远程用户安全配置列表

  有时成败的机会就是你使远程用户连接到你的网络。电子通勤有一些已被证明的生产力和环境的好处,但是它也并不是没有缺点――大部分是信息安全风险形式的缺点。如果你的远程用户的计算机带有病毒或者他们通过不安全的无线网络传送危险的电子邮件和及时消息,会发生什么?当没有完全保护的系统能够直接连接到你的网络会怎么样呢–因此提供直接来自外部网站的链接给每一个想要进入或恶意进入的人。

  正如可论证的那样,很多不好的事可以发生。未批准的信息存取可能发生,信息泄漏可能发生,也有malware病毒通过僵硬的网络侵入的可能。

  在你制定任何新的政策或关闭你的远程系统之前,测定目前你的环境中存在哪些远程存取漏洞是非常有益的。这样做不仅可以发现缺少的补丁,还可以进一步发现配置失当、不必要的占用,无效的会议连接和其它不能轻易发现的可能存在的漏洞。我建议你使用一个漏洞稽核工具例如Tenable Network Security的NeWT, GFI Software Ltd.的 LANguard Network Security Scanner (我喜欢的廉价稽核工具), Qualys Inc.的 QualysGuard (我最喜欢的稽核工具).

  在笔记本或者台式机上为你的内部支持图像安装一个或多个这样的工具,如果该工具有效,那么也可以检测用户拥有的远程系统。如果后者不是因政治或者资源限制的原因,你可以轻易地向远程用户发布指示命他们自己检测。考虑让他们在他们地系统上安装运行Microsoft Baseline Security Analyzer (MBSA)并和你分享报告。你甚至可以通过注册脚本或者Windows的群组政策自动操作。切记,组织的资源必须被保护。

  一旦你测定出漏洞在哪里,并标识出这些问题,使用下列普通的和专业的安全装置配置列表来确保你的远程系统已被锁定:

  1. 确保已安装个人防火墙(Windows Firewall in XP SP2+, BlackICE 等)至少提供入站防护――外部应用保护也非常好,尤其是如果你可以设置好那么你的用户就不需要总是被外部链接请求阻碍。

  2. 每一个系统都要求安装杀毒软件(antivirus 和antispyware)确保实时更新,如果可能防止不必要的病毒侵入。

  3. 允许文件共享在远程硬盘驱动器和其它存储设备上――尤其在Windows 2000 和NT系统,使每个人都能完全存取。

  4. 有一项管理补丁的书面政策和规定程序。例如,使用已存在的补丁管理系统确保实时自动更新或滚动补丁。

  5. 防止空的会议链接,正如这里描述的,防止未授权用户名,安全政策信息和来自远程系统的更多信息的拾遗。

  6. 实施VPN(免费的 Windows-based PPTP 是合适的选择)或者确保你在运行另一个安全的连接,例如Windows Remote Desktop 或 Citrix.

  7. 记得将远程用户、计算机和应用软件包括在你的安全事件回应计划和灾难恢复计划中。那些是经常被忽略,可如果它们没有被防护很可能威胁系统。

  8. 你的用户可能下载并安装IM, P2P和其它你支持或威胁的应用软件,所以首先准备好通过帐户阻止软件,发出尽量少的特权(想一想Windows Vista 的新特点),同时定期扫描系统寻找这些软件。或者将一小部分你可以管理的应用程序标准化。无论如何用户总是要安装应用软件,所以后者似乎更简单。

  因为系统设定使用基于802.11的无线网络(或者将来使用),所以不要忘记以下安全措施:

  1. 使WEP保持最小值 因为在最小值比没有好,但是最好让用户实现有可靠密码(20+ 任意字符)的WPA2-PSK

  2. 要求用户使用方向天线而不是全方位方向天线――实际上所有的APs都装有

  3. 提供MAC地址控制,可以帮助non-techies查看或进入你的网络(techies知道怎样查看MAC地址)

  4. 如果可能,要求具体的AP vendor/model和无线NIC来确保依据你的要求他们始终如一地安全,所以你可以与任何主要的安全防护和防火墙或软件更新保持一致。

  5. 记得用户可能通过公共无线上网据点连接到你的网络,所以确保你和用户了解安全涵义,有恰当的安全措施。

  6. 提供安全消息,如果没有通过POP3s,SMTPs, 通过HTTPS的网络邮件的VPN或者其它无线上网据点保护和其它内部控制。

  7. 不支持蓝牙如果不需要。否则,默认支持太冒险所以关闭。

  这些相对简单、最自由的远程存取安全措施,与合理的信息安全保护程序相结合,将会保护远程计算机同时保护那些你不能丢失的信息。