1 / 48

Снижение степени уязвимости Windows 98 и Windows NT 4.0

Снижение степени уязвимости Windows 98 и Windows NT 4.0. Содержание. Снижение степени уязвимости в сетях Windows NT Снижение степени уязвимости компьютеров под управлением Windows NT Снижение степени уязвимости для клиентов под управлением Windows 98

kiril
Download Presentation

Снижение степени уязвимости Windows 98 и Windows NT 4.0

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Снижение степени уязвимостиWindows 98и Windows NT 4.0

  2. Содержание • Снижение степени уязвимости в сетях Windows NT • Снижение степени уязвимости компьютеров под управлением Windows NT • Снижение степени уязвимости для клиентов под управлением Windows 98 • Миграция из устаревших операционных систем

  3. Защита операционной системы от атак: • Устаревшие операционные системы не имеют элементов безопасности,разработанных для новых версий Windows Повышение уровня безопасности с сохранением совместимости: • Повышение уровня безопасности может повлечь за собой нарушение работоспособности устаревших приложений, что серьезно отразится на бизнесе и качестве услуг Управляемость настольных систем: • Устаревшие операционные системы менее управляемы и для них сложнее обеспечить требуемый уровень безопасности Вопросы стоимости: • Сложно оценить потери от неприменения адекватных мер по обеспечению безопасности до факта ее нарушения Обеспечение безопасности сетей Windows NT: На что обратить внимание?

  4. Защита доменов Windows NT Для защиты домена Windows NT необходимы: • Проведение глубокого анализа рисков • Улучшение механизма аутентификации • Применение сегментирования сети • Применение защиты сетевого уровня • Проведение регулярного аудита и мониторинга

  5. Улучшение методов аутентификации Один из механизмов влияния на уровень безопас-ности процесса аутентификации – ключ реестра: HKLM\SYSTEM\CurrentControlSet\Control\LSA\LMCompatibilityLevel • 0 (Send LM & NTLM responses) • 1 (Send LM & NTLM–use NTLMv2 session security if negotiated) • 2 (Send NTLM response only) • 3 (Send NTLMv2 response only) • 4 (Send NTLMv2 response only\refuse LM) • 5 (Send NTLMv2 response only\refuse LM & NTLM)

  6. Сегментирование сети Помещение устаревших систем в отдельный сегмент дает следующие преимущества: Изоляция участка сети: • Снижает риск того, что нарушение безопасности устаревших систем окажет влияние на всю сеть Контроль над сетевым трафиком: • Позволяет применить глубокую фильтрацию и блокирование трафика в направлении к устаревшим системам и от них

  7. Защита сетевого интерфейса Безопасность TCP/IP предоставляет фильтрацию на уровне портов TCP and User Datagram Protocol (UDP), а также других протоколов семейства IP

  8. Повышение безопасности работы сетевого протокола С помощью настройки параметров реестра можно обезопасить сетевое соединение,используя: • SYN flooding protection • Source routing • Dead gateway detection • ICMP redirects Для дополнительной информации по настройке параметров реестра следуйте по ссылке:http://support.microsoft.com/?kbid=120642

  9. Безопасность сетей Windows NT: дополнительные шаги Будьте информированнымиобо всех событиях, касающихся вопросов безопасности ü Применяйте персональные межсетевые экраны ü Регулярно используйте средства резервного копирования/восстановления информации ü Никогда не помещайте компьютер под управлением устаревшей операционной системы в сеть периметра ü Проведите миграцию как можно скорее ü

  10. Ограниченная поддержка продукта: • С 1 Января 2005 года, виды поддержки «Pay-per-incident» и «Premier»больше не доступны для организаций, использующих Windows NT Уязвимости, которые не могут быть устранены: • Бюллетень MS03-010 описывает уязвимость для DoS-атак, исправления которой не существует для Windows NT Недостаток средств обеспечения безопасности: • В Windows NT отсутствует множество средств обеспечения безопасности, необходимых для защиты от современных атак Обеспечение безопасности Windows NT: На что обратить внимание?

  11. Защита компьютеров под управлением Windows NT Защита компьютеров под управлением Windows NT состоит из следующих задач: • Установка обновлений • Анализ безопасности текущей конфигурации • Применение системных политик • Снижение количества потенциальных целей для возможных атак • Защита служб работы с Интернет (IIS) • Защита данных

  12. Установка обновлений Компьютеры под управление Windows NTдолжны иметь следующие обновления: • Service Pack 6a (SP6a) for Windows NT 4.0 • The Post-Windows NT 4.0 Service Pack 6a Security Rollup Package (SRP) • Последние обновления по безопасности • Обновленная версия Internet Explorer

  13. Анализ безопасности конфигурации Инструменты, которые могут помочь проанализи-ровать безопасность конфигурации: • Microsoft Baseline Security Analyzer (MBSA) • MBSA mode • HFnetChk mode • Microsoft Systems Management Server version 2.0/2003 • Office Update Inventory Tool

  14. Применение системных политик Используйте System Policy Editor для: • Формирования предупреждения о применяемой политике • Отключения отображения имени предыдущего пользователя в диалоге регистрации в системе • Ограничить доступ к элементам рабочего стола: обои, иконки, цветовые схемы, доступные команды в главном меню • Ограничить доступ к сетевым ресурсам: доступные буквенные идентификаторы дисков и возможность их привязки в Windows Explorer • Ограничить возможность запуска редактора реестра и консоли командной строки Поименуйте файлкак NTConfig.pol и сохраните его в каталоге общего доступа NETLOGON

  15. Снижение количества потенциальных целей для возможных атак Для снижения количествапотенциальных уязвимос-тей серверов под управлением Windows NT: • Используйте Security Configuration Manager • Защитите учетные записи и службы • Отключите поддержкуподсистем OS/2 и POSIX • Отключите уведомления для клиентов Novell

  16. Защита служб работы с Интернет: Internet Information Services 4.0 Меры по защитесервера IIS 4.0 включают в себя: • Анализ текущего состояния операционной системы • Защиту операционной системы • Реализацию требований и рекомендаций Microsoft Internet Information Server 4.0 Security Checklist • Применение IIS Lockdown Wizard для повышения степени защищенности IIS 4.0

  17. Защита данных в Windows NT Используйте следующую команду для преобразования файловой системы FAT в NTFS: CONVERT [driveletter]:/FS:NTFS

  18. Защита компьютеров под управлением Windows NT : Дополнительные шаги Защитить процесс загрузки ü Установить Active Directory Client Extension ü Использоватьутилиту Syskey для шифрования базы SAM ü Не допускать хранение хешированных паролей ü Установить эффективное антивирусное программное обеспечение ü

  19. Защита компьютеров под управлением Windows 98: На что обратить внимание? Система Windows 98 не может быть эффективно защищена!!! • Нет поддержки защищенной файловой системы NTFS • По умолчанию, поддерживает только аутентификацию LAN Manager • Нет поддержки Active Directory – основы Групповых политик • Нет реализации таких компонентов, как IPSec или EFS • Нет базовой поддержки операционной системы

  20. Защита процесса аутентификации пользователя Для улучшения механизма аутентификации пользователя Windows 98 : • Установите Active Directory Client Extension • Настройте NTLM Authentication Level

  21. Применение системных политик Системные политики Windows 98 позволяют: • Запретить пользователям запуск утилит редактиро-вания реестра • Запретить пользователям предоставлять в общее пользование файлы и принтеры, а также организо-выватьудаленный доступ • Установить политику паролей с целью сокрытия символов во время набораи принуждения использовать длинные пароли • Потребовать принятия мер безопасности при входе и уведомить о применении политики безопасности • Защитить приложения, такие как Microsoft Office

  22. Безопасность работы в сети Безопасность работы Windows 98 в сети может быть повышена: • Применением процедуры подписи коммуника-ций по протоколу Server Message Block (SMB) • Установкой межсетевого экрана Internet firewall Для включения SMB signing в Windows 98: Отредактируйте раздел реестра:HKLM\SYSTEM\CurrentControlSet\Services\VxD\VNetsup 1 Измените следующие параметрытипа DWORD:EnableSecuritySignature (0,1) RequireSecuritySignature (0,1) 2

  23. Управление обновлениями для клиентов под управлением Windows 98 Управление рабочими станциями под управлением Windows 98должно включать: • Применение всех критичных обновлений • Обновление Internet Explorer до версии 6.0 SP2 • Снижение количества потенциальныхцелей для возможных атак

  24. ü Запретить общий доступ к файлам и принтерам Снизить строгость политик для администрато-ров сети ü ü Защитить процесс загрузки ü Запретить доступ к сменным носителям в качестве загрузочных устройств ü Установить эффективное антивирусное ПО Не хранить важные данные на рабочей станции под управлением Windows 98 ü ü Ограничить физический доступ Защита клиентов под управлением Windows 98: Дополнительные шаги

  25. ü Миграция ü Upgrade (Установка поверх) ü Терминальный сервер ü ü Консолидация серверов Сегментация сети Технологии обеспечения безопасности

  26. Миграция из устаревших систем: На что обратить внимание? Преимущества проведения миграции: • Аппаратная и программная совместимость • Совместимость приложений • Работа в домене и возможность апгрейда

  27. Почему миграция является лучшим решением с точки зрения безопасности? Неполный список преимуществ в обеспечении безопасности при переходе с Windows NT 4.0 на Windows Server 2003 включает: • Active Directory • Kerberos version 5 • Групповые политики • Интегрированная поддержка PKI • IIS 6.0 • Encrypting File System

  28. Миграцияиз доменов Windows NT в Active Directory Вспомогательные бесплатные ресурсы для проведения миграции: • Windows Server 2003 Upgrade Assistance Center • Active Directory Migration Tool (ADMT) 2.0 • Solution Accelerator for Domain Server Consolidation and Migration: Windows NT 4.0 to Windows Server 2003 • Migrating from Windows NT Server 4.0 to Windows Server 2003

  29. Миграция из устаревших клиентских систем в Windows XP Основные шаги по миграции из Windows 98 в Windows XP включают: • Проверка на соответствие требованиям системы • Уточнение возможности апгрейда устаревшей системы на новую • Проверка программного и аппаратного обеспечения на совместимость • Получение дополнительной информации • Применение утилиты File and Settings Transfer Wizard

  30. Upgrade серверов под управлением Windows NT до Windows Server 2003 Вспомогательные онлайн ресурсы по апгрейду Windows NT до Windows Server 2003: • Upgrading from Windows NT Server 4.0 to Windows Server 2003 • Tools and Documentation for Upgrading to Windows Server 2003 • Microsoft File Server Migration Toolkit Рекомендуется проводить миграцию всех служб и данных на новую аппаратную платформу, вместо выполнения апгрейда устаревших систем

  31. Семейство Microsoft Virtual • Microsoft Virtual PC 2004 • Запускается из под Windows XP • Microsoft Virtual Server 2005 Standard Edition • До 4-х процессоров • Microsoft Virtual Server 2005 Enterprise Edition • До 32-х процессоров WWW.MICROSOFT.COM/VIRTUALPC

  32. Консолидация серверов с использованием Virtual Server Преимущества: • Экономия на аппаратной платформе и ее поддержке • Легкость решения • Быстрое восстановление системы • Дополнительные возможности по защите • Удобство удаленного администрирования

  33. Консолидация серверов с использованием Virtual Server Готовые решения Microsoft : • Безопасная аутентификация доступа администратора и пользователей • Интеграция с Active Directory • Microsoft Operations Manager 2005 Management Pack for Virtual Server • Systems Management Server 2003 SP1 • Automated Deployment Services • Virtual Server 2005 Migration Toolkit

  34. Варианты усиления безопасности. Итоги.

  35. Следующие шаги • Получение дополнительной информации по апгрейду устаревших клиентских систем http://www.microsoft.com/windowsserver2003/upgrading/nt4/default.mspx • Ознакомление с руководством «TheMicrosoft Windows NT 4.0 and Windows 98 Threat Mitigation Guide» http://go.microsoft.com/fwlink/?linkid=32048 • Подписка на рассылку бюллетеня по безопасности http://www.microsoft.com/technet/security/ • Использование ресурсов для онлайн обучения https://www.microsoftelearning.com/security

  36. Вопросы и ответы

More Related