金蝶K/3系统网络安全基本策略

　　一、操作系统安全隐患分析

　　（一）安装隐患

　　在一台服务器上安装Windows 2000 Server操作系统时，主要存在以下隐患：

　　1、将服务器接入网络内安装。Windows2000 Server操作系统在安装时存在一个安全漏洞，当输入Administrator密码后，系统就自动建立了ADMIN$的共享，但是并没有用刚刚输入的密码来保护它，这种情况一直持续到再次启动后，在此期间，任何人都可以通过ADMIN$进入这台机器；同时，只要安装一结束，各种服务就会自动运行，而这时的服务器是满身漏洞，计算机病毒非常容易侵入。因此，将服务器接入网络内安装是非常错误的。

　　2、操作系统与应用系统共用一个磁盘分区。在安装操作系统时，将操作系统与应用系统安装在同一个磁盘分区，会导致一旦操作系统文件泄露时，攻击者可以通过操作系统漏洞获取应用系统的访问权限，从而影响应用系统的安全运行。

　　3、采用FAT32文件格式安装。FAT32文件格式不能限制用户对文件的访问，这样可以导致系统的不安全。

　　4、采用缺省安装。缺省安装操作系统时，会自动安装一些有安全隐患的组件，如：IIS、DHCP、DNS等，导致系统在安装后存在安全漏洞。

　　5、系统补丁安装不及时不全面。在系统安装完成后，不及时安装系统补丁程序，导致病毒侵入。

　　（二）运行隐患

　　在系统运行过程中，主要存在以下隐患：

　　1、默认共享。系统在运行后，会自动创建一些隐藏的共享。一是C$ D$ E$ 每个分区的根共享目录。二是ADMIN$ 远程管理用的共享目录。三是IPC$ 空连接。四是NetLogon共享。五是其它系统默认共享，如：FAX$、PRINT$共享等。这些默认共享给系统的安全运行带来了很大的隐患。

　　2、默认服务。系统在运行后，自动启动了许多有安全隐患的服务，如：Telnet services、DHCP Client、DNS Client、Print spooler、Remote Registry services（选程修改注册表服务）、SNMP　Services 、Terminal Services 等。这些服务在实际工作中如不需要，可以禁用。

　　3、安全策略。系统运行后，默认情况下，系统的安全策略是不启作用的，这降低了系统的运行安全性。

　　4、管理员账号。系统在运行后，Administrator用户的账号是不能被停用的，这意味着攻击者可以一遍又一遍的尝试猜测这个账号的口令。此外，设置简单的用户账号口令也给系统的运行带来了隐患。

　　5、页面文件。页面文件是用来存储没有装入内存的程序和数据文件部分的隐藏文件。页面文件中可能含有一些敏感的资料，有可能造成系统信息的泄露。

　　6、共享文件。默认状态下，每个人对新创建的文件共享都拥有完全控制权限，这是非常危险的，应严格限制用户对共享文件的访问。

　　7、Dump文件。Dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而，它也能够给攻击者提供一些敏感信息，比如一些应用程序的口令等，造成信息泄露。

　　8、WEB服务。系统本身自带的IIS服务、FTP服务存在安全隐患，容易导致系统被攻击。

 
　　二、安全防范对策

　　（一）安装对策

　　在进行系统安装时，采取以下对策：

　　1、在完全安装、配置好操作系统，给系统全部安装系统补丁之前，一定不要把机器接入网络。

　　2、在安装操作系统时，建议至少分三个磁盘分区。第一个分区用来安装操作系统，第二分区存放IIS、FTP和各种应用程序，第三个分区存放重要的数据和日志文件。

　　3、采用NTFS文件格式安装操作系统，可以保证文件的安全，控制用户对文件的访问权限。

　　4、在安装系统组件时，不要采用缺省安装，删除系统缺省选中的IIS、DHCP、DNS等服务。

　　5、在安装完操作系统后，应先安装在其上面的应用系统，后安装系统补丁。安装系统补丁一定要全面。

　　（二）运行对策

　　在系统运行时，采取以下对策：

　　1、关闭系统默认共享

　　方法一：采用批处理文件在系统启动后自动删除共享。　首选在Cmd提示符下输入“Net Share”命令，查看系统自动运行的所有共享目录。然后建立一个批处理文件SHAREDEL.BAT，将该批处理文件放入计划任务中，设为每次开机时运行。文件内容如下：

　　NET SHARE C$ /DELETE

　　NET SHARE D$ /DELETE

　　NET SHARE E$ /DELETE

　　……

　　NET SHARE IPC$ /DELETE

　　NET SHARE ADMIN$ /DELETE

　　方法二：修改系统注册表，禁止默认共享功能。在Local_Machine\ System\ CurrentControlSet\Services\Lanmanserver\parameters下新建一个双字节项“auto shareserver”，其值为“0”。

　　2、删除多余的不需要的网络协议

　　删除网络协议中的NWLink NetBIOS协议，NWLink IPX/SPX/NetBIOS 协议，NeBEUI PROtocol协议和服务等，只保留TCP/IP网络通讯协议。

　　3、关闭不必要的有安全隐患的服务

　　用户可以根据实际情况，关闭表1中所示的系统自动运行的有安全隐患的服务。　　

 

表1　需要关闭的服务表
服务名称                                     更改操作
DHCP CLIENT                                 停止并禁用
DNS CLIENT                                  停止并禁用
REOMTE REGISTRY SERVECES                 停止并禁用
SNMP SERVICES                               停止并禁用
TELNET SERVICES                             停止并禁用
TERMINAL SERVICES                           停止并禁用
Workstation                                     停止并禁用
Messenger                                     停止并禁用
ClipBook                                        停止并禁用
　4、启用安全策略
　　安全策略包括以下五个方面：
　　（1）账号锁定策略。设置账号锁定阀值，5次无效登录后，即锁定账号。
　　（2）密码策略。一是密码必须符合复杂性要求，即密码中必须包括字母、数字以及特殊字符，如：上档键上的+_（）*&^%$#@!?><”:{}　等特殊字符。二是服务器密码长度最少设置为8位字符以上。三是密码最长保留期。一般设置为1至3个月，即30－90天。四是密码最短存留期：3天。四是强制密码历史：0个记住的密码。五是“为域中所有用户使用可还原的加密来储存密码”，停用。
　　（3）审核策略。默认安装时是关闭的。激活此功能有利于管理员很好的掌握机器的状态，有利于系统的入侵检测。可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等等。开启安全审核是系统最基本的入侵检测方法。当攻击者尝试对用户的系统进行某些方式（如尝试用户口令,改变账号策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。避免不能及时察觉系统遭受入侵以致系统遭到破坏。建议至少审核登录事件、帐户登录事件、帐户管理三个事件。
　　（4）“用户权利指派”。在“用户权利指派”中，将“从远端系统强制关机”权限设置为禁止任何人有此权限，防止黑客从远程关闭系统。
　　（5）“安全选项”。在“安全选项”中，将“对匿名连接的额外限制”权限改为“不允许枚举SAM账号和共享”。也可以通过修改注册表中的值来禁止建立空连接，将Local_Machine \System\CurrentControlSet\Control \LSA-RestrictAnonymous 的值改为“1”。如在LSA目录下如无该键值，可以新建一个双字节值，名为“restrictanonymous”，值为“1”，十六进制。此举可以有效地防止利用IPC$空连接枚举SAM账号和共享资源，造成系统信息的泄露。
　　5、加强对Administrator账号和Guest账号的管理监控
　　将Administrator账号重新命名，创建一个陷阱账号，名为“Administrator”，口令为10位以上的复杂口令，其权限设置成最低，即：将其设为不隶属于任何一个组，并通过安全审核，借此发现攻击者的入侵企图。设置2个管理员用账号，一个具有一般权限，用来处理一些日常事物；另一个具有Administrators 权限，只在需要的时候使用。修改Guest用户口令为复杂口令，并禁用GUEST用户账号。
　　6、禁止使用共享
　　严格限制用户对共享目录和文件的访问，无特殊情况，严禁通过共享功能访问服务器。
　　7、清除页面文件
　　修改注册表HKLM\SYSTEM\CurrentControlSet\Control\ Session Manager\Memory Management中“ClearPageFileAtShutdown”的值为“1”，可以禁止系统产生页面文件，防止信息泄露。
　　8、清除Dump文件
　　打开控制面板→系统属性→高级→启动和故障恢复，将“写入调试信息”改成“无”，可以清除Dump文件，防止信息泄露。
　　9、WEB服务安全设置
　　确需提供WEB服务和FTP服务的，建议采取以下措施：
　　（1）IIS-WEB网站服务。在安装时不要选择IIS服务，安装完毕后，手动添加该服务，将其安装目录设为如D:\INTE等任意字符，以加大安全性。删除INTERNET服务管理器，删除样本页面和脚本，卸载INTERNET打印服务，删除除ASP外的应用程序映射。针对不同类型文件建立不同文件夹并设置不同权限。对脚本程序设为纯脚本执行许可权限，二进制执行文件设为脚本和可执行程序权限，静态文件设为读权限。对安全扫描出的CGI漏洞文件要及时删除。
　　（2）FTP文件传输服务。不要使用系统自带的FTP服务，该服务与系统账户集成认证，一旦密码泄漏后果十分严重。建议利用第三方软件SERV-U提供FTP服务，该软件用户管理独立进行，并采用单向hash函数（MD5）加密用户口令，加密后的口令保存在ServUDaemon.ini或是注册表中。用户采用多权限和模拟域进行权限管理。虚拟路径和物理路径可以随时变换。利用IP规则，用户权限，用户域，用户口令多重保护防止非法入侵。利用攻击规则可以自动封闭拒绝攻击，密码猜解发起计算机的IP并计入黑名单。
　　三、结束语
　　以上是笔者根据多年的工作经验总结的一点心得，有些地方研究的还不够深入，希望本文能给操作系统安全防范工作提供帮助。日常管理工作中，系统管理员还必须及时安装微软发布的最新系统安全漏洞补丁程序，安装防病毒软件并及时升级病毒定义库，来防止计算机病毒的入侵，保障操作系统的安全运行。
K/3系统与防火墙配置
一、名词解释
防火墙（FireWall）——是通过创建一个中心控制点来实现网络安全控制的一种技术。通过在专用网和Internet之间的设置路卡、防火墙监视所有出入专用网的信息流，并决定哪些是可以通过的，哪些是不可以的。安全的防火墙意味着网络的安全。
端口（Port）——计算机用于通讯所使用的通道，如web用的端口80，开放的端口越多，则越容易被非法入侵。
TCP——Transmission Control Protocol的简称，是Internet上广为使用的一种计算机协议。
UDP——User Datagram Protocol的简称，Windows NT常使用的协议。
DCOM——分布式组件对象模型。
二、操作指南：
由于安全性的问题，防火墙只允许通过Internet信息数据交换使用特定端口（如web用80），而DCOM创建对象时使用的是1024-65535之间的动态port，并且由于防火墙的IP伪装特性，这使DCOM在有防火墙的服务器上是不能进行正常连接的，为解决此问题，需如下处理：
（一） K3数据库端口设置
由于开放Port越多，则安全性越差，一般防火墙都关闭了大量端口，以防止非法入侵，但DCOM要使用大量的Ports，要解决二者的矛盾，可通过统一的RPC管理(远程过程调用)，（由RPC统一进行创建DCOM对象所需的port的映射处理）所以需在防火墙服务器上打开RPC端口135。
具休操作如下：
1、 运行DCOMCNFG.EXE
如下图所示，选择默认协议→面向连接的TCP/IP→属性→添加端口范围（至少5个以上），例如：4000-4005，当然如果使用其他连续5个端口也可以，最后确定保存并重新启动计算机。
 
2、为数据库开放的端口：
a) TCP端口：135（RPC）、1433（数据库）、4000、4001、4002、4003、4004、4005（COM Internet 端口范围）
b) UDP端口：无
2、 重新启动服务器即可。
3、 测试（可选项）：打开网卡属性→TCP/IP→高级→选项，重新启动，使用中间层藏套管理测试是否正常。如下图所示：
 

（二） K3中间层端口设置
具休操作如下：
4、 运行DCOMCNFG.EXE
如下图所示，选择默认协议→面向连接的TCP/IP→属性→添加端口范围（至少35个以上,有多少个组件包，就必须设置开放相同数量连续端口），例如：4000-4035，当然如果使用其他连续35个端口也可以，最后确定保存并重新启动计算机。
 
2、为中间层开放的端口：
A、 TCP端口：135（RPC）、4000、4001、4002、…、4035（COM Internet 端口范围）
B、 UDP端口：无
三、数据库服务器与中间层服务器操作系统登录账号关系——非域用户情形
约定：登录中间层账号A_count属于本地系统管理员组，密码为99999
则：数据库服务器需创建本地账号为A_count，密码为99999,同时务必将该账号属性USERS组删除。
测试：账套备份和恢复立即正常
建议：不要使用administrator账号登录。防止可能性的计算机病毒由于账号和密码完全一样，且均为系统管理员组，造成病毒蔓延。