Windows NT 4.0 與 Windows 98 降低安全性威脅指南

第 8 章:結論

發佈日期: 2004 年 9 月 13 日 | 更新日期: 2006 年 3 月 30 日


本指南探討了在企業環境中部署較舊 Microsoft® Windows NT® 4.0 版和 Microsoft Windows® 98 用戶端所涉及的許多挑戰。本指南以 Trey Research 的經驗為例;Trey Research 是一間需要識別和降低安全性弱點的虛擬公司。許多組織面對和 Trey 一樣的問題,都必須實作自己的安全網路環境。

本指南介紹的資訊可讓您識別安全網路基礎結構、為執行舊版作業系統的伺服器和工作站建立基準設定、定義健全的補充程式管理程序,以及制定主動式防毒策略。在組織能夠升級至更新、更安全的作業系統前,這些技術有助於延長重要資產的壽命。

Trey Research 的案例或許無法完整反映您的環境,但是本指南介紹的技術適用於各種規模的組織,並適合大多數環境。最重要的概念是:完善的安全性需要持續的維護,應整合至 IT 組織的日常程序中;安全性包括安裝、設定基準、監視及更新程序。

本頁內容

Trey 環境中的威脅
總結

Trey 環境中的威脅

Trey 在風險分析中識別出的威脅需要詳細的識別和降低影響措施計畫。下列章節討論 Trey IT 人員如何計畫及執行保護公司網路安全的工作。

實體安全性威脅

Trey 系統最大的實體安全性威脅是對電腦進行不受控制的實體存取。相對來說,許多主要伺服器和工作站都未受保護。Trey 使用實體鎖和更完善的存取控制,並將最重要的伺服器移至更安全的地方,降低了部分風險。至於環境損害等其他實體安全性風險,只要採用非技術措施即可充分降低。

拒絕服務式攻擊

透過 Windows NT 4.0 中的網路強化和篩選功能,即可解決大多數影響 Trey 網路的拒絕服務風險。為了讓保護更穩固,Trey 在所有 Windows 98 和 Windows NT 電腦中安裝了個人防火牆。除了正確的伺服器和工作站設定之外,正確的網路分割和防火牆設定也有助於 Trey 指定可以傳送至特定電腦的流量類型。但是,Trey 無法完全降低網路流量被竄改或偽造的威脅。Microsoft Windows 2000、Windows XP 及 Windows Server™ 2003 支援使用網際網路通訊協定安全性擴充功能 (IPsec) 保護機密網路流量,但是 Windows 98 或 Windows NT 不支援 IPsec。

惡意程式碼威脅

Trey 識別出三種主要的惡意程式碼威脅:使用者執行惡意程式碼、病毒疫情及蠕蟲疫情。他們透過下列三種特定方式解決這些威脅:

  • 為了降低使用者執行惡意程式碼的部分風險,Trey 將工作站升級至 Internet Explorer 6.0 SP1 並套用限制更多的安全性設定。但是,這個有效的方法 (使用 Windows 軟體限制原則僅執行信任的應用程式) 不適用於 Windows NT 和 Windows 98,因為這兩個作業系統不支援限制原則。

  • 為了防止病毒感染,Trey Research 安裝了中央管理防毒軟體來保護所有伺服器和工作站。病毒定義會每天更新,而且防毒主控台可以排定或手動起始每週掃描。如果網路中含有受到病毒感染的電腦、下載的檔案或媒體,受保護的用戶端受感染的風險會比較低。

  • 為了防止蠕蟲入侵,Trey 將網路分割,使所有舊電腦位於各自獨立的網路區段,並具有各自的防火牆。他們開發了補充程式管理程序,確保新的補充程式會及時部署至所有系統;並檢閱及限制了防火牆設定,確保不會開啟不必要的連接埠。

由於 Windows NT 和 Windows 98 都不完全支援 Microsoft 和其他協力廠商提供的補充程式管理工具,因此 Trey 在降低威脅上必須花較大的心思。尤其,因為 Trey 無法使用 Microsoft Baseline Security Analyzer (MBSA) 掃描 Windows 98 電腦,因此公司員工必須清查這些電腦,然後手動將補充程式套用至這些電腦。這對於 Trey 來說是一個嚴重的問題,只能在公司完成 IT 現代化時予以解決。

話說回來,最適合防範惡意程式碼威脅的保護措施是教育使用者遵循良好的安全性作法。這些作法包括選擇適當的 Internet Explorer 安全性設定,及小心下載和執行程式或附件。

資訊洩露威脅

Trey 以三個主要措施降低第 2 章述及的資訊洩露威脅。首先,公司開始要求所有電腦均使用 NTLMv2 驗證。此要求對相容性有明顯的影響,且安全性比純 Kerberos 部署低。但是,這項舉動在 Trey 完成 IT 現代化和部署 IPsec 之前,作為權宜的保護措施已足夠。

除此之外,Trey 還為 Windows NT、Windows 2000 及 Windows Server 2003 電腦啟用了伺服器訊息區 (SMB) 簽章。這個方法有助於舊電腦確認所有網路傳輸的真實性。Trey 草擬了一份計畫來監視電腦是否出現效能瓶頸。電腦效能預計會降低 10% 至 15%;如果這樣會對某些伺服器造成太大影響,Trey 可以移除受影響用戶端的 RequireSecuritySignature 設定。Microsoft Active Directory® 目錄服務中相符的群組原則物件 (GPO) 可控制原生 Active Directory 伺服器和工作站的 SMB 簽章;Trey 也可能必須加以重設。

為了加強安全性帳戶管理員 (SAM) 資料庫對離線攻擊的保護,Trey 要求所有 Windows NT、Windows 2000 及 Windows 2003 伺服器都使用 Syskey 公用程式。這有助於降低攻擊者從這些機器中取得機密安全性資料的風險。

Trey 無法有效地降低攻擊者從公司行動電腦竊取資料的風險。Windows 2000 和 Windows XP 中的加密檔案系統 (EFS) 可讓使用者選擇性地加密電腦上的重要資料,因此即使攻擊者竊取資料,也無法復原已加密的資料;EFS 有效地為公司降低了風險。

帳戶入侵威脅

Trey 面臨的最大帳戶威脅是安全性不足的密碼可能會使攻擊者能夠入侵帳戶。由於 Windows 98 支援的最大密碼長度為 8 個字元,因此 Trey 無法完全降低此風險。但是,使用 NTLMv2 驗證有助於稍微降低從網路復原密碼雜湊的風險。然而風險依舊存在:攻擊者可以在個別電腦重設本機密碼;Windows 2000、Windows XP 及 Windows Server 2003 包含專門設計用來防止此類攻擊的功能。

總結

本指南討論如何識別和降低含有 Windows 98 和 Windows NT 4.0 Workstation 和 Server 電腦的網路環境中的安全性風險。

  • 第 1 章討論 Trey 的基礎結構,並介紹該規模的典型網路環境。

  • 第 2 章介紹 SRMD 程序和元件,並提供範例,說明它們如何適用於 Trey 的 IT 環境。接著本章使用 SRMD 的原則來稽核和識別公司網路中的弱點。

  • 第 3 章討論安全地設計網路基礎結構的方法,以在拒絕不必要或有害的流量時支援必要的通訊。

  • 第 4 章和第 5 章展示降低 Windows NT 4.0 伺服器和工作站及 Windows 98 工作站的安全性弱點的方法。主要主題包括設定電腦以加入 Active Directory、套用安全性原則,以及選擇安全可靠的驗證和通訊協定。

  • 第 6 章建立實作補充程式管理程序的長期程序,並討論稽核、設定基準、補充程式安裝及程序自動化的相關事宜。

  • 第 7 章分析日益成長的病毒、蠕蟲及特洛伊木馬程式的威脅,並討論解決這些威脅的正確方法。

各組織如果將這類工作納入日常作業程序,即可獲得各種利益,如提升系統正常執行時間、使用者滿意度,並延長整體舊電腦的生命週期。

顯示: