1 / 56

作業系統平台的安全控管 I – Windows Server 2003

作業系統平台的安全控管 I – Windows Server 2003. 邱顯智 精誠公司 恆逸資訊 系統工程部 專任講師. 本場次假設您. 具備 Windows Server 2003 管理經驗 熟悉 Windows 管理工具的操作 瞭解 Active Directory 及群組原則運作基礎. 議題大綱. 伺服器安全強化作業簡介 善用安全性範本提昇伺服器的安全性 Windows Server 2003 SP 1 功能展示 各種角色的伺服器安全強化建議 Windows Server 2003 災難復原機制. 伺服器安全強化作業簡介.

Angelica
Download Presentation

作業系統平台的安全控管 I – Windows Server 2003

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 作業系統平台的安全控管 I– Windows Server 2003 邱顯智 精誠公司 恆逸資訊 系統工程部 專任講師

  2. 本場次假設您 • 具備 Windows Server 2003 管理經驗 • 熟悉 Windows 管理工具的操作 • 瞭解Active Directory及群組原則運作基礎

  3. 議題大綱 • 伺服器安全強化作業簡介 • 善用安全性範本提昇伺服器的安全性 • Windows Server 2003 SP 1 功能展示 • 各種角色的伺服器安全強化建議 • Windows Server 2003 災難復原機制

  4. 伺服器安全強化作業簡介 • 企業普遍存在的問題 仍然使用老舊的系統 伺服器扮演多重角色服務 佈署安全解決方案的資源有限 系統曝露在不安全的環境 來自內部或 意外的威脅 缺乏安全專業人員

  5. 伺服器安全強化作業簡介 • 資安人員的難題 • 資訊安全工作多如牛毛 • 系統怎麼設定才算安全 • 建置資安系統經費不足 • 對使用者是否造成影響

  6. 伺服器安全強化作業簡介 • 難以取捨的三角習題 安全性 安全性取捨 成本 可用性

  7. 伺服器安全強化作業簡介 • 進行安全等級分類 公開 內部 機密 極機密

  8. 伺服器安全強化作業簡介 • 何謂「縱深防禦」 • 提高偵測到攻擊者的機率、降低攻擊成功的機會 安全原則、程序與認知 實體安全 資料 存取授權、檔案加密 應用程式 應用程式安全強化、防毒 作業系統安全強化、驗證、HIDS 主機 IPSec、網段區隔、NIDS 內部網路 防火牆、網路存取(撥接或VPN)的隔離控制 外圍網路 警衛、人員與機房進出管制 安全文件、員工教育訓練

  9. 伺服器安全強化作業簡介 • 伺服器安全性強化基本要務 • 安裝最新的 Service Pack 及安全性更新程式 • 使用群組原則設定強化伺服器的安全性 • 利用 MBSA 確定伺服器的安全設定 • 限制不必要的存取行為(實體及網路)

  10. 伺服器安全強化作業簡介

  11. 伺服器安全強化作業簡介 • 伺服器強化的基本建議 • 將內建的 Administrator 及 Guest 帳號重新命名 • 使用受限群組原則限制 Administrators 群組成員 • 限制可以在伺服上進行本機登入的使用者 • 啟用複雜性密碼原則 • 不要用同一組帳號密碼做為服務用的帳戶 • 使用嚴謹的 NTFS 權限保護檔案及資料夾

  12. 議題大綱 • 伺服器安全強化作業簡介 • 善用安全性範本提昇伺服器的安全性 • Windows Server 2003 SP 1 功能展示 • 各種角色的伺服器安全強化建議 • Windows Server 2003 災難復原機制

  13. 善用安全性範本提昇伺服器安全性 • 何謂安全性範本 • 集合系統安全性設定的純文字檔案 • 可以匯入到群組原則中的安全性設定 • 簡化安全性設定的佈署流程

  14. 善用安全性範本提昇伺服器安全性 • 內建的安全性範本 • 基本安全性環境 • Setup Security.inf, DC Security.inf • 中度安全性環境 • SecureDC.inf, SecureWS.inf • 高度安全性環境 • HisecDC.inf, HisecWS.inf • 其它的安全性範本 • CompatWS.inf, RootSec.inf

  15. 善用安全性範本提昇伺服器安全性 • 您可以免費取得的安全性範本 • 下載 Windows Server 2003 資訊安全手冊 • 分三大類安全環境 • Legacy Client • 含有Windows 98及Windows NT 4.0 Workstation用戶端或Windows NT 4.0 Server成員伺服器 • Enterprise Client • 使用Windows 2000以上版本的伺服器及用戶端 • High Security • 針對像美國國防部這類需要極為嚴苛的安全性環境而設計

  16. 善用安全性範本提昇伺服器安全性 • 伺服器角色分類 • Domain Controllers • Infrastructure Servers • Internet Information Service Servers • Certificate Service Servers • File Servers • Print Servers • Internet Authentication Service Servers • Bastion Hosts

  17. 善用安全性範本提昇伺服器安全性 • Windows Server 2003 資訊安全手冊中附的安全性範本

  18. 善用安全性範本提昇伺服器安全性 • 安全性範本編輯及測試工具 • 「安全性範本」嵌入式管理單元 • 提供與群組原則一致的設定介面 • 可將您儲存的設定內容自動轉為 INF 檔案格式 • 「安全性設定及分析」嵌入式管理單元 • 比較範本與電腦現正執行的安全設定的差異 • 修改及匯出範本內的安全設定 • 套用範本的安全設定

  19. 善用安全性範本提昇伺服器安全性 • 操作示範-「安全性範本」工具 • 開啟「安全性範本」嵌入式管理單元 • 檢視內建的安全性範本 • 新增範本搜尋路徑 • 建立自訂的安全性範本 DEMO

  20. 善用安全性範本提昇伺服器安全性 • 操作示範-「安全性設定及分析」工具 • 「安全性設定及分析」嵌入式管理單元使用邏輯 • 開啟資料庫 • 匯入範本 • 分析電腦 • 修改設定(非必要動作) • 匯出設定(非必要動作) • 設定電腦 DEMO

  21. 善用安全性範本提昇伺服器安全性 • 利用 Active Directory 佈署安全性設定

  22. 善用安全性範本提昇伺服器安全性 • 使用安全性範本的建議事項 • 不要盲目地套用安全性範本 • 儘量保留安全性設定回復的能力 • 正式套用安全性範本之前,您應該再三測試,確定安全性範本不會影響到正常功能 • 請勿讓他人有機會取得您的安全性範本

  23. 議題大綱 • 伺服器安全強化作業簡介 • 善用安全性範本提昇伺服器的安全性 • Windows Server 2003 SP 1 功能展示 • 各種角色的伺服器安全強化建議 • Windows Server 2003 災難復原機制

  24. Windows Server 2003 SP 1 功能展示 • 安裝 WS2003 SP1 的十大理由 • 縮小您伺服器的受攻擊面 • 幫助保護新安裝的伺服器 • 從開機到關機,隨時受防火牆保護 • 利用「不可執行」硬體的支援及軟體,加強您的防衛能力 • 以更堅固的預設值並削減特殊權限來幫助保護您的系統服務 • 將過期的虛擬私人網路 (VPN) 資產加以隔離

  25. Windows Server 2003 SP 1 功能展示 • 安裝 WS2003 SP1 的十大理由(續) • 監視和稽核您的 IIS 組態設定值 • Windows 防火牆原則管理 • 幫助保全 Internet Explorer • 避免可能不安全的電子郵件

  26. Windows Server 2003 SP 1 功能展示 • SP1 主要的新功能與加強功能 • 新增功能 • Windows 防火牆 • 安裝後安全更新(PSSU) • 安全性設定精靈(SCW) • 加強功能 • 更堅固的預設值及削減特殊權限(RPC, DCOM Lock down) • 支援「不可執行」硬體 • VPN 隔離功能 • IIS 6 組態稽核

  27. Windows Server 2003 SP 1 功能展示 • Windows 防火牆簡介 • 軟體的狀態式主機防火牆 • 可保護 IPv4 與 IPv6 的資料流量 • 預設值為「關閉」(PSSU執行期間自動啟用) • 可在開機過程提供短暫的保護 • 可以利用命令提示字元及群組原則進行設定 • 對應用程式所造成的影響 • 預設所有輸入的網路流量將不允許 • 只有在應用程式執行時,服務連接埠才會進行接聽動作

  28. Windows Server 2003 SP 1 功能展示 • Windows 防火牆功能和增強 • 開機時的安全性 • 全域設定 • 稽核記錄 • 例外資料流量的範圍限制 • 命令列支援(Netsh 指令) • 「無例外開啟」操作模式 • 以程式為基礎的例外 • 多重設定檔

  29. Windows Server 2003 SP 1 功能展示 • Windows 防火牆功能和增強(續) • 還原預設值 • 支援自動安裝 • IPv6 支援(與 IPv4 共享相同的例外資料流量設定) • 更新的使用者介面 • 新的群組原則支援

  30. Windows Server 2003 SP 1 功能展示 • 操作示範-Windows 防火牆 • 檢視 Windows 防火牆的啟動狀況 • 設定 Windows 防火牆相關群組原則 電腦設定/系統管理範本/網路/網路連線/ Windows 防火牆 • 確認群組原則套用結果 DEMO

  31. Windows Server 2003 SP 1 功能展示 • 安裝後安全性更新(PSSU) • 用以保護開機後至執行安全行更新這一段其間,Windows 作業系統的安全性 • 除非 Windows 防火牆經由無人安裝或群組原則明確啟用,否則將會於管理者第一次登入時啟用 • 所有輸入的網路流量都將被阻擋,直到管理者點選 PSSU 的「完成」按鈕 • 提供了連結至 Windows Update 的選項

  32. Windows Server 2003 SP 1 功能展示 • 安裝後安全性更新(續) • 提供了設定「自動更新」的選項 • 倘若沒有完成設定將會在下一次登入時再啟動 • 啟用時機 • 利用包含 Windows Server 2003 SP1 的安裝光碟片進行全新作業系統安裝完成後 • 利用包含 Windows Server 2003 SP1 的安裝光碟片昇級 Windows NT 4.0 完畢後

  33. Windows Server 2003 SP 1 功能展示 • 操作示範-PSSU • 檢視 PSSU 畫面 • 確認 Windows 防火牆已啟用 • 設定自動更新 • 完成 PSSU 設定 • 確認 Windows 防火牆已停用 DEMO

  34. Windows Server 2003 SP 1 功能展示 • 安全性設定精靈(SCW) • 減少受到攻擊的面積 • 作業系統的預設值可能是不安全的 • 管理者無法藉由「安全手冊」來取得或維持作業系統的安全性 • 藉由「可延伸 XML 知識庫」來定義伺服器的角色 • 在知識庫中定義了有超過 50 種的伺服器角色,包括了 ExchangeServer 與 SQL Server 等…

  35. Windows Server 2003 SP 1 功能展示 • 安全性設定精靈(續) • SCW 安全性涵蓋範圍 • 停用不必要的服務 • 停用不必要的 IIS 網站延伸功能 • 封鎖不使用的連接埠,包括對多網卡主機的支援 • 保護爲使用 IPSec 而開啟的連接埠 • 降低對 LDAP、LAN Manager和SMB 等通訊協定的揭露 • 匯入各種 Windows 安全性範本,以涵蓋精靈所無法設定的設定值

  36. Windows Server 2003 SP 1 功能展示 • 安全性設定精靈(續) • SCW 操作功能 • 建立、編輯、套用、回復、分析 • 遠端存取 • 命令列支援 • Active Directory 整合 • XSL 檢視

  37. Windows Server 2003 SP 1 功能展示 • 操作示範-SCW • 安裝 SCW • 啟動 SCW 開始/系統管理工具/安全性設定精靈 • 使用 SCW 強化 Windows Server 2003的安全設定 DEMO

  38. 議題大綱 • 伺服器安全強化作業簡介 • 善用安全性範本提昇伺服器的安全性 • Windows Server 2003 SP 1 功能展示 • 各種角色的伺服器安全強化建議 • Windows Server 2003 災難復原機制

  39. 各種角色的伺服器安全強化建議 • 網域控制站安全強化建議 • 做好網域控制站的實體保護措施 • 使用群組原則為所有的網域控制站套用網域控制站安全性範本 • 停用不必要的服務 • 定義必要的稽核及安全性記錄檔 • 在每一個網域中至少安裝兩台以上網域控制站 • 定期備份 AD 資料庫

  40. 各種角色的伺服器安全強化建議 • 成員伺服器安全強化建議 Infrastructure Servers File and Print Servers 規劃 Active Directory OU 結構 套用 成員伺服器 基準原則 IIS Servers 進行以角為基礎的安全設定調校 RADIUS (IAS) Servers Certificate Services Servers Bastion Hosts

  41. 各種角色的伺服器安全強化建議 • 基礎架構伺服器強化建議 • 套用 Infrastructure Server security template以強化安全設定 • 建議您應該還要注意以下事項 • 啟用 DHCP 稽核記錄 • 設計 DHCP 的容錯架構 • 在 DNS 伺服器上儘量採用安全性動態更新 • 避免讓外部使用者查詢 內部 DNS 的記錄 • 限制不必要的區域轉送行為 • 使用 IPSec 限制不必要的連接埠

  42. 各種角色的伺服器安全強化建議 • 檔案伺服器強化建議 • 套用 File Server security template以強化安全設定 • 建議您應該還要注意以下事項 • 在沒有啟用分散式檔案系統的檔案伺服器上停用 DFS 及 FRS 服務 • 設定嚴謹的共用權限及 NTFS 權限 • 對重要的檔案及資料夾啟用存取稽核 • 使用 IPSec 限制不必要的連接埠

  43. 各種角色的伺服器安全強化建議 • 列印伺服器強化建議 • 套用 Print Server security template 以強化安全設定 • 建議您應該還要注意以下事項 • 確定 Print Spooler 服務都已經啟用 • 將 Print Spooler 資料夾的位置移到不含作業系統的磁碟上 • 確認列印伺服器沒有啟用 SMB 簽署 • 使用 IPSec 限制不必要的連接埠

  44. 各種角色的伺服器安全強化建議 • IIS 伺服器強化建議 • 套用 IIS security template 以強化安全設定 • 建議您應該還要注意以下事項 • 只啟用必要的 IIS 元件 • 使用專屬的磁區存放 IIS 檔案及網頁內容,並設定嚴謹的 NTFS 權限 • 不要在網頁伺服器上同時啟用「寫入」及「指令碼及執行檔」兩種權限 • 使用 IPSec 限制不必要的連接埠

  45. 議題大綱 • 伺服器安全強化作業簡介 • 善用安全性範本提昇伺服器的安全性 • Windows Server 2003 SP 1 功能展示 • 各種角色的伺服器安全強化建議 • Windows Server 2003 災難復原機制

  46. Windows Server 2003 災難復原機制 • 何謂「災難復原」 • 「災難」泛指可能造成資訊流失的各種意外 • 「災難復原」即是在災難發生後在短時間內將資訊恢復正常可用的處理步驟 • 災難復原處理步驟包含以下幾點 • 制訂災難復原計劃 • 更換備品 • 回存資料 • 測試災難復原的結果

  47. Windows Server 2003 災難復原機制 • 災難復原建議原則 • 制訂詳細的災難復原計劃並進行定期備份 • 定期執行災難復原演練 • 最好建立兩組備份 • 對伺服器進行系統狀態的備份 • 把作業系統安裝光碟片放在垂手可得的地方

  48. Windows Server 2003 災難復原機制 • Windows Server 2003 災難復原新功能 • 系統自動修復 • Automatic System Recovery (ASR) • 共用資料夾的陰影複製 • Volume Shadow Copy

  49. Windows Server 2003 災難復原機制 • ASR 的特性 • 針對安裝作業系統的硬碟進行備份 • 主要針對「作業系統」備份(只備份作業系統磁區內的資料) • 備份完成後會產生以下備份產物 • ASR 磁片-儲存還原參數(例如:電腦名稱、SID、原來磁區的劃分方式及ASR備份檔路徑…等) • ASR備份檔-儲存真正作業系統的備份內容 • 還原時會依原有硬碟的磁區劃分方式重新劃分目的地硬碟 • 適用於作業系統完全損毀的救援用途

  50. Windows Server 2003 災難復原機制 • 操作示範- ASR 備份及還原 • 對 Windows Server 2003 伺服器進行 ASR 備份 • 利用 ASR 還原恢復伺服器作業系統 DEMO

More Related