作業系統平台的安全控管 I – Windows Server 2003.


31 views
Uploaded on:
Category: Product / Service
Description
作業系統平台的安全控管 I – Windows Server 2003. 邱顯智 精誠公司 恆逸資訊 系統工程部 專任講師. 本場次假設您. 具備 Windows Server 2003 管理經驗 熟悉 Windows 管理工具的操作 瞭解 Active Directory 及群組原則運作基礎. 議題大綱. 伺服器安全強化作業簡介 善用安全性範本提昇伺服器的安全性 Windows Server 2003 SP 1 功能展示 各種角色的伺服器安全強化建議 Windows Server 2003 災難復原機制. 伺服器安全強化作業簡介.
Transcripts
Slide 1

作業系統平台的安全控管 I – Windows Server 2003 邱顯智 精誠公司 恆逸資訊 系統工程部 專任講師

Slide 2

本場次假設您 具備 Windows Server 2003 管理經驗 熟悉 Windows 管理工具的操作 瞭解 Active Directory 及群組原則運作基礎

Slide 3

議題大綱 伺服器安全強化作業簡介 善用安全性範本提昇伺服器的安全性 Windows Server 2003 SP 1 功能展示 各種角色的伺服器安全強化建議 Windows Server 2003 災難復原機制

Slide 4

伺服器安全強化作業簡介 企業普遍存在的問題 仍然使用老舊的系統 伺服器扮演多重角色服務 佈署安全解決方案的資源有限 系統曝露在不安全的環境 來自內部或 意外的威脅 缺乏安全專業人員

Slide 5

伺服器安全強化作業簡介 資安人員的難題 資訊安全工作多如牛毛 系統怎麼設定才算安全 建置資安系統經費不足 對使用者是否造成影響

Slide 6

伺服器安全強化作業簡介 難以取捨的三角習題 安全性 安全性取捨 成本 可用性

Slide 7

伺服器安全強化作業簡介 進行安全等級分類 公開 內部 機密 極機密

Slide 8

伺服器安全強化作業簡介 何謂「縱深防禦」 提高偵測到攻擊者的機率、降低攻擊成功的機會 安全原則、程序與認知 實體安全 資料 存取授權 、檔案加密 應用程式 應用程式安全強化 、防毒 作業系統安全強化 、驗證、 HIDS 主機 IPSec 、網段區隔 、 NIDS 內部網路 防火牆 、網路存取(撥接或 VPN )的隔離控制 外圍網路 警衛 、人員與機房進出管制 安全文件 、員工教育訓練

Slide 9

伺服器安全強化作業簡介 伺服器安全性強化基本要務 安裝最新的 Service Pack 及安全性更新程式 使用群組原則設定強化伺服器的安全性 利用 MBSA 確定伺服器的安全設定 限制不必要的存取行為(實體及網路)

Slide 10

伺服器安全強化作業簡介

Slide 11

伺服器安全強化作業簡介 伺服器強化的基本建議 將內建的 Administrator 及 Guest 帳號重新命名 使用受限群組原則限制 Administrators 群組成員 限制可以在伺服上進行本機登入的使用者 啟用複雜性密碼原則 不要用同一組帳號密碼做為服務用的帳戶 使用嚴謹的 NTFS 權限保護檔案及資料夾

Slide 12

議題大綱 伺服器安全強化作業簡介 善用安全性範本提昇伺服器的安全性 Windows Server 2003 SP 1 功能展示 各種角色的伺服器安全強化建議 Windows Server 2003 災難復原機制

Slide 13

善用安全性範本提昇伺服器安全性 何謂安全性範本 集合系統安全性設定的純文字檔案 可以匯入到群組原則中的安全性設定 簡化安全性設定的佈署流程

Slide 14

善用安全性範本提昇伺服器安全性 內建的安全性範本 基本安全性環境 Setup Security.inf, DC Security.inf 中度安全性環境 SecureDC.inf, SecureWS.inf 高度安全性環境 HisecDC.inf, HisecWS.inf 其它的安全性範本 CompatWS.inf, RootSec.inf

Slide 15

善用安全性範本提昇伺服器安全性 您可以免費取得的安全性範本 下載 Windows Server 2003 資訊安全手冊 分三大類安全環境 Legacy Client 含有 Windows 98 及 Windows NT 4.0 Workstation 用戶端或 Windows NT 4.0 Server 成員伺服器 Enterprise Client 使用 Windows 2000 以上版本的伺服器及用戶端 High Security 針對像美國國防部這類需要極為嚴苛的安全性環境而設計

Slide 16

善用安全性範本提昇伺服器安全性 伺服器角色分類 Domain Controllers Infrastructure Servers Internet Information Service Servers Certificate Service Servers File Servers Print Servers Internet Authentication Service Servers Bastion Hosts

Slide 17

善用安全性範本提昇伺服器安全性 Windows Server 2003 資訊安全手冊中附的安全性範本

Slide 18

善用安全性範本提昇伺服器安全性 安全性範本編輯及測試工具 「安全性範本」嵌入式管理單元 提供與群組原則一致的設定介面 可將您儲存的設定內容自動轉為 INF 檔案格式 「安全性設定及分析」嵌入式管理單元 比較範本與電腦現正執行的安全設定的差異 修改及匯出範本內的安全設定 套用範本的安全設定

Slide 19

善用安全性範本提昇伺服器安全性 操作示範-「安全性範本」工具 開啟「安全性範本」嵌入式管理單元 檢視內建的安全性範本 新增範本搜尋路徑 建立自訂的安全性範本 DEMO

Slide 20

善用安全性範本提昇伺服器安全性 操作示範-「安全性設定及分析」工具 「安全性設定及分析」嵌入式管理單元使用邏輯 開啟資料庫 匯入範本 分析電腦 修改設定(非必要動作) 匯出設定(非必要動作) 設定電腦 DEMO

Slide 21

善用安全性範本提昇伺服器安全性 利用 Active Directory 佈署安全性設定

Slide 22

善用安全性範本提昇伺服器安全性 使用安全性範本的建議事項 不要盲目地套用安全性範本 儘量保留安全性設定回復的能力 正式套用安全性範本之前,您應該再三測試,確定安全性範本不會影響到正常功能 請勿讓他人有機會取得您的安全性範本

Slide 23

議題大綱 伺服器安全強化作業簡介 善用安全性範本提昇伺服器的安全性 Windows Server 2003 SP 1 功能展示 各種角色的伺服器安全強化建議 Windows Server 2003 災難復原機制

Slide 24

Windows Server 2003 SP 1 功能展示 安裝 WS2003 SP1 的十大理由 縮小您伺服器的受攻擊面 幫助保護新安裝的伺服器 從開機到關機,隨時受防火牆保護 利用「不可執行」硬體的支援及軟體,加強您的防衛能力 以更堅固的預設值並削減特殊權限來幫助保護您的系統服務 將過期的虛擬私人網路 (VPN) 資產加以隔離

Slide 25

Windows Server 2003 SP 1 功能展示 安裝 WS2003 SP1 的十大理由(續) 監視和稽核您的 IIS 組態設定值 Windows 防火牆原則管理 幫助保全 Internet Explorer 避免可能不安全的電子郵件

Slide 26

Windows Server 2003 SP 1 功能展示 SP1 主要的新功能與加強功能 新增功能 Windows 防火牆 安裝後安全更新( PSSU ) 安全性設定精靈( SCW ) 加強功能 更堅固的預設值及削減特殊權限( RPC, DCOM Lock down ) 支援「不可執行」硬體 VPN 隔離功能 IIS 6 組態稽核

Slide 27

Windows Server 2003 SP 1 功能展示 Windows 防火牆簡介 軟體的狀態式主機防火牆 可保護 IPv4 與 IPv6 的資料流量 預設值為「關閉」( PSSU 執行期間自動啟用) 可在開機過程提供短暫的保護 可以利用命令提示字元及群組原則進行設定 對應用程式所造成的影響 預設所有輸入的網路流量將不允許 只有在應用程式執行時,服務連接埠 才會進行接聽動作

Slide 28

Windows Server 2003 SP 1 功能展示 Windows 防火牆功能和增強 開機時的安全性 全域設定 稽核記錄 例外資料流量的範圍限制 命令列支援( Netsh 指令) 「無例外開啟」操作模式 以程式為基礎的例外 多重設定檔

Slide 29

Windows Server 2003 SP 1 功能展示 Windows 防火牆功能和增強(續) 還原預設值 支援自動安裝 IPv6 支援(與 IPv4 共享相同的例外資料流量設定) 更新的使用者介面 新的群組原則支援

Slide 30

Windows Server 2003 SP 1 功能展示 操作示範 - Windows 防火牆 檢視 Windows 防火牆的啟動狀況 設定 Windows 防火牆相關群組原則 電腦設定/系統管理範本/網路/網路連線/Windows 防火牆 確認群組原則套用結果 DEMO

Slide 31

Windows Server 2003 SP 1 功能展示 安裝後安全性更新( PSSU ) 用以保護開機後至執行安全行更新這一段其間, Windows 作業系統的安全性 除非 Windows 防火牆經由無人安裝或群組原則明確啟用,否則將會於管理者第一次登入時啟用 所有輸入的網路流量都將被阻擋,直到管理者點選 PSSU 的「完成」按鈕 提供了連結至 Windows Update 的選項

Slide 32

Windows Server 2003 SP 1 功能展示 安裝後安全性更新(續) 提供了設定「自動更新」的選項 倘若沒有完成設定將會在下一次登入時再啟動 啟用時機 利用包含 Windows Server 2003 SP1 的安裝光碟片進行全新作業系統安裝完成後 利用包含 Windows Server 2003 SP1 的安裝光碟片昇級 Windows NT 4.0 完畢後

Slide 33

Windows Server 2003 SP 1 功能展示 操作示範 - PSSU 檢視 PSSU 畫面 確認 Windows 防火牆已啟用 設定自動更新 完成 PSSU 設定 確認 Windows 防火牆已停用 DEMO

Slide 34

Windows Server 2003 SP 1 功能展示 安全性設定精靈 (SCW) 減少受到攻擊的面積 作業系統的預設值可能是不安全的 管理者無法藉由「安全手冊」來取得或維持作業系統的安全性 藉由「可延伸 XML 知識庫」來定義伺服器的角色 在知識庫中定義了有超過 50 種的 伺服器角色,包括了 Exchange Server 與 SQL Server 等 …

Slide 35

Windows Server 2003 SP 1 功能展示 安全性設定精靈(續) SCW 安全性涵蓋範圍 停用不必要的服務 停用不必要的 IIS 網站延伸功能 封鎖不使用的連接埠,包括對多網卡主機的支援 保護爲使用 IPSec 而開啟的連接埠 降低對 LDAP 、 LAN Manager 和 SMB 等通訊協定的揭露 匯入各種 Windows 安全性範本,以涵蓋精靈所無法設定的設定值

Slide 36

Windows Server 2003 SP 1 功能展示 安全性設定精�

Recommended
View more...