什么是網絡安全審計，各個專家對此都沒有統一的認識。筆者認為，網絡安全審計就是對企業網絡安全的脆弱性進行測試、評估、分析的過程。其目的是為了在最大限度內保障企業網絡與信息的安全。

　　雖然有時候通過防火墻、入侵檢測等網絡設備，可以有效提高企業網絡的安全。但是，平心而論，筆者非常不贊同在安全問題上，對于硬件設備太過于依賴。因為對于硬件設備一味的依賴與迷信，往往會讓用戶降低安全認識。其實，筆者認為，有時候好的安全認識與健全的網絡安全管理，可能比所謂的網絡安全設備更加的高效。正是出于這種原因，企業網絡安全管理人員有必要定時的對企業網絡進行安全設計，以發現可能存在的安全漏洞。

　　雖然網絡安全審計在國內可能還不怎么流行，看其來有一點莫測高深的樣子。其實，網絡安全審計并沒有我們想象中的那么困難。筆者今天就談談Windows網絡安全審計的四部曲，跟大家分享一下基于Windows網絡環境的安全設計心得。

　　一、關注未使用過的帳戶

　　在實際工作中，可能會存在這種情況。一個新人來面試過后，企業決定錄用他。在其還沒有到企業報道之前，只要企業決定錄用他，則企業人事部門就會把這個新員工的信息告訴給網絡管理員。讓我們網絡安全人員給其建立帳戶。可是，出于種種原因，新員工可能會改變初始的想法。如其可能認為路途遠、上班不方便;又或者找到了其他更好的工作，而臨時改變主意，不到企業來上班了。此時，這些帳戶從建立起來就根本沒用過。日積月累，這些從未使用過的帳戶就會成為企業的一大安全隱患。

　　因為我們為了管理的方便，對于這些新員工的帳戶往往會設置一個初始密碼。然后當新員工第一次登陸企業網絡的話，就強迫他們進行密碼的更改。這本來是一個很好的安全策略，但是，因為這些從未使用過的帳戶的存在，就出現了一個很大的安全漏洞。其他員工就有可能冒充新員工的身份，登陸到企業的服務器中進行破壞活動。可見這些從未被使用過的帳戶，其有比較大的安全隱患。

　　所以，在Windows網絡的安全設計中，對于從未使用過帳戶的安全設計，就是其中一個重要的組成部分。筆者平時對下屬分公司進行安全審計的時候，經常會發現這方面的管理漏洞。為此，筆者給他們提供了兩個處理建議。

　　一是對于這些帳戶給與一個有效期限。也就是說，當網絡安全管理人員在建立域用戶帳戶的時候，其初始密碼有三天的使用期限。如果這個員工在三天之內沒有利用分配給他的用戶名與密碼登陸的話，則這個用戶名與密碼會自動失效。如此的話，其他員工也就不能夠利用這個空子來進行身份的冒充。

　　二是要定期對這些帳戶進行清理。筆者規定，每一個月要對這些未用的帳戶以及離職員工的帳戶進行清理。對于這些帳戶要及時的進行注銷或者刪除處理。而不能夠讓這些帳戶永久的存儲在域控制器中，成為危害企業安全的害群之馬。

　　二、用戶權限的審計

　　筆者企業網絡是一個基于Windows域的網絡環境。企業的域帳戶統一通過域控制器來進行管理。在域控制器中，還有一個文件服務器，方便企業各個部門之前文件的相互訪問。為了保障這些文件的安全性，筆者企業還制定了一套嚴格的文件訪問制度。誰可以訪問那些網絡資源，誰對哪些共享文件具有修改權限等等，都規定的一清二楚。

　　當網絡安全人員在剛開始建立用戶的時候，可能會嚴格按照這個制度來做。但是，隨著企業網絡用戶的增多與網絡環境的日趨復雜，企業是否仍然嚴格按照這個制度在執行呢?有沒有用戶存在越權的行為呢?這個就是Windows網絡安全審計的重要內容。

　　其實，在網絡安全管理中，往往會出現這些越權的用戶。如由于銷售經理結婚，公司給了其一個月的婚假。但是，其的工作仍然要有人來做。為此，公司決定來銷售經理助理暫時代替銷售經理的角色，來負責管理銷售部門的相關業務。此時，網絡安全管理人員就必須要給這個銷售經理助理一些額外的權限，讓其能夠訪問銷售經理角色下所有可以訪問的權限。為此，網絡安全管理人員往往會把銷售經理助理的用戶加入到銷售經理的角色中，讓其繼承銷售經理的相關權限。當銷售經理回來后，按照理論上來說，必須重新調整銷售經理助理的權限，去掉其不應該有的文件訪問權限。但是，往往網絡管理員一疏忽，或者沒有人通知網絡安全管理人員銷售經理已經復職。故網絡安全人員在不知情的情況下，就沒有對銷售經理助理的權限進行重新調整。此時，銷售經理助理的權限就不適合了。其過大的網絡訪問權限會給企業網絡與信息安全留下安全隱患。

　　故網絡安全管理人員要根據相關的網絡資源訪問權限，對相關帳戶進行安全審計。看看其是否有一些越權的權限。若有的話，要及時進行調整。筆者在實際工作中，每三個月會對賬戶進行安全審計一次。盡量減少越權用戶的存在。

　　三、適當關注被鎖定的帳戶與密碼為空的帳戶

　　我們網絡安全管理人員為了域帳戶的安全，往往會為其設置鎖定策略。當用戶連續輸入密碼三次都錯誤的話，則這個用戶名會自動被鎖住。被鎖住的用戶名要重新使用的話，有兩種方法。一是有我們安全管理人員重新激活這個賬戶;二是讓系統在一段時間后，如一個小時后讓這個用戶名自動激活。無論采用哪種方式，為了這些帳戶的安全，定期對這些帳戶進行監控，并且查找相關的原因，可以提高企業網絡的安全性。

　　因為賬戶被鎖主要是應為用戶連續輸入錯誤密碼所導致的。頻繁的發生用戶賬戶鎖定，通常情況下只有兩種原因。一是用戶確實忘記了密碼;二是企業網絡中有非法用戶企圖通過密碼探測對文件進行未經授權的訪問，由于密碼探測不成功而導致用戶名被頻繁鎖定。這些鎖定信息將會被記錄到Windows事件日志中。若網絡安全管理人員能夠及時關注這些信息，對這些賬戶進行安全審計，或許就可以發現那些可疑的攻擊人員。

　　另外，雖然我們網絡安全管理人員給用戶都設置了初始化密碼。但是一些沒有網絡安全意識的員工，往往會在重置密碼的時候，把密碼清空，以方便他們下次的輸入。他們認為在登陸的時候，輸入密碼是一件非常麻煩的事情。很明顯，這些密碼為空的賬戶的存在是企業網絡安全中的一個巨大隱患。為此，在網絡安全審計中，網絡安全管理人員要關注，企業中是否存在著比較多的密碼為空的賬戶，特別是要注意這些賬戶中是否有比較高的權限。同時，為了避免這種情況，網絡安全人員最好能夠建立一個防止用戶使用空密碼的安全策略。如在域控制器中的域用戶與組中，選擇用戶密碼不能為空復選框。如此的話，當用戶密碼為空的時候，將提示錯誤信息，密碼重置將不會被保存。

　　四、管理員權限賬戶不宜過多

　　在實際工作中，有時候為了管理的方便，我們往往會給某些用戶管理員的權限。如有個員工需要安裝一個Flashget軟件，但是其現在的權限是沒有權利在系統中安全應用軟件的。但是，那時候我們又走不開。而我們也知道，這個員工還是有一定的計算機知識的，裝一個應用軟件沒有問題。為此，我們就可能會把管理員的角色賦予給他。本來我們的想法是，等到他應用軟件安裝完成后，再把權限收回來。可是，在百忙之中，我們往往會忘記這件事情。長久下去，企業中這些管理員賬戶就會越來越多，從而給網絡安全帶來巨大的安全隱患。

　　為此，無論是普通的工作站，又或者是服務器，大多數的系統管理任務都需要有管理員權限才能夠執行。也就是說，具有管理員權限的用戶可以訪問全部的網絡資源。如安裝或者刪除應用程序、更改網絡配置等等;當然還有更改網絡訪問權限等等。

　　另外，在Windows的域環境中，有域管理員與本地管理員之分。為了管理方便，在管理員帳戶安全審計過程中，最好讓域管理員帳戶有本地管理員帳戶的權限。只有如此，域管理員才能夠通過遠程管理的方式，對工作站進行軟件維護、系統更新等操作。

關鍵字：網絡安全、域控制器、防火墻