【TechTarget中国原创】在有些时候,你可能需要有远程用户连接到你的网络上。远程计算在生产力和环境上有些得到证明的优势,但是并不是没有缺点——大部分的时候以信息安全风险的形式出现。如果远程用户的电脑感染了病毒或者他们在不安全对的无线连接上传送敏感的电子邮件和即时消息时, 会发生什么事儿呢?当没有受到练好保护的系统连接到你的网络上会怎么样呢?这些网络可以为任何想要恶意进入或者试图进入的人提供直接的入站连接。
可以证明可能发生很多恶劣的事情。会发生对信息的未授权访问、信息泄露、并且总是可能恶意软件深入到你的网络边界中。
在你创建新的策略或者锁定你的远程系统前,决定目前你的系统中存在什么远程访问漏洞。这样做不仅可以发现还没有打的补丁,而且更进一步发现错误的配置、不必须的共享、空余的连接和其他你不容易发现的攻击漏洞。我建议你使用一个漏洞评估工具,例如Tenable Network Security的 NeWT、GFI Software Ltd。的 LANguard Network Security Scanner (我最喜欢的低成本扫描器)、 Qualys Inc。的 QualysGuard (我最喜欢的全面扫描器)。
在笔记本或者桌面电脑上的内部支持的图像上,使用这些中的一个(或多个)工具,如果有意义,也要测试你的用户用户的远程系统。如果后者不是政治或者资源限制的原因的选择,你就可以把这些指导存储起来,这样你的远程用户就可以自己做了。考虑在他们的系统上安装他们,并运行微软基线安全分析器(Microsoft Baseline Security Analyzer ,MBSA),并且把报告和你共享。 你甚至可以通过Windows上的登录脚本和/或组策略使这一过程自动化。记住,有很多原因必须保护公司的资产。
一旦你决定了你的弱点存在在哪里,并且解决了这个问题,使用下面的清单,包括常用以及不常用的安全保卫措施,并确定你的远程系统已经关闭了:
- 确定安装了个人防火墙软件。(XP SP2+、 BlackICE等中的 Windows防火墙 )以及提供至少的袋内保护——带外应用保护也很好,特别是如果你可以配置,这样你的用户就不会受到不断地带外连接请求的阻碍了。
- 要求在每个系统上都有恶意软件防护(杀毒软件和反间谍软件),并且确保如果有更新就在实时采用了,可以防御不必要的感染。
- 在远程硬盘上和其他存储设备上激活强大的文件和共享许可——特别是在默认允许每个人都全权访问的Windows 2000和NT系统上。
- 为补丁管理准备写好的策略和存储的程序。例如,激活实时自动更新或者使用已有的补丁管理系统配置补丁
- 切断不使用的连接,就像列出的一样,来防御远程系统的未授权的用户名、安全策略信息和更多信息的收集。
- 实施VPN(基于Windows的免费PPTP就是合适的选择)或者确保你云正在运行安全的备选连接,例如Windows 远程桌面(Windows Remote Desktop)或者Citrix。
- 记住把远程用户、电脑和应用程序包括到你的安全事故回应计划和灾难恢复计划中。这些常见的错误在你的安全出现遗漏的时候就会刺激你的神经。
- 你的用户将可能下载和安装IM、P2P和气他你不支持的应用,这样肯能回使你紧张,所以准备通过最小权限的用户
对于配置为使用基于802。11的无线网络(或者将来可能这样使用)的系统,不要忘了下面的安全措施:
- 在最小程度上激活WEP,因为比什么也没有要好得多,但是理想的情况是用户激活拥有强大(超过20个的任意字符)密码短语的WPA2-PSK。
- 要求你的用户使用方向天线——而不是把信息存储在所有接入点上的全向天线。
- 激活MAC地址控制,它可以帮助非技术人员防火你的网络(技术人员知道改变MAC地址来绕开)
- 如果可能,要求特定的供应商/接入点和无线NIC模式来确保他们已经根据你的标准作了持续加固,所以你可以和任何主要的安全警报、必要固件或者软件更新保持一致。
- 记住用户可能通过公共热点连接你的网络,所以确保你和他们理解安全的含义,并且采取了适当的安全措施。
- 激活安全信息,如果通过POP3、SMTPs不能获得VPN或者其他的热点保护,通过HTTPS和其他内置控件不能获得Webmail。
- 切断蓝牙,如果不需要。否则在默认状态下它很危险,所以把它关闭。
这些相对简单,而且大部分都是免费的远程访问安全措施,和适度的信息安全警告项目结合在一起在保护远离站点的电脑和保护那些你不能负担得起丢失责任的信息方面就有了很大的保证。