安讯士 AXIS Camera Station Pro - 系统加固指南

一个万能的万无一失的功能可以让任何安全系统和站点 100% 安全。虽然这些话听起来很有吸引力，但这样的功能并不存在——或者短期内不太可能存在。相反，人们需要检查组织特有的威胁和漏洞所带来的风险，当风险被认为不可接受时，实施控制措施以减轻风险。明确的政策和程序可确保在整个组织中一致地传达和应用这些控制措施，并构成成熟网络安全计划的基础。

建议的方法是按照标准化的 IT 安全风险管理框架（如 ISO 27001、NIST CSF 等）开展工作。虽然这项任务对于较小的组织来说可能很艰巨，但定义一套基本的信息安全政策和支持流程远比什么都没有要好。如果您的组织刚刚开始走向网络成熟，并且可用的资源有限，我们建议您研究互联网安全中心 (CIS) 关键安全控制版本 8。CIS提供了 18 项安全控制活动的列表，分为三个实施组，以帮助组织开发和完善其网络安全计划。

许多组织都存在安全漏洞，因为公司没有制定明确的政策、规则和程序来管理其员工的使用和访问权限。您的组织是否正在制定视频管理操作的政策和流程？如果没有，那么是时候开始定义它们了。

本文档概述了一系列网络安全政策和程序，这些政策和程序可用于支持AXIS Camera Station Pro系统的安全部署和维护。虽然没有直接映射到网络安全框架，但我们主要借鉴了 CIS 安全控制 v8，并特别关注以下控制活动：

• 控制1：企业资产的盘点和控制

• 控制2：软件资产的盘点与控制

• 控制3：数据保护

• 控制4：企业资产和软件的安全配置

• 控制5：账户管理

• 控制6：访问控制管理

• 控制措施 7：持续漏洞管理

• 控制 10：恶意软件防御

我们的建议对焦是帮助安装人员、集成商和最终用户在部署和管理AXIS Camera Station Pro系统时减轻常见风险。

假定您理解并遵循了AXIS OS 强化指南中定义和描述的建议和程序。此外，本文档还提到了与视频系统交互的几种常见用户角色。请映射这些用户角色以匹配您自己的用户和角色分类。单个用户可能拥有多个角色，具体取决于组织。

定义的角色：

• 系统安装程序：安装、设置、修复、升级和降级系统

• 网络管理员：维护网络基础设施、终端节点连接、网络服务器和资源以及网络保护

• 视频系统管理员：定义和管理视频系统，以确保其使用、性能和用户权限

• 视频系统维护人员：代表视频系统管理员监控、调整和排除组件故障，以确保系统性能

• 用户：使用AXIS Camera Station Pro客户端访问实时和录制视频的个人，通常负责组织的物理保护。

服务器、设备、网络设备和电缆都是可能受到干扰、破坏或盗窃的物理对象。运行AXIS Camera Station Pro服务器软件的主机和重要网络设备（路由器、交换机等）应放置在物理和逻辑上限制访问的环境中。摄像机和其他连接设备应安装在难以触及的地方，并采用防破坏模型或外壳。应注意保护墙壁或管道中的电缆，因为这些会增加篡改和破坏的风险。

推荐的政策和程序
指定一个个人或组织单位，负责按规定的时间间隔目视审核 VMS 服务器、网络硬件、连接设备和电缆的物理保护。必须维护所有服务器和设备的准确清单，包括其位置。

由于AXIS Camera Station Pro安装在标准 Windows 环境中，因此很容易利用该环境来安装与视频管理无关的软件应用程序。安装其他第三方应用程序可能会将恶意软件引入环境，从而导致系统停机或为攻击者进入组织网络提供后门。

推荐的政策和程序
不要在主机硬件上运行除AXIS Camera Station Pro服务器软件和受信任的第三方集成之外的任何东西。如果要将物理硬件用于其他目的，建议使用多个虚拟服务器实例，并在一台虚拟机中运行AXIS Camera Station Pro服务器软件，在另一台虚拟机中运行第三方非 VMS 相关软件。有关在虚拟环境中运行AXIS Camera Station Pro 的信息，请点击此处。

建议您在连接到AXIS Camera Station Pro服务器的所有服务器和计算机上部署防病毒软件。如果部署了移动设备，这包括确保设备安装了最新的操作系统和补丁（虽然不是直接防病毒）。进行病毒扫描时，请勿扫描包含记录数据库的目录和子目录。扫描这些目录中的病毒可能会影响系统性能。

有时为了方便起见，也会将管理员级别的权限授予普通用户。在许多组织中，并不清楚谁负责审查帐户权限并监控员工对系统的访问。

推荐的政策和程序
我们建议组织在定义系统帐户时遵循最小权限原则。这意味着用户访问权限仅限于执行其特定工作任务所需的资源。还建议定期审核系统用户的帐户权限，以防止“权限蔓延”。

在 Windows 环境中部署AXIS Camera Station Pro时，一个常见错误是为 Windows 主机定义一个管理员帐户。随着时间的推移，密码可能会在组织内共享，从而存在未经授权的个人获得 Windows 环境管理员权限的风险。这很容易导致该服务器上安装大量不需要的用户应用程序或恶意软件。

推荐的政策和程序托管AXIS Camera Station Pro
服务器的Windows 计算机应至少具有一个管理员特权帐户和一个用户特权帐户。这两个帐户都不应与 Windows 的默认管理员帐户相同。创建管理员和用户特权帐户后，应禁用默认管理员帐户。部署后，只有网络管理员才应该知道和使用管理员帐户密码。视频系统管理员在需要登录AXIS Camera Station Pro服务器时应使用用户特权帐户。应当注意，即使上述两个角色由同一个人担任，出于审计目的，仍建议设立单独的网络和视频系统管理员帐户。为了支持先前定义的其他角色，应为每个将登录系统的用户创建进一步的非特权用户帐户。

如果运行AXIS Camera Station Pro 的主机位于 Windows Active Directory 域环境中，则可以在域上下文中创建管理员和用户帐户，或者可以使用员工现有的域帐户向AXIS Camera Station Pro主机进行身份验证。这可以简化帐户管理，因为无需创建和维护其他帐户。这也开启了使用组策略管理来强制执行密码复杂性、证书部署和域环境中可用的其他安全功能的可能性。

用户帐户在AXIS Camera Station Pro中被分配到特定角色，这反过来又决定了每个用户在系统中拥有的特定权限，例如他们有权访问哪些视图和视频。如果多个人共享一个用户帐户，则密码与组织中的其他人共享的风险会增加。共享帐户还将使审核谁在何时访问了哪个摄像机/视频几乎不可能。

建议的政策和程序

我们建议您使用Kerberos来验证AXIS Camera Station Pro客户端用户，请参阅使用 Kerberos 进行身份验证。

如果可能，请使用 Microsoft Active Directory 来轻松管理用户和组。还建议在设置系统之前验证是否已为所有用户角色定义了相关的安全组。

Active Directory 还将提供：

• 要求用户定期更改密码的密码策略

• 暴力破解保护，以便 Windows AD 帐户在多次身份验证尝试失败后被阻止，符合组织密码策略

• 基于角色的权限，因此可以跨域应用访问控制

如果必须使用本地 Windows 帐户，建议为系统的每个用户创建一个唯一的帐户，并仅授予他们访问系统中履行其职责所需的实体的权限。如果有多个用户具有相同的权限，则使用用户组可以帮助简化权限分配。

AXIS Camera Station Pro使用集成 Windows 身份验证来验证AXIS Camera Station Pro客户端的用户。AXIS Camera Station Pro使用 Microsoft Negotiate 协议 (SPNEGO)，这意味着 Kerberos 是首选和默认的身份验证协议。Negotiate 协议尝试使用 Kerberos 并使用 NTLM 作为后备。

要使用 Kerberos，您必须使用以下命令在 Active Directory 中注册服务主体名称 (SPN)：

setspn -s ACSService/{HOST} {ACCOUNT_NAME}

主持人 -

运行AXIS Camera Station Pro服务器的服务器主机名。

帐户名称 -

运行AXIS Camera Station Pro服务器的计算机（计算机账户）的名称。

为了使 Kerberos 正常工作，我们建议您为目标AXIS Camera Station Pro服务器注册短主机名和 FQDN。

例子

setspn -s ACSService/CompanyServer CompanyServerAccountsetspn -s ACSService/CompanyServer.domain.local CompanyServerAccount

有关更多信息，请参阅microsoft.com 上的 Setspn 。

Axis 设备中的帐户主要是计算机/客户端帐户。绝不应允许用户直接访问设备。正常运行期间唯一应访问设备的客户端是AXIS Camera Station Pro服务器。一种常见策略是让所有设备都使用相同的密码。这会带来额外的风险，但也可以简化密码管理，因此必须评估自己的风险承受能力。AXIS Camera Station Pro支持通过其管理界面为每个设备分配唯一的密码。

一个常见的错误是，将设备添加到AXIS Camera Station Pro时，多个角色共享一个帐户。有时，当视频系统维护人员需要使用浏览器调整某些内容时，设备的主帐户 (root) 密码就会被泄露。几个月内，组织中的大多数人就会知道所有设备的密码，并拥有系统的管理员权限。

推荐的政策和程序
设备应至少有两个管理员帐户：一个是为设备管理员创建的唯一帐户，另一个是用于将设备添加到AXIS Camera Station Pro服务器的默认根帐户。临时访问（例如视频系统维护人员使用 Web 浏览器访问设备时）应通过使用临时帐户进行管理。

AXIS 设备管理器应作为管理设备帐户和密码的主要工具。AXIS 设备管理器的一个版本直接内置于AXIS Camera Station Pro中，可在“管理”选项卡中找到。设备的根密码只能由 AXIS 设备管理器和AXIS Camera Station Pro使用，并且只有使用 AXIS 设备管理器或AXIS Camera Station Pro作为设备管理工具的用户才知道该密码。

当维护人员需要使用 Web 浏览器访问设备进行故障排除或维护时，可使用AXIS Camera Station Pro配置临时帐户。选择设备并创建一个新帐户，最好具有操作员权限，以供维护人员使用。任务完成后，删除临时帐户。

AXIS Camera Station Pro服务器和客户端在 Windows 环境中运行。这些系统必须保持最新状态，以确保托管AXIS Camera Station Pro软件的系统没有可利用的漏洞，从而未经授权访问视频管理系统。

推荐的政策和程序
对于所有AXIS Camera Station Pro系统，无论是在 Axis NVR 还是自定义硬件上运行，都建议关闭自动更新。Windows 更新过去曾导致底层 Windows 操作系统不稳定，因此建议在选定的机器上测试可用的更新，以确保系统的稳定性，然后再将其推送到运行AXIS Camera Station Pro的所有主机系统。但是，需要在安全性和稳定性之间取得平衡，因为长时间不修补 Windows 系统可能会给整体环境带来风险。根据客户系统对外部威胁的暴露程度，应在修补策略中概述确保系统收到最新更新的时间范围。

在大多数情况下，使用AXIS Camera Station Pro的最新软件版本将确保您利用所有新发现的漏洞的安全补丁。如果系统长时间未打补丁，则会增加攻击者利用漏洞并可能破坏系统的风险。

推荐的政策和程序
制定修补政策并定期评估已部署的软件版本以确保AXIS Camera Station Pro是最新的，这一点很重要。修补政策还应确定谁负责管理与更新服务器和客户端软件相关的工作。对于AXIS Camera Station Pro，最新版本可在上找到。AXIS Camera Station Pro需要最新的 .NET 库，因此必须注意将 Windows 修补政策与AXIS Camera Station Pro政策保持一致。

运行具有最新固件版本的设备可以降低最常见的风险，因为最新固件版本将包含针对攻击者可能尝试利用的已知漏洞的补丁。Axis 为设备固件提供了长期支持 (LTS) 版本，其中包括安全补丁和错误修复，但功能添加有限，以确保平台的长期稳定性。有关 Axis 固件开发策略的更多信息，请参阅Axis 固件管理白皮书。

推荐的政策和程序
对于硬件设备，政策应规定所有固件都应保持最新状态。流程可以利用AXIS Camera Station Pro或 AXIS Device Manager Extend 中的内置固件更新功能来确定 Axis 设备是否有新的固件版本。应定义一个预定时间（通常在非工作时间）来部署所有摄像机的所有固件升级。AXIS Camera Station Pro / AXIS Device Manager Extend 还可以验证固件更新是否被接受。如果系统具有可能受更新影响的特定集成，请考虑在 LTS 固件轨道上进行标准化。

暴露在互联网上的设备和服务会增加外部对手探测或利用已知漏洞的风险。如果使用弱密码或发现新的严重漏洞，暴露在互联网上的摄像机（例如需要远程视频访问的小型组织）很容易成为受害者。应严格控制或尽可能避免对 Windows 环境的远程访问。虽然 Windows 环境可能具有互联网连接以方便更新系统，但如果管理不当，使用 Windows 远程桌面、TeamViewer 和 AnyDesk 等远程桌面服务会引入访问系统的途径。

推荐的政策和程序
切勿以可直接从 Internet 访问的方式公开摄像机的 IP 地址/端口。如果需要远程视频访问，请使用 Axis Secure Remote Access。AXIS Camera Station Pro使用基于云的远程访问服务器，通过AXIS Camera Station Pro客户端或 AXIS Camera Station 移动应用程序促进对系统的加密远程访问。除了负责远程和移动用户的连接管理之外，远程访问服务器还在远程用户使用时保护完整性方面发挥着重要作用。有关 Axis Secure Remote Access 的更多信息，请参见此处。Axis 为 Android 和 Apple iOS 提供官方品牌的移动应用程序。AXIS Camera Station 移动应用程序只能从官方来源、Google Play Store 和 Apple App Store 下载。

当涉及远程桌面访问 Windows 环境时，不建议向运行AXIS Camera Station Pro 的系统提供此类访问权限。但是，如果需要，必须格外小心，以确保所选的远程桌面应用程序是安全的，并且只向需要它的个人提供访问权限。鼓励实施额外的控制层，例如多因素身份验证 (MFA)。强烈建议记录并随后审核远程连接尝试，以跟踪谁在何时远程访问了 Windows 环境。

减少本地网络暴露有助于通过减少攻击面来缓解许多常见威胁。减少网络暴露的方法有很多，包括物理网络分段（单独的网络硬件和电缆）、通过虚拟 LAN (VLAN) 进行逻辑网络分段和 IP 过滤。Axis 摄像机支持 IP 过滤器（IP 表），因此设备仅响应来自明确允许的 IP 地址的连接请求。

推荐的政策和程序
AXIS Camera Station S22 NVR 是具有双网络端口的硬件服务器。其中一个端口为摄像机创建分段网络，另一个端口连接到主网络（域）以服务视频客户端。服务器充当摄像机网络的桥梁和防火墙，阻止客户端直接访问摄像机。这降低了主网络上对手威胁的可能性。

如果AXIS Camera Station Pro服务器和摄像机都放置在主网络上，建议配置摄像机的 IP 过滤器，将访问限制为仅托管AXIS Camera Station Pro、AXIS 设备管理器和其他维护客户端的服务器。

通过不安全网络传输的网络流量应始终加密。互联网被归类为不安全网络。本地网络也可能被归类为不安全网络，因此网络流量也应加密。对网络上的视频流量应用什么策略取决于视频的分类方式以及对手通过网络访问视频系统的风险。建议假设网络已被入侵。较大的组织通常会制定一项定义网络分类方式的策略。

建议的政策和程序

视频客户端和AXIS Camera Station Pro服务器之间的通信应使用加密。AXIS Camera Station Pro服务器和摄像机之间的通信应根据基础设施进行加密。Axis 摄像机默认配备自签名证书和启用的 HTTPS。如果存在网络欺骗风险，例如当恶意计算机试图冒充摄像机时，应使用具有 CA 签名证书的私钥基础设施 (PKI)。AXIS Camera Station Pro具有内置的本地证书颁发机构 (CA)，可以经济高效地管理 Axis 设备的服务器证书的签名和分发。

TLS 版本

我们建议禁用 TLS 版本 1.1 和 1.0。AXIS Camera Station 安装程序可在安装或升级期间提供帮助。

HTTPS 密码

AXIS Camera Station Pro支持并使用 TLS 密码套件来安全地加密 HTTPS 连接。具体密码套件取决于连接到AXIS Camera Station Pro 的客户端或联系的服务，AXIS Camera Station Pro根据 TLS 协议进行协商。我们建议将 Windows 配置为不使用RFC 7540 中列出的 TLS 1.2 密码套件。禁用密码套件的能力取决于与AXIS Camera Station Pro一起使用的设备和摄像机。如果设备或摄像机需要特定的密码套件，则可能无法禁用弱密码套件。

直播和录制的视频应进行分类。视频可能被归类为公共、私人、受限或组织政策定义的任何其他类别。在许多情况下，视频受法律和地区法规以及内部 IT 政策的监管，因此系统所有者有责任了解适用于其视频数据的法律法规。

推荐的政策和程序
根据组织数据分类政策对实时视频、录制视频和音频进行分类。根据视频和音频数据的敏感度配置用户访问权限和系统强化。如果不需要，可以在设备级别禁用音频。

根据您组织的成熟度级别和风险承受能力，我们建议实施 CIS Controls v8 中的几项附加安全控制，以帮助降低日常运营中的网络安全风险。

额外的CIS控制：

控制 8：审计日志管理
收集、警告、审查和保留有助于检测、了解或从攻击中恢复的事件审计日志。

控制 14：实施安全意识和培训计划
了解员工的技能和行为。培训员工如何识别不同形式的攻击。

控制 17：事件响应和管理
利用书面的事件响应计划，明确定义事件处理/管理阶段和人员角色，以及如何向相关部门和第三方报告安全事件。