微软安全服务计划介绍会 Windows平台的安全管理

Presentation on theme: "微软安全服务计划介绍会 Windows平台的安全管理"— Presentation transcript:

1 微软安全服务计划介绍会 Windows平台的安全管理
微软公司产品经理 殷建松

2 内容安排 安全挑战和对策 企业网络安全基础架构 保护服务器端 保护客户机端 网络安全管理流程

3 微软安全服务计划市场背景 信息安全是热点话题 用户被信息安全的复杂性所困扰 服务成为软件的重要价值之一
总结一句：用户的痛是没有轻松解决网络安全的方法，实在需要我们的帮助，这也是软件服务和销售的商机所在。

4 什么是微软安全服务计划 长期性的会员制计划 微软用户可以通过网站上注册加入
微软将从今天起在新浪等门户网站大举宣传这一计划，第一期宣传将持续到4月底 微软将把这些注册的用户信息分给微软安全服务伙伴去跟踪，提供服务方案和采购建议 微软安全服务伙伴能够得到微软持续地技术和市场支持，有义务定期向微软提供报告 我们预期有1万个企业用户注册。截止到上周末，已经有300多企业注册。

5 用户加入安全服务计划 加入时获得微软欢迎礼包 还会定期收到 欢迎信 安全工具包 Technet专刊 价值100元的CTEC培训礼券
价值36元的Windows & .Net Magazine订阅礼券 还会定期收到 微软安全信息快递服务 Technet期刊和补丁光盘

6 掌握及时准确的网络安全技术 是关键 微软CTEC开设安全课程 欢迎订阅《软件-Winmag》 (网址：www.winmag.com.cn)
双威启迪从4月底在全国开始远程教育“企业网络安全技术”课程。 欢迎订阅《软件-Winmag》 (网址： 来自于美国的最新Windows & .Net Magazine国际中文版， 网络工程师的交流平台。

7 安全的挑战及对策

8 黑客攻击行为日益增加 恶意行为的增长 * 2001 Q1-Q3 所有数据来自 http://www.cert.org/stats
Note to Presenter – we do not want to be arrogant about this. While we are not the best at internet security we think all vendors have flaws and we are mobilizing to take leadership and address ours. Focus on the fact, that even though this was non-published, it was quickly a target for many hackers. The fact that it was Linux broken into should not be stressed, this was (as said) an out-of-box installation with no patches applied for known vulnerabilities. Notice that this and a number of the following slides really talks about scenarios that are Internet focused, which is not the focus of this service offering. However, good security includes ”defense in depth” which means, that protection should not only be done at the perimeter but also at the possible internal security checkpoints. This workshop does focus on how to make life much harder for a hacker or internal employee to breach security, if they already have gained access to the LAN (e.g. by hacking in through the access points). This issue is adressed in a later slide in this section, but be aware of this if a participant raises the issue before getting to ”Defense in Depth”. 所有数据来自 * 2001 Q1-Q3

9 计算机病毒的发展趋势 病毒在传播中使用的手法越来越多 新型和变种病毒的推出速度越来越快 更加难以清除 W32.SirCam.A
1 W32.SirCam.A 2 W32.Magistr.A 3 W32.Hybris.B 4 W32.Nimda 5 VBS.FunLove.4099 6 W32.BadTrans 7 W32.MTX.A 8 W32.Magistr.DAM 9 VBS.KakWorm 10 VBS.Haptime.A 病毒在传播中使用的手法越来越多 新型和变种病毒的推出速度越来越快 更加难以清除 1） have not list the recently virus, suchs badtrans, goner

10 微软安全策略 安全预防胜于事后补救，建立一个严谨的信息系统架构 外部安全和内部安全并重，集中控制，分段隔离
网络安全的基础架构 如何保护服务器端 如何保护客户机端 网络安全的管理流程 外部安全和内部安全并重，集中控制，分段隔离 简单管理就是有效的管理 - 集中管理 有效的风险管理 安全预防胜于事后补救 – 设计一套完善的，层次化的安全防御体系 外部安全和内部安全并重 – 内部的安全问题和内部的安全控制 – 举舰船的例子 简单管理就是有效的管理 – 举微软安全响应中心的例子和说法 security is an systems engineering

11 一、基础架构 目录服务是企业IT架构的基础 用组策略实现系统安全 远程分支机构和远程访问 部署防火墙 集中管理总结 备份
Windows 2000 Server基准安全注意事项

12 网络状况 本地网 远程用户 Internet 范围 分公司 安全计划

13 需要管理的资源 活动目录! 应用程序 服务器配置 单一注册 用于程序专用 的目录信息 策略 防火墙服务 配置 安全策略 虚拟专用网络策略
Internet 防火墙服务 配置 安全策略 虚拟专用网络策略 网络设备 服务质量策略 其他目录 White pages E-Commerce 其他NOS User registry Security Policy 电子邮件服务器 邮箱信息 通讯簿 活动目录! Windows用户 帐号信息 特权 配置文件 策略 Windows客户 Mgmt配置文件 网络信息 策略 Windows服务器 Mgmt配置文件 网络信息 服务 打印机 文件共享 策略 目录 为下列对象管理焦点： 用户和资源 安全 授权 策略 Top part of this slide is native to pretty much any directory service. The bottom part is really important because this emphasizes the extensibility of AD. This is what differentiates AD from other proudcts. Joshua will be playing with the design effects of this slide. Thanks Ed for the idea……

14 典型网络分布 北京 Internet 上海 成都 广州

15 部署AD-多域 北京 北京 上海 Internet 上海 成都 广州 成都 广州

16 部署AD-单域 北京 OU Internet 上海 域 OU OU OU 成都 广州

17 统一网络身份管理 Windows 2000 AD 单一登录
在Active Directory中 存放唯一帐号 集成 Kerberos v5 登录 Key Distribution Center (KDC) 公共键安全信息存放在被保护的存储区 工业标准安全协议 Kerberos, SSL/TLS, others

18 分析 Windows 2000 缺省安全性 缺省安全模板应用到所有新安装的Windows 2000 除非:
工作站 成员服务器 域控制器 defltwk.inf defltsv.inf defltdc.inf 缺省安全模板应用到所有新安装的Windows 2000 除非: 从 Windows NT 4.0 升级 只用FAT 文件系统的计算机

19 配置安全模板 Account Restricted Groups Local File System Event Log
Security Template Registry IPSec System Services Public Key

20 当前配置与基准线比较 当前配置与基准线不匹配 当前配置符合或超越基准线

21 自动分析安全基准线 secedit /analyze /db secure.sdb /cfg baseline.inf
Performed every Friday secedit /analyze /db secure.sdb /cfg baseline.inf

22 使用组策略对象实施安全配置 Site 为每种角色的计算机创建OUs 最小化使用GPOs的数量 子OU GPOs 覆盖父 OU GPOs OU
Domain 1 Domain 2 为每种角色的计算机创建OUs 最小化使用GPOs的数量 子OU GPOs 覆盖父 OU GPOs

23 基于策略分层管理 一个计算机或用户作用的策略是多个策略的和并 Domain Controllers OU Domain Policy
Client Policy Client OU Server OU Server OU VPN 策略执行 DC 策略执行 用户端策略执行 文件或 Web 服务器 策略执行

24 分支机构网络 一个典型的 VPN 架构… office office VPN TUNNEL PPTP/L2TP 路由器 VPN TUNNEL
ROUTER users office VPN Gateway #1 VPN Gateway #2 VPN Gateway #1 VPN TUNNEL PPTP/L2TP VPN TUNNEL PPTP/L2TP Internet 路由器 VPN Gateway #2 ROUTER users office VPN Gateway #1 VPN Gateway #2 servers

25 远程访问-移动用户 公司网络 配置远程访问策略 加密 Internet 加密 Private 链路层安全 PPTP/L2TP

26 部署防火墙- 小型网络或分公司的配置 Internet 企业內部网络 ISA
访问策略规则 - IP封包, 应用程式, 使用者, 群组等的存取规则 带宽规则 不同Internet request所分配不同带宽的规则 发布规则 - 将Internet服务(如web,ftp,mail)透过防火墙 的保护公布給外界大众 入侵检测 - 防火墙入侵监测与警示 监视和日志 – 进出流量分析与报表 Web 缓存-所有放火墙的安全策存内容略会被自动应用到缓存内容之上 Internet 企业內部网络 ISA

27 蜂巢式安全防护体系 中央监控服务器 对外防火墙 Internet 中央管理服务器 内部防火墙 内部防火墙
我们的解决方案在内部安全设计上采用内部区域隔离的设计方式，不同的地理位置上的局域网活着我们可以把它看作一个“蜂窝状”结构 内部防火墙

28 利用内部安全隔离机制控制病毒扩散 Firewall Chaining Internet Main Leased line /
ISA Server Leased line / VPN connection Branch Main Internet

29 部署防火墙--DMZ方式1 一个防火墙连接3个网络 (3-homed) DMZ 区 Internet ISA服务器 内部网络

30 部署防火墙--DMZ方式2 “背靠背”模式 Web 服务器 DMZ 区 Internet ISA服务器 数据库服务器 内部网 ISA服务器

31 部署防火墙不影响远程网络连接 ISA和VPN在远程网络的部署
Internet 远程客户端 VPN 服务器 远程网络 ISA服务器 Web服务器 可以选择让VPN服务器和 ISA安装在同一台机器上或分开

32 集中管理总结 Active Directory 是核心，组策略是根本
Enterprise CA Machine Certs Autoenroll 远程访问策略 IAS RADIUS GP & IPSec Policy DC Internet NAS ISA VPN L2TP/IPSec & PPTP Tunnels Partners Web Server ISA Proxy File Server SSL BizTalk Server Exchange, SQL Server

33 集中管理服务包和Hotfixes 服务包 Hotfixes 使用 SMS 服务器实施 使用组策略 通过登录脚本和 .msi 包
HFNetChk Tool QChain

34 Windows 2000 Server基准安全注意事项
验证所有磁盘分区是否都用 NTFS 格式化 验证管理员帐户是否有强密码 禁用不必要的服务 禁用或删除不必要的帐户 保护文件和目录 确保禁用来宾帐户 防止注册表被匿名访问 HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\SecurePipeServers \winreg 应用适当的注册表 ACL

35 Windows 2000 Server基准安全注意事项(2)
限制对公用本地安全机构 (LSA) 信息进行访问 HKEY_LOCAL_MACHINE\SYSTEMCurrentControlSet\Control\LSA RestrictAnonymous 设置较强的密码策略 设置帐户锁定策略 配置管理员帐户 删除所有不必要的文件共享 对所有必要的文件共享设置适当的 ACL 安装防病毒软件和更新 安装最新的 Service Pack 安装适当的 Service Pack 后的安全修补程序

36 备份

37 二、服务器端安全 Microsoft Web服务器安全 安全的Microsoft Exchange 服务器配置 服务器管理 备份与恢复
灾难恢复计划

38 Windows 2000 基本配置—IIS5 在安装前阻止所有到服务器的通信
如果可能, 在独立的域内或成员服务器上安装 IIS server 在与系统不同的分区上创建一个新的 Inetpub 根目录 使用与 Inetpub 不同的名字 将每个支持的服务(WWW, FTP, etc.)的内容存放在各自的分区 Putting published content of each supported service on a separate partition prevents attempts to traverse up the directory tree beyond the published content root.

39 Windows 2000 基本配置—IIS5(cont’d)
禁止 NetBIOS over TCP/IP 去掉 IP 路由 除了TCP/IP，删除所有其他的协议堆栈，除非必须保留 如果不用，停止Task Scheduler 服务 如果不用 ，停止FTP 服务 如果不用，停止 Telnet 服务 如果使用 Telnet, 创建一个 TelnetClients 组限制使用的用户 使用内制的Windows 2000 端口过滤器拒绝所有 TCP 通信除了 80 端口 Leave IP routing turned off to prevent data passing between an intranet and the Internet. Please note: Installation of client for Microsoft networking is required for the HTTP, FTP, SMTP and NNTP services to run. If not installed the services will NOT be able to start automatically or manually. If SMTP or NNTP will be installed, the Server service will be requires, thus, File and Print sharing for Microsoft networks must be installed. If it is not, the Server service will not show up in the available MS services. Network DDE is set to manual by default. Leave this service stopped unless there is a explicit need to start the service. To restrict access to Telnet services, create a local group with the name of “TelnetClients” (without quotation marks). When there is a TelnetClients group, only users who are members of this group have telnet access to the computer, unless those users are administrators of the computer. Members of the Administrators group will always have access via Telnet regardless of their membership, or lack thereof, in the TelnetClients group. Windows 2000 port filtering is set in the properties page of the relevant network connections found in the Network and Dial-up Connections control panel.

40 Windows 2000 基本配置—IIS5(cont’d)
禁止 IUSR_ComputerName 和 IWAM_ComputerName 访问下列文件 Scrrun.dll Xcopy.exe Cmd.exe Regedit.exe Regedt32.exe AT.exe Cscript.exe Regsvr32.exe Debug.exe Ftp.exe Tftp.exe Nbtstat.exe Net.exe Netsh.exe Tskill.exe Poledit.exe Rexec.exe Edlin.exe Runas.exe Runonce.exe IISSync.exe IISReset.exe Wscript.exe Telnet.exe Rcp.exe

41 IUSR_Computername 帐户 IIS缺省的匿名访问模仿帐号 IUSR_Computername 帐号基本权限 用户权限
选择 用户不能更改密码 选择 密码永远不过期 用户权限 当使用“允许 IIS 控制密码” 登录类型不同 如果使用, 网络登录 (type 3) This is a significant security benefit because users cannot gain access to remote network resources 如果禁用, 本地登录 (type 2) 如果不需要匿名访问, 禁止IUSR_Computername 帐号 IIS threads call “Logonuser” API to impersonate user accounts

42 IWAM_Computername 帐号 运行中或高的独立web应用的DLLHost.exe缺省帐号
IWAM_Computername account 基本权利 选择 用户不能更改密码 选择 密码永远不过期 匿名访问仍然用 IUSR_Computername 帐号 Any Web application that is marked to run in a separate memory space (out-of-process) runs in the security context of the IWAM_computername account. However, the porcess will impersonate the calling user (for example, IUSR_computername for anonymous authentication) before accessing any resource.

43 安全模板 安全模板 Web站点安全的基准线模板 Hisecweb.inf
将模板拷贝到 %windir%\security\templates 目录 打开 Security Templates tool, 查看配置 打开安全配置和分析工具, 加载这个模板 在安全配置和分析工具点右键, 在菜单上选择现在分析计算机 等到执行完成 复查结果, 根据需要更新模板 满意后,在安全配置和分析工具点右键, 在菜单上选择现在配置计算机 Hisecweb.inf is available at:

44 IPSec 策略 在每个Web服务器上设置严格的 IPSec 包过滤 在防火墙被攻破后，提供一个额外的安全措施
阻止所有不支持l TCP/IP 协议和端口 实施 IPSec 策略 IPSec Administration tool IPSecPol command line tool

45 Internet Information Services 5 安全注意事项
在虚目录上设置适当的 ACLs 设置适当的 IIS Log File ACLs 启用日志 设置 IP 地址/DNS 地址 限制 验证可执行的内容的可信赖性 在IIS Server上更新根 CA 证书 禁止或删除所有例子应用 禁止或删除不需要的 COM 部件 删除IISADMPWD Virtual Directory 删除不使用的脚本映射 检查在ASP 代码中 <FORM> 和 Querystring 输入值

46 IIS的常用工具 Security “What If” Tool/Hfnetchk Security Configuration Tool
Lockdown Tool URLScan

47 保护Exchange server 来自外部的安全威胁
针对病毒的保护 保护邮箱和邮箱的内容 利用桥头堡服务器及路由组来提高整个邮件系统的安全性 保护端口

48 针对病毒的保护 防火墙 服务器 客户端 virus.vbs

49 利用桥头堡服务器及路由组来提高整个邮件系统的安全性
邮箱服务器 防火墙 Internet SMTP 连接器 桥头堡服务器

50 保证 Exchange Server安全 Protocol Source Destination Port SMTP Any
Mail Server TCP 25 POP3 TCP 110 IMAP TCP 143 Protocol Source Destination Port Any Internal Network Mail Server Internet Exchange Server

51 Information Store 方案 存储事件 病毒扫描 API 在子存储内当一个条目打开，保存，移动或删除时会触发 事件类型
同步 – 当事件发生时 异步 – 在事件发生之后 病毒扫描 API Low risk to data corruption 高性能 高可用 支持以前版本的Exchange

52 传输方案 整理公开中继Fix open relays 邮件过滤-Filter Mail 拒绝连接-Disallow connections
SMTP Relay Parameters 邮件过滤-Filter Mail 拒绝连接-Disallow connections 阻止内部垃圾邮件-Stop internal spam

53 保护Exchange server 针对内部安全威胁的防护
加强内部安全 利用微软证书服务

54 加强内部安全 配置分发列表(DL)的权限 配置管理组 实行邮件存档 配置顶层文件夹(Top-Level)权限

55 利用微软证书服务 密钥管理服务器 企业证书服务器 客户端 邮箱服务器 激活 请求数字 ID 已签发的证书

56 邮件系统的安全 ServicePack and Hotfix 针对安全的服务器配置 控制通过邮件传播的病毒 将服务分布于多台服务器
限制传入邮件的大小 严格控制邮件附件 关闭Relay Host选项 控制通过邮件传播的病毒 部署服务器端和客户端的防病毒软件 在防火墙使用邮件过滤技术 在Outlook客户端使用安全限制

57 服务器管理-Microsoft Operations Manager 2000
硬件 & 操作系统警报配置组 安全事件配置组 Console Console Architecture, cont. ITG implemented Microsoft Operations Manager using two configuration groups. ITG’s main configuration group, covering hardware and operating system alerts, consisted of one SQL Server database server and six DCAM servers (four for monitoring approximately 1,175 internal corporate servers, and two for monitoring approximately 25 Internet data-center servers). It performed event collection, alert processing, and performance threshold monitoring. The security configuration group consisted of one SQL Server database server and one DCAM server that monitored 250 Windows 2000 domain controller servers. This configuration group used a narrower scope, collecting only security-based events. This graphic illustrates the Microsoft Operations Manager architecture model used by ITG at Microsoft. For the ITG pilot of Microsoft Operations Manager, DCAM servers were built on computers that used four CPUs running at 550 megahertz (MHz). They were equipped with 1 gigabyte (GB) of random access memory (RAM) and 16 GB of disk storage space. Database servers had eight CPUs running at 550 MHz, 1 GB of RAM, and 150 GB of disk space. Though Microsoft Operations Manager runs on Windows 2000 Server and uses SQL Server 2000 as its base repository, it can manage Microsoft Windows NT® Server version 4.0, Microsoft SQL Server version 7.0, Active Directory™, Internet Information Services (IIS), and .NET Enterprise Servers (including Exchange Server). Database Database DCAM Servers DCAM Servers DCAM Server File/SQL Server exchange Server IIS Server DC Server IIS Server File Server DC Server DC Server 1,200 ITG-managed corporate infrastructure servers running MOM agents

58 安全解决方案 – 黑客攻击 ? ü ! Challenge 黑客攻击 Solution 让服务器通过DMZ区联入Internet
使用防火墙安全策略和入侵检测功能 集中监控服务器安全日志，并做出统一的响应 自动分发安全软件更新 强调内部安全隔离 Results/Benefits ! 自动检测来自Internet的攻击行为 阻断各种攻击的途径，保护内部网络 入侵事件发生后可以快速响应

59 案例分析 – 对Web服务器的攻击和防御 确定目标 黑客们会利用Whois服务，或Sam Spade这类工具来定位目标的IP地址 收集信息
目标机的关键信息包括：操作系统类型，版本, 提供了那些服务…，有多种端口扫描器可以使用，如Nmap, portscanner等 开始攻击 我们已经收集到了足够的信息，“足够”意味着我们已发现了对方的安全缺陷，攻击的对象和目的有很多种，破坏，窃取信息，提升权限等等 消除“痕迹”

60 总结 - 如何应对黑客攻击？ 攻击手段 具体方法 攻击的工具 部署安全管理方案之后 主机搜索 端口扫描 漏洞探测和扫描 账号列举 口令窃听
Open source search;DNS zone transfer Whois, Ping sweep 端口扫描 TCP/UDP端口扫描；OS detection Nmap, portscanner, telnet 漏洞探测和扫描 Windows/Unix/Linux Exploits ISS, NAI, ICS 账号列举 列举用户; 列举文件共享 Null sessions, Dumpacl, rpcinfo, NAT 口令窃听 Password eavesdropping Tcpdump, sniffer, L0phtcrack readsmb 口令猜测和暴力破解 Brute force crack; password file grab; buffer overflow Legion, letmein, L0phtcark, 流光, john ripper 放置木马和后台程序 创建账号；infect startup file; plant remote control service BO, Sub7, Netbus, 冰河 清除系统和应用程序日志 Event log; Web server log; firewall log Zap, event log GUI DOS攻击 SYN flood; ICMP; OOP; DDos synk4, ping of death, land,teardrop, smurf 部署安全管理方案之后 （部分防范）  配置防火墙和入侵检测功能  配置防火墙 （通过实施IPSec和划分VLAN解决）  实施账号安全管理策略 （部分防范，需IDS和反病毒系统配合）  集中的服务器监控  配置防火墙和入侵检测功能和服务器安全配置

61 安全解决方案 – 病毒防范 ? ü ! Challenge 病毒肆虐 Solution 在服务器和网络中使用邮件过滤功能
集中监控服务器的性能 自动更新客户端病毒代码库，和安装Outlook安全插件 检查和安装最新的安全软件更新 Results/Benefits ! 自动过滤带病毒的邮件 控制病毒在公司内部的传播 通过快速客户端安全管理，有效的减少病毒在内部网中传播范围

62 案例分析 – Nimda病毒 传播方式 解决之道 IE浏览器: 利用IE的一个安全缺陷(微软在2001年3月份已发布 软件更新)
及时快速的部署软件更新(Hot-fix) IIS服务器: 和红色代码病毒相同, 或直接利用它留下的木马程序 (微软在红色代码爆发后已在其网站上公布了所有的修复程序和解决方案) 利用ISA阻止所有的TFTP(端口：69)通信流量。这可以阻止干净的IIS系统下载感染尼姆达蠕虫病毒的文件。 电子邮件附件(已被使用过无数次的攻击方式) 使用ISA的邮件过滤功能丢弃所有带有README.EXE附件的电子邮件，或丢弃MIME类型的音频/x-wav的邮件附件 文件共享: 针对所有未做安全限制的共享 利用ISA阻止所有的NetBios通信流量通过ISA(端口：137，138，139) 主动地沿网络传播 实时监控，分段隔离

63 Root.exe, CMD.exe,Explorer.exe
总结 - 如何应对病毒？ 红色代码 Nimda病毒 “将死者”病毒 邮件附件 Readme.exe Gone.SCR 攻击没有安装安全更新的IE MIME安全缺陷MS01-020 通过未加口令的共享连接 搜索共享路径，利用TFTP传输 攻击没有安装安全更新的IIS .ida安全缺陷 MS01-033 利用CodeRed的木马 放置木马程序 Root.exe, CMD.exe,Explorer.exe Admin.dll, Httpodbc.dll, 攻击防病毒程序 破坏几种主流的防病毒软件 部署安全管理方案之后  邮件过滤功能  自动在客户端分发安全修复程序  集中监控客户端的配置和行为  自动在服务器分发安全修复程序  集中监控服务器端的配置和搜索特征文件

64 灾难恢复计划 计划，排练，修改 …. 永不实战

65 三、客户机端安全 软件分发 密码管理 桌面用户防毒 限制桌面操作 Windows XP Internet 连接防火墙 微软个人安全顾问诊断

66 客户端安全管理 普通用户缺乏安全意识是最大的安全问题 利用Win2000中的组策略实现对桌面系统的控制和自动的软件分发
认为安全是系统管理员的事 随意下载机密信息到本地 共享信息时不做任何安全限制 随意让他人使用自己的机器 随意执行不清楚用途的应用程序 随意的口令管理 … 利用Win2000中的组策略实现对桌面系统的控制和自动的软件分发 利用SMS或其它网管软件

67 设置帐户策略 使用帐户策略防止未授权的用户访问网络 设置密码要求 设置失败登录次数 必须在域级别上设置 域控制器不适用 域控制器锁定用户帐号
确保密码难猜 阻止跟踪程序

68 The number of previous passwords Windows 2000 records
配置密码策略 在域上设置密码策略 设置如下： The number of previous passwords Windows 2000 records Group Policy Action View Passwords [LONDON.NWTraders.msft Computer Configuration Software Settings Windows Settings Security Settings Account Policies Account Lockout Poli Kerberos Policy Local Policies Allow storage of passwords under reversibl… Enforce password uniqueness by remem… Maximum Password Age Minimum Password Age Minimum Password Length Passwords must meet complexity require… User must logon to change password Not Configured 24 Passwords 30 Days 8 Characters Enabled Attribute Stored Template Settin Password Policy

69 分析安全日志 安全日志和事件查看器 一般的安全事件 不正确登录企图和帐号锁定 改变文件所有权 清除安全日志 系统关机

70 桌面防毒 Windows and 浏览器 Outlook 安全 安装最新防病毒工具 下载最新的补丁 定制浏览器的安全区域选项
Outlook 98 / 2000 SP1 Upgrade available now from Outlook 2002 Built into base product 安装最新防病毒工具

71 限制桌面操作 控制用户桌面, 用户界面, 和网络访问 使用组策略设置 实施组策略到站点, 域, 或组织单元
用户环境的设置自动作用到新的用户的计算机 管理用户环境 管理模板设置 脚本设置 重定向用户文件夹 安全设置 HKEY_LOCAL_MACHINE HKEY_CURRENT_USER Registry My Documents

72 软件分发 面向中小、企业个基本解决方案 Shared Architecture 针对中、大型企业的高级解决方案
适用于个人用户和规模较小的机构 Windows, Office最新的补丁 在防火墙内获得关键的 Windows fixes 的一种途径 适用于不经常使用 SMS的用户 面对中小企业 新的， 单一的分发架构. Shared Architecture 面向中小、企业个基本解决方案 针对中、大型企业的高级解决方案 智能镜像 建议所有企业使用组策略实施用户/系统配置 使用组策略分发软件有一定限制 – 主要用于中、小规模的企业 中、大型企业的完整的软件管理方案 具有针对目标和分发的高级特性 支持已有的系统 (NT4, Win9x) 客户端架构在单一的微软分发基础之上.

73 微软安全平台 Internet 微软安全资源和工具 微软安全快速实施计划 Internet Traffic Control
Enterprise Class Firewall Application level filtering Gold Certified Security Partners MCS – 安全评估 保证数据安全 保证桌面系统安全 保证通信安全 网络资源管理安全 跑正系统安全 保证信息安全

74 四、网络安全管理流程 需求： 安全的网络设计能最大限度减少来自Internet的攻击 正确的服务器配置 事前的安全软件更新安装
安全信息的及时获得 数据 服务 通讯过程 预防 监测 响映 技术 规划，策略 和执行过程 人的因素 需求： 及时部署和安装安全软件更新程序 发生安全问题时能实现内部的安全隔离 系统能及时的反映安全策略的变化 系统应具备容错和自动恢复的能力 需求： 监测服务器的运行状况 监测网络的使用情况 监测客户端的行为

75 安全解决方案的内容 知识传授 培训客户掌握相关的技术和管理知识 制订安全管理策略 基于客户的安全目标，帮助用户制订安全策略 系统部署
帮助用户安装和部署系统 系统部署 客户功能实现，编写各种功能扩展和管理脚本 二次开发 一个基于安全隔离和集中管理概念的安全系统设计 解决方案 微软的安全产品和安全工具 产品和工具

76 安全解决方案的实施步骤 Enterprise Security Management Pilot Project 阶段 1 阶段 2
阶段 1 用户需求分析 阶段 2 制定实施计划 阶段 3 系统部署和测试 阶段 4 演示和验收 阶段 5 用户培训 Enterprise Security Management Pilot Project Deployment Scope and Goals To formulate the ISA Server deployment strategy, ITG defined deployment scope and goals, which defined clearly what was to be accomplished and allowed everyone on the team to work toward common objectives. To simplify both the planning and execution of the deployment, ITG divided the project into smaller deployments, each of which was characterized by a unique configuration designed to satisfy specific business requirements. These deployments defined the entire beta deployment project. 1. Corporate-to-Internet Access. This deployment required the replacement of an existing Proxy Server 2.0–based installation with ISA Server. In this deployment, ISA Server was configured to run in integrated mode, allowing ISA Server to function in both Web-cache and firewall modes simultaneously. This deployment required that seventy computers running Proxy Server 2.0 be transitioned to ISA Server. The existing computers had been configured in twenty-two arrays and deployed throughout the company so that employees working from any region could access the Internet securely while working. To focus on quality feedback, ITG limited its beta deployment to those servers that were used most heavily on the corporate campus. 2. Chaining Proxy. This deployment required ITG to configure Microsoft’s internal environment by placing caches closest to users in chained configurations. Chained configurations would better support several of the hierarchically interconnected subsidiaries at Microsoft that do not have existing Internet access points. The primary business requirement of this deployment was to make better use of the Microsoft corporate WAN while providing faster Web access to employees who depended on the performance of the network between corporate headquarters and their subsidiary. 3. Firewalls in the Extranet. This deployment, which as of this writing is not yet complete, requires ITG to deploy ISA Server within the Microsoft corporate extranet, a highly secured network infrastructure used for establishing secure network connectivity between Microsoft and its business partners and suppliers. 4. Firewall client deployment. This deployment required ITG to deploy the ISA Server Firewall client software to more than twenty thousand desktop computers, which would give those computers Winsock proxy access to the Internet. The primary business requirement of this deployment was to test the firewall client before release. 5. Firewall deployment in a subsidiary. This deployment (in a Silicon Valley company that was later acquired by Microsoft) required ITG to replace a legacy UNIX-based firewall solution with ISA Server. In this deployment, ITG configured ISA Server to run in firewall mode. This deployment uses SecureNAT and takes advantage of network-routing rules rather then client-side application rules, thus providing proxy service to all IP-based clients including Macintosh and Unix clients running Socks. The primary business requirement of this deployment was to replace a legacy infrastructure (deployed by a third party) with the corporate standard while also providing real-world feedback on the firewall components in ISA Server.

77 微软Windows安全技术 应用场景 安全风险 解决方案 移动用户 Encrypted File System (EFS)
PPTP, IPSEC, L2TP Lost/Stolen Laptop Dial-up Attacks False Identity/Impostor Theft data/money Transaction modification Public Key Infrastructure (PKI) Integrated CA SSL/TLS 电子商务 家庭办公 PPTP, IPSEC, L2TP NTLMv2, Kerberos, PKI SSL/TLS, S/MIME On-wire Internet Attacks Dial-up Attacks False Identity/Impostor LAN / WAN False Identity/Impostor Password Sharing/Guessing Adds/Moves/Changes Kerberos, NTLMv2 Smart Cards, Biometrics Group Policy, Delegated Admin 应用系统 False Identity/Impostor Password passing Path of least resistance coding Malicious Code (Trojan horse) Kerberos, NTLMv2, Smart Cards Impersonation, Auditing SSPI, CryptoAPI Code Signing and Policy Slide Objective: Windows 2000 security services were built with business applications in mind. They provide comprehensive security for a number of key business scenarios. Security requires end-to-end protection. Here is a collection of the scenarios addressed by the security services infrastructure of Windows 2000 – each includes a use case, the security risks and the technology solutions offered in Windows 2000. Mobile Users –By design, laptops are portable and lend themselves to theft. Often these machines hold incredible amounts of company data and represent a security risk. Windows 2000 offers Encrypted File System functionality that obscures data on the hard drive to render it useless to anyone without the key. E-commerce – companies doing business on the Internet must be concerned with proving the identity of customers. Windows 2000 provides a fully-featured public key infrastructure including a Certificated Authority for issuing x.509 certificates and validating identity. Home Office – Telecommuting is becoming a normal part of business life. Here security on-the-wire becomes crucial as companies are using public infrastructure to transport company data. Windows 2000 offers an extensive VPN solution with IPSEC, L2TP, PKI, PPTP and Kerberos. LAN/WAN – Windows 2000 provides powerful delegated administration, group policy to leverage management resources. Applications – the Windows 2000 security services are also available to application developers via open APIs like Security Support Provider Interface SSPI or Crypto API (CAPI). Extranets – Support for open PKI standards and secure protocols enables you to extend your network to suppliers and partners more quickly. Management – Windows 2000 auditing is far improved over NT4 with greater detail. For example, in NT 4 when an administrator reset Sue’s password the audit log would say “Administrator changed Sue’s user record” in Windows 2000 the log would say “Administrator changed Sue’s password”. Public Key Infrastructure (PKI) Integrated CA IPSEC, L2TP, SSL/TSL, S/MIME Extranets False Identity/Impostor Data Theft On-wire Internet Attacks Active Directory Integration Delegated Administration Auditing Improvements Security Templates 管理 Too many places to secure Unfamiliar with employee roles Don’t Know who did what Configuration and Drift

78 微软的安全管理规范 Risk model IT系统环境的复杂度增加 通过规范化管理降低工作复杂度 运行管理的 目标和工作量增加
场景 需求 模式 IT系统环境的复杂度增加 通过规范化管理降低工作复杂度 Process model 运行管理的 目标和工作量增加 建立合理的团队和分工降低工作强度 Team model 业务的增加对IT系统的可靠性提出更高要求 高效的，预先反应式的风险分析 Risk model

79 回顾：微软安全策略 安全预防胜于事后补救，建立一个严谨的信息系统架构 外部安全和内部安全并重，集中控制，分段隔离
强壮的目录服务机制 严格的服务器配置 健全的客户端桌面管理策略 安全操作和安全审核 外部安全和内部安全并重，集中控制，分段隔离 简单管理就是有效的管理 - 集中管理 有效的风险管理 安全预防胜于事后补救 – 设计一套完善的，层次化的安全防御体系 外部安全和内部安全并重 – 内部的安全问题和内部的安全控制 – 举舰船的例子 简单管理就是有效的管理 – 举微软安全响应中心的例子和说法 security is an systems engineering

80 安全管理的10条法则 没人相信会出问题，直到问题发生 只有当获得安全的方法是简单易用的时候，这些措施才能被真正落实
如果你不能及时安装安全补丁，你的网络就不再属于你 安装安全补丁是所有安全措施的第一步 持续的警惕性是确保安全所必需的 The 10 Immutable Laws of Security Administration is a super paper of some very important tips on how to implement security and the pitfalls to avoid. This should be handed out as part of the student workshop material, but make sure everyone got a copy and highly encourage people to read the paper – it also quite entertaining. Is also essential, that the instructor / consultant has studied this material to be able to speak to it. Use the 10 laws as a closing / conclusion for this module and dig a bit deeper into each law to stress that they need to think these issues throughout the workshop (and obviously afterwards). Here’s some highlights from the laws: Security can’t be based on voluntary measures. Get executive commitment to security and the authority to mandate security. Balance security with productivity – don’t create a police state. Try to automate as much as possible and ease the impact to end users. When interference with users daily work is necessary, communicate the reasons for it. Stay up to date all the time – new bugs gets found all the time and will be utilized by hackers quickly. No chain is stronger than the weakest link. Think defense in depth and remember physical security. Systems must be secured even before being put on the network. Law 3 and 4 is about prevention, this is about detection. Be alert, monitor critical systems and be ready to respond. Prevention can’t prevent everything, e.g. many DoS attacks are difficult to prevent. By Scott Culp – Security Program Manager at Microsoft Security Response Center

81 安全管理的10条法则 肯定有人乐意猜测你的口令 最安全的网络肯定是管理手段最完善的网络 确保网络安全的难度和网络的复杂度成正比
安全策略的意义不是保障你的系统没有风险，而是为你提供风险管理 技术不是“万灵药” Continued with observations for the 10 laws: Password authentication is often the weakest link of all, do an especially good job in this area to have good policies & controls. Think of using alternative authentication mechanisms, like SmartCards. Create a strong security policy and good operational procedures and document them. Make clear responsibilities. Consider setting up an internal “Red Team”. Keep it simple. Sometimes, business imperatives will override security risks. Your network security will be compromised. Plan for this – this is the reaction stage or contingency planning. It takes more than technology to have security. Think about processes and people as well.

82 软件-Windows & .Net杂志 提供最专业、最实用的内容 欢迎访问：www.winmag.com.cn
答問集錦 Exchange 培訓認證 WindowsXP 遠程控制 系統性能 Data Center .NET AD 災難復元 IIS特輯 網絡連結 系統安全

83