企業如何建置安全的作業系統 Windows XP 網路安全 蘇建榮 event@taipeicity.org MCSE 2003/MVP/MCT Desktop Deployment Center

大綱 威脅、弱點與攻擊 安全的第一步 分析與修補軟體弱點 增進企業網路的安全 增進無線網路應用的安全 增進網際網路應用的安全

威脅、弱點與攻擊 威脅 弱點 攻擊 說 明 實 例 對您可能產生潛在危害的各種行為 說 明 實 例 威脅 對您可能產生潛在危害的各種行為 攻擊者經常在 Internet 掃瞄有哪些 IP Address 上有什麼 Port 被開啟 弱點 由任何型式的威脅行為所能發現或暴露出來的安全缺口 不適當的設定或軟體的瑕疵未被修補 攻擊 由精心設計的方法，跨越系統的安全控制進行各種資源擁有者預期外的操作 未被認可的資料存取、設定修改或執行程式

大綱 威脅、弱點與攻擊 安全的第一步 分析與修補軟體弱點 增進企業網路的安全 增進無線網路應用的安全 增進網際網路應用的安全

安全的第一步 啟用網際網路連線防火牆(ICF) 管制 IP 封包的進出 減少可能的被攻擊面 仍能對網路上的資源正常的進行存取

ICF 網際網路連線防火牆 每個網路界面的設定是獨立的 對外的存取一切正常 外來的存取預設全部封鎖 能以協定種類與埠號進行篩選 無法以 IP 位址或應用程式資料進行篩選

啟動 ICF 網路安裝精靈 新增連線精靈 網路連線資料夾

服務選項 允許使用者在本機電腦上執行服務，或在家用網路環境內建立 port 的對應 提供一系列預先定義好的服務 使用者可以自行建立新的對應值

大綱 威脅、弱點與攻擊 安全的第一步 分析與修補軟體弱點 增進企業網路的安全 增進無線網路應用的安全 增進網際網路應用的安全

我的電腦有哪些安全弱點？

MBSA 的特色 MBSA.exe 圖形化介面 MBSAcli.exe 命令列界面 MBSAcli.exe /hf HFNetChk風格 可同時掃描一部或多部電腦 執行 MBSA 的帳戶必須是 Administrators 群組成員 Mbsacli.exe -r 192.168.0.1-192.168.0.10 XML 格式的安全性基準的報告儲存於 %userprofile% 的 SecurityScans 中 Free download http://www.microsoft.com/technet/security/tools/mbsahome.asp

MBSA (Microsoft Security Baseline Analyzer) 支援平台 Windows XP Home Edition/Professional Windows 2000 Professional/Server Windows Server 2003 掃描支援產品 Windows XP, Windows Server 2003, Windows 2000, Windows NT 4.0 IIS 4.0, IIS 5.x, IIS 6.0 Internet Explorer 5.01 以上 Windows Media Player 6.4 以上 SQL 7, 2000 (含 MSDE) Exchange Server 5.5, 2000 , 2003 BizTalk、Commerce Server、CMS、HIS 等

MBSA 的運作 執行時會嘗試連線到 Internet，以便從 Microsoft 下載 msscure.cab 及 msscure.xml msscure.cab 是由 Microsoft Corporation 數位簽署的 指定網域或 IP 位址的範圍時，會嘗試 Ping 所有電腦。MBSA 會列出哪些電腦沒有辦法 Ping 到，並且繼續對已回應的電腦進行掃描  人工下載 mssecure.cab、mssecure.xml http://download.microsoft.com/download/xml/security/1.0/nt5/en-us/mssecure.cab http://www.microsoft.com/technet/security/search/mssecure.xml

MBSA Score Check Failed (Critical) Check Failed (non-Critical) Check Passed Best Practices Additional Information

Security Update Scan Results

什麼是 Software Update Services SUS 伺服器下載重大更新與安全性補充程式 企業內的用戶電腦的自動更新服務直接由 SUS 伺服器下載更新 Windows Update Web site 自動更新 Software Update Services 伺服器 LAN 自動更新 Internet 自動更新

SUS 伺服器 硬體需求 軟體需求 Pentium III 700 MHz 以上 512 MB RAM 6 GB 以上格式化為 NTFS 檔案系統的邏輯磁碟 軟體需求 Windows 2000 Server SP2 以上或 Windows Server 2003 IIS 5.0 以上 Internet Explorer 6.0 以上

SUS 用戶端 Windows XP sp1 (含以上) Windows 2000 sp3 (含以上) Windows Server 2003 使用自動更新並設定WUServer Software\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions Software\Policies\Microsoft\Windows\WindowsUpdate\AU\UseWUServer Software\Policies\Microsoft\Windows\WindowsUpdate\WUServer Software\Policies\Microsoft\Windows\WindowsUpdate\WUStatusServer

大綱 威脅、弱點與攻擊 安全的第一步 分析與修補軟體弱點 增進企業網路的安全 增進無線網路應用的安全 增進網際網路應用的安全

VPN 虛擬私人網路 在公眾的電腦網路(如：Internet)建立虛擬的私人網路連線，達成如同私人網路相同的安全性並節省費用 可透過公眾的電腦網路(如：Internet, public IP Address)，將多個企業內部網路(Intranet, private IP Address)進行連通 對 IP 封包進行封裝與加密

使用 VPN 虛擬私人網路 公司內部 Intranet 192.168.0.0 Intranet 界面 192.168.0.1 Internet 界面 211.55.66.71 192.168.10.3 Windows XP 61.11.22.31 Internet Tunnel VPN 伺服器 Windows Server 2003 192.168.10.2 建立一個新連線

Windows XP 所支援的 VPN 協定 PPTP or L2TP PPTP L2TP Internetwork must be IP-based No header compression No tunnel authentication Built-in PPP encryption Internetwork can be IP, frame relay, X.25, or ATM-based Header compression Tunnel authentication Uses IPSec encryption Internet PPTP or L2TP

什麼是 IPSec IP 網路傳輸安全的業界標準架構 提供 AH（Authentication Header；驗證標頭 ） 通訊前與通訊期間的雙向驗證 確保資料傳輸的隱密性 確保封包傳輸的完整性 防止以封包重播方式的攻擊 AH（Authentication Header；驗證標頭 ） 驗證傳送資料電腦的身份並確保資料的完整性 ESP（Encapsulated Security Payload；壓縮安全性內容 ） 驗證傳送資料電腦的身份並確保資料的隱密性 與完整性

IPSec 如何運作 1 2 3 Active Directory IP 安全性原則 IP 安全性原則 安全性關聯交涉 TCP 層 Encrypted IP Packets 3

什麼是 IP 安全性原則 IP Sec 使用規則與原則來確保網路傳輸的安全 規則的組成 預設的原則 IP 篩選器清單 篩選器動作 驗證方法 用戶端(僅回應) 伺服器(要求安全性) 安全的伺服器(需要安全性)

使用預設原則 ◎ 預設以 Kerberos 驗證 未指派 用戶端 (僅回應) 伺服器 (要求安全性) 安全的伺服器(需要安全性) No IPSec 無法通訊 IPSec 安全的伺服器 (需要安全性) ◎ 預設以 Kerberos 驗證

如何指派 IP 安全性原則 使用『IP 安全性原則管理』 在 Active Directory 網域中使用群組原則進行集中管理

大綱 威脅、弱點與攻擊 安全的第一步 分析與修補軟體弱點 增進企業網路的安全 增進無線網路應用的安全 增進網際網路應用的安全

802.11 無線網路的安全機制 身分驗證 Authentication 資料保密 Confidentiality 開放式系統 Open System 封閉式系統 Closed System 分享密鑰認證 Shared-Key 資料保密 Confidentiality WEP (Wired Equivalent Privacy) 資料的完整性 Integrity CRC CRC + WEP

( Challenge-Response ) 802.11 認證模式 身份驗證 Authentication SSID (Service Set ID) WEP 資料加密 開放式系統 Open System 接受SSID值為 空白 不使用 不支援 封閉式系統 Closed System 需輸入有效的SSID 分享密鑰認證 Shared Key ( Challenge-Response ) 利用WEP與RC4演算法進行身分確認 利用WEP產生的金要進行資料加密

802.1X Port-based 存取控制方式 可以使用 EAP 使用更高安全性的驗證方式 金鑰自動管理 可以用在無線或有線網路環境 Access point 必須支援 802.1X 不需要大幅改變現有硬體架構 可以使用 EAP 使用更高安全性的驗證方式 讓用戶端選擇使用的驗證方式 Access point 不需要提供 EAP 的驗證方式 金鑰自動管理 不須重新改寫無線網卡的晶片設計

802.1X 連接埠存取實體 (PAE,也稱為 LAN 連接埠) 驗證者 請求者 驗證伺服器 支援連接埠相關 IEEE 802.1X 通訊協定的邏輯實體。 驗證者 對於無線連線而言，驗證者就是無線存取點 (AP) 上的邏輯 LAN 連接埠請求者 請求者 對於無線連線而言，請求者就是在無線 LAN 網路介面卡上要求存取有線網路的邏輯 LAN 連接埠 驗證伺服器 無線 AP 通常會使用「遠端驗證撥號使用者服務」(RADIUS) 通訊協定將連線嘗試參數傳送給 RADIUS 伺服器(IAS,網際網路驗證服務)。

WPA 支援 Pre-Shared Key (PSK) 讓沒有 RADIUS 的環境也能使用 在每次連線起始過程重新產生金鑰 TKIP 取代 802.1X 金鑰管理 Temporal key integrity protocol 128-bit RC4 結合 128-bit IV 及用戶端 MAC address 每個 frame 都使用不同的加密金鑰 並非完全取代 WEP 提供更安全的加密金鑰機制 (AES)

大綱 威脅、弱點與攻擊 安全的第一步 分析與修補軟體弱點 增進企業網路的安全 增進無線網路應用的安全 增進網際網路應用的安全

保護電子郵件 加密 防止郵件內容被第三者看到 簽章 防止郵件內容被竄改 確認發信者的身份 法律效力 內政部自然人憑證

如何在電子郵件使用簽章與加密 向憑證授權單位(CA)申請目的為『安全電子郵件』用途的憑證(請注意 E-Mail 位址需正確，且收發信雙方皆信任此 CA ) 將含私有金鑰的憑證安裝(匯入)至發信電腦 設定 Outlook 或 Outlook Express 啟用簽章、加密並使用該憑證 發信時，依需要選取簽章、加密 收信者需取得發信者的公開金鑰，並在通訊錄的該聯絡人設定中匯入

保護 Web 通訊 Secure Sockets Layer (SSL 3.0) 使用 https (443/TCP) 防止傳輸內容被第三者看到 需要向憑證授權單位(CA)為Web 伺服器申請『確保遠端電腦的識別』憑證

如何使用 https 使用網頁伺服器憑證精靈，建立 certreq.txt 向憑證授權單位(CA)，提交 certreq.txt 下載憑證(certnew.cer)並使用網頁伺服器憑證精靈進行安裝 啟用安全通訊 用戶端以 https 進行存取

Web 用戶端憑證 用以確認使用者身份 不需輸入帳戶及密碼 用戶需預先向憑證授權單位(CA)申請『向遠端電腦證明您的身分』的憑證

TechNet 研討會實錄與社群 http://www.microsoft.com/taiwan/technet