微軟安全服務計劃介紹會

Windows平臺的安全管理微軟公司產品經理殷建松內容安排安全挑戰和對策企業網絡安全基礎架構保護服務器端保護客戶機端網絡安全管理流程微軟安全服務計劃市場背景信息安全是熱點話題用戶被信息安全的復雜性所困擾服務成為軟件的重要價值之一什么是微軟安全服務計劃用戶加入安全服務計劃加入時獲得微軟歡迎禮包歡迎信安全工具包Technet專刊價值100元的CTEC培訓禮券價值36元的Windows&.NetMagazine訂閱禮券還會定期收到微軟安全信息快遞服務Technet期刊和補丁光盤安全的挑戰及對策黑客攻擊行為日益增加所有數據來自*2001Q1-Q3惡意行為的增長計算機病毒的發展趨勢1W32.SirCam.A2W32.Magistr.A3W32.Hybris.B4W32.Nimda5VBS.FunLove.40996W32.BadTrans7W32.MTX.A8W32.Magistr.DAM9VBS.KakWorm10VBS.Haptime.A病毒在傳播中使用的手法越來越多新型和變種病毒的推出速度越來越快

更加難以清除微軟安全策略安全預防勝于事后補救，建立一個嚴謹的信息系統架構網絡安全的基礎架構如何保護服務器端如何保護客戶機端網絡安全的管理流程外部安全和內部安全并重，集中控制，分段隔離簡單管理就是有效的管理-集中管理有效的風險管理一、基礎架構網絡狀況遠程用戶本地網分公司Internet安全計劃范圍需要管理的資源Windows用戶帳號信息特權配置文件策略Windows客戶Mgmt配置文件網絡信息策略Windows服務器Mgmt配置文件網絡信息服務打印機文件共享策略目錄為下列對象管理焦點：用戶和資源安全授權策略應用程序服務器配置單一注冊用于程序專用

的目錄信息

策略Internet防火墻服務配置安全策略虛擬專用網絡策略網絡設備配置服務質量策略安全策略其他目錄

WhitepagesE-Commerce其他NOSUserregistrySecurityPolicy電子郵件服務器郵箱信息通訊簿活動目錄!典型網絡分布北京成都廣州Internet上海部署AD-多域北京成都廣州Internet上海上海成都北京廣州部署AD-單域北京成都廣州Internet上海OUOUOU域OU統一網絡身份管理

Windows2000AD單一登錄在ActiveDirectory中存放唯一帳號集成Kerberosv5登錄KeyDistribution

Center(KDC)公共鍵安全信息存放在被保護的存儲區工業標準安全協議Kerberos,

SSL/TLS,others分析Windows

2000缺省安全性defltdc.infdefltsv.infdefltwk.inf工作站成員服務器域控制器缺省安全模板應用到所有新安裝的Windows2000除非:

從WindowsNT4.0升級

只用FAT文件系統的計算機配置安全模板FileSystemRestrictedGroupsEventLogIPSecAccountPublicKeySystemServicesRegistryLocalSecurityTemplate當前配置與基準線比較 當前配置與基準線不匹配 當前配置符合或超越基準線自動分析安全基準線secedit/analyze/dbsecure.sdb/cfgbaseline.infPerformedeveryFriday使用組策略對象實施安全配置SiteDomain1GPODomain2OUOUOUOUOUGPOGPO為每種角色的計算機創建OUs最小化使用GPOs的數量子OUGPOs覆蓋父

OUGPOs

基于策略分層管理VPN策略執行一個計算機或用戶作用的策略是多個策略的和并用戶端策略執行ClientOUServerOUDomainControllersOUDomainPolicyClientPolicy文件或Web服務器策略執行ServerOUDC策略執行分支機構網絡一個典型的VPN架構…Internetservers路由器VPNGateway#1VPNGateway#2ROUTERusersofficeVPNGateway#1VPNGateway#2ROUTERusersofficeVPNGateway#1VPNGateway#2VPNTUNNELPPTP/L2TPVPNTUNNELPPTP/L2TP遠程訪問-移動用戶公司網絡加密加密加密加密InternetPrivate鏈路層安全PPTP/L2TP配置遠程訪問策略ISAInternet企業內部網絡蜂巢式安全防護體系中央監控服務器Internet中央管理服務器利用內部安全隔離機制控制病毒擴散FirewallChainingISAServerISAServerLeasedline/VPNconnectionBranchMainInternetInternet內部網絡DMZ區ISA服務器Internet內部網DMZ區Web服務器數據庫服務器ISA服務器ISA服務器“背靠背”模式Internet遠程客戶端VPN服務器遠程網絡ISA服務器Web服務器可以選擇讓VPN服務器和ISA安裝在同一臺機器上或分開Exchange,SQLServerInternet集中管理總結

ActiveDirectory是核心，組策略是根本L2TP/IPSec&PPTPTunnelsISAProxyWebServerISAVPNNASPartnersFileServerBizTalkServerEnterpriseCAMachineCertsAutoenrollGP&IPSecPolicyDC遠程訪問策略IASRADIUSSSL集中管理服務包和Hotfixes服務包使用SMS服務器實施使用組策略通過登錄腳本和.msi包HotfixesHFNetChkToolQChainWindows2000Server基準安全注意事項

驗證所有磁盤分區是否都用NTFS格式化驗證管理員帳戶是否有強密碼

禁用不必要的服務

禁用或刪除不必要的帳戶

保護文件和目錄

確保禁用來賓帳戶

防止注冊表被匿名訪問HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg應用適當的注冊表ACL

Windows2000Server基準安全注意事項(2)限制對公用本地安全機構(LSA)信息進行訪問HKEY_LOCAL_MACHINE\SYSTEMCurrentControlSet\Control\LSARestrictAnonymous設置較強的密碼策略設置帳戶鎖定策略配置管理員帳戶刪除所有不必要的文件共享對所有必要的文件共享設置適當的ACL安裝防病毒軟件和更新安裝最新的ServicePack安裝適當的ServicePack后的安全修補程序備份二、服務器端安全MicrosoftWeb服務器安全安全的MicrosoftExchange服務器配置

服務器管理備份與恢復災難恢復計劃

Windows2000基本配置—IIS5在安裝前阻止所有到服務器的通信如果可能,在獨立的域內或成員服務器上安裝IISserver在與系統不同的分區上創建一個新的Inetpub根目錄使用與Inetpub不同的名字將每個支持的服務(WWW,FTP,etc.)的內容存放在各自的分區Windows2000基本配置—IIS5(cont’d)禁止NetBIOSoverTCP/IP去掉IP路由除了TCP/IP，刪除所有其他的協議堆棧，除非必須保留如果不用，停止TaskScheduler服務如果不用

，停止FTP服務如果不用，停止Telnet服務如果使用Telnet,創建一個TelnetClients組限制使用的用戶使用內制的Windows2000端口過濾器拒絕所有TCP通信除了80端口Windows2000基本配置—IIS5(cont’d)禁止IUSR_ComputerName

和IWAM_ComputerName

訪問下列文件Scrrun.dllXcopy.exeCmd.exeRegedit.exeRegedt32.exeAT.exeCscript.exeRegsvr32.exeDebug.exeFtp.exeTftp.exeRegsvr32.exeDebug.exeNbtstat.exeNet.exeNetsh.exeTskill.exePoledit.exeRexec.exeEdlin.exeRunas.exeRunonce.exeIISSync.exeIISReset.exeWscript.exeTelnet.exeRcp.exeIUSR_Computername帳戶IIS缺省的匿名訪問模仿帳號IUSR_Computername

帳號基本權限選擇用戶不能更改密碼選擇密碼永遠不過期用戶權限當使用“允許IIS控制密碼”登錄類型不同如果使用,網絡登錄(type3)Thisisasignificantsecuritybenefitbecauseuserscannotgainaccesstoremotenetworkresources如果禁用,本地登錄(type2)如果不需要匿名訪問,禁止IUSR_Computername

帳號IWAM_Computername

帳號運行中或高的獨立web應用的DLLHost.exe缺省帳號IWAM_Computernameaccount基本權利選擇用戶不能更改密碼選擇密碼永遠不過期匿名訪問仍然用IUSR_Computername

帳號安全模板安全模板Web站點安全的基準線模板Hisecweb.inf將模板拷貝到%windir%\security\templates目錄打開SecurityTemplatestool,查看配置打開安全配置和分析工具,加載這個模板在安全配置和分析工具點右鍵,在菜單上選擇現在分析計算機等到執行完成復查結果,根據需要更新模板滿意后,在安全配置和分析工具點右鍵,在菜單上選擇現在配置計算機IPSec策略InternetInformationServices5安全注意事項

在虛目錄上設置適當的ACLs設置適當的IISLogFileACLs啟用日志設置IP地址/DNS地址限制驗證可執行的內容的可信賴性

在IISServer上更新根CA證書禁止或刪除所有例子應用禁止或刪除不需要的COM部件刪除IISADMPWDVirtualDirectory刪除不使用的腳本映射

檢查在ASP代碼中<FORM>和Querystring輸入值IIS的常用工具Security“WhatIf”Tool/HfnetchkSecurityConfigurationToolLockdownToolURLScan保護Exchangeserver

來自外部的安全威脅針對病毒的保護保護郵箱和郵箱的內容利用橋頭堡服務器及路由組來提高整個郵件系統的安全性保護端口針對病毒的保護防火墻服務器客戶端

virus.vbs利用橋頭堡服務器及路由組來提高整個郵件系統的安全性路由組郵箱服務器郵箱服務器防火墻InternetSMTP連接器橋頭堡服務器保證ExchangeServer安全ExchangeServerProtocolSourceDestinationPortAnyInternalNetworkMailServerAnyProtocolSourceDestinationPortSMTPAnyMailServerTCP25POP3AnyMailServerTCP110IMAPAnyMailServerTCP143InternetInformationStore方案存儲事件在子存儲內當一個條目打開，保存，移動或刪除時會觸發事件類型同步–當事件發生時異步–在事件發生之后病毒掃描APILowrisktodatacorruption高性能高可用支持以前版本的Exchange傳輸方案整理公開中繼FixopenrelaysSMTPRelayParameters郵件過濾-FilterMail拒絕連接-Disallowconnections阻止內部垃圾郵件-Stopinternalspam保護Exchangeserver

針對內部安全威脅的防護加強內部安全利用微軟證書服務加強內部安全配置分發列表(DL)的權限配置管理組實行郵件存檔配置頂層文件夾(Top-Level)權限利用微軟證書服務密鑰管理服務器企業證書服務器客戶端郵箱服務器激活請求數字ID已簽發的證書郵件系統的安全服務器管理-MicrosoftOperationsManager2000DCAM

ServersDatabaseDCAM

ServerFile/SQL

Serverexchange

ServerIIS

ServerDC

ServerIIS

ServerFile

ServerDC

ServerDC

Server1,200ITG-managedcorporateinfrastructureserversrunningMOMagentsDCAM

ServersDatabase硬件&操作系統警報配置組安全事件配置組ConsoleConsole安全解決方案–黑客攻擊黑客攻擊ChallengeSolution?ü!Results/Benefits自動檢測來自Internet的攻擊行為阻斷各種攻擊的途徑，保護內部網絡入侵事件發生后可以快速響應案例分析–對Web服務器的攻擊和防御確定目標

黑客們會利用Whois服務，或SamSpade這類工具來定位目標的IP地址收集信息

目標機的關鍵信息包括：操作系統類型，版本,提供了那些服務…，有多種端口掃描器可以使用，如Nmap,portscanner等開始攻擊

我們已經收集到了足夠的信息，“足夠”意味著我們已發現了對方的安全缺陷，攻擊的對象和目的有很多種，破壞，竊取信息，提升權限等等消除“痕跡”總結-如何應對黑客攻擊？攻擊手段具體方法攻擊的工具主機搜索Opensourcesearch;DNSzonetransferWhois,Pingsweep端口掃描TCP/UDP端口掃描；OSdetectionNmap,portscanner,telnet漏洞探測和掃描Windows/Unix/LinuxExploitsISS,NAI,ICS賬號列舉列舉用戶;列舉文件共享Nullsessions,Dumpacl,rpcinfo,NAT口令竊聽PasswordeavesdroppingTcpdump,sniffer,L0phtcrackreadsmb口令猜測和暴力破解Bruteforcecrack;passwordfilegrab;bufferoverflowLegion,letmein,L0phtcark,流光,johnripper放置木馬和后臺程序創建賬號；infectstartupfile;plantremotecontrolserviceBO,Sub7,Netbus,冰河清除系統和應用程序日志Eventlog;Webserverlog;firewalllogZap,eventlogGUIDOS攻擊SYNflood;ICMP;OOP;DDossynk4,pingofdeath,land,teardrop,smurf部署安全管理方案之后（部分防范）

配置防火墻和入侵檢測功能

配置防火墻和入侵檢測功能

配置防火墻（通過實施IPSec和劃分VLAN解決）

實施賬號安全管理策略（部分防范，需IDS和反病毒系統配合）

集中的服務器監控

配置防火墻和入侵檢測功能和服務器安全配置安全解決方案–病毒防范病毒肆虐Challenge?Solution在服務器和網絡中使用郵件過濾功能集中監控服務器的性能自動更新客戶端病毒代碼庫，和安裝Outlook安全插件檢查和安裝最新的安全軟件更新ü!Results/Benefits自動過濾帶病毒的郵件控制病毒在公司內部的傳播通過快速客戶端安全管理，有效的減少病毒在內部網中傳播范圍案例分析–Nimda病毒傳播方式解決之道IE瀏覽器:利用IE的一個安全缺陷(微軟在2001年3月份已發布軟件更新)及時快速的部署軟件更新(Hot-fix)IIS服務器:和紅色代碼病毒相同,或直接利用它留下的木馬程序

(微軟在紅色代碼爆發后已在其網站上公布了所有的修復程序和解決方案)利用ISA阻止所有的TFTP(端口：69)通信流量。這可以阻止干凈的IIS系統下載感染尼姆達蠕蟲病毒的文件。電子郵件附件(已被使用過無數次的攻擊方式)使用ISA的郵件過濾功能丟棄所有帶有README.EXE附件的電子郵件，或丟棄MIME類型的音頻/x-wav的郵件附件文件共享:針對所有未做安全限制的共享利用ISA阻止所有的NetBios通信流量通過ISA(端口：137，138，139)主動地沿網絡傳播實時監控，分段隔離總結-如何應對病毒？紅色代碼Nimda病毒“將死者”病毒郵件附件Readme.exeGone.SCR攻擊沒有安裝安全更新的IEMIME安全缺陷MS01-020通過未加口令的共享連接搜索共享路徑，利用TFTP傳輸攻擊沒有安裝安全更新的IIS

.ida安全缺陷MS01-033利用CodeRed的木馬放置木馬程序Root.exe,CMD.exe,Explorer.exeAdmin.dll,Httpodbc.dll,攻擊防病毒程序破壞幾種主流的防病毒軟件部署安全管理方案之后

郵件過濾功能

自動在客戶端分發安全修復程序

集中監控客戶端的配置和行為

自動在服務器分發安全修復程序

集中監控服務器端的配置和搜索特征文件

集中監控客戶端的配置和行為災難恢復計劃計劃，排練，修改計劃，排練，修改計劃，排練，修改計劃，排練，修改….永不實戰三、客戶機端安全

客戶端安全管理設置帳戶策略使用帳戶策略防止未授權的用戶訪問網絡必須在域級別上設置設置密碼要求域控制器不適用域控制器鎖定用戶帳號設置失敗登錄次數確保密碼難猜阻止跟蹤程序配置密碼策略在域上設置密碼策略設置如下：GroupPolicyActionViewPasswords[LONDON.NWTraders.msftComputerConfigurationSoftwareSettingsWindowsSettingsSecuritySettingsAccountPoliciesAccountLockoutPoliKerberosPolicyLocalPoliciesAllowstorageofpasswordsunderreversibl…Enforcepassworduniquenessbyremem…MaximumPasswordAgeMinimumPasswordAgeMinimumPasswordLengthPasswordsmustmeetcomplexityrequire…UsermustlogontochangepasswordNotConfigured24Passwords30Days30Days8CharactersEnabledEnabledAttributeStoredTemplateSettinPasswordPolicyThenumberofpreviouspasswordsWindows2000records分析安全日志安全日志和事件查看器一般的安全事件不正確登錄企圖和帳號鎖定改變文件所有權清除安全日志系統關機桌面防毒Windowsand瀏覽器下載最新的補丁定制瀏覽器的安全區域選項Outlook安全Outlook98/2000SP1Upgradeavailablenowfromhttp://Outlook2002Builtintobaseproduct安裝最新防病毒工具控制用戶桌面,用戶界面,和網絡訪問使用組策略設置實施組策略到站點,域,或組織單元用戶環境的設置自動作用到新的用戶的計算機限制桌面操作管理用戶環境管理模板設置腳本設置重定向用戶文件夾安全設置HKEY_LOCAL_MACHINEHKEY_CURRENT_USERRegistryMyDocuments軟件分發適用于個人用戶和規模較小的機構Windows,Office最新的補丁智能鏡像建議所有企業使用組策略實施用戶/系統配置使用組策略分發軟件有一定限制–主要用于中、小規模的企業中、大型企業的完整的軟件管理方案具有針對目標和分發的高級特性支持已有的系統(NT4,Win9x)客戶端架構在單一的微軟分發基礎之上.SharedArchitecture面向中小、企業個基本解決方案針對中、大型企業的高級解決方案Internet微軟安全平臺InternetTrafficControlEnterpriseClassFirewallApplicationlevelfiltering保證數據安全保證桌面系統安全保證通信安全網絡資源管理安全跑正系統安全保證信息安全MCS–安全評估微軟安全資源和工具微軟安全快速實施計劃GoldCertifiedSecurityPartners

四、網絡安全管理流程數據服務通訊過程預防監測響映技術規劃，策略和執行過程人的因素需求：及時部署和安裝安全軟件更新程序發生安全問題時能實現內部的安全隔離系統能及時的反映安全策略的變化系統應具備容錯和自動恢復的能力需求：安全的網絡設計能最大限度減少來自Internet的攻擊正確的服務器配置事前的安全軟件更新安裝安全信息的及時獲得需求：

監測服務器的運行狀況監測網絡的使用情況監測客戶端的行為安全解決方案的內容培訓客戶掌握相關的技術和管理知識知識傳授基于客戶的安全目標，幫助用戶制訂安全策略

制訂安全管理策略幫助用戶安裝和部署系統

系統部署客戶功能實現，編寫各種功能擴展和管理腳本二次開發一個基于安全隔離和集中管理概念的安全系統設計解決方案微軟的安全產品和安全工具產品和工具安全解決方案的實施步驟階段1

用戶需求分析階段2

制定實施計劃階段3

系統部署和測試階段4

演示和驗收階段5

用戶培訓EnterpriseSecurityManagementPilotProject應用場景安全風險解決方案移動用戶

EncryptedFileSystem(EFS)PPTP,IPSEC,L2TPLost/StolenLaptopDial-upAttacks電子商務FalseIdentity/ImpostorTheftdata/moneyTransactionmodification

PublicKeyInfrastructure(PKI)IntegratedCASSL/TLS家庭辦公

PPTP,IPSEC,L2TPNTLMv2,Kerberos,PKISSL/TLS,S/MIMEOn-wireInternetAttacksDial-upAttacksFalseIdentity/ImpostorLAN/WANFalseIdentity/ImpostorPasswordSharing/GuessingAdds/Moves/Change