主机安全核查系统的设计与实现

◆董祯慧

主机安全核查系统的设计与实现

◆董祯慧

（信息工程大学 河南 450000）

信息系统是由计算机及其相关配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。随着信息化建设的蓬勃发展，生产生活的方方面面都表现出对信息系统极大的依赖性。从组成信息系统的服务器、网络、终端三个层面上来看，现有的保护手段是逐层递减的，因此一谈到信息系统安全，人们就往往会想到防火墙、入侵检测和防病毒等传统安全手段，把过多的注意力放在对服务器和网络的保护上，而忽略了对终端主机的保护，由于主机安全防护措施不到位而引起的信息安全事件也连连发生。

主机安全；安全核查系统；设计与实现

1 终端安全现状和问题

终端往往是创建和存放重要数据的源头。绝大多数的攻击事件都是从终端发起的。

调查数据显示，政府和企事业单位信息系统中超过80%的安全事件来自终端。我国是遭受DDoS攻击的重灾区，据全球数据统计，2017年中国承受了全球DDoS攻击数量的84.79%。许多普通用户的电脑成为僵尸网络的一员。亟须在终端操作平台实施安全防范，从终端源头上降低被攻击和利用的风险。

通过分析现有的安全事件，终端安全事件发生的原因中65%是配置不当，30%是没有打补丁，5%是遭到零日漏洞的攻击。由此可知，只是依靠杀毒软件，或者打补丁等安全手段是不够的，更应当对症下药，对主机系统实施正确的安全配置，以保障终端安全。

2 主机安全核查系统的设计目标

Windows操作系统简单易用，用户广泛，在信息系统中占有较高的比例。其庞大的设备数量，复杂繁多的设置，给策略配置，安全检查造成一定的困难。要保证该操作系统的基本安全要求必须对本地安全策略，系统服务甚至包括注册表，文件系统权限等安全功能进行配置。为了减少配置和检查耗费的时间和工作量，本文设计主机安全核查配置系统，实现主机安全配置状态的全面检查，并可一键优化配置的自动化工具。主机安全核查系统有以下三个实现目标：

（1） 简化用户安全配置的过程；

（2） 实现迅速核查主机的安全配置状况；

（3） 提高用户终端的安全防御能力。

3 主机安全核查系统的设计

3.1 系统需求分析

对操作系统中关键的安全属性进行参数设置，限制或禁止存在安全隐患或漏洞的功能，启用或加强安全保护功能，增强终端抵抗安全风险的能力是该系统的安全功能需求。

功能需求从以下几个关键方面考虑：

（1） 身份鉴别：加强对用户身份鉴别，降低非法者假冒合法用户登录的风险；

（2） 访问控制：限制匿名用户的权限，限制远程访问等；

（3） 入侵防范：检查防火墙设置，关闭危险端口和服务；

（4） 资源控制：管理外设使用权限，加强对主机资源的控制。

整个终端安全核查与配置系统应当能实现快速而准确的核查主机重点项目的配置状态，并给出修改建议，要求不仅能检查配置某个项目，也具有一键检查配置的功能。即“一键检测”，“一键加固”。与此同时还能根据标准给出合理的配置建议，指导用户完成科学的自定义、个性化配置。以上是系统需要满足的性能需求。

终端安全检测系统所提供的配置功能只能由经验证的用户使用，这是系统的安全性需求。

3.2 系统整体设计

根据系统的功能，下分为五个功能模块：

( 1 ) 身份鉴别加强

身份鉴别增强模块的主要功能是加强身份认证，通过提高用户口令强度，加强登录控制，提高口令被破解，被猜测的难度，防止主机被未授权的用户访问。

身份鉴别配置包括：

a) 账户登录时，应启动身份验证机制，限制连续登录失败次数，连续多次登录失败后应锁定账户；

b) 应配置安全的口令长度、复杂度、有效期和加密强度，应禁止不设置口令。

( 2 ) 资源保护增强

打印机和光驱是终端资源的主要输出口，高安全级别的终端应该遵循“不下写”的原则，控制重要文件向外流出，如“政务终端电脑”。因此禁用打印机，禁止匿名用户安装打印驱动，关闭CD刻录功能，实现光驱只读是实现资源保护增强的重要手段。该功能模块则实现对打印机服务，光驱功能，打印机驱动等安全项目的检查和配置。

( 3 ) 本地服务检查

计算机运行时对外对内开启了许多服务，该模块的功能是实时检查本机所有服务的运行状态，并重点标注危险服务的状态，提示用户进行配置。

( 4 ) 安全连接检查

安全连接检查是检测计算机对外通道的开放和关闭状态，安全连接检查模块下分两个子模块，分别是主机端口扫描和危险端口关闭模块。一个端口就是一个潜在的通信通道，也可能变成一个入侵通道。对目标计算机进行端口扫描，发现并关闭危险端口，是有效阻止木马等黑客攻击的重要手段。扫描本机端口的开闭状态，配置防火墙策略以限制来自危险端口的连接，是安全连接检查的主要内容。

( 5 ) 入侵防范增强

加强终端的入侵防范能力不仅仅是开启防火墙。Windows操作系统中很多关键的安全项目都在注册表中，而默认的注册表配置策略并没有使计算机达到最高的安全保护状态，该模块中提供了许多注册表配置组件，通过检测和配置这些项目，关闭攻击者的“后门”，以提高终端入侵防范的能力。

4 主机安全核查系统的实现

4.1 身份鉴别加强

本地安全策略的配置可以增强对本地登录的限制，仅授权的用户才有本地登录的权限。

通过设置口令策略，强制用户使用安全等级高的口令，极大地提高口令安全性，降低口令被暴力破解等方式破解的危险。在Windows系统中，口令策略有三个关键的配置项目，即密码必须符合复杂性要求、设置密码长度最小值、设置账户锁定阈值。

Windows系统本地安全策略在“Secpol.msc”文件中保存，编写脚本代码可查看并写入本地安全策略。

4.2 防火墙状态的检测

Windows提供了NetFwTypeLib编程接口，来检查和操作防火墙的状态。可以方便地检测防火墙状态及修改防火墙配置。

4.3 资源保护增强

光驱控制项、打印机驱动、打印机禁用等项目的检测和控制，都通过读取注册表键值来获取状态，修改键值来更改状态。

4.4 安全连接检查

( 1 ) 端口扫描

根据操作系统提供的connect（）系统调用，用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态，那么connect（）就会返回连接成功。否则，这个端口是不能用的，即没有提供服务。

通过扫描端口，用户可以得知自己的开放端口，并配合系统中的关闭危险端口模块将一些黑客常利用的端口关闭，阻止黑客远程登录主机，极大地提高终端安全性。

( 2 ) 关闭危险端口

Windows操作系统将137，138，139，445等易成为入侵攻击的入口的端口，默认设置为开启的状态。如2017年勒索病毒利用Windows操作系统445端口存在的漏洞进行传播。关闭危险端口，采用bat批处理脚本能迅速在防火墙中写入禁用的相关策略，从而实现一键关闭。

4.5 入侵防范增强

( 1 ) 注册表关键项配置

注册表项：restrictanonymous

键值为0时，说明未对匿名连接做任何额外限制，未限制IPC空连接，存在安全隐患；键值为1时，这时，不允许SAM账户的匿名枚举，禁止IPC空连接，限制对命名管道和共享安全策略设置的匿名访问。

注册表项：RestrictNullSessAccess

键值为0时，空会话访问不受限制。未经身份验证的用户访问所有共享资源。

键值为1时，空会话访问受限制。未经身份验证的用户只能访问NullSessionPipes条目的值和NullSessionShares条目的值中列出的共享目录中列出的服务器管道。

( 2 ) 远程控制检查

主要利用相应功能对应的注册表的键值来检测各种远程连接的状态，并且修改键值或者打开对应设置项从而实现对功能的修改。

5 结语

对操作系统中关键的安全属性进行参数设置，限制或禁止存在安全隐患或漏洞的功能，启用或加强安全保护功能，能显著提高主机抵抗安全风险的能力。半自动化的安全核查配置系统的推广使用，可以使主机安全防护措施得到高效落实。

[1]国家信息化领导小组关于加强信息安全保障工作的意见[R].中办发【2003】27号，2003，08.

[2]张笑笑，张艳，顾健.等级测评中主机安全配置检查方法研究[C]//全国计算机安全学术交流会论文集·第二十五卷. 2010.