作業系統平台的安全控管 II： Microsoft Windows XP

Presentation on theme: "作業系統平台的安全控管 II： Microsoft Windows XP"— Presentation transcript:

1 作業系統平台的安全控管 II： Microsoft Windows XP
主講人： 精誠公司恆逸教育訓練中心 資深講師：劉聖路

2 本次研討會大綱 規劃Windows XP用戶端之安全性 Windows XP SP2 的功能與運用
Microsoft Anti-Spyware 的功能與運用 Malware Remove Tool 的功能與運用

3 規劃 WinXP 用戶端之安全性 安全架構 核心用戶端安全 預防惡性程式的入侵 用戶端防火牆 網域用戶端安全
利用 Group Policy 加強用戶端安全 安全的應用程式 軟體限制原則 針對獨立的用戶端啟用本機安全性原則

4 安全的重要 保護用戶端電腦被攻擊可以幫助組織： 保護資訊 保護通訊通道 降低停工時間 確保營收狀況 防止損害商譽

5 全面性的防護架構 使用階層架構分析： 增加攻擊者被偵測的風險 降低攻擊者意外成功的攻擊 政策，程序與體認 實體安全 資料
ACLs、加密、EFS 應用程式 Application hardening、防毒 OS hardening、驗證、 安全性更新管理 主機 內部網路 網段隔離、IPSec、NIDS 網路周邊 防火牆、網路存取隔離控制 守衛、上鎖與追蹤裝置 安全文件與使用者教育

6 核心用戶端安全 用戶端電腦安全元件 管理軟體安全更新 Windows XP SP2 安全技術 行動電腦安全 資料保護 實行安全性密碼

7 用戶端電腦安全元件 軟體更新 防毒 安全性密碼 防火牆 用戶端管理工具 行動電腦安全 應用程式安全 資料防護

8 Systems Management Server
管理軟體安全更新 用戶端型態 環境狀態 安全更新方式 一般消費者 所有環境 Windows Update 小型企業 沒有 Windows 伺服器 一至三台 Windows 伺服器或 單一資訊管理者 WSUS 中型或 大型企業 需要更新管理的解決方案或者作業系統為Windows 2000 以上版本的 Windows 需要單一或彈性的更新管理解決方案 並且可以控制與分送所有軟體內容 Systems Management Server

9 Windows XP SP2 安全技術 網路保護 記憶體保護 安全性電子郵件管理 更多安全瀏覽 改進電腦維護

10 行動電腦安全 當行動電腦連線至企業網路時將會延伸網路周邊裝置 對這些裝置延伸安全性： BIOS 密碼保護 網路存取隔離控制
更安全的無線存取驗證機制 備份工具

11 資料保護 保護資料安全 使用 EFS 限制資料的存取 電子郵件訊息簽署與軟體授權確認 使用資訊授權管理來保護文件不被未授權的使用

12 實行安全性密碼 針對不同的資源使用不同的密碼 教育使用者關於安全性密碼的原則 使用包含空白、數字與特殊符號作為密碼的一部份
當離開電腦時使用鎖定電腦或者 使用密碼保護的螢幕保護程式 使用多方驗證的機制加強安全

13 預防惡性程式的入侵 惡性程式的問題 瞭解威脅與爆發的時間關係 防毒軟體的部屬 防毒軟體的更新 使用附加工具作用戶端防護 惡性程式防護技巧

14 惡性程式的問題 初步估計 2003 年病毒所造成的損失在全球就超過 125 億美金的損失 直接的成本 ─ 資訊人員與顧問的成本 間接的成本：
降低生產力 降低企業營收 遺失資料 機密資料的安全威脅 損害企業信譽

15 瞭解威脅與爆發的時間關係 爆發 惡性攻擊程式 威脅更新至爆發的時間（日） Nimda 331 SQL Slammer 180
產品 出貨 發現 威脅 威脅 顯露 可用性 更新 用戶端 更新部屬 惡性攻擊程式 威脅更新至爆發的時間（日） Nimda 331 SQL Slammer 180 Welchia/Nachi 151 Blaster 25 Sasser 14 威脅更新至爆發的時間間隔不斷的減少

16 防毒軟體的部屬 組織大小 防毒軟體部屬解決方案 個人與非常 小的組織 在用戶端安裝獨立的防毒軟體 中小型企業 集中部屬：
使用 Group Policy 安裝防毒軟體 大型企業 使用廠商提供的管理軟體維護防毒軟體

17 防毒軟體的更新 桌上型電腦 膝上型電腦 透過本地端的伺服器作防毒軟體的更新 使用推進的方式將防毒軟體所用的定義檔傳送給用戶端
不需要依賴使用者自行下載更新 膝上型電腦 當離開辦公室時，利用 Internet 更新

18 使用附加工具作用戶端防護 Microsoft Windows AntiSpyware
提供即時掃瞄與排程掃瞄機制 使用代理服務阻礙 spyware 動作 Windows Malicious Software Removal Tool 掃瞄與移除多數常見的惡性程式（Malware） 每個月的第二個星期二釋出新的版本

19 惡性程式防護技巧 實施深度防禦機制 降低攻擊層面 提供安全性更新 啟用主機端防火牆 安裝防毒軟體 利用設定掃描器測試 給予最少的特權原則
限制未授權的應用程式

20 用戶端防火牆 誰需要用戶端防火牆 Windows 防火牆 協力廠商防火牆軟體 如何設定 Windows 防火牆 用戶端防火牆的最佳實施

21 誰需要用戶端防火牆 網路用戶端 使用數據連線的桌上型電腦 行動電腦

22 Windows 防火牆 預設是開啟的 提供開機階段安全 全域設定與回復 本地子網路亦受限制 支援命令提示列 啟用時沒有例外 自訂例外清單
多重設定檔 支援 RPC 支援 Unattended setup

23 協力廠商防火牆軟體 考慮使用協力廠商防火牆的理由： 問題點： 不但能夠控制進入的流量，而且可以提供出去的流量掃瞄
能夠具體指定能夠存取 Internet的應用程式 問題點： 安全規則制訂會趨向複雜 延展性可能是個問題

24 如何設定 Windows 防火牆

25 用戶端防火牆的最佳實施 需要使用者啟用 Windows 防火牆或者當有不自然的存取狀況發生時需要啟用其他防火牆機制
強制遠端用戶或者是VPN連線的用戶端啟用用戶端防火牆 規劃用戶端防火牆的部屬 使用 Group Policy 來管理 Windows 防火牆設定

26 網域用戶端安全 Active Directory 元件 建立 OU 的階層式架構 如何新增 OU 的階層式結構 使用 AD 建置用戶端安全

27 Active Directory 元件 群組原則 樹係（Forest） 網域（Domain）
建置與管理網路安全的基礎架構 樹係（Forest） Active Directory 中的安全性邊界 網域（Domain） 蒐集與管理電腦、使用者與群組物件的管理範圍 組織單位（OU，Organizational Unit） AD 中的容器物件，以組織其他物件

28 建立 OU 的階層式架構 Group Policy 可以簡化用戶端安全的設定 分隔階層模組 獨立出使用者 OU 與電腦 OU
Department OU Domain Controller OU Windows XP OU Desktop OU Laptop OU Domain Policy Laptop Policy Desktop Policy Secured Windows XP Users OU Root Domain Group Policy 可以簡化用戶端安全的設定 分隔階層模組 獨立出使用者 OU 與電腦 OU 針對每一個 OU 給予適當的原則設定

29 如何新增 OU 的階層式結構 針對每一個部門新增 OU 1 針對每一種作業系統版本的用戶端依部門設定 OU 2
3 將所有用戶端的電腦帳號搬移至適當的 OU 中 4 新增並設定 GPO 指派給適當的 OU 5

30 使用 AD 建置用戶端安全 設計 OU 結構適當管理用戶端安全 設計 OU 結構獨立出使用者與電腦的安全帳號
新增 GPO 給每個 OU 以指派適當的安全性原則給用戶端

31 利用 Group Policy 加強用戶端安全
使用安全性範本 使用系統管理範本 什麼是安全性設定 建議設定的安全性選項 以 Group Policy 對用戶端安全的最佳建置

32 使用安全性範本 安全性範本提供預設的安全性設定 依用戶所包含的所有範本： 所有網域中的使用者與電腦 桌上型電腦 膝上型電腦
每一個範本包含企業的用戶端與高安全的環境 可以編輯安全性範本的設定並且匯入至 GPO 中

33 使用系統管理範本 系統管理範本可以包含： 電腦設定 使用者設定 你可以使用系統管理範本來設定： 使用者操作環境 應用程式安全性設定

34 什麼是安全性設定 密碼原則 帳戶鎖定原則 稽核原則 事件記錄 檔案系統 IP 安全性原則 登錄設定 受限群組 安全性選項 軟體限制原則
系統服務 使用者權限指派

35 建議設定的安全性選項 網路安全性：LAN Manager 驗證層級 網路安全性：下次密碼變更時不儲存 LAN Manager 雜湊數值
建議針對企業用戶端設定：只傳送 NTLMv2 回應 網路安全性：下次密碼變更時不儲存 LAN Manager 雜湊數值 建議設定成『啟用』 Microsoft 網路用戶端：數位簽章用戶端的通訊 建議設定成『停用』 Microsoft網路用戶端：數位簽章用戶端的通訊（如果伺服器同意）

36 以 Group Policy 對 用戶端安全的最佳建置
使用依據企業用戶安全需求的範本作為 Group Policy 套用的項目 針對網域等級建置嚴厲的帳號與稽核的 安全性設定 在部屬之前做好範本的測試 使用附加的系統管理範本

37 安全的應用程式 Internet Explorer 系統管理範本 Internet Explorer 區域安全
Windows XP SP2 IE 安全性加強 Microsoft Outlook 安全性 Microsoft Office 系統管理範本 Outlook Express 安全性 實行安全的應用程式

38 Internet Explorer 系統管理範本
協助加強 Windows XP 的安全性需求 防止交換不需要的內容 細部設定包含企業用戶端的範本中

39 Internet Explorer 區域安全
安全性區域 Windows XP SP1 的預設值 網際網路 中安全性 近端內部網路 中低安全性 信任的網站 低安全性 限制的網站 高安全性 我的電腦 -

40 Windows XP SP2 IE 安全性加強 MIME 安全性的改善 較好的安全性管理 本機電腦區域 功能控制安全區域 群組原則設定

41 Microsoft Outlook 安全性 訂製安全性的 Microsoft Outlook： Outlook 2003 安全性加強：
Outlook Administrator Pack Outlook administrative template Outlook 2003 安全性加強： 警告使用者開啟可能的危險檔案型態 在限制網站區域中執行可被執行的內容 不會自動載入 HTML 的內容

42 Microsoft Office 系統管理範本
Office Resource kit 中提供適當的管理範本 給 Office 97 以後的版本，以達到更加的安 全性 Office 2003 的系統管理範本放在 Office 的 Resource Kit 與線上下載區中 關鍵選項在 Office XP 以後的版本中的 macro security

43 Outlook Express 安全性 Windows XP SP2 增強了 Outlook Express 的安全性：
封鎖 HTML 電子郵件中的影像及其他外部內容 在離線讀取電子郵件時，將自動撥號連線的可能性降到最低

44 實行安全的應用程式 教育使用者注意從 Internet 下載資料的安全性，此外不隨便打開郵件中的附件
只對工作上有需要使用該軟體的使用者安裝應用程式 建置應用程式的更新原則

45 軟體限制原則 什麼是軟體限制原則？ 軟體限制原則如何運作？ 四個規則確認軟體 實施軟體限制原則

46 什麼是軟體限制原則？ 原則管理員可以確認並控制用戶端電腦應當裝設的軟體 能夠使用在對抗病毒機制上，並且擔保只被允許的軟體在電腦上執行
兩個元件： 預設的規則決定哪些程式能夠使用預設協定選項： 沒有限制 不允許 清單定義例外於預設規則的內容 在電腦上

47 軟體限制原則如何運作？ 1 2 3 使用群組原則編輯器定義原則內容套用在 site，domain，或 OU 上
原則內容下載並部屬在用戶端的機器上 2 當軟體執行時，系統會強制啟用原則 3

48 四個規則確認軟體 雜湊規則 憑證規則 路徑規則 網際網路區域規則 比照 MD5 或 SHA1 計算該程式的雜湊值
使用者嘗試開啟軟體程式時，此程式的雜湊就會與軟體限制原則現有的雜湊規則比較 憑證規則 由檔案的簽署憑證來識別檔案 使用憑證規則可以讓您限制 Win32 的應用程式與 Active X 內容 路徑規則 依照軟體的檔案路徑來識別軟體 使用路徑規則針對單一資料夾中有多個程式要限制 也可以建立以軟體的登錄機碼作為路徑的登錄路徑規則 網際網路區域規則 區域規則僅適用 Windows Installer 封裝 區域規則可以識別來自 『Internet Explorer』所指定區域的軟體

49 實施軟體限制原則 在設定套用在網域之前先詳細並徹底的完成測試作業 新增一個可回復性的規劃 使用獨立的 GPO 來管理每一個軟體限制原則
使用軟體限制原則並結合 NTFS 權限深入管理

50 針對獨立的用戶端啟用 本機安全性原則 本機群組原則設定 最佳本機群組原則設定

51 本機群組原則設定 使用本機群組原則設定獨立的用戶端電腦 獨立的 Windows XP 用戶端： 使用安全性範本 使用本機 GPO
必須使用群組原則編輯器手動設定 命令指令檔（Script）編寫

52 最佳本機群組原則設定 利用 Windows XP Security Guide 的獨立安全性範本來設定本機安全性原則
變更本機安全性範本來符合你的安全性需求 使用 Secedit.exe 或 scripts 來完成自動設定 使用 MBSA 或其他掃瞄工具來確認所設定的安全性設定 準備備份計畫來反轉安全性設定的變更

53 用戶端之安全性

54 Windows XP SP2 的功能與運用 Windows XP Service Pack 2 簡介

55 SP2 的必要性 安全性攻擊趨勢包括： 頻繁的自動化攻擊方式 防火牆入侵行為 升高的複雜性 非對稱式威脅 更快速的弱點偵測 基礎結構攻擊

56 SP2 中有哪些新功能？ SP2 提供多項內建安全性技術，可以減少電腦的弱點。 全新及改良功能： 增強的網路保護 新的記憶體保護
更安全的電子郵件處理方式 增強的瀏覽器安全性 改良的電腦管理 更安全的無線網路功能

57 SP2 如何讓遭受攻擊面縮減到最小 SP2 功能 安全性相關技術 網路保護 遠端程序呼叫 (RPC) 分散式元件物件模式 (DCOM)
Windows 防火牆 記憶體保護 執行保護 (NX) 更安全的電子郵件 處理方式 多用途網際網路郵件延伸標準 (MIME) 類型限制 附件處理方式 增強的瀏覽器安全性 快顯管理及當機偵測 下載提示 改良的電腦管理 Windows 資訊安全中心 改良的安全性 更安全的無線網路 功能 無線網路安裝精靈 Wireless Provisioning Service (WPS)

58 使用 Windows 資訊安全中心 進行 SP2 電腦管理
執行資訊安全中心的電腦 自動更新設定 Windows 防火牆 設定 防毒設定 網際網路選項 設定

59 Windows XP SP2 網路保護功能 Windows XP Service Pack 2 簡介

60 Windows 防火牆的新安全性功能 ü ü ü ü ü ü ü ü ü ü 預設為啟用狀態 開機安全性 全域設定及還原成預設值
本機子網路限制 ü 命令列支援 ü 開啟且無例外狀況 ü Windows 防火牆例外清單 ü 多重設定檔 ü RPC 支援 ü 自動安裝支援 ü

61 Windows 防火牆進階安全性功能 進階選項包括： 啟用特定網路介面的能力 ICMP 基本設定選項 連線及封包記錄的改善

62 增強的 DCOM 安全性 特定 COM 權限 全域限制 套用到 DCOM 啟用、啟動和呼叫等權限的限制，並用於區別本機與遠端用戶端的 限制

63 更安全的遠端程序呼叫 聲稱自己是 RPC 服務的處理程序，例如特洛伊木馬 其他 在本機系統、 網路服務或本機服務安全性內容上執行的處理 程序
開啟連接埠 封鎖 其他 開啟連接埠 在本機系統、 網路服務或本機服務安全性內容上執行的處理 程序 允許 防火牆 RPC 伺服器 接受 限制 本機用戶端及/或 經驗證的用戶端 遠端的匿名 用戶端 群組原則

64 Windows XP SP2 中預設停用的服務 替代選項： 建議的解決方式：重寫應用程式以使用其他方法與使用者進行通訊
Alerter 設定為手動啟動 依預設停用 Windows Messenger 設定為自動啟動 替代選項： 建議的解決方式：重寫應用程式以使用其他方法與使用者進行通訊 透過程式設計的方式啟動 Alerter 或 Messenger 服務

65 使用 Windows XP SP2 記憶體保護 功能減少應用程式失敗
Windows XP Service Pack 2 簡介 Windows XP SP2 網路保護功能 使用 Windows XP SP2 記憶體保護功能減少應用程式失敗 研究 SP2 電子郵件處理安全性功能 使用 SP2 進行安全式瀏覽

66 執行保護 (NX) 以及其運作方式 NX 功能： CPU 輔助的記憶體保護 標記為不可執行的記憶體位置 (除非位置中明顯包含可執行程式碼)
緩衝區滿溢攻擊保護 目前可在某些 64 位元 AMD 和 Intel CPU 上使用。NX 將可在某些即將 上市的 Intel、AMD 及 Transmeta 32 位元 CPU 上使用

67 研究 SP2 電子郵件處理安全性功能 Windows XP Service Pack 2 簡介 Windows XP SP2 網路保護功能

68 Outlook Express 及 Windows Messenger 的附件管理員
需針對下列各項採取 不同的動作： 含附件的新郵件 安全附件 不安全附件 可疑附件 AES API 執行 Outlook Express 的使用者 執行 Windows Messenger 的使用者

69 Outlook Express 的 HTML 內容封鎖
內容封鎖功能： 封鎖 HTML 電子郵件中的影像及其他外部內容 在離線讀取電子郵件時，將自動撥號連線的可能性 降到最低 網頁伺服器 執行 OutlookExpress 的使用者 網際網路

70 使用 SP2 進行安全式瀏覽 Windows XP Service Pack 2 簡介 Windows XP SP2 網路保護功能

71 管理 Internet Explorer 瀏覽器安全性
安全性功能 說明 MIME 安全性的改善 一致性檢查 更嚴格的規則 較好的安全性管理 附加元件控制及管理功能 較好的提示 新的指令碼啟動視窗限制 本機電腦區域 組成程序的步驟清單 附有圖說文字標籤的介面或 GUI 圖表 功能控制安全區域 MIME 探查 安全性高度 Windows 限制 群組原則設定 功能控制安全區域的管理控制

72 提升本機電腦的安全性 Internet Explorer 資訊列 Internet Explorer 附加元件安裝提示
新的檔案處理常式圖示 新的安全性資訊區域 檢查可執行檔的發行者資訊 Outlook Express 提示

73 封鎖擾人的快顯視窗 功能 說明 快顯視窗管理員 封鎖非使用者啟動的快顯視窗 視窗限制 控制指令碼啟動的重新定位 控制指令碼啟動的調整大小
視窗定位 主控快顯視窗的定位

74 管理附加元件 附加元件管理及當機偵測： 全新的附加元件管理功能 較好的附加元件當機偵測

75 Windows XP Service Pack 2

76 Microsoft Anti-Spyware 的功能與運用
What is Spyware ？

77 什麼是 Spyware？ Spyware 是對於有雙重特性的軟體的一種統稱，除了正常軟體特性可能還會有以下特性之一： 發佈廣告資訊
收集用戶端資訊 變更電腦設定 未經用戶同意完成以上設定

78 Spyware 的影響 當你沒有在該網頁時，卻彈跳出廣告網頁 瀏覽器的預設首頁被變更了，或是瀏覽器的設定未經用戶同意而變更
你會在瀏覽器上發現不需要的工作列，並且將會困難的移除 你的電腦將會有不需要的工作項目，不正常的影響主機效能 電腦可能發生不正常的當機

79 如何解決 Spyware 一、更新你的軟體 二、調整 Internet Explorer 安全性設定 三、使用防火牆
四、觀看與下載更多安全性 五、下載與安裝 anti-spyware 保護軟體

80 Microsoft Windows AntiSpyware
改進網際網路瀏覽的安全性 停止最新的威脅

81 偵測並移除 Spyware 簡單偵測電腦上的 Spyware 徹底的移除 Spyware 回復系統至原先狀態

82 改進網際網路瀏覽的安全性 防護系統而不需要你的分心 提供持續不斷的保護以協助追蹤 Spyware
回復 Internet Explorer 中不需要的變更

83 停止最新的威脅 比 SpyNet 更快的提供最新威脅資訊 防範 Spyware 的專業技術值得你能信賴 自動更新至最新的版本

84 Microsoft Windows AntiSpyware

85 Malware Remove Tool 的功能與運用
惡性程式的種類 Malware Remove Tool 的功能

86 惡性程式的種類 特洛伊木馬程式 蠕蟲 病毒

87 特洛伊木馬程式 一種看似很有用或無害的程式，但是實際上包含隱藏的程式碼，執行時會利用或損毀系統。
特洛伊木馬程式最常以偽裝的程式目的和功能，透過電子郵件訊息傳遞給使用者。也稱為特洛伊程式碼。 特洛伊木馬程式的為害方式，是在執行時傳遞惡意的裝載 (Payload) 或工作。

88 蠕蟲 蠕蟲使用自動傳播的惡意程式碼，會透過網路連線，自動將本身從某部電腦散佈到另一部電腦。
蠕蟲可以進行有害的動作，例如耗用網路或本機系統資源，可能引起拒絕服務 (Denial of Service) 攻擊。 有些蠕蟲可以在不需使用者介入的情形下執行及散佈，而有些則需要使用者直接執行蠕蟲程式碼才會散佈。 蠕蟲除了複寫之外，也可能傳遞裝載。

89 病毒 病毒使用明確為了自行複寫而寫成的程式碼。 病毒會將自身附加到宿主程式，嘗試在電腦之間傳佈。 它可能會損壞硬體、軟體或資料。
執行宿主程式時，也會執行病毒程式碼，影響新宿主，有時還會傳遞其他裝載。

90 Malware Remove Tool 的功能
支援 Windows 作業系統 移除特定的常見惡意軟體 顯示一份報告描述結果 此工具並不能取代任何防毒產品。 如果要協助保護電腦，您就必須使用防毒產品

91 支援作業系統 支援作業系統 所有支援版本的使用者 Windows XP 和 Windows Server 2003 SP1
可以直接從本網頁執行此工具，或是手動下載最新版本至本機電腦執行 Windows XP 和 Windows Server 2003 SP1 使用者可以透過 Windows Update 取得最新版本。

92 移除特定的常見惡意軟體 2005 年 1 月 (V 1.0) 2005 年 2 月 (V 1.1) 2005 年 3 月 (V 1.2)
Win32/Berbew Win32/Doomjuice Win32/Gaobot Win32/MSBlast Win32/Mydoom Win32/Nachi Win32/Sasser Win32/Zindos 2005 年 2 月 (V 1.1) Win32/Korgo Win32/Netsky Win32/Randex Win32/Zafi 2005 年 3 月 (V 1.2) Win32/Bagle Win32/Bropia Win32/Goweh Win32/Sober Win32/Sobig 2005 年 4 月 (V 1.3) Win32/Hackdef Win32/Mimail Win32/Rbot 2005 年 5 月 (V 1.4) Win32/Sdbot WinNT/Ispro

93 移除特定的常見惡意軟體 2005 年 6 月 (V 1.5) 2005 年 7 月 (V 1.6) Win32/Kelvir
Win32/Lovgate Win32/Mytob Win32/Spybot 2005 年 7 月 (V 1.6) Win32/Hacty Win32/Optix Win32/Optixpro Win32/Purstiu Win32/Wootbot Microsoft 會於每個月第二個星期二發表本工具更新版本。

94 顯示一份報告描述結果 顯示結果 記錄掃描資料 惡意軟體移除工具執行完畢之後，就會顯示掃描結果
完成掃描之後，惡意軟體移除工具就會建立含有掃描結果的記錄檔。 這個檔案的名稱是 Mrt.log，存放在 %windir%\Debug 資料夾中

95 Malware Remove Tool

96 Questions ?