计算机域管理在局域网网络安全中的应用
摘 要:随着计算机网络的普及和发展,网络信息安全越来越受到各方面的重视。本文首先阐述了计算机局域网可能受到的各种威胁,并着重介绍了计算机域管理的优势和在局域网网络安全中的应用。
关键词:局域网;域管理;安全
或文件夹共享,开启远程控制,开启Guest账户等等不规范行为,将会使计算机很容易感染病毒或被远程控制而导致信息泄密。
(6)内网安全防范缺乏有效的措施:网络规模越来越大,网络终端数量也越来越多,而终端全部都是基于工作组的模式,管理员无法对计算机终端进行集中管理,终端系统安全策略只能逐台制定,既费时有费力。内部网络终端缺乏网络用户识别、准入机制。任何人员只要在信息内网将计算机插入网线,就可以进入内部网络各个区域,其中没有任何身份的认证和安全措施,对整个网络和应用造成很大的安全威胁。
2、 域管理
“计算机信息系统”已经取代了原先的“OEC管理”成为局域网发展的基础。Window系统最大额优势便是活动目录( Active Directory )。活动目录是在 Windows Server 版上应用的目录服务。它能够存储网络上关于对象的信息,使管理员和用户能很容易找到这些信息,即提供了一个逻辑的、有层次的目录信息组织结构。活动目录服务是网络操作系统对网络资源进行管理的标准方式,为企业信息化的实施打下了良好基础。活动目录通过域控制器( Domain Controler)对所辖的组织结构、工作组、用户进行管理,即域用户管理模式。
域既是Windows网络操作系统的逻辑组织单元,也是Internet的逻辑组织单元,在Windows网络操作系统中,域是安全边界。域管理员只能管理域的内部,除非其它的域赋予其管理权限,他才能够访问或者管理其他的域;每个域都有自己的安全策略,以及它与其他域的安全信任关系。
3、域管理的优势
3.1合理地分配域用户权限。要合理规划分配好域内用户的操作权限,在分配用户权限时,遵循最低权限原则。如对于域内的普通用户,都可将其添加到Domain Users用户组中。Domain Users用户组对系统的操作权限很低,它不能添加、删除硬件设备,不能安装、卸载应用程序,不能设置共享,不能启动或停止系统服务。不能修改系统目录和注册表,甚至不能修改系统时间,只能运行一些已安装的应用程序和进行基本的文件操作。这样可以大大降低用户由于误操作对系统或网络的影响,加强了网络的安全性和易管理性。网络应能控制用户登录入网的站点,限制用户入网的时间,限制用户入网的工作站数量。网络应对所有用户的访问进行审计,如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。
3.2自动分发应用软件。在日常工作中,经常会碰到给客户端安装各种应用软件的工作。应用组策略中的软件自动安装功能可以方便地实现多台客户端统一安装应用程序。系统可控制使网络服务器上的软件只能从系统目录上装载,而只有网络管理员才具有访问系统目录的权限。需要注意的是,活动目录中默认只能安装MSI格式的安装包。对于其他格式的安装软件可以通过制作ZAP文件或第三方软件将其打包成MSI格式再进行软件发布。可以通过这种方式强制向用户分发防病毒系统软件,并且控制用户不能删除防病毒系统软件。还可以通过在内部网络中配置WSUS服务,强制用户打补丁。
3.3应用计算机安全策略配置,提高系统安全性。计算机的安全策略包括账户策略、本地策略、密码策略、公钥策略、IPsec策略、事件日志、受限制的组、系统服务、注册表、文件系统等。要集中管理好用户账号,为特定的用户或组指派一定范围的管理任务,使其能控制设定本地资源。同时做好软件限制策略,控制可以在客户端计算机上运行的程序。通过组策略的设定,强制纠正用户的一些不规范行为,如通过设置安全策略提示用户修改空口令或弱口令、强制开启防火墙、关闭计算机的默认共享,关闭Guest账户等。
3.4批量修改用户计算机管理员密码,限制本地功能。脚本是使用一种特定的描述性语言,编辑脚本并将其应用到开机、关机、登录、 注销过程中可以实现在多种状态下对客户端进行一般组策略无法实现的控制管理。可应用开机脚本批量修改域计算机本地管理员( Administrator) 密码。可以把所有域内的计算机本地管理员密码全部修改,由域管理员掌握。各用户使用自己的工号和密码登陆系统,管理员根据用户的工作需要开通必要的权限,用户还可进一步指定对目录下的子目录和文件的权限。用户对自己的计算机的使用权限受到安全限制,以降低用户对计算机系统所造成有意的或无意的破坏,能有效地控制用户对服务器资料的访问,从而加强了网络和服务器的安全性。
3.5局域网的安全医生。网络访问保护NAP( Network Access Protection)是Windows Server 2008操作系统中内置的安全策略执行平台。通过使用NAP网络访问保护技术,可以对客户端的健康状态进行实时地监控,对于不满足要求的客户端及时进行强制性的补救工作,保证企业内部的所有设备均按照管理员定制的健康条件正常运转。NAP如同企业内部的一位专职医生,时刻检查局域网内部每一台机器的健康状态。
3.6网络准入控制。网络准入控制为网络访问提供了第一层访问控制,它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网,用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查三道关卡中只要任何一关未过,该用户便不能进入该网络。用户账号应只有系统管理员才能建立,用户口令应是每个用户访问网络所必须提交的“证件”用户可以修改自己的口令,建立了基于Windows域的信息管理系统后,准入控制系统与防病毒系统、WSUS补丁服务器、桌面管理等系统紧密配合,对已通过认证的用户终端进行安全检查,强制用户终端进行防病毒、操作系统补丁等企业定义的安全策略检查,从而提高了网络的安全性和保密性。
4、结论
当今时代,信息技术飞速发展,信息网络广泛普及,信息已成为事关全局的战略资源,重要信息网络和系统已成为国家命脉。 在这种形势下,提高信息安全保障能力,维护国家安全、社会稳定和公共利益,是促进信息化建设健康发展的一项基本制度势在必行。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络的安全性将变得十分重要。同时,计算机网络技术目前正处于蓬勃发展的阶段,新技术层出不穷,科技防护与安全攻击是在共同发展的,因此进行网络防范要不断追踪新技术的应用,及时升级、完善自身的防御措施,使我们拥有一个相对安全的网络环境。
参考文献:
[1]沈双娥、刘海燕. 建立中小型企业局域网的可实施性. 国土资源高等职业教育研究.2001
[2]刘磊、徐秀军. 局域网安全策略探析.科技信息.
上一篇:信息网络安全防护系统中云计算应用
下一篇:浅析计算机局域网的综合布线