微软(中国)安全服务计划介绍会WINDOWS平台的安全管理

微软安全服务计划介绍会

Windows平台的安全管理微软公司产品经理殷建松内容安排安全挑战和对策企业网络安全基础架构保护服务器端保护客户机端网络安全管理流程微软安全服务计划市场背景信息安全是热点话题用户被信息安全的复杂性所困扰服务成为软件的重要价值之一什么是微软安全服务计划用户加入安全服务计划加入时获得微软欢迎礼包欢迎信安全工具包Technet专刊价值100元的CTEC培训礼券价值36元的Windows&.NetMagazine订阅礼券还会定期收到微软安全信息快递服务Technet期刊和补丁光盘安全的挑战及对策黑客攻击行为日益增加所有数据来自*2001Q1-Q3恶意行为的增长计算机病毒的发展趋势1W32.SirCam.A2W32.Magistr.A3W32.Hybris.B4W32.Nimda5VBS.FunLove.40996W32.BadTrans7W32.MTX.A8W32.Magistr.DAM9VBS.KakWorm10VBS.Haptime.A病毒在传播中使用的手法越来越多新型和变种病毒的推出速度越来越快

更加难以清除微软安全策略安全预防胜于事后补救，建立一个严谨的信息系统架构网络安全的基础架构如何保护服务器端如何保护客户机端网络安全的管理流程外部安全和内部安全并重，集中控制，分段隔离简单管理就是有效的管理-集中管理有效的风险管理一、基础架构网络状况远程用户本地网分公司Internet安全计划范围需要管理的资源Windows用户帐号信息特权配置文件策略Windows客户Mgmt配置文件网络信息策略Windows服务器Mgmt配置文件网络信息服务打印机文件共享策略目录为下列对象管理焦点：用户和资源安全授权策略应用程序服务器配置单一注册用于程序专用

的目录信息

策略Internet防火墙服务配置安全策略虚拟专用网络策略网络设备配置服务质量策略安全策略其他目录

WhitepagesE-Commerce其他NOSUserregistrySecurityPolicy电子邮件服务器邮箱信息通讯簿活动目录!典型网络分布北京成都广州Internet上海部署AD-多域北京成都广州Internet上海上海成都北京广州部署AD-单域北京成都广州Internet上海OUOUOU域OU统一网络身份管理

Windows2000AD单一登录在ActiveDirectory中存放唯一帐号集成Kerberosv5登录KeyDistribution

Center(KDC)公共键安全信息存放在被保护的存储区工业标准安全协议Kerberos,

SSL/TLS,others分析Windows

2000缺省安全性defltdc.infdefltsv.infdefltwk.inf工作站成员服务器域控制器缺省安全模板应用到所有新安装的Windows2000除非:

从WindowsNT4.0升级

只用FAT文件系统的计算机配置安全模板FileSystemRestrictedGroupsEventLogIPSecAccountPublicKeySystemServicesRegistryLocalSecurityTemplate当前配置与基准线比较 当前配置与基准线不匹配 当前配置符合或超越基准线自动分析安全基准线secedit/analyze/dbsecure.sdb/cfgbaseline.infPerformedeveryFriday使用组策略对象实施安全配置SiteDomain1GPODomain2OUOUOUOUOUGPOGPO为每种角色的计算机创建OUs最小化使用GPOs的数量子OUGPOs覆盖父

OUGPOs

基于策略分层管理VPN策略执行一个计算机或用户作用的策略是多个策略的和并用户端策略执行ClientOUServerOUDomainControllersOUDomainPolicyClientPolicy文件或Web服务器策略执行ServerOUDC策略执行分支机构网络一个典型的VPN架构…Internetservers路由器VPNGateway#1VPNGateway#2ROUTERusersofficeVPNGateway#1VPNGateway#2ROUTERusersofficeVPNGateway#1VPNGateway#2VPNTUNNELPPTP/L2TPVPNTUNNELPPTP/L2TP远程访问-移动用户公司网络加密加密加密加密InternetPrivate链路层安全PPTP/L2TP配置远程访问策略ISAInternet企业內部网络蜂巢式安全防护体系中央监控服务器Internet中央管理服务器利用内部安全隔离机制控制病毒扩散FirewallChainingISAServerISAServerLeasedline/VPNconnectionBranchMainInternetInternet内部网络DMZ区ISA服务器Internet内部网DMZ区Web服务器数据库服务器ISA服务器ISA服务器“背靠背”模式Internet远程客户端VPN服务器远程网络ISA服务器Web服务器可以选择让VPN服务器和ISA安装在同一台机器上或分开Exchange,SQLServerInternet集中管理总结

ActiveDirectory是核心，组策略是根本L2TP/IPSec&PPTPTunnelsISAProxyWebServerISAVPNNASPartnersFileServerBizTalkServerEnterpriseCAMachineCertsAutoenrollGP&IPSecPolicyDC远程访问策略IASRADIUSSSL集中管理服务包和Hotfixes服务包使用SMS服务器实施使用组策略通过登录脚本和.msi包HotfixesHFNetChkToolQChainWindows2000Server基准安全注意事项

验证所有磁盘分区是否都用NTFS格式化验证管理员帐户是否有强密码

禁用不必要的服务

禁用或删除不必要的帐户

保护文件和目录

确保禁用来宾帐户

防止注册表被匿名访问HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg应用适当的注册表ACL

Windows2000Server基准安全注意事项(2)限制对公用本地安全机构(LSA)信息进行访问HKEY_LOCAL_MACHINE\SYSTEMCurrentControlSet\Control\LSARestrictAnonymous设置较强的密码策略设置帐户锁定策略配置管理员帐户删除所有不必要的文件共享对所有必要的文件共享设置适当的ACL安装防病毒软件和更新安装最新的ServicePack安装适当的ServicePack后的安全修补程序备份二、服务器端安全MicrosoftWeb服务器安全安全的MicrosoftExchange服务器配置

服务器管理备份与恢复灾难恢复计划

Windows2000基本配置—IIS5在安装前阻止所有到服务器的通信如果可能,在独立的域内或成员服务器上安装IISserver在与系统不同的分区上创建一个新的Inetpub根目录使用与Inetpub不同的名字将每个支持的服务(WWW,FTP,etc.)的内容存放在各自的分区Windows2000基本配置—IIS5(cont’d)禁止NetBIOSoverTCP/IP去掉IP路由除了TCP/IP，删除所有其他的协议堆栈，除非必须保留如果不用，停止TaskScheduler服务如果不用

，停止FTP服务如果不用，停止Telnet服务如果使用Telnet,创建一个TelnetClients组限制使用的用户使用内制的Windows2000端口过滤器拒绝所有TCP通信除了80端口Windows2000基本配置—IIS5(cont’d)禁止IUSR_ComputerName

和IWAM_ComputerName

访问下列文件Scrrun.dllXcopy.exeCmd.exeRegedit.exeRegedt32.exeAT.exeCscript.exeRegsvr32.exeDebug.exeFtp.exeTftp.exeRegsvr32.exeDebug.exeNbtstat.exeNet.exeNetsh.exeTskill.exePoledit.exeRexec.exeEdlin.exeRunas.exeRunonce.exeIISSync.exeIISReset.exeWscript.exeTelnet.exeRcp.exeIUSR_Computername帐户IIS缺省的匿名访问模仿帐号IUSR_Computername

帐号基本权限选择用户不能更改密码选择密码永远不过期用户权限当使用“允许IIS控制密码”登录类型不同如果使用,网络登录(type3)Thisisasignificantsecuritybenefitbecauseuserscannotgainaccesstoremotenetworkresources如果禁用,本地登录(type2)如果不需要匿名访问,禁止IUSR_Computername

帐号IWAM_Computername

帐号运行中或高的独立web应用的DLLHost.exe缺省帐号IWAM_Computernameaccount基本权利选择用户不能更改密码选择密码永远不过期匿名访问仍然用IUSR_Computername

帐号安全模板安全模板Web站点安全的基准线模板Hisecweb.inf将模板拷贝到%windir%\security\templates目录打开SecurityTemplatestool,查看配置打开安全配置和分析工具,加载这个模板在安全配置和分析工具点右键,在菜单上选择现在分析计算机等到执行完成复查结果,根据需要更新模板满意后,在安全配置和分析工具点右键,在菜单上选择现在配置计算机IPSec策略InternetInformationServices5安全注意事项

在虚目录上设置适当的ACLs设置适当的IISLogFileACLs启用日志设置IP地址/DNS地址限制验证可执行的内容的可信赖性

在IISServer上更新根CA证书禁止或删除所有例子应用禁止或删除不需要的COM部件删除IISADMPWDVirtualDirectory删除不使用的脚本映射

检查在ASP代码中<FORM>和Querystring输入值IIS的常用工具Security“WhatIf”Tool/HfnetchkSecurityConfigurationToolLockdownToolURLScan保护Exchangeserver

来自外部的安全威胁针对病毒的保护保护邮箱和邮箱的内容利用桥头堡服务器及路由组来提高整个邮件系统的安全性保护端口针对病毒的保护防火墙服务器客户端

virus.vbs利用桥头堡服务器及路由组来提高整个邮件系统的安全性路由组邮箱服务器邮箱服务器防火墙InternetSMTP连接器桥头堡服务器保证ExchangeServer安全ExchangeServerProtocolSourceDestinationPortAnyInternalNetworkMailServerAnyProtocolSourceDestinationPortSMTPAnyMailServerTCP25POP3AnyMailServerTCP110IMAPAnyMailServerTCP143InternetInformationStore方案存储事件在子存储内当一个条目打开，保存，移动或删除时会触发事件类型同步–当事件发生时异步–在事件发生之后病毒扫描APILowrisktodatacorruption高性能高可用支持以前版本的Exchange传输方案整理公开中继FixopenrelaysSMTPRelayParameters邮件过滤-FilterMail拒绝连接-Disallowconnections阻止内部垃圾邮件-Stopinternalspam保护Exchangeserver

针对内部安全威胁的防护加强内部安全利用微软证书服务加强内部安全配置分发列表(DL)的权限配置管理组实行邮件存档配置顶层文件夹(Top-Level)权限利用微软证书服务密钥管理服务器企业证书服务器客户端邮箱服务器激活请求数字ID已签发的证书邮件系统的安全服务器管理-MicrosoftOperationsManager2000DCAM

ServersDatabaseDCAM

ServerFile/SQL

Serverexchange

ServerIIS

ServerDC

ServerIIS

ServerFile

ServerDC

ServerDC

Server1,200ITG-managedcorporateinfrastructureserversrunningMOMagentsDCAM

ServersDatabase硬件&操作系统警报配置组安全事件配置组ConsoleConsole安全解决方案–黑客攻击黑客攻击ChallengeSolution?ü!Results/Benefits自动检测来自Internet的攻击行为阻断各种攻击的途径，保护内部网络入侵事件发生后可以快速响应案例分析–对Web服务器的攻击和防御确定目标

黑客们会利用Whois服务，或SamSpade这类工具来定位目标的IP地址收集信息

目标机的关键信息包括：操作系统类型，版本,提供了那些服务…，有多种端口扫描器可以使用，如Nmap,portscanner等开始攻击

我们已经收集到了足够的信息，“足够”意味着我们已发现了对方的安全缺陷，攻击的对象和目的有很多种，破坏，窃取信息，提升权限等等消除“痕迹”总结-如何应对黑客攻击？攻击手段具体方法攻击的工具主机搜索Opensourcesearch;DNSzonetransferWhois,Pingsweep端口扫描TCP/UDP端口扫描；OSdetectionNmap,portscanner,telnet漏洞探测和扫描Windows/Unix/LinuxExploitsISS,NAI,ICS账号列举列举用户;列举文件共享Nullsessions,Dumpacl,rpcinfo,NAT口令窃听PasswordeavesdroppingTcpdump,sniffer,L0phtcrackreadsmb口令猜测和暴力破解Bruteforcecrack;passwordfilegrab;bufferoverflowLegion,letmein,L0phtcark,流光,johnripper放置木马和后台程序创建账号；infectstartupfile;plantremotecontrolserviceBO,Sub7,Netbus,冰河清除系统和应用程序日志Eventlog;Webserverlog;firewalllogZap,eventlogGUIDOS攻击SYNflood;ICMP;OOP;DDossynk4,pingofdeath,land,teardrop,smurf部署安全管理方案之后（部分防范）

配置防火墙和入侵检测功能

配置防火墙和入侵检测功能

配置防火墙（通过实施IPSec和划分VLAN解决）

实施账号安全管理策略（部分防范，需IDS和反病毒系统配合）

集中的服务器监控

配置防火墙和入侵检测功能和服务器安全配置安全解决方案–病毒防范病毒肆虐Challenge?Solution在服务器和网络中使用邮件过滤功能集中监控服务器的性能自动更新客户端病毒代码库，和安装Outlook安全插件检查和安装最新的安全软件更新ü!Results/Benefits自动过滤带病毒的邮件控制病毒在公司内部的传播通过快速客户端安全管理，有效的减少病毒在内部网中传播范围案例分析–Nimda病毒传播方式解决之道IE浏览器:利用IE的一个安全缺陷(微软在2001年3月份已发布软件更新)及时快速的部署软件更新(Hot-fix)IIS服务器:和红色代码病毒相同,或直接利用它留下的木马程序

(微软在红色代码爆发后已在其网站上公布了所有的修复程序和解决方案)利用ISA阻止所有的TFTP(端口：69)通信流量。这可以阻止干净的IIS系统下载感染尼姆达蠕虫病毒的文件。电子邮件附件(已被使用过无数次的攻击方式)使用ISA的邮件过滤功能丢弃所有带有README.EXE附件的电子邮件，或丢弃MIME类型的音频/x-wav的邮件附件文件共享:针对所有未做安全限制的共享利用ISA阻止所有的NetBios通信流量通过ISA(端口：137，138，139)主动地沿网络传播实时监控，分段隔离总结-如何应对病毒？红色代码Nimda病毒“将死者”病毒邮件附件Readme.exeGone.SCR攻击没有安装安全更新的IEMIME安全缺陷MS01-020通过未加口令的共享连接搜索共享路径，利用TFTP传输攻击没有安装安全更新的IIS

.ida安全缺陷MS01-033利用CodeRed的木马放置木马程序Root.exe,CMD.exe,Explorer.exeAdmin.dll,Httpodbc.dll,攻击防病毒程序破坏几种主流的防病毒软件部署安全管理方案之后

邮件过滤功能

自动在客户端分发安全修复程序

集中监控客户端的配置和行为

自动在服务器分发安全修复程序

集中监控服务器端的配置和搜索特征文件

集中监控客户端的配置和行为灾难恢复计划计划，排练，修改计划，排练，修改计划，排练，修改计划，排练，修改….永不实战三、客户机端安全

客户端安全管理设置帐户策略使用帐户策略防止未授权的用户访问网络必须在域级别上设置设置密码要求域控制器不适用域控制器锁定用户帐号设置失败登录次数确保密码难猜阻止跟踪程序配置密码策略在域上设置密码策略设置如下：GroupPolicyActionViewPasswords[LONDON.NWTraders.msftComputerConfigurationSoftwareSettingsWindowsSettingsSecuritySettingsAccountPoliciesAccountLockoutPoliKerberosPolicyLocalPoliciesAllowstorageofpasswordsunderreversibl…Enforcepassworduniquenessbyremem…MaximumPasswordAgeMinimumPasswordAgeMinimumPasswordLengthPasswordsmustmeetcomplexityrequire…UsermustlogontochangepasswordNotConfigured24Passwords30Days30Days8CharactersEnabledEnabledAttributeStoredTemplateSettinPasswordPolicyThenumberofpreviouspasswordsWindows2000records分析安全日志安全日志和事件查看器一般的安全事件不正确登录企图和帐号锁定改变文件所有权清除安全日志系统关机桌面防毒Windowsand浏览器下载最新的补丁定制浏览器的安全区域选项Outlook安全Outlook98/2000SP1Upgradeavailablenowfromhttp://Outlook2002Builtintobaseproduct安装最新防病毒工具控制用户桌面,用户界面,和网络访问使用组策略设置实施组策略到站点,域,或组织单元用户环境的设置自动作用到新的用户的计算机限制桌面操作管理用户环境管理模板设置脚本设置重定向用户文件夹安全设置HKEY_LOCAL_MACHINEHKEY_CURRENT_USERRegistryMyDocuments软件分发适用于个人用户和规模较小的机构Windows,Office最新的补丁智能镜像建议所有企业使用组策略实施用户/系统配置使用组策略分发软件有一定限制–主要用于中、小规模的企业中、大型企业的完整的软件管理方案具有针对目标和分发的高级特性支持已有的系统(NT4,Win9x)客户端架构在单一的微软分发基础之上.SharedArchitecture面向中小、企业个基本解决方案针对中、大型企业的高级解决方案Internet微软安全平台InternetTrafficControlEnterpriseClassFirewallApplicationlevelfiltering保证数据安全保证桌面系统安全保证通信安全网络资源管理安全跑正系统安全保证信息安全MCS–安全评估微软安全资源和工具微软安全快速实施计划GoldCertifiedSecurityPartners

四、网络安全管理流程数据服务通讯过程预防监测响映技术规划，策略和执行过程人的因素需求：及时部署和安装安全软件更新程序发生安全问题时能实现内部的安全隔离系统能及时的反映安全策略的变化系统应具备容错和自动恢复的能力需求：安全的网络设计能最大限度减少来自Internet的攻击正确的服务器配置事前的安全软件更新安装安全信息的及时获得需求：

监测服务器的运行状况监测网络的使用情况监测客户端的行为安全解决方案的内容培训客户掌握相关的技术和管理知识知识传授基于客户的安全目标，帮助用户制订安全策略

制订安全管理策略帮助用户安装和部署系统

系统部署客户功能实现，编写各种功能扩展和管理脚本二次开发一个基于安全隔离和集中管理概念的安全系统设计解决方案微软的安全产品和安全工具产品和工具安全解决方案的实施步骤阶段1

用户需求分析阶段2

制定实施计划阶段3

系统部署和测试阶段4

演示和验收阶段5

用户培训EnterpriseSecurityManagementPilotProject应用场景安全风险解决方案移动用户

EncryptedFileSystem(EFS)PPTP,IPSEC,L2TPLost/StolenLaptopDial-upAttacks电子商务FalseIdentity/ImpostorTheftdata/moneyTransactionmodification

PublicKeyInfrastructure(PKI)IntegratedCASSL/TLS家庭办公

PPTP,IPSEC,L2TPNTLMv2,Kerberos,PKISSL/TLS,S/MIMEOn-wireInternetAttacksDial-upAttacksFalseIdentity/ImpostorLAN/WANFalseIdentity/ImpostorPasswordSharing/GuessingAdds/Moves/Change