二、用户权限的审计
笔者企业网络是一个基于Windows域的网络环境。企业的域帐户统一通过域控制器来进行管理。在域控制器中,还有一个文件服务器,方便企业各个部门之前文件的相互访问。为了保障这些文件的安全性,笔者企业还制定了一套严格的文件访问制度。谁可以访问那些网络资源,谁对哪些共享文件具有修改权限等等,都规定的一清二楚。
当网络安全人员在刚开始建立用户的时候,可能会严格按照这个制度来做。但是,随着企业网络用户的增多与网络环境的日趋复杂,企业是否仍然严格按照这个制度在执行呢?有没有用户存在越权的行为呢?这个就是Windows网络安全审计的重要内容。
其实,在网络安全管理中,往往会出现这些越权的用户。如由于销售经理结婚,公司给了其一个月的婚假。但是,其的工作仍然要有人来做。为此,公司决定来销售经理助理暂时代替销售经理的角色,来负责管理销售部门的相关业务。此时,网络安全管理人员就必须要给这个销售经理助理一些额外的权限,让其能够访问销售经理角色下所有可以访问的权限。为此,网络安全管理人员往往会把销售经理助理的用户加入到销售经理的角色中,让其继承销售经理的相关权限。当销售经理回来后,按照理论上来说,必须重新调整销售经理助理的权限,去掉其不应该有的文件访问权限。但是,往往网络管理员一疏忽,或者没有人通知网络安全管理人员销售经理已经复职。故网络安全人员在不知情的情况下,就没有对销售经理助理的权限进行重新调整。此时,销售经理助理的权限就不适合了。其过大的网络访问权限会给企业网络与信息安全留下安全隐患。
故网络安全管理人员要根据相关的网络资源访问权限,对相关帐户进行安全审计。看看其是否有一些越权的权限。若有的话,要及时进行调整。笔者在实际工作中,每三个月会对账户进行安全审计一次。尽量减少越权用户的存在。
三、适当关注被锁定的帐户与密码为空的帐户
我们网络安全管理人员为了域帐户的安全,往往会为其设置锁定策略。当用户连续输入密码三次都错误的话,则这个用户名会自动被锁住。被锁住的用户名要重新使用的话,有两种方法。一是有我们安全管理人员重新激活这个账户;二是让系统在一段时间后,如一个小时后让这个用户名自动激活。无论采用哪种方式,为了这些帐户的安全,定期对这些帐户进行监控,并且查找相关的原因,可以提高企业网络的安全性。
因为账户被锁主要是应为用户连续输入错误密码所导致的。频繁的发生用户账户锁定,通常情况下只有两种原因。一是用户确实忘记了密码;二是企业网络中有非法用户企图通过密码探测对文件进行未经授权的访问,由于密码探测不成功而导致用户名被频繁锁定。这些锁定信息将会被记录到Windows事件日志中。若网络安全管理人员能够及时关注这些信息,对这些账户进行安全审计,或许就可以发现那些可疑的攻击人员。
另外,虽然我们网络安全管理人员给用户都设置了初始化密码。但是一些没有网络安全意识的员工,往往会在重置密码的时候,把密码清空,以方便他们下次的输入。他们认为在登陆的时候,输入密码是一件非常麻烦的事情。很明显,这些密码为空的账户的存在是企业网络安全中的一个巨大隐患。为此,在网络安全审计中,网络安全管理人员要关注,企业中是否存在着比较多的密码为空的账户,特别是要注意这些账户中是否有比较高的权限。同时,为了避免这种情况,网络安全人员最好能够建立一个防止用户使用空密码的安全策略。如在域控制器中的域用户与组中,选择用户密码不能为空复选框。如此的话,当用户密码为空的时候,将提示错误信息,密码重置将不会被保存。
