1 / 96

作業系統平台的安全控管 II : Microsoft Windows XP

作業系統平台的安全控管 II : Microsoft Windows XP. 主講人: 精誠公司恆逸教育訓練中心 資深講師:劉聖路. 本次研討會大綱. 規劃 Windows XP 用戶端之安全性 Windows XP SP2 的功能與運用 Microsoft Anti-Spyware 的功能與運用 Malware Remove Tool 的功能與運用. 規劃 WinXP 用戶端之安全性. 安全架構 核心用戶端安全 預防惡性程式的入侵 用戶端防火牆 網域用戶端安全 利用 Group Policy 加強用戶端安全 安全的應用程式

jasmine-kaufman
Download Presentation

作業系統平台的安全控管 II : Microsoft Windows XP

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 作業系統平台的安全控管 II:Microsoft Windows XP 主講人: 精誠公司恆逸教育訓練中心 資深講師:劉聖路

  2. 本次研討會大綱 • 規劃Windows XP用戶端之安全性 • Windows XP SP2 的功能與運用 • Microsoft Anti-Spyware 的功能與運用 • Malware Remove Tool 的功能與運用

  3. 規劃 WinXP 用戶端之安全性 • 安全架構 • 核心用戶端安全 • 預防惡性程式的入侵 • 用戶端防火牆 • 網域用戶端安全 • 利用 Group Policy 加強用戶端安全 • 安全的應用程式 • 軟體限制原則 • 針對獨立的用戶端啟用本機安全性原則

  4. 安全的重要 保護用戶端電腦被攻擊可以幫助組織: • 保護資訊 • 保護通訊通道 • 降低停工時間 • 確保營收狀況 • 防止損害商譽

  5. 全面性的防護架構 • 使用階層架構分析: • 增加攻擊者被偵測的風險 • 降低攻擊者意外成功的攻擊 政策,程序與體認 實體安全 資料 ACLs、加密、EFS 應用程式 Application hardening、防毒 OS hardening、驗證、 安全性更新管理 主機 內部網路 網段隔離、IPSec、NIDS 網路周邊 防火牆、網路存取隔離控制 守衛、上鎖與追蹤裝置 安全文件與使用者教育

  6. 核心用戶端安全 • 用戶端電腦安全元件 • 管理軟體安全更新 • Windows XP SP2 安全技術 • 行動電腦安全 • 資料保護 • 實行安全性密碼

  7. 用戶端電腦安全元件 軟體更新 防毒 安全性密碼 防火牆 用戶端管理工具 行動電腦安全 應用程式安全 資料防護

  8. 管理軟體安全更新

  9. Windows XP SP2 安全技術 • 網路保護 • 記憶體保護 • 安全性電子郵件管理 • 更多安全瀏覽 • 改進電腦維護

  10. 行動電腦安全 • 當行動電腦連線至企業網路時將會延伸網路周邊裝置 • 對這些裝置延伸安全性: • BIOS 密碼保護 • 網路存取隔離控制 • 更安全的無線存取驗證機制 • 備份工具

  11. 資料保護 保護資料安全 • 使用 EFS 限制資料的存取 • 電子郵件訊息簽署與軟體授權確認 • 使用資訊授權管理來保護文件不被未授權的使用

  12. 實行安全性密碼 教育使用者關於安全性密碼的原則 使用包含空白、數字與特殊符號作為密碼的一部份 針對不同的資源使用不同的密碼 當離開電腦時使用鎖定電腦或者 使用密碼保護的螢幕保護程式 使用多方驗證的機制加強安全

  13. 預防惡性程式的入侵 • 惡性程式的問題 • 瞭解威脅與爆發的時間關係 • 防毒軟體的部屬 • 防毒軟體的更新 • 使用附加工具作用戶端防護 • 惡性程式防護技巧

  14. 惡性程式的問題 初步估計 2003 年病毒所造成的損失在全球就超過 125 億美金的損失 • 直接的成本 ─ 資訊人員與顧問的成本 • 間接的成本: • 降低生產力 • 降低企業營收 • 遺失資料 • 機密資料的安全威脅 • 損害企業信譽

  15. 瞭解威脅與爆發的時間關係 爆發 產品 出貨 發現 威脅 威脅 顯露 可用性 更新 用戶端 更新部屬 威脅更新至爆發的時間間隔不斷的減少

  16. 防毒軟體的部屬

  17. 防毒軟體的更新 • 桌上型電腦 • 透過本地端的伺服器作防毒軟體的更新 • 使用推進的方式將防毒軟體所用的定義檔傳送給用戶端 • 不需要依賴使用者自行下載更新 • 膝上型電腦 • 當離開辦公室時,利用 Internet 更新

  18. 使用附加工具作用戶端防護 • Microsoft Windows AntiSpyware • 偵測與移除 spyware • 提供即時掃瞄與排程掃瞄機制 • 使用代理服務阻礙 spyware 動作 • Windows Malicious Software Removal Tool • 掃瞄與移除多數常見的惡性程式(Malware) • 每個月的第二個星期二釋出新的版本

  19. 惡性程式防護技巧 實施深度防禦機制 降低攻擊層面 提供安全性更新 啟用主機端防火牆 安裝防毒軟體 利用設定掃描器測試 給予最少的特權原則 限制未授權的應用程式

  20. 用戶端防火牆 • 誰需要用戶端防火牆 • Windows 防火牆 • 協力廠商防火牆軟體 • 如何設定 Windows 防火牆 • 用戶端防火牆的最佳實施

  21. 誰需要用戶端防火牆 • 網路用戶端 • 使用數據連線的桌上型電腦 • 行動電腦

  22. 啟用時沒有例外 自訂例外清單 多重設定檔 支援 RPC 支援 Unattended setup Windows 防火牆 • 預設是開啟的 • 提供開機階段安全 • 全域設定與回復 • 本地子網路亦受限制 • 支援命令提示列

  23. 協力廠商防火牆軟體 • 考慮使用協力廠商防火牆的理由: • 不但能夠控制進入的流量,而且可以提供出去的流量掃瞄 • 能夠具體指定能夠存取 Internet的應用程式 • 問題點: • 安全規則制訂會趨向複雜 • 延展性可能是個問題

  24. 如何設定 Windows 防火牆

  25. 用戶端防火牆的最佳實施 需要使用者啟用 Windows 防火牆或者當有不自然的存取狀況發生時需要啟用其他防火牆機制 強制遠端用戶或者是VPN連線的用戶端啟用用戶端防火牆 規劃用戶端防火牆的部屬 使用 Group Policy 來管理 Windows 防火牆設定

  26. 網域用戶端安全 • Active Directory 元件 • 建立 OU 的階層式架構 • 如何新增 OU 的階層式結構 • 使用 AD 建置用戶端安全

  27. Active Directory 元件 • 群組原則 • 建置與管理網路安全的基礎架構 • 樹係(Forest) • Active Directory中的安全性邊界 • 網域(Domain) • 蒐集與管理電腦、使用者與群組物件的管理範圍 • 組織單位(OU,Organizational Unit) • AD 中的容器物件,以組織其他物件

  28. Domain Policy Root Domain Department OU Domain Controller OU Secured Windows XP Users OU Windows XP OU Desktop Policy Desktop OU Laptop Policy Laptop OU 建立 OU 的階層式架構 • Group Policy 可以簡化用戶端安全的設定 • 分隔階層模組 • 獨立出使用者 OU與電腦 OU • 針對每一個 OU 給予適當的原則設定

  29. 如何新增 OU 的階層式結構 針對每一個部門新增 OU 1 針對每一種作業系統版本的用戶端依部門設定 OU 2 針對每一種用戶型態的電腦依部門設定 OU 3 將所有用戶端的電腦帳號搬移至適當的 OU 中 4 新增並設定 GPO 指派給適當的 OU 5

  30. 設計 OU 結構適當管理用戶端安全 設計 OU 結構獨立出使用者與電腦的安全帳號 新增 GPO 給每個 OU 以指派適當的安全性原則給用戶端 使用 AD 建置用戶端安全

  31. 利用 Group Policy 加強用戶端安全 • 使用安全性範本 • 使用系統管理範本 • 什麼是安全性設定 • 建議設定的安全性選項 • 以 Group Policy 對用戶端安全的最佳建置

  32. 使用安全性範本 安全性範本提供預設的安全性設定 • 依用戶所包含的所有範本: • 所有網域中的使用者與電腦 • 桌上型電腦 • 膝上型電腦 • 每一個範本包含企業的用戶端與高安全的環境 • 可以編輯安全性範本的設定並且匯入至 GPO 中

  33. 使用系統管理範本 系統管理範本可以包含: • 電腦設定 • 使用者設定 你可以使用系統管理範本來設定: • 使用者操作環境 • 應用程式安全性設定

  34. 密碼原則 帳戶鎖定原則 稽核原則 事件記錄 檔案系統 IP 安全性原則 登錄設定 受限群組 安全性選項 軟體限制原則 系統服務 使用者權限指派 什麼是安全性設定

  35. 建議設定的安全性選項 • 網路安全性:LAN Manager 驗證層級 • 建議針對企業用戶端設定:只傳送 NTLMv2 回應 • 網路安全性:下次密碼變更時不儲存 LAN Manager 雜湊數值 • 建議設定成『啟用』 • Microsoft 網路用戶端:數位簽章用戶端的通訊 • 建議設定成『停用』 • Microsoft網路用戶端:數位簽章用戶端的通訊(如果伺服器同意) • 建議設定成『啟用』

  36. 以 Group Policy 對用戶端安全的最佳建置 使用依據企業用戶安全需求的範本作為 Group Policy 套用的項目 針對網域等級建置嚴厲的帳號與稽核的 安全性設定 在部屬之前做好範本的測試 使用附加的系統管理範本

  37. 安全的應用程式 • Internet Explorer 系統管理範本 • Internet Explorer 區域安全 • Windows XP SP2 IE 安全性加強 • Microsoft Outlook 安全性 • Microsoft Office 系統管理範本 • Outlook Express 安全性 • 實行安全的應用程式

  38. Internet Explorer 系統管理範本 • 協助加強 Windows XP 的安全性需求 • 防止交換不需要的內容 • 細部設定包含企業用戶端的範本中

  39. - Internet Explorer 區域安全

  40. Windows XP SP2 IE 安全性加強 • MIME安全性的改善 • 較好的安全性管理 • 本機電腦區域 • 功能控制安全區域 • 群組原則設定

  41. Microsoft Outlook 安全性 • 訂製安全性的 Microsoft Outlook: • Outlook Administrator Pack • Outlook administrative template • Outlook 2003 安全性加強: • 警告使用者開啟可能的危險檔案型態 • 在限制網站區域中執行可被執行的內容 • 不會自動載入 HTML 的內容

  42. Microsoft Office 系統管理範本 • Office Resource kit中提供適當的管理範本給 Office 97 以後的版本,以達到更加的安全性 • Office 2003 的系統管理範本放在 Office 2003 的 Resource Kit 與線上下載區中 • 關鍵選項在 Office XP 以後的版本中的 macro security

  43. Outlook Express 安全性 • Windows XP SP2 增強了 Outlook Express 的安全性: • 封鎖 HTML 電子郵件中的影像及其他外部內容 • 在離線讀取電子郵件時,將自動撥號連線的可能性降到最低

  44. 實行安全的應用程式 教育使用者注意從 Internet 下載資料的安全性,此外不隨便打開郵件中的附件 只對工作上有需要使用該軟體的使用者安裝應用程式 建置應用程式的更新原則

  45. 軟體限制原則 • 什麼是軟體限制原則? • 軟體限制原則如何運作? • 四個規則確認軟體 • 實施軟體限制原則

  46. 什麼是軟體限制原則? • 原則管理員可以確認並控制用戶端電腦應當裝設的軟體 • 能夠使用在對抗病毒機制上,並且擔保只被允許的軟體在電腦上執行 • 兩個元件: • 預設的規則決定哪些程式能夠使用預設協定選項: • 沒有限制 • 不允許 • 清單定義例外於預設規則的內容 在電腦上

  47. 軟體限制原則如何運作? 使用群組原則編輯器定義原則內容套用在 site,domain,或OU 上 1 原則內容下載並部屬在用戶端的機器上 2 當軟體執行時,系統會強制啟用原則 3

  48. 四個規則確認軟體 • 雜湊規則 • 比照 MD5 或 SHA1 計算該程式的雜湊值 • 使用者嘗試開啟軟體程式時,此程式的雜湊就會與軟體限制原則現有的雜湊規則比較 • 憑證規則 • 由檔案的簽署憑證來識別檔案 • 使用憑證規則可以讓您限制 Win32 的應用程式與 Active X 內容 • 路徑規則 • 依照軟體的檔案路徑來識別軟體 • 使用路徑規則針對單一資料夾中有多個程式要限制 • 也可以建立以軟體的登錄機碼作為路徑的登錄路徑規則 • 網際網路區域規則 • 區域規則僅適用 Windows Installer 封裝 • 區域規則可以識別來自 『Internet Explorer』所指定區域的軟體

  49. 在設定套用在網域之前先詳細並徹底的完成測試作業在設定套用在網域之前先詳細並徹底的完成測試作業 新增一個可回復性的規劃 使用獨立的 GPO 來管理每一個軟體限制原則 實施軟體限制原則 使用軟體限制原則並結合 NTFS 權限深入管理

  50. 針對獨立的用戶端啟用本機安全性原則 • 本機群組原則設定 • 最佳本機群組原則設定

More Related