耗費的時間和工作量，本文設計主機安全核查配置系統，實現主機安全配置狀態的全面檢查，并可一鍵優化配置的自動化工具。主機安全核查系統有以下三個實現目標：

（1） 簡化用戶安全配置的過程；

（2） 實現迅速核查主機的安全配置狀況；

（3） 提高用戶終端的安全防御能力。

3 主機安全核查系統的設計

3.1 系統需求分析

對操作系統中關鍵的安全屬性進行參數設置，限制或禁止存在安全隱患或漏洞的功能，啟用或加強安全保護功能，增強終端抵抗安全風險的能力是該系統的安全功能需求。

功能需求從以下幾個關鍵方面考慮：

（1） 身份鑒別：加強對用戶身份鑒別，降低非法者假冒合法用戶登錄的風險；

（2） 訪問控制：限制匿名用戶的權限，限制遠程訪問等；

（3） 入侵防范：檢查防火墻設置，關閉危險端口和服務；

（4） 資源控制：管理外設使用權限，加強對主機資源的控制。

整個終端安全核查與配置系統應當能實現快速而準確的核查主機重點項目的配置狀態，并給出修改建議，要求不僅能檢查配置某個項目，也具有一鍵檢查配置的功能。即“一鍵檢測”，“一鍵加固”。與此同時還能根據標準給出合理的配置建議，指導用戶完成科學的自定義、個性化配置。以上是系統需要滿足的性能需求。

終端安全檢測系統所提供的配置功能只能由經驗證的用戶使用，這是系統的安全性需求。

3.2 系統整體設計

根據系統的功能，下分為五個功能模塊：

( 1 ) 身份鑒別加強

身份鑒別增強模塊的主要功能是加強身份認證，通過提高用戶口令強度，加強登錄控制，提高口令被破解，被猜測的難度，防止主機被未授權的用戶訪問。

身份鑒別配置包括：

a) 賬戶登錄時，應啟動身份驗證機制，限制連續登錄失敗次數，連續多次登錄失敗后應鎖定賬戶；

b) 應配置安全的口令長度、復雜度、有效期和加密強度，應禁止不設置口令。

( 2 ) 資源保護增強

打印機和光驅是終端資源的主要輸出口，高安全級別的終端應該遵循“不下寫”的原則，控制重要文件向外流出，如“政務終端電腦”。因此禁用打印機，禁止匿名用戶安裝打印驅動，關閉CD刻錄功能，實現光驅只讀是實現資源保護增強的重要手段。該功能模塊則實現對打印機服務，光驅功能，打印機驅動等安全項目的檢查和配置。

( 3 ) 本地服務檢查

計算機運行時對外對內開啟了許多服務，該模塊的功能是實時檢查本機所有服務的運行狀態，并重點標注危險服務的狀態，提示用戶進行配置。

( 4 ) 安全連接檢查

安全連接檢查是檢測計算機對外通道的開放和關閉狀態，安全連接檢查模塊下分兩個子模塊，分別是主機端口掃描和危險端口關閉模塊。一個端口就是一個潛在的通信通道，也可能變成一個入侵通道。對目標計算機進行端口掃描，發現并關閉危險端口，是有效阻止木馬等黑客攻擊的重要手段。掃描本機端口的開閉狀態，配置防火墻策略以限制來自危險端口的連接，是安全連接檢查的主要內容。

( 5 ) 入侵防范增強

加強終端的入侵防范能力不僅僅是開啟防火墻。Windows操作系統中很多關鍵的安全項目都在注冊表中，而默認的注冊表配置策略并沒有使計算機達到最高的安全保護狀態，該模塊中提供了許多注冊表配置組件，通過檢測和配置這些項目，關閉攻擊者的“后門”，以提高終端入侵防范的能力。

4 主機安全核查系統的實現

4.1 身份鑒別加強

本地安全策略的配置可以增強對本地登錄的限制，僅授權的用戶才有本地登錄的權限。

通過設置口令策略，強制用戶使用安全等級高的口令，極大地提高口令安全性，降低口令被暴力破解等方式破解的危險。在Windows系統中，口令策略有三個關鍵的配置項目，即密碼必須符合復雜性要求、設置密碼長度最小值、設置賬戶鎖定閾值。

Windows系統本地安全策略在“Secpol.msc”文件中保存，編寫腳本代碼可查看并寫入本地安全策略。

4.2 防火墻狀態的檢測

Windows提供了NetFwTypeLib編程接口，來檢查和操作防火墻的狀態。可以方便地檢測防火墻狀態及修改防火墻配置。

4.3 資源保護增強

光驅控制項、打印機驅動、打印機禁用等項目的檢測和控制，都通過讀取注冊表鍵值來獲取狀態，修改鍵值來更改狀態。

4.4 安全連接檢查

( 1 ) 端口掃描

根據操作系統提供的connect（）系統調用，用來與每一個感興趣的目標計算機的端口進行連接。如果端口處于偵聽狀態，那么connect（）就會返回連接成功。否則，這個端口是不能用的，即沒有提供服務。

通過掃描端口，用戶可以得知自己的開放端口，并配合系統中的關閉危險端口模塊將一些黑客常利用的端口關閉，阻止黑客遠程登錄主機，極大地提高終端安全性。

( 2 ) 關閉危險端口

Windows操作系統將137，138，139，445等易成為入侵攻擊的入口的端口，默認設置為開啟的狀態。如2017年勒索病毒利用Windows操作系統445端口存在的漏洞進行傳播。關閉危險端口，采用bat批處理腳本能迅速在防火墻中寫入禁用的相關策略，從而實現一鍵關閉。

4.5 入侵防范增強

( 1 ) 注冊表關鍵項配置

注冊表項：restrictanonymous

鍵值為0時，說明未對匿名連接做任何額外限制，未限制IPC空連接，存在安全隱患；鍵值為1時，這時，不允許SAM賬戶的匿名枚舉，禁止IPC空連接，限制對命名管道和共享安全策略設置的匿名訪問。

注冊表項：RestrictNullSessAccess

鍵值為0時，空會話訪問不受限制。未經身份驗證的用戶訪問所有共享資源。

鍵值為1時，空會話訪問受限制。未經身份驗證的用戶只能訪問NullSessionPipes條目的值和NullSessionShares條目的值中列出的共享目錄中列出的服務器管道。

( 2 ) 遠程控制檢查

主要利用相應功能對應的注冊表的鍵值來檢測各種遠程連接的狀態，并且修改鍵值或者打開對應設置項從而實現對功能的修改。

5 結語

對操作系統中關鍵的安全屬性進行參數設置，限制或禁止存在安全隱患或漏洞的功能，啟用或加強安全保護功能，能顯著提高主機抵抗安全風險的能力。半自動化的安全核查配置系統的推廣使用，可以使主機安全防護措施得到高效落實。

[1]國家信息化領導小組關于加強信息安全保障工作的意見[R].中辦發【2003】27號，2003，08.

[2]張笑笑，張艷，顧健.等級測評中主機安全配置檢查方法研究[C]//全國計算機安全學術交流會論文集·第二十五卷. 2010.