企业PC终端安全问题分析及整改措施
作者:互联网
第一次写技术文章,简单介绍下。我从事网络、安全行业将近6年,现在单位负责网络安全,主要维护、优化本单位及全市下级单位网络,搭建本单位的网络安全体系。一路以来的心路历程除了艰辛还是艰辛,主要想把自己多年编写过的技术文档,处理故障的一些心得,分享出来给各位正在网络安全路上奋斗的小伙伴,一起努力,天道酬勤!
首先,先了解下关于终端安全,本文针对是桌面PC,非服务器(虽然有些措施可以通用,后续会出个服务器版的终端安全)主要有几大方面:防病毒、木马、系统补丁修复、终端防护安全策略、网络准入、软件管控、移动设备管控、员工安全意识。
一.防病毒、木马。
病毒木马有不同类型,如:勒索病毒、挖矿木马、风险软件、后门远控…等,这些病毒木马可以从不同渠道进入到单位网络,so,如何防护?
1.从源头上隔绝病毒木马。
要安装软件,务必在软件官方网站上进行下载,不要通过软件下载器,不要打开搜索引擎搜索关键字,随便点个链接就下载。如果点了风险链接或者是冒牌网站进行下载软件,基本上都会感染病毒,或者是软件自带后门远控。
企业内网的话,因为上不了互联网,所以这类风险较少。
2.安装防病毒软件。
根据企业规模,条件允许的话,可以购买付费的杀毒软件,可以享有技术支持,维保服务,管理平台,功能更强大。
ps:作为刚从业网络安全行业的小白来说,厂家技术支持是非常重要的,一来可以减轻工作量,二来可以跟这些售后工程师学习,所以关系要处理好。
安装了防病毒软件之后,并不是说一劳永逸。需坚持做好以下这几点:
(1)必须定期更新病毒库,起码一周一次,若是互联网环境,则可以自动每日更新。若是企业内网的话,可以通过下载离线更新包的方式更新。有条件的话,还可以搭建内网互联网数据交互平台,让内网的防病毒服务器以代理的方式,通过数据交换平台,访问互联网实现自动更新病毒库。一般企业可能就是通过防火墙来实现了,有条件的,可购置数据交换系统,如网闸。甚至高大上点,用单向光闸。
(2)在防病毒的控制台上,设置邮件告警,报表。最起码有PC感染了病毒木马,会第一时间收到邮件告警。至少每周收到一次全网感染病毒情况的报表。
二.系统漏洞。
漏洞利用及端口爆破是攻陷终端设备的重要手段,通过漏洞利用或爆破攻击服务器,随后进行内网横向渗透,整个过程中漏洞利用及端口爆破都是最常用的手段,因此我们需及时安装补丁及关闭不必要的开放端口。
修复漏洞的话,主要难在如果确定哪些补丁要打,哪些补丁可以忽略。我认为,对于普通企业来说,微软每月安全补丁更新、网上披露的严重漏洞补丁(一般披露的都是不同产品、软件的漏洞,需要挑选出适合本单位的)、某些软件有bug需要打补丁修复(例如办公软件有时需要通过打补丁修复bug),这些补丁都是需要定期修复的,建议最好至少一周一次。那么,我们只需要部署一套可以一键下发任务,批量修复补丁的软件即可。
关于开放端口的问题,首先要确认自身业务所使用的端口,然后再对比业内常见的风险端口列表,如3389/22/445/137/135/139…等,若没有影响业务,则把相应端口关闭。例如自身没有使用共享文件夹服务的,就把445端口禁用。没有使用到远程桌面服务的,就把3389端口禁用,2019年远程爆破是最常见的攻击方式,也是最简单,粗暴的攻击手法。如果你懒得去找,好吧,相信我,把3389和445都关了(在PC防火墙上建立入站和出站规则,禁用风险端口)。
三.终端准入
什么是准入?简单说就是只有通过授权或者认证的人员,才能访问网络。它可以帮助我们对员工进行身份认证,阻断非法终端的网络连接、对终端完整性进行检查。
我认为终端准入可以从两个方向去实现。一是在终端层面,二是在网络层面。终端层面,有条件的可以购买安装自带网络准入功能的终端防护软件,这类通常都需要部署一套系统,在平台上进行管控。网络层面,可利用现有资源进行部署,但对管理人员技术要求较高,需要有路由交换相关知识。可在接入交换机上通过端口安全port-security功能,进行简单的mac-端口-vlan绑定。亦可通过ipsg技术+地址binding表,这种方法更稳定。在网络层面上做准入最大的难点就是所有的资料都基于PC资产表,你必须对全网的PC进行把控,起码要做到全网任何一台机,都有收录ip、mac地址、所接入的交换机,接入端口等一系列信息,前期工作量较大,而且这类方式适用于人员变动不大的单位。
四.软件管控
在软件这方面,主要问题是盗版软件滥用和如何管控不合规软件的。就像刚才说的那样,我们很容易就会在冒牌网站下载软件,那么,在这方面要怎么防护呢?
首先明确我们的目的,就是对内网软件进行标准化管控。第一、搭建终端管理平台,现在很多终端防护软件都会有这种平台,客户端/服务器架构。可以帮助我们对全网终端的软件安装情况有个清晰、详细的了解,还可以统一对全网终端下发软件2个用户安装了非法软件,哪些软件版本太旧需要更新…等。第二、建立一个标准的软件库。若办公网是外网环境,这个比较容易实现,安装个知名的、安全的软件库就行。若是在内网环境的话,可以通过建立ftp或者共享文件夹的方式,这个对人力需求较高,运维人员需要从外网下载正版软件,再通过内外网交互,传回内网,确认无毒后再上传ftp。亦可通过安装终端管理平台,平台自带软件库,但这个要求平台要连通互联网,从而定期更新软件库。像前面说的一样,这种可通过代理的方式或者是建立内外网数据交换平台,通常说的就是网闸。
五.移动U盘管控
对于U盘,需根据企业自身业务需要,对有需要的人员进行权限开放。员工使用U盘必须注册登记并增加密码保护,同时,需要有一套U盘监管系统,对U盘的使用情况进行审计,对U盘的权限可管理,例如只读、只写。有条件可购买终端管理系统,可以做到内网有专用U盘,只能接内网使用。内外网数据交互的话,就通过一台中间机来进行,这个中间机自带病毒库,会对交换的文件进行查杀毒。
六.小结
对于一般企业来说,要想做好终端安全,我认为最起码要做好以上几点工作。终端安全只是网络安全的一部分,要整体把握的话,安全意识的宣传也很重要。 当然,这个不是一个人的力量可以完成的事情,需要领导的支持,需要全体员工的支持。
标签:木马,U盘,防病毒,端口,PC,终端,整改措施,软件 来源: https://blog.csdn.net/aiilumac/article/details/105293612