企業如何建置安全的作業系統 Windows XP 網路安全

Slides:



Advertisements
Similar presentations
国有控股上市公司监测系统 国务院国有资产监督管理委员会 北京久其软件股份有限公司 2010 年 3 月 北京 应用培训.
Advertisements

Information Security Fundamentals and Practices 資訊安全概論與實務
第四章 内容提要: 电子商务的安全技术 本章从电子商务的安全要求入手,介绍电子商务的几种安全技术,从而说明电子商务安全问题有哪些,其根源何在、带来哪些风险、如何应用安全技术等。
資訊安全管理 與 個人資訊安全防護 日期:99年12月01日 13:30~16:30 地點:e化專科教室 主講人:黃尚文.
第十四章 無線通訊安全 本投影片(下稱教用資源)僅授權給採用教用資源相關之旗標書籍為教科書之授課老師(下稱老師)專用,老師為教學使用之目的,得摘錄、編輯、重製教用資源(但使用量不得超過各該教用資源內容之80%)以製作為輔助教學之教學投影片,並於授課時搭配旗標書籍公開播放,但不得為網際網路公開傳輸之遠距教學、網路教學等之使用;除此之外,老師不得再授權予任何第三人使用,並不得將依此授權所製作之教學投影片之相關著作物移作他用。
计算机网络高级工 梁绍宇.
吴峻 软件设计工程师组长 Exchange Server 微软有限公司
第三章 網際網路和全球資訊網 : 電子商務基礎建設
實驗 9: 無線安全網路之建設.
第二章 FrontPage2003概览.
精誠公司 恆逸資訊教育訓練中心 資深講師 唐任威 MCT/MCSE:Security/CISSP/SSCP
本著作除另有註明外,採取創用CC「姓名標示-非商業性-相同方式分享」台灣3.0版授權釋出
Chapter6 無線區域網路商業應用 姓名 : 洪嘉蓬 駱俊霖 學號 : N N
Windows 2000/XP网络组建与系统管理 李燕 中南分校.
Security and Encryption
Windows系統 入侵偵測與防制工具 成大計網中心 楊峻榮 2003/10/23.
無限的無線:無線區域網路與無線都會網路 Unlimted Wireless Networks
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
管理系统使用注意事项 1.每个事业单位只有一张唯一的专用光盘。但为防止事业单位专用光盘损坏,可以自行刻录一张新的光盘作为备份。用于网上登记的计算机必须有光驱才行、计算机必须是xp或更好版本的的操作系统,浏览器必须是IE6.0版本以上。 2.事业单位专用光盘中“网下填表与上网提交”功能未开通,待开通后再告知大家。
Information Security Fundamentals and Practices 資訊安全概論與實務
Microsoft WLAN tech. 中正通訊 卓瑩鎗.
不同電腦作業系統的比較 陳朗杰 6A (2).
課程 微軟安全工具簡介 高市資教中心網路組 汪家麒
資訊安全-資料加解密 主講:陳建民.
第9章 電子商務安全防範.
資訊安全概論 梁明章 國家高速網路與計算中心 助理技術師.
指導教授:陳偉業 老師 碩專資管二甲 N 林士淵 富強鑫公司 資訊工程師 2006/12/23
第 19 章 遠端管理.
IIS網站的安全性管理 羅英嘉 2007年4月.
網路基本概念 本章主要是為讀者建立有關網路的基本知識, 作為後續章節的基礎。首先我們會說明網路的基本概念, 接著介紹網路的各種類型與相關的作業系統, 最後則是介紹 OSI 與 DoD 等兩種網路模型, 讓讀者能進一步了解網路運作的方式。
利用 ISA Server 2004 建置應用層防護機制
計資中心教學研究組唐瑤瑤 電腦與網路 計資中心教學研究組唐瑤瑤
Windows 2003 Server IIS網站的架設
系統安全期末報告 Nessus 與其相關軟體使用心得
轉移Windows XP的使用者環境到Windows Vista
Windows 2000 Server Certificate Authority架設
Windows XP 使用與設定 (進階班) 淡江大學資訊中心教學支援組 劉育辰.
安全更新管理 精誠恆逸資訊 資深講師 職念文.
Rinpoche整合網路管理系統 - 台北市教育網路應用
Windows Server 2008 NAP整合802.1x網路安全控管
第9章 虛擬私人網路VPN.
資訊安全─入門手冊 第 18 章 無線網路安全.
《电子商务概论》高等教育出版社 2003版 市场营销系
第1章 SQL Server 2005 关系数据库简介.
第14章虚拟专用网技术与应用实验.
WLAN 技术基础介绍.
目錄 教學注意事項 教學元件類型 瀏覽課程之基本配備 操作使用說明. 目錄 教學注意事項 教學元件類型 瀏覽課程之基本配備 操作使用說明.
主講人:黃鎮榮 東方設計學院觀光與休閒事業管理系
目錄 教學注意事項 教學元件類型 瀏覽課程之基本配備 操作使用說明. 目錄 教學注意事項 教學元件類型 瀏覽課程之基本配備 操作使用說明.
目錄 教學注意事項 教學元件類型 瀏覽課程之基本配備 操作使用說明. 目錄 教學注意事項 教學元件類型 瀏覽課程之基本配備 操作使用說明.
Windows Server 2008证书服务的安装
第12章 远程访问、NAT技术.
2006「新進專任教師」研習營 研習營日期:95年4月11日(星期二)、 95年4月12日(星期三)
顧武雄 Jovi Ku Microsoft特約資深講師
U861院校专用版的安装流程 安装IIS中的WWW服务 安装SQL数据库 安装SQL SP4补丁 安装U861院校专用版.
目錄 教學注意事項 教學元件類型 瀏覽課程之基本配備 操作使用說明. 目錄 教學注意事項 教學元件類型 瀏覽課程之基本配備 操作使用說明.
目錄 教學注意事項 教學元件類型 瀏覽課程之基本配備 操作使用說明. 目錄 教學注意事項 教學元件類型 瀏覽課程之基本配備 操作使用說明.
目錄 教學注意事項 教學元件類型 瀏覽課程之基本配備 操作使用說明. 目錄 教學注意事項 教學元件類型 瀏覽課程之基本配備 操作使用說明.
目錄 教學注意事項 教學元件類型 瀏覽課程之基本配備 操作使用說明. 目錄 教學注意事項 教學元件類型 瀏覽課程之基本配備 操作使用說明.
目錄 教學注意事項 教學元件類型 瀏覽課程之基本配備 操作使用說明. 目錄 教學注意事項 教學元件類型 瀏覽課程之基本配備 操作使用說明.
專題實驗B組: 智慧型校園IP網路監控系統 (Intelligent IP Network Surveillance System on the Campus) 東吳大學資訊科學系 指導教師: 楊欣哲 教授 組 長:資四A 張立顗 組 員:資四A 秦仲杰、賴楦衡、鄭淵澤.
橫跨電腦、手機與軟體的全方位端點管控解決方案
目錄 教學注意事項 教學元件類型 瀏覽課程之基本配備 操作使用說明. 目錄 教學注意事項 教學元件類型 瀏覽課程之基本配備 操作使用說明.
期未報告:公眾無線網路的架構,比較 通訊所 鍾國麟 主要的內容還是S.Y.
目錄 教學注意事項 教學元件類型 瀏覽課程之基本配備 操作使用說明. 目錄 教學注意事項 教學元件類型 瀏覽課程之基本配備 操作使用說明.
第 7 章 电子政府的支撑技术.
個資法對台糖公司應用系統所帶來的衝擊與防範
WEP 破解大公開 陳小龍.
计算机基础与实训教材系列 《中文版Office 2003实用教程》.
強化 Windows 平台 唐任威 資深講師.
Presentation transcript:

企業如何建置安全的作業系統 Windows XP 網路安全 蘇建榮 event@taipeicity.org MCSE 2003/MVP/MCT Desktop Deployment Center

大綱 威脅、弱點與攻擊 安全的第一步 分析與修補軟體弱點 增進企業網路的安全 增進無線網路應用的安全 增進網際網路應用的安全

威脅、弱點與攻擊 威脅 弱點 攻擊 說 明 實 例 對您可能產生潛在危害的各種行為 說 明 實 例 威脅 對您可能產生潛在危害的各種行為 攻擊者經常在 Internet 掃瞄有哪些 IP Address 上有什麼 Port 被開啟 弱點 由任何型式的威脅行為所能發現或暴露出來的安全缺口 不適當的設定或軟體的瑕疵未被修補 攻擊 由精心設計的方法,跨越系統的安全控制進行各種資源擁有者預期外的操作 未被認可的資料存取、設定修改或執行程式

大綱 威脅、弱點與攻擊 安全的第一步 分析與修補軟體弱點 增進企業網路的安全 增進無線網路應用的安全 增進網際網路應用的安全

安全的第一步 啟用網際網路連線防火牆(ICF) 管制 IP 封包的進出 減少可能的被攻擊面 仍能對網路上的資源正常的進行存取

ICF 網際網路連線防火牆 每個網路界面的設定是獨立的 對外的存取一切正常 外來的存取預設全部封鎖 能以協定種類與埠號進行篩選 無法以 IP 位址或應用程式資料進行篩選

啟動 ICF 網路安裝精靈 新增連線精靈 網路連線資料夾

服務選項 允許使用者在本機電腦上執行服務,或在家用網路環境內建立 port 的對應 提供一系列預先定義好的服務 使用者可以自行建立新的對應值

大綱 威脅、弱點與攻擊 安全的第一步 分析與修補軟體弱點 增進企業網路的安全 增進無線網路應用的安全 增進網際網路應用的安全

我的電腦有哪些安全弱點?

MBSA 的特色 MBSA.exe 圖形化介面 MBSAcli.exe 命令列界面 MBSAcli.exe /hf HFNetChk風格 可同時掃描一部或多部電腦 執行 MBSA 的帳戶必須是 Administrators 群組成員 Mbsacli.exe -r 192.168.0.1-192.168.0.10 XML 格式的安全性基準的報告儲存於 %userprofile% 的 SecurityScans 中 Free download http://www.microsoft.com/technet/security/tools/mbsahome.asp

MBSA (Microsoft Security Baseline Analyzer) 支援平台 Windows XP Home Edition/Professional Windows 2000 Professional/Server Windows Server 2003 掃描支援產品 Windows XP, Windows Server 2003, Windows 2000, Windows NT 4.0 IIS 4.0, IIS 5.x, IIS 6.0 Internet Explorer 5.01 以上 Windows Media Player 6.4 以上 SQL 7, 2000 (含 MSDE) Exchange Server 5.5, 2000 , 2003 BizTalk、Commerce Server、CMS、HIS 等

MBSA 的運作 執行時會嘗試連線到 Internet,以便從 Microsoft 下載 msscure.cab 及 msscure.xml msscure.cab 是由 Microsoft Corporation 數位簽署的 指定網域或 IP 位址的範圍時,會嘗試 Ping 所有電腦。MBSA 會列出哪些電腦沒有辦法 Ping 到,並且繼續對已回應的電腦進行掃描  人工下載 mssecure.cab、mssecure.xml http://download.microsoft.com/download/xml/security/1.0/nt5/en-us/mssecure.cab http://www.microsoft.com/technet/security/search/mssecure.xml

MBSA Score Check Failed (Critical) Check Failed (non-Critical) Check Passed Best Practices Additional Information

Security Update Scan Results

什麼是 Software Update Services SUS 伺服器下載重大更新與安全性補充程式 企業內的用戶電腦的自動更新服務直接由 SUS 伺服器下載更新 Windows Update Web site 自動更新 Software Update Services 伺服器 LAN 自動更新 Internet 自動更新

SUS 伺服器 硬體需求 軟體需求 Pentium III 700 MHz 以上 512 MB RAM 6 GB 以上格式化為 NTFS 檔案系統的邏輯磁碟 軟體需求 Windows 2000 Server SP2 以上或 Windows Server 2003 IIS 5.0 以上 Internet Explorer 6.0 以上

SUS 用戶端 Windows XP sp1 (含以上) Windows 2000 sp3 (含以上) Windows Server 2003 使用自動更新並設定WUServer Software\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions Software\Policies\Microsoft\Windows\WindowsUpdate\AU\UseWUServer Software\Policies\Microsoft\Windows\WindowsUpdate\WUServer Software\Policies\Microsoft\Windows\WindowsUpdate\WUStatusServer

大綱 威脅、弱點與攻擊 安全的第一步 分析與修補軟體弱點 增進企業網路的安全 增進無線網路應用的安全 增進網際網路應用的安全

VPN 虛擬私人網路 在公眾的電腦網路(如:Internet)建立虛擬的私人網路連線,達成如同私人網路相同的安全性並節省費用 可透過公眾的電腦網路(如:Internet, public IP Address),將多個企業內部網路(Intranet, private IP Address)進行連通 對 IP 封包進行封裝與加密

使用 VPN 虛擬私人網路 公司內部 Intranet 192.168.0.0 Intranet 界面 192.168.0.1 Internet 界面 211.55.66.71 192.168.10.3 Windows XP 61.11.22.31 Internet Tunnel VPN 伺服器 Windows Server 2003 192.168.10.2 建立一個新連線

Windows XP 所支援的 VPN 協定 PPTP or L2TP PPTP L2TP Internetwork must be IP-based No header compression No tunnel authentication Built-in PPP encryption Internetwork can be IP, frame relay, X.25, or ATM-based Header compression Tunnel authentication Uses IPSec encryption Internet PPTP or L2TP

什麼是 IPSec IP 網路傳輸安全的業界標準架構 提供 AH(Authentication Header;驗證標頭 ) 通訊前與通訊期間的雙向驗證 確保資料傳輸的隱密性 確保封包傳輸的完整性 防止以封包重播方式的攻擊 AH(Authentication Header;驗證標頭 ) 驗證傳送資料電腦的身份並確保資料的完整性 ESP(Encapsulated Security Payload;壓縮安全性內容 ) 驗證傳送資料電腦的身份並確保資料的隱密性 與完整性

IPSec 如何運作 1 2 3 Active Directory IP 安全性原則 IP 安全性原則 安全性關聯交涉 TCP 層 Encrypted IP Packets 3

什麼是 IP 安全性原則 IP Sec 使用規則與原則來確保網路傳輸的安全 規則的組成 預設的原則 IP 篩選器清單 篩選器動作 驗證方法 用戶端(僅回應) 伺服器(要求安全性) 安全的伺服器(需要安全性)

使用預設原則 ◎ 預設以 Kerberos 驗證 未指派 用戶端 (僅回應) 伺服器 (要求安全性) 安全的伺服器(需要安全性) No IPSec 無法通訊 IPSec 安全的伺服器 (需要安全性) ◎ 預設以 Kerberos 驗證

如何指派 IP 安全性原則 使用『IP 安全性原則管理』 在 Active Directory 網域中使用群組原則進行集中管理

大綱 威脅、弱點與攻擊 安全的第一步 分析與修補軟體弱點 增進企業網路的安全 增進無線網路應用的安全 增進網際網路應用的安全

802.11 無線網路的安全機制 身分驗證 Authentication 資料保密 Confidentiality 開放式系統 Open System 封閉式系統 Closed System 分享密鑰認證 Shared-Key 資料保密 Confidentiality WEP (Wired Equivalent Privacy) 資料的完整性 Integrity CRC CRC + WEP

( Challenge-Response ) 802.11 認證模式 身份驗證 Authentication SSID (Service Set ID) WEP 資料加密 開放式系統 Open System 接受SSID值為 空白 不使用 不支援 封閉式系統 Closed System 需輸入有效的SSID 分享密鑰認證 Shared Key ( Challenge-Response ) 利用WEP與RC4演算法進行身分確認 利用WEP產生的金要進行資料加密

802.1X Port-based 存取控制方式 可以使用 EAP 使用更高安全性的驗證方式 金鑰自動管理 可以用在無線或有線網路環境 Access point 必須支援 802.1X 不需要大幅改變現有硬體架構 可以使用 EAP 使用更高安全性的驗證方式 讓用戶端選擇使用的驗證方式 Access point 不需要提供 EAP 的驗證方式 金鑰自動管理 不須重新改寫無線網卡的晶片設計

802.1X 連接埠存取實體 (PAE,也稱為 LAN 連接埠) 驗證者 請求者 驗證伺服器 支援連接埠相關 IEEE 802.1X 通訊協定的邏輯實體。 驗證者 對於無線連線而言,驗證者就是無線存取點 (AP) 上的邏輯 LAN 連接埠請求者 請求者 對於無線連線而言,請求者就是在無線 LAN 網路介面卡上要求存取有線網路的邏輯 LAN 連接埠 驗證伺服器 無線 AP 通常會使用「遠端驗證撥號使用者服務」(RADIUS) 通訊協定將連線嘗試參數傳送給 RADIUS 伺服器(IAS,網際網路驗證服務)。

WPA 支援 Pre-Shared Key (PSK) 讓沒有 RADIUS 的環境也能使用 在每次連線起始過程重新產生金鑰 TKIP 取代 802.1X 金鑰管理 Temporal key integrity protocol 128-bit RC4 結合 128-bit IV 及用戶端 MAC address 每個 frame 都使用不同的加密金鑰 並非完全取代 WEP 提供更安全的加密金鑰機制 (AES)

大綱 威脅、弱點與攻擊 安全的第一步 分析與修補軟體弱點 增進企業網路的安全 增進無線網路應用的安全 增進網際網路應用的安全

保護電子郵件 加密 防止郵件內容被第三者看到 簽章 防止郵件內容被竄改 確認發信者的身份 法律效力 內政部自然人憑證

如何在電子郵件使用簽章與加密 向憑證授權單位(CA)申請目的為『安全電子郵件』用途的憑證(請注意 E-Mail 位址需正確,且收發信雙方皆信任此 CA ) 將含私有金鑰的憑證安裝(匯入)至發信電腦 設定 Outlook 或 Outlook Express 啟用簽章、加密並使用該憑證 發信時,依需要選取簽章、加密 收信者需取得發信者的公開金鑰,並在通訊錄的該聯絡人設定中匯入

保護 Web 通訊 Secure Sockets Layer (SSL 3.0) 使用 https (443/TCP) 防止傳輸內容被第三者看到 需要向憑證授權單位(CA)為Web 伺服器申請『確保遠端電腦的識別』憑證

如何使用 https 使用網頁伺服器憑證精靈,建立 certreq.txt 向憑證授權單位(CA),提交 certreq.txt 下載憑證(certnew.cer)並使用網頁伺服器憑證精靈進行安裝 啟用安全通訊 用戶端以 https 進行存取

Web 用戶端憑證 用以確認使用者身份 不需輸入帳戶及密碼 用戶需預先向憑證授權單位(CA)申請『向遠端電腦證明您的身分』的憑證

TechNet 研討會實錄與社群 http://www.microsoft.com/taiwan/technet