fdcc管理方法及强势PPT课件

1、向 Microsoft 咨询服务 (MCS) 部门提供了一份为期五年的合约标准桌面配置 (SDC) SDC 进入为期 10 个月的试验性测试SDC 在两年内全面投入使用美国空军减少了 30% 的现场支持人员，成本节约很大程度上归功于 SDC最后，美国空军更加快速地转向 Vista 和网络访问保护美国空军美国空军 SDC 简史简史第1页/共29页每季度集中购置硬件协作式决策：先对 XP 再对 Vista 运行标准设置检查 (SSR)MCS 根据 SSR 决策构建单个映像；覆盖 70 多个模型MCS SMS 团队从映像构建文件获取脚本，用于构建 SMS 升级数据包培训会议来自司令部的持续反馈美国空

2、军如何构建美国空军如何构建 SDC第2页/共29页USAF 如何为如何为 SDC 做准备做准备打开桌面防火墙（入站）打开桌面防火墙（入站） 获取最常见的例外情况并提前将它们填充到 GPO 中 管理代理：SMS、Tivoli、Altiris、MOM、WSUS 等 解除本地用户权限解除本地用户权限 在此之前，对帮助中心、本地支持人员和开发人员进行第 1、2、3 层应用程序兼容性工具方面的培训将安全设置推送到桌面将安全设置推送到桌面第3页/共29页SDC 成就了今天的美国空军成就了今天的美国空军已准备好在他们的机构中启用已准备好在他们的机构中启用 Vista已在数千个桌面上完成试验性测试已在数千个桌

3、面上完成试验性测试仅剩不足仅剩不足 200 个不安全的应用程序个不安全的应用程序强劲的早期采用者：强劲的早期采用者：Systems Center Configuration Mgr (SCCM)网络访问保护网络访问保护 (NAP)Server 2008 (Longhorn)通过标准化节约大量成本通过标准化节约大量成本对美国空军转向集中化提供强有力的帮助对美国空军转向集中化提供强有力的帮助更安全的机构更安全的机构第4页/共29页FDCC 简介简介 在美国空军成功部署 SDC 后，美国行政管理和预算局向所有联邦机构发布了关于采用以下做法的备忘录： 采用 Windows XP/Vista 的标准配置

4、 限制用户的登录权限 根据美国空军 SDC 实施 FDCC 中定义的安全标准第5页/共29页FDCC 益处益处政府开发人员有了明确的目标按季度修订对安全性和配置进行标准化 削减成本 简化部署 注重审核 引导供应商的开发决策 提高安全性第6页/共29页定义和术语定义和术语 映像映像 位复制或文件复制格式，它用主配置“擦除并加载”分区或磁盘，包括操作系统、应用程序、设置以及默认配置文件。 配置配置 在指南中指定的和/或在脚本或组策略中设置以供实施的特定设置、注册表更改和文件权限 虚拟虚拟 PC Microsoft 的虚拟化软件允许在 XP 或 Vista 桌面内部运行完整的“虚拟机”第7页/共29

5、页FDCC 的发展史的发展史 起源于美国空军的设置 在 435,000 个桌面上执行了测试 从 Microsoft XP 和 Vista 安全指南、NSA 对于 IE7 的指示中得出设置 代表 NIST、NSA、DISA 和 Microsoft 之间的共识 美国空军安全与运营人员的决策介于以下二者之间： 企业配置企业配置 (EC) 专用安全限制功能专用安全限制功能 (SSLF) 美国空军还纳入了许多其他设置第8页/共29页FDCC 的发展史的发展史 NIST 审查美国空军的设置，并做出必要的调整： 做更改以适应更广的范围 规范化 XP 和 Vista 设置（一致性） 加快安全内容身份验证计划

6、(SCAP) 以制定 FDCC 请求并融入 NSA、DISA 和 USAF 的反馈意见 委派美国国土安全部处理威胁信息和修补信息第9页/共29页联邦桌面核心配置 (FDCC)第10页/共29页FDCC 如今的成果如今的成果 虚拟虚拟 PC，用于应用程序兼容性和开发测试 为什么不是映像？硬件和许可 组策略对象组策略对象，用于实施以及域设置应用 SCAP 文件文件，用于衡量合规性 支持文档支持文档 供将来维护：供将来维护： 从 Microsoft 批量许可协议 (MVLA) 站点下载 FDCC ISO Microsoft 安全更新 (MSU)第11页/共29页联邦桌面核心配置 (FDCC)第12页

7、/共29页关键要点关键要点 普通用户必须以用户用户 非非超级用户，非非管理员 防火墙（入站）打开打开 本地管理员不能不能 编辑防火墙设置 文件和打印共享关闭关闭 IE7 保护模式打开打开（仅适用于 Vista） 密码长度设置为 12 个字符个字符 “质询”设置 FIPS 140-2 打开打开 驱动程序签名打开打开（仅适用于 XP）第13页/共29页可能引发担忧的事项可能引发担忧的事项 普通用户无法加载 ActiveX 控件 但 Vista 有 ActiveX 安装服务第14页/共29页联邦桌面核心配置 (FDCC)第15页/共29页检查和平衡检查和平衡基线基线安全安全扫描程序扫描程序A安全安全

8、扫描程序扫描程序BSCAP 数据基线基线安全安全扫描程序扫描程序A安全安全扫描程序扫描程序B第16页/共29页手动检查手动检查 发现“假阳性”和“假阴性” NIST、DISA 和 NSA 参与 有机会审查实际决策并根据需要重新考虑第17页/共29页将将 SCAP 扩展到现场扩展到现场 机构最后的构建步骤：确认设置未经更改 安全审核员可使用相同的 SCAP 数据来重复确认合规性 独立于制造商的基线文件 用于解释安全指南的单一参考点第18页/共29页联邦桌面核心配置 (FDCC)第19页/共29页做好基础工作做好基础工作 用户以普通用户身份登录以普通用户身份登录 - 因此： 管理系统（例如：SMS

9、、Tivoli、Altiris、远程桌面功能）将是成功的关键 必须有成熟的帮助中心/远程支持 开发人员必须通过编码使软件以用户身份运行 现在以用户身份登录，对问题应用程序进行标记 捕获关于硬件和软件的数据 SMS 查询、Tivoli 查询等 应用程序兼容性工具包 Windows Vista 硬件评估 (WVHA) 收集关于防火墙例外情况的信息第20页/共29页第一步：第一步：测试和验证测试和验证构建构建/测试测试/验证机构应用程序将在验证机构应用程序将在 FDCC 上运上运行行 FDCC 对下列各项进行了界定： 预配置了 FDCC 设置的虚拟 PC 组策略对象 (GPO) 指南文档 验证工具：

10、SCAP 机构可使用测试评估虚拟测试评估虚拟 PC 进行早期的应用程序兼容性测试第21页/共29页第二步：第二步：机构标准映像机构标准映像FDCC 配置将成为机构映像的基础配置将成为机构映像的基础 Microsoft 批量许可站点：基础操作系统 ISO 将机构自定义映像构建在结合 FDCC 设置的 ISO 基础之上 测试将产生合理的机构标准 记录来自 FDCC 的变化，并制定计划用于长期修正 OMB 可致力于改善应用程序 在 FAR 中编写以满足 FDCC第22页/共29页第三步：第三步：更新更新紧跟最新的紧跟最新的 FDCC 标准标准选项可包括 利用 Windows Software Upd

11、ate Server (WSUS) 的 Windows Update System Center Configuration Manager (SCCM) 和每个机构选择的其他部署工具第23页/共29页第四步：第四步：监控监控 为了向 OMB 和 NIST 证明合规性，必须使用 SCAP 基准文件 第三方应用程序 符合 SCCM 2007 预期配置监控 (DCM) SCAP 的清单（2009 年中期） 生成关于背离 FDCC 标准的系统的详细报告 满足 NIST 要求 仔细跟踪拥有本地管理员权限的用户第24页/共29页联邦桌面核心配置 (FDCC)第25页/共29页需要记住的要点需要记住的要点 并没有为美国政府开发“特殊”的 Windows 版本。 Microsoft 咨询服务部门与美国空军合作创建一个特殊的受保护映像。 美国空军和 FDCC 采用的安全设置基于已发布的 Microsoft 对于 Windows XP 和 Windows Vista 的安全指南。第26页/共29页发展方向发展方向 Mi