Windows Vista 系統安全建置指南

Presentation on theme: "Windows Vista 系統安全建置指南"— Presentation transcript:

1 Windows Vista 系統安全建置指南
謝合宜 微軟特約技術顧問 MCSE : Security/Messaging MVP/MCT BS7799/ISO27001 Lead Auditor

2 預備知識 熟悉Windows作業系統的使用與管理 網路資訊安全管理 Level 200

3 講題大綱 安全指南的背景 Vista的安全指南 網域架構的用戶端安全 加強的Vista安全

4 安全指南的用途 提供負責與可靠的安全指導方案 提供工具來導入安全建置指南 根基在客戶所提供的使用情境之上 有強烈的支持作用
專注在安全與效能、可用性的平衡 提供工具來導入安全建置指南

5 What Are MSSC? (Microsoft Solutions for Security and Compliance)
整合所有的產品與技術 Microsoft Partners Non-products

6 安全指南的歷史 Windows 98 and NT 4.0 Threat Mitigation Guide
Windows 2000 Security Guide Windows XP Security Guide Windows Server 2003 Security Guide Windows Server 2003 Threats & Countermeasures Guide Windows Vista Security Guide Windows Vista Threats & Countermeasures Guide Note: Vista安全指南目前正積極建立中

7 TechNet Security Guidance

8 安全指南的建立過程 客戶導向來建立回饋方式 與多個政府單位共同努力(美國) 嚴謹的發展過程 檢查每一個設定 根據安全性來決定所需的設定值
在多個實際環境來測試設定值的使用情形 與客戶來進行檢驗 反覆檢驗確認直到真正完成為止

9 講題大綱 安全指南的背景 Vista的安全指南 網域架構的用戶端安全 加強的Vista安全

10 Windows Vista的安全指南 從之前的作業系統版本擴展而來 善用Windows Vista的新安全技術 不同環境各別給予建議
提供給不同的安全等級 內容反映企業環境的需求 包含情境式的安全指南 善用Windows Vista的新安全技術 BitLocker, User Account Control等等 擴展的GPMC設定控制

11 Vista安全指南的建立

12 預設的網路環境 Windows Server 2003 網域環境 利用Group Policy Management Console
未受管理的電腦與使用者排除在外 利用Group Policy Management Console 以邏輯的企業需求來建立OU結構

13 使用情境 環境 特別加強 企業網路環境 特定功能電腦的特殊安全功能 惡意軟體的防護 保護敏感資料 整合特定的安全設定
整合與支援現存、舊的應用程式

14 全面性的防護架構 使用階層架構分析： 增加攻擊者被偵測的風險 降低攻擊者意外成功的攻擊 政策，程序與體認 實體安全 資料
ACLs、加密、EFS 應用程式 Application hardening、防毒 OS hardening、驗證、 安全性更新管理 主機 內部網路 網段隔離、IPSec、NIDS 網路周邊 防火牆、網路存取隔離控制 守衛、上鎖與追蹤裝置 安全文件與使用者教育

15 安全指南的大致內容 安全指南介紹 設定AD網域基礎架構 用戶端的安全性設定 系統管理範本 獨立的用戶端安全 惡意軟體防制 測試建議

16 用戶端電腦安全元件 軟體更新 防毒 安全性密碼 防火牆 用戶端管理工具 行動電腦安全 應用程式安全 資料防護

17 企業網路環境 威脅 一般的安全威脅 惡意程式 密碼猜測 Man-in-the-middle網路攻擊 伺服器偽冒 使用者洩漏、遺失資料或電腦
基本的保護就能提供高可使用性

18 企業網路環境 解決對策 密碼原則 帳號鎖定 SMB簽署(SMB signing) 權限使用 使用者權限
Internet Explorer的加強

19 特定安全限制功能 Specialized Security Limited Functionality (SSLF)
企業網路環境的特例情形 特別而更強固的設定 大致都一樣的設定，而給特別參數 增加安全性 可能減低可使用度 Cost? 針對特殊的客戶需求

20 特定安全限制功能 解決對策 基本跟企業環境一樣 設定是為了更緊密的安全 例如：稽核物件存取 一般環境: Disable SSLF: 稽核失敗
結果 更多的稽核事件 更可能偵測到特定的攻擊行為 更困難與麻煩地去分析事件紀錄資料

21 行動電腦安全 當行動電腦連線至企業網路時將會延伸網路周邊裝置 對這些裝置延伸安全性： BIOS 密碼保護 網路存取隔離控制
更安全的無線存取驗證機制 CompletePC備份工具 BitLocker USB裝置的安全控管

22 Windows Vista的資料保護 原則定義與確保 Rights Management Services (RMS)
以使用者為基礎 的檔案加密 Encrypted File System (EFS) 以硬體為基礎 的磁碟加密 Full Volume Encryption (BitLocker)

23 實行安全性密碼 針對不同的資源使用不同的密碼 教育使用者關於安全性密碼的原則 使用包含空白、數字與特殊符號作為密碼的一部份
當離開電腦時使用鎖定電腦或者 使用密碼保護的螢幕保護程式 使用多方驗證的機制加強安全

24 對抗惡意程式 使用者帳戶控制(UAC) Internet Explorer保護模式 IE Phishing Filter
64-bit驅動程式簽署 IPSec隔離 Driver Resource Protection Windows Defender

25 惡性程式防護技巧 實施深度防禦機制 降低攻擊層面 提供安全性更新 啟用主機端防火牆 安裝防毒軟體 利用設定掃描器測試 給予最少的特權原則
限制未授權的應用程式

26 Windows Update的使用

27 講題大綱 安全指南的背景 Vista的安全指南 網域架構的用戶端安全 加強的Vista安全

28 網域用戶端安全 Active Directory 元件 建立 OU 的階層式架構 如何新增 OU 的階層式結構 使用 AD 建置用戶端安全

29 Active Directory元件 群組原則 樹系（Forest） 網域（Domain） 組織單位（OU）
建置與管理網路安全的基礎架構 樹系（Forest） Active Directory 中的安全性邊界 網域（Domain） 蒐集與管理電腦、使用者與群組物件的管理範圍 組織單位（OU） AD 中的容器物件，以組織其他物件

30 建立OU的階層式架構 Group Policy 可以簡化用戶端安全的設定 分隔階層模組 獨立出使用者 OU 與電腦 OU
Department OU Domain Controller OU Windows Vista OU Desktop OU Laptop OU Domain Policy Laptop Policy Desktop Policy Secured Windows Vista Users OU Root Domain Group Policy 可以簡化用戶端安全的設定 分隔階層模組 獨立出使用者 OU 與電腦 OU 針對每一個 OU 給予適當的原則設定

31 如何新增OU的階層式結構 針對每一個部門新增 OU 1 針對每一種作業系統版本的用戶端依部門設定 OU 2
3 將所有用戶端的電腦帳號搬移至適當的 OU 中 4 新增並設定 GPO 指派給適當的 OU 5

32 使用AD建置用戶端安全 設計 OU 結構適當管理用戶端安全 設計 OU 結構獨立出使用者與電腦的安全帳號
新增 GPO 給每個 OU 以指派適當的安全性原則給用戶端

33 利用Group Policy加強用戶端安全
使用安全性範本 使用系統管理範本 什麼是安全性設定

34 使用安全性範本 安全性範本提供預設的安全性設定 依用戶所包含的所有範本： 所有網域中的使用者與電腦 桌上型電腦 膝上型電腦
每一個範本包含企業的用戶端與高安全的環境 可以編輯安全性範本的設定並且匯入至 GPO 中

35 使用系統管理範本 系統管理範本可以包含： 電腦設定 使用者設定 你可以使用系統管理範本來設定： 使用者操作環境 應用程式安全性設定

36 什麼是安全性設定

37 Windows Vista的安全性設定

38 講題大綱 安全指南的背景 Vista的安全指南 網域架構的用戶端安全 加強的Vista安全

39 Windows Vista群組原則新功能 多重本機群組原則 ADMX的使用 裝置設備的管理 UAC的控管 更多的安全控管

40 多重本機群組原則 LGPO 與 AD GPO 套用順序與優先權沒有變動 (AD GPOs 依然有較高套用權) LGPOs 可以建立在：
The machine NEW: Admin or non-Admin local groups NEW: Individual local users 套用順序依舊！(machine LGPO 先處理……) 個別使用者的 GPO “wins” 單一使用者依然會套用相關群組的LGPO (Admins or the Non-Admins, not both)

41 ADMX的使用 ADM檔案的挑戰： ADMX 的好處 不支援多國語系環境 Sysvol 體積膨脹 (4Mb+ per GPO)
有些不清楚且有限制的語法 ADMX 的好處 內建多國語系支援 (與 ADML 檔案關聯) 改善的檔案儲存方式 (可擺放本機或集中位置) 更彈性的語法方式 (XML-based)

42 ADMX 的集中存放 預設為非集中存放 建立與使用集中存放 ADMX 擺放本機(位於GPMC或GPEdit管理時的電腦)
全網域的存放位置 – [sysvol]\policies\policydefinitions 一個簡單步驟即可完成 啟用後, Windows Vista GPMC/GPEdit 開始使用集中存放的 ADMX 檔案 (並且忽略本機位置)

43 Windows Vista共存使用情形(ADMX/ADM 並存)
Windows Vista 未包含任何的 ADM 檔 (ADMX 檔已涵蓋原來的 ADM 檔) ADMX and ADM files 可以同時共存使用 用“新增/移除範本”來新增 ADM 檔(非 ADMX 檔).

44 透過系統管理範本來管理Office

45 卸除式存放裝置原則設定 Removable storage device Policy Settings
可依“電腦”或“使用者”來分別設定原則控管，管理可依“read”或“write”來處理 卸除式存放裝置分類 CD/DVD Tapes USB plug-in devices Windows Portable Devices (WPD) All other external removable storage devices

46 使用者帳戶控制原則設定 User Account Control Policy setting
以電腦來設定： Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options 使用者帳戶控制原則設定式控制 “UAC”的使用行為

47 Windows Firewall 與 IPSec
指定允許的應用程式與連接埠 只有具安全連結時才允許連線 只有特定的AD群組才允許連線 更智慧的功能 強迫隔離的設定 限制只允許加入網域的電腦進行網路資源存取 簡化的管理 在單一主控台來一致性的管理設定 常用連線情境的順暢設定

48 更多安全相關原則設定 Windows Defender Wireless and Wired Configuration
Network Access Protection Public Key Policy Configuration Integrated IE 7.0 Policy Settings Version 7.0 Device Installation control

49 加強的稽核功能 更詳細的稽核 新的記錄架構 例如登入、登出、檔案系統存取、機碼存取、管理權限使用 更方便過濾掉沒有用的事件記錄
當事件發生時，可以 傳送通知給管理者 執行特定的程式

50 整合、支援舊有的應用程式 相容性基礎的情境使用 讓舊的或不太適當撰寫的程式亦能運作 減損系統安全來成全可使用性

51 整合、支援舊有的應用程式 問題探討 增強安全通常會阻擋舊的應用程式的使用 問題可能很難被修正 降低安全可能是最方便的問題解決方式
登錄檔的限制 檔案系統的限制 API呼叫的限制 網路連結的限制 問題可能很難被修正 沒有原始程式碼 缺乏解決資源 降低安全可能是最方便的問題解決方式

52 整合、支援舊有的應用程式 解決方案 Application Compatibility Toolkit
User Account Control (UAC)虛擬化 調整使用者介面 Windows Installer調整

53 講題總結 善用AD與群組原則的建置與規劃來達到方便的控管 從系統安裝、設定等等的設定都進行檢討，建立企業本身所需的安全指南
深入了解Windows Vista的新增安全加強功能來應用於特殊的環境

54 For More Information… TechNet Windows Vista
Windows Vista Windows Vista: Resources for IT Professional Microsoft Security MVP Community社群網站

55