确保Windows服务器安全性.ppt

确保Windows服务器安全性,议程,介绍 安全工具 网络安全补丁检查器(HFNetChk) 微软基准安全分析器 Microsoft Baseline Security Analyzer (MBSA) 其它资源 构建一个安全系统 安全服务器角色 Secure Server Roles (SSR) Windows 2000服务器安全操作指南,介绍,微软正在采取积极的,程式化方法来帮助客户了解和实施安全(STPP) 积极地帮助客户保护他们的计算环境 在近期内提供一系列相关工具 目的是为了每一个客户能达到基准安全,战略性技术保护计划 Strategic Technology Protection Program (STPP) ,服务,联机,产品,获得与病毒相关的免费电话技术支持：800-820-3800(中国大陆) 提供安全评估服务,安全资源网站: www.Microsoft.Com/security 微软安全通知服务 安全性滚动升级包,微软安全工具管理员包 安全维护工具集和资源包 现有产品的持续提高,“获得安全性 ,保持安全性 “,为什么很难获得安全性 ,保持安全性?,调查发现 : 在经历红色代码袭击的客户中,仍有超过50%的客户并没有及时安装补丁防范 Nimda “我不知道需要安装哪些补丁” “我不知道到哪里找补丁” “我不知道哪些机器需要补丁” “我们已经更新了所有生产服务器, 但是仍有4000多台非生产服务器受到袭击”,保证系统安全的三步曲,我有最新的补丁程序吗 ? 我的所有机器已经达到安全基准吗? 我如何锁定我的所有机器?,网络安全补丁检查工具(HFNetChk) 和 微软基准安全分析器 (MBSA),HFNetChk 和 MBSA 是战略性技术保护计划的一个组成部分 两个阶段: 获得安全性 ,保持安全性 /security/mstpp.asp,保证系统安全的三步曲,我有最新的补丁程序吗? 我的所有机器已经达到安全基准吗? 我如何锁定我的所有机器?,网络安全补丁检查工具HFNetChk,HFNetChk是一个命令行程序，它只能运行在Windows NT, Windows 2000 and Windows XP等基于NT的平台上 扫描本地和远程计算机 检查下列系统的安全补丁的安装状态 Windows NT 4.0, Windows 2000, XP Internet Explorer 5.01和后续产品 IIS 4.0 and 5.0 SQL 7.0 和后续产品,HFNetChk,是一个“只读”工具 -对被检查的机器没有任何配置或更新操作 用户在每台被检查的机器上必须有本地管理员权限 利用了XML技术 XML允许获得最新公布的补丁程序的详细信息 每当有新的安全公告出版时, XML文件自动更新,HFNetChk,包含了每一个补丁的详细信息,例如: 适用的OS和服务包 安全补丁所包含的每一个文件信息: 文件版本 文件检验和 (checksum) 文件位置 安全补丁所修改的注册表信息,HFNetChk In Action,运行HFNetChk.exe,,下载最新的XML补丁数据库,XML,基于下列扫描 主机名 IP地址范围 域名,HFNetChk如何工作?,从站点下载经过签名的CAB文件(包含了XML数据) 如果没有Internet连接, ,直接使用本地备份 工具版本检查 OS服务包应用检查 识别与当前OS服务包应用相关的安全补丁,继续,对每一个可应用的补丁: 将被检查的机器上的键值与 XML文件所包含的注册表键值作比较 如果键值不存在,那么补丁文件没有被安装 键值检查可以跳过, - z开关 问题: 我们可以依赖注册表键值来保证补丁安装吗?,继续,如果键值存在或键值检查被跳过, 将被检查的机器上的文件版本与 XML文件所包含的文件版本作比较 将被检查的机器上的文件检验和与 XML文件所包含的文件检验和作比较,结果:,如果文件版本和/或文件检验和不匹配,那么补丁程序被认为没有安装 注意:补丁程序所包含的每一个文件都要被检测,网络安全补丁检查工具 HFNetChk,演示,保证系统安全的三步曲,我有最新的补丁程序吗? 我的所有机器已经达到安全基准吗? 我如何锁定我的所有机器?,微软基准安全分析器 MBSA,运行在Windows 2000 和 Windows XP平台上的单个可执行文件 检查常见安全误设置和漏装补丁, 服务包 Windows Internet Information Server 4.0 and Internet Information Server 5.0 SQL 7.0 and SQL 2000 桌面应用程序 Internet Explorer Office Outlook,MBSA,既有图形界面版本,又有命令行版本 生成安全报表 系统总得分 每一项安全检查通过或失败得分 针对发现的安全性漏洞,提出详细解释和修补动作 是一个“只读”工具 -对被检查的机器没有任何配置或更新操作 用户在每台被检查的机器上必须有本地管理员权限,MBSA使用举例:,管理员可以从一台机器上扫描整个网络,寻找可能潜在的操作系统和应用程序的脆弱性 为每一台机器产生一份安全报告,集中存放 家庭用户也可以在家里扫描他们的机器 网络管理员也可以用命令行作一批处理程序,然后定期调度该批程序,使用MBSA,扫描单台计算机,扫描多台计算机,使用MBSA命令行界面,微软基准安全分析器 MBSA,演示,MBSA总结,MBSA提供了 提供了一种容易的方法来扫描一台或多台计算机,寻找安全脆弱性获或漏装安全补丁 为家庭用户和专业人员提供了一种简便的图形界面 网络管理员也可以定期调度该命令行程序,从哪里得到补丁 ?,订阅安全公告邮件 http:/www.M/TechNet/Security 发送邮件到 microsoft_ 利用Windows更新工具接受自动通知 订购安全工具包或联机访问安全工具包网站 下载补丁程序,/china/security/,保证系统安全的三步曲,我有最新的补丁程序吗? 我的所有机器已经达到安全基准吗? 我如何锁定我的所有机器?,安全服务器角色 Secure Server Roles,目的： 针对具有不同服务器角色的Windows 系统，简化管理员实施安全系统的繁重任务 SSR包含了一些向导程序,用来检查和实施OS,特定应用程序的安全策略（例如：Exchange，IIS）,安全服务器角色 SSR,安全服务器角色框架 设置广泛（例如：服务，端口，注册表键值，审计，用户组等） “角色”众多（例如：域控制器，文件服务器，打印服务器，Web服务器等） 适用范围广泛(例如:Internet连接,DMZ,企业网络,多网卡主机) 可定制 可以增加新的“角色“,无需编程,可扩展 可以使用VB来开发特定应用的子向导 通过与MBSA的集成,提供了对一些非可配置的选项的分析,例如:漏装补丁程序,NTFS文件系统,口令太简单 既可在本地运行,又可在远程运行 支持Windows 2000 和 .Net Server,安全服务器角色 SSR(2),SSR向导程序,用户可以很容易的实施必要的安全设置 基于知识驱动,针对不同的服务器角色和安装环境,最大化安全设置 安全策略数据库以XML方式保存 使用翻译引擎,配置引擎来解释,应用和回撤安全策略,安全服务器角色 Secure Server Roles,演示,Windows 2000服务器 安全操作指南,在运行 Windows 2000 的服务器上创建和保持一个安全环境所需的操作 涉及内容 了解安全风险 运用 Windows 2000 组策略管理安全 基于角色保护服务器 修补程序管理 审计与入侵检测 响应意外事件 响应意外事件,Windows安全检查列表,所有磁盘分区都是NTFS文件系统 管理员帐户有一个强口令 禁止所有不必要的服务 删除或禁止所有不必要的账号 关闭所有不必要的共享目录 设置访问控制列表 设置严格的安全策略 安装最新的服务包和补丁程序 安装反病毒软件,如果您有任何问题，请加入 微软中文新闻组 继续讨论,加入微软中文新闻组 /ch