網(wǎng)絡(luò)安全的實(shí)現(xiàn)和管理.ppt

第7章為服務(wù)器角色規(guī)劃 配置和部署安全基線 網(wǎng)絡(luò)安全的實(shí)現(xiàn)和管理 以WindowsServer2003和ISAServer2004為例 第1章規(guī)劃和配置授權(quán)和身份驗(yàn)證策略第2章安裝 配置和管理證書(shū)頒發(fā)機(jī)構(gòu)第3章配置 部署和管理證書(shū)第4章規(guī)劃 實(shí)現(xiàn)和故障診斷智能卡證書(shū)第5章加密文件系統(tǒng)的規(guī)劃 實(shí)現(xiàn)和故障排除第6章規(guī)劃 配置和部署安全的成員服務(wù)器基線第7章為服務(wù)器角色規(guī)劃 配置和部署安全基線第8章規(guī)劃 配置 實(shí)現(xiàn)和部署安全客戶(hù)端計(jì)算機(jī)基線第9章規(guī)劃和實(shí)現(xiàn)軟件更新服務(wù)第10章數(shù)據(jù)傳輸安全性的規(guī)劃 部署和故障排除第11章部署配置和管理SSL第12章規(guī)劃和實(shí)施無(wú)線網(wǎng)絡(luò)的安全措施第13章保護(hù)遠(yuǎn)程訪問(wèn)安全 網(wǎng)絡(luò)安全的實(shí)現(xiàn)和管理 以WindowsServer2003和ISAServer2004為例 第14章MICROSOFTISASERVER概述第15章安裝和維護(hù)ISAServer第16章允許對(duì)Internet資源的訪問(wèn)第17章配置ISAServer作為防火墻第18章配置對(duì)內(nèi)部資源的訪問(wèn)第19章集成ISAServer2004和MicrosoftExchangeServer第20章高級(jí)應(yīng)用程序和Web篩選第21章為遠(yuǎn)程客戶(hù)端和網(wǎng)絡(luò)配置虛擬專(zhuān)用網(wǎng)絡(luò)訪問(wèn)第22章實(shí)現(xiàn)緩存第23章監(jiān)視ISAServer2004 第7章 為服務(wù)器角色規(guī)劃 配置和部署安全基線 規(guī)劃和配置域控制器的安全基線規(guī)劃和配置DNS服務(wù)器的安全基線規(guī)劃和配置基本架構(gòu)服務(wù)器的安全基線規(guī)劃文件和打印服務(wù)器的安全基線規(guī)劃和配置IIS服務(wù)器的安全基線Internet驗(yàn)證服務(wù)基線策略ExchangeServer服務(wù)器基線策略SQLServer服務(wù)器基線策略 針對(duì)域控制器的安全威脅域控制器基線策略ActiveDirectory數(shù)據(jù)庫(kù)和日志文件Ntdsutil exe移動(dòng)ActiveDirectory數(shù)據(jù)庫(kù)和日志文件的方式調(diào)整ActiveDirectory事件日志文件的大小SYSKEY 7 1規(guī)劃和配置域控制器的安全基線 規(guī)劃和配置域控制器的安全基線 物理接入域控制器的惡意用戶(hù)無(wú)時(shí)限得對(duì)域控制器進(jìn)行攻擊對(duì)存儲(chǔ)在默認(rèn)位置下的ActiveDirectory數(shù)據(jù)庫(kù)和日志文件進(jìn)行攻擊 對(duì)域控制器進(jìn)行拒絕服務(wù)攻擊導(dǎo)致服務(wù)失效 干擾目錄復(fù)制 緩沖區(qū)溢出攻擊 對(duì)一個(gè)域有管理訪問(wèn)權(quán)的攻擊者獲得林中每個(gè)域的管理訪問(wèn)權(quán) 社會(huì)工程 7 1 1針對(duì)域控制器的安全威脅 針對(duì)域控制器的安全威脅 域控制器基線策略 域控制器基線策略 鏈接到OU優(yōu)先級(jí)高于默認(rèn)域控制器策略其他安全措施手工將安全組添加到用戶(hù)權(quán)限分配中將ActiveDirectory數(shù)據(jù)庫(kù)日志和文件移動(dòng)到安全的位置使用SYSKEY調(diào)整事件日志的大小 7 1 2域控制器基線策略 7 1 3ActiveDirectory數(shù)據(jù)庫(kù)和日志文件 ActiveDirectory數(shù)據(jù)庫(kù)和日志文件 Ntdsutil exe Ntdsutil exe使用Ntdsutil exe 是提供ActiveDirectory管理工具的命令行工具 執(zhí)行ActiveDirectory數(shù)據(jù)庫(kù)維護(hù)管理和控制單個(gè)主控操作移除未通過(guò)正確卸載而從網(wǎng)絡(luò)中刪除的域控制器所遺留下的元數(shù)據(jù)創(chuàng)建應(yīng)用程序目錄分區(qū)將數(shù)據(jù)庫(kù)從磁盤(pán)上一個(gè)位置移動(dòng)到另一個(gè)安全的位置將ActiveDirectory對(duì)象標(biāo)記為已認(rèn)證 7 1 4Ntdsutil exe 演示 移動(dòng)ActiveDirectory數(shù)據(jù)庫(kù)和日志文件的方式 7 1 5移動(dòng)ActiveDirectory數(shù)據(jù)庫(kù)和日志文件的方式 移動(dòng)ActiveDirectory數(shù)據(jù)庫(kù)和日志文件的方式 演示 調(diào)整ActiveDirectory事件日志文件的大小 7 1 6調(diào)整ActiveDirectory事件日志文件的大小 調(diào)整ActiveDirectory事件日志文件的大小 SYSKEY SYSKEYSYSKEY模式 提供額外的防范措施來(lái)防御脫機(jī)密碼破解軟件使用強(qiáng)加密技術(shù)來(lái)保護(hù)存儲(chǔ)在目錄服務(wù)中的賬戶(hù)密碼信息 模式1模糊密鑰模式2管理員密碼模式3在軟盤(pán)上保存SYSKEY密碼 7 1 6SYSKEY 第7章 為服務(wù)器角色規(guī)劃 配置和部署安全基線 規(guī)劃和配置域控制器的安全基線規(guī)劃和配置DNS服務(wù)器的安全基線規(guī)劃和配置基本架構(gòu)服務(wù)器的安全基線規(guī)劃文件和打印服務(wù)器的安全基線規(guī)劃和配置IIS服務(wù)器的安全基線Internet驗(yàn)證服務(wù)基線策略ExchangeServer服務(wù)器基線策略SQLServer服務(wù)器基線策略 針對(duì)DNS服務(wù)器的安全威脅保護(hù)MicrosoftDNS服務(wù)器的指導(dǎo)方針配置DNS動(dòng)態(tài)更新憑據(jù)限制DNS區(qū)域傳輸?shù)姆绞较拗茖?duì)DNS服務(wù)器的外部訪問(wèn)的指導(dǎo)方針?lè)乐笵NS高速緩存污染的方式 7 2規(guī)劃和配置DNS服務(wù)器的安全基線 規(guī)劃和配置DNS服務(wù)器的安全基線 7 2 1針對(duì)DNS服務(wù)器的安全威脅 針對(duì)DNS服務(wù)器的安全威脅 保護(hù)MicrosoftDNS服務(wù)器 使用ActiveDirectory集成DNS為不與ActiveDirector集成的DNS服務(wù)器創(chuàng)建定制模板限制DNS區(qū)域傳輸限制對(duì)DNS服務(wù)器的外部訪問(wèn)啟用 保護(hù)緩存防止污染 設(shè)置安全的動(dòng)態(tài)更新調(diào)整DNS日志大小 7 2 2保護(hù)MicrosoftDNS服務(wù)器的指導(dǎo)方針 保護(hù)MicrosoftDNS服務(wù)器的指導(dǎo)方針 配置DNS動(dòng)態(tài)更新憑據(jù) 演示 配置DNS動(dòng)態(tài)更新憑據(jù) 配置DNS動(dòng)態(tài)更新憑據(jù)配置DHCP服務(wù)器使用該賬戶(hù) 7 2 3配置DNS動(dòng)態(tài)更新憑據(jù) 限制DNS區(qū)域傳輸?shù)姆绞?演示 限制DNS區(qū)域傳輸?shù)姆绞?7 2 4限制DNS區(qū)域傳輸?shù)姆绞?限制對(duì)DNS服務(wù)器的外部訪問(wèn) 使用私有內(nèi)部名稱(chēng)空間配置外部路由器和防火墻只允許在內(nèi)部和外部DNS服務(wù)器之間進(jìn)行DNS通信使組織的內(nèi)部DNS名稱(chēng)空間成為組織的外部DNS名稱(chēng)空間的子域使用數(shù)據(jù)包篩選來(lái)限制到DNS服務(wù)器的通信 7 2 5限制對(duì)DNS服務(wù)器的外部訪問(wèn)的指導(dǎo)方針 限制對(duì)DNS服務(wù)器的外部訪問(wèn)的指導(dǎo)方針 演示 防止DNS高速緩存污染的方式 7 2 6防止DNS高速緩存污染的方式 防止DNS高速緩存污染的方式 目的 掌握配置DNS更新憑據(jù) 7 2 7實(shí)驗(yàn)7 1 配置DNS更新憑據(jù) 實(shí)驗(yàn)7 1 配置DNS更新憑據(jù) 第7章 為服務(wù)器角色規(guī)劃 配置和部署安全基線 規(guī)劃和配置域控制器的安全基線規(guī)劃和配置DNS服務(wù)器的安全基線規(guī)劃和配置基本架構(gòu)服務(wù)器的安全基線規(guī)劃文件和打印服務(wù)器的安全基線規(guī)劃和配置IIS服務(wù)器的安全基線Internet驗(yàn)證服務(wù)基線策略ExchangeServer服務(wù)器基線策略SQLServer服務(wù)器基線策略 針對(duì)基本架構(gòu)服務(wù)器的安全威脅基本架構(gòu)服務(wù)器基線策略配置其他DHCP設(shè)置的方法增加DHCP服務(wù)器容錯(cuò)能力的方法保護(hù)WINS服務(wù)器的指導(dǎo)方針創(chuàng)建靜態(tài)WINS條目 7 3規(guī)劃和配置基礎(chǔ)架構(gòu)服務(wù)器的安全基線 規(guī)劃和配置基本架構(gòu)服務(wù)器的安全基線 針對(duì)基本架構(gòu)服務(wù)器的安全威脅 7 3 1針對(duì)基礎(chǔ)架構(gòu)服務(wù)器的安全威脅 基本架構(gòu)服務(wù)器基線策略 基本架構(gòu)服務(wù)器基線策略模板基本架構(gòu)基線模板的差異 基于成員服務(wù)器基線模板的增量模板 DHCP服務(wù)被配置為在所有三種安全環(huán)境中自動(dòng)啟動(dòng)WINS服務(wù)被配置為在所有三種安全環(huán)境中自動(dòng)啟動(dòng) 7 3 2基礎(chǔ)架構(gòu)服務(wù)器基線策略 配置其他DHCP設(shè)置的方法 啟用DHCP事件記錄 限制對(duì)DHCP日志的訪問(wèn)增加DHCP審核日志大小 選擇 啟用DHCP審核記錄 選項(xiàng) 將ServerOperators和AuthenticatedUsers組從 systemroot system32 dhcp 文件夾的ACL中移除 修改DhcpLog最小日志空間設(shè)置 7 3 3配置其他DHCP設(shè)置的方法 增加DHCP服務(wù)器容錯(cuò)能力的方法 使用分割作用域配置使用群集化DHCP服務(wù)器使用備用服務(wù)器 7 3 4增加DHCP服務(wù)器容錯(cuò)能力的方法 保護(hù)WINS服務(wù)器的指導(dǎo)方針 限制外部訪問(wèn)WINS服務(wù)器 限制對(duì)WINS管理員組的訪問(wèn)監(jiān)視WINS復(fù)制停止運(yùn)行NetBIOS應(yīng)用程序啟用WINS記錄不要將WINS數(shù)據(jù)庫(kù)和日志文件從它們的默認(rèn)位置移出使用靜態(tài)WINS條目 7 3 5保護(hù)WINS服務(wù)器的指導(dǎo)方針 創(chuàng)建靜態(tài)WINS條目 演示 創(chuàng)建靜態(tài)WINS條目 7 3 6創(chuàng)建靜態(tài)WINS條目 實(shí)驗(yàn)7 2 創(chuàng)建GPO以限制對(duì)基礎(chǔ)架構(gòu)服務(wù)器的訪問(wèn) 目的 為基本架構(gòu)服務(wù)器創(chuàng)建GPO 7 3 7實(shí)驗(yàn)7 2 創(chuàng)建GPO以限制對(duì)基礎(chǔ)架構(gòu)服務(wù)器的訪問(wèn) 第7章 為服務(wù)器角色規(guī)劃 配置和部署安全基線 規(guī)劃和配置域控制器的安全基線規(guī)劃和配置DNS服務(wù)器的安全基線規(guī)劃和配置基本架構(gòu)服務(wù)器的安全基線規(guī)劃文件和打印服務(wù)器的安全基線規(guī)劃和配置IIS服務(wù)器的安全基線Internet驗(yàn)證服務(wù)基線策略ExchangeServer服務(wù)器基線策略SQLServer服務(wù)器基線策略 規(guī)劃文件和打印服務(wù)器的安全基線 針對(duì)文件和打印服務(wù)器的安全威脅文件服務(wù)器和打印服務(wù)器基線策略保護(hù)文件服務(wù)器的指導(dǎo)方針保護(hù)打印服務(wù)器的指導(dǎo)方針 7 4規(guī)劃文件和打印服務(wù)器的安全基線 針對(duì)文件和打印服務(wù)器的安全威脅 7 4 1針對(duì)文件和打印服務(wù)器的安全威脅 文件服務(wù)器和打印服務(wù)器基線策略 文件服務(wù)器模板和成員服務(wù)器基線模板之間的差別打印服務(wù)器模板和成員服務(wù)器基線模板之間的差別 分布式文件系統(tǒng) DFS 和文件復(fù)制服務(wù) FRS 服務(wù)被配置為在所有三種安全環(huán)境中禁用 PrintSpooler 打印后臺(tái)處理程序 服務(wù)被配置為在所有三種安全環(huán)境中自動(dòng)啟動(dòng)安全選項(xiàng) Microsoft網(wǎng)絡(luò)服務(wù)器 數(shù)字簽名通信 始終 在三種安全環(huán)境中都是禁用的 7 4 2文件服務(wù)器和打印服務(wù)器基線策略 保護(hù)文件服務(wù)器的指導(dǎo)方針 保護(hù)文件服務(wù)器 如果需要DFS 僅啟用DFS服務(wù)如果需要文件復(fù)制 僅啟用文件復(fù)制服務(wù) 7 4 3保護(hù)文件服務(wù)器的指導(dǎo)方針 保護(hù)打印服務(wù)器的指導(dǎo)方針 保護(hù)打印服務(wù)器 禁用打印服務(wù)器的 數(shù)字簽名通信 始終 設(shè)置允許其他用戶(hù)停止 啟動(dòng)和暫停PrintSpooler服務(wù) 7 4 4保護(hù)打印服務(wù)器的指導(dǎo)方針 實(shí)驗(yàn)7 3 創(chuàng)建組合式文件和打印服務(wù)器基線策略 目的 創(chuàng)建組合式文件和打印服務(wù)器基線策略 7 4 5實(shí)驗(yàn)7 3 創(chuàng)建組合式文件和打印服務(wù)器基線策略 第7章 為服務(wù)器角色規(guī)劃 配置和部署安全基線 規(guī)劃和配置域控制器的安全基線規(guī)劃和配置DNS服務(wù)器的安全基線規(guī)劃和配置基本架構(gòu)服務(wù)器的安全基線規(guī)劃文件和打印服務(wù)器的安全基線規(guī)劃和配置IIS服務(wù)器的安全基線Internet驗(yàn)證服務(wù)基線策略ExchangeServer服務(wù)器基線策略SQLServer服務(wù)器基線策略 規(guī)劃和配置IIS服務(wù)器的安全基線 針對(duì)IIS服務(wù)器的安全威脅IIS服務(wù)器基線策略安裝IIS的方式為IIS服務(wù)器設(shè)置用戶(hù)權(quán)限分配的指導(dǎo)方針I(yè)ISServers配置IIS日志記錄的指導(dǎo)方針在IIS中配置額外設(shè)置的指導(dǎo)方針 7 5規(guī)劃和配置IIS服務(wù)器的安全基線 針對(duì)IIS服務(wù)器的安全威脅 7 5 1針對(duì)IIS服務(wù)器的安全威脅 IIS服務(wù)器基線策略 IIS服務(wù)器基線模板成員服務(wù)器基線模板和IIS服務(wù)器基線模板之間的差別 是基于成員服務(wù)器基線模板的增量模板 HTTPSSL服務(wù) IISAdmin服務(wù)和WWWPublishing服務(wù)被配置為在所有三種安全環(huán)境中自動(dòng)啟動(dòng) 7 5 2IIS服務(wù)器基線策略 安裝IIS的方式 演示 安裝IIS的方式 7 5 3安裝IIS的方式 為IIS服務(wù)器設(shè)置用戶(hù)權(quán)限分配的指導(dǎo)方針I(yè)ISServers 為IIS服務(wù)器設(shè)置用戶(hù)權(quán)限分配 從 拒絕從網(wǎng)絡(luò)訪問(wèn)這臺(tái)計(jì)算機(jī) 列表中刪除Guests組包括ANONYMOUSLOGON Built inAdministrator Support 388945a0和所有非操作系統(tǒng)服務(wù)賬戶(hù) 7 5 4為IIS服務(wù)器設(shè)置用戶(hù)權(quán)限分配的指導(dǎo)方針I(yè)ISServers 配置IIS日志記錄的指導(dǎo)方針 在非系統(tǒng)帶區(qū)或帶區(qū)上和有鏡像的磁盤(pán)卷上存儲(chǔ)日志來(lái)提高服務(wù)器性能 留出充足的磁盤(pán)空間以存儲(chǔ)日志文件 指定保存日志文件的目錄和應(yīng)該開(kāi)始新建日志文件的時(shí)間 在日志文件目錄上設(shè)置適當(dāng)?shù)脑L問(wèn)控制來(lái)保護(hù)日志數(shù)據(jù) 考慮僅允許管理員和IIS WPG組訪問(wèn)日志文件目錄 更頻繁的創(chuàng)建新的日志文件 讓它們更小并且更加可管理 7 5 5配置IIS日志記錄的指導(dǎo)方針 在IIS中配置額外設(shè)置的指導(dǎo)方針 在專(zhuān)用磁盤(pán)卷上存儲(chǔ)內(nèi)容的指導(dǎo)方針設(shè)置NTFS權(quán)限的指導(dǎo)方針啟用FTP SMTP和NNTP服務(wù)的指導(dǎo)方針 不要在包含操作系統(tǒng)或者其他敏感數(shù)據(jù)的磁盤(pán)卷上存儲(chǔ)內(nèi)容 將NTFS權(quán)限和Web權(quán)限結(jié)合使用明確拒絕這些Web站點(diǎn)或應(yīng)用程序中的匿名賬戶(hù)的訪問(wèn) 啟用相應(yīng)的服務(wù)以使該服務(wù)運(yùn)行 7 5 6在IIS中配置額外設(shè)置的指導(dǎo)方針 第7章 為服務(wù)器角色規(guī)劃 配置和部署安全基線 規(guī)劃和配置域控制器的安全基線規(guī)劃和配置DNS服務(wù)器的安全基線規(guī)劃和配置基本架構(gòu)服務(wù)器的安全基線規(guī)劃文件和打印服務(wù)器的安全基線規(guī)劃和配置IIS服務(wù)器的安全基線Internet驗(yàn)證服務(wù)基線策略ExchangeServer服務(wù)器基線策略SQLServer服務(wù)器基線策略 Internet驗(yàn)證服務(wù)基線策略 配置IASRADIUS消息驗(yàn)證程序賬戶(hù)鎖定隔離控制日志記錄注意事項(xiàng)用防火墻保護(hù)IAS 7 6Internet驗(yàn)證服務(wù)基線策略 配置IAS 7 6 1配置IAS RADIUS消息驗(yàn)證程序 RADIUS服務(wù)器RADIUS客戶(hù)端 7 6 2RADIUS消息驗(yàn)證程序 賬戶(hù)鎖定 啟用遠(yuǎn)程訪問(wèn)賬戶(hù)鎖定修改失敗嘗試計(jì)數(shù)器重設(shè)之前的時(shí)間量在失敗嘗試計(jì)數(shù)器自動(dòng)重設(shè)前手動(dòng)重設(shè)已鎖定的用戶(hù)賬戶(hù) 7 6 3賬戶(hù)鎖定 隔離控制 網(wǎng)絡(luò)訪問(wèn)隔離控制 ISA提供隔離控制來(lái)幫助確定遠(yuǎn)程訪問(wèn)用戶(hù)的計(jì)算機(jī)是否是安全延遲對(duì)專(zhuān)用網(wǎng)的正常遠(yuǎn)程訪問(wèn) 直到管理員提供的腳本檢查并確認(rèn)了遠(yuǎn)程訪問(wèn)計(jì)算機(jī)的配置是有效的 7 6 4隔離控制 日志記錄注意事項(xiàng) 7 6 5日志記錄注意事項(xiàng) 用防火墻保護(hù)IAS 記賬通信使用UDP1813和1646端口隔離控制的通知和偵聽(tīng)器組件默認(rèn)使用7250端口 7 6 6用防火墻保護(hù)IAS 第7章 為服務(wù)器角色規(guī)劃 配置和部署安全基線 規(guī)劃和配置域控制器的安全基線規(guī)劃和配置DNS服務(wù)器的安全基線規(guī)劃和配置基本架構(gòu)服務(wù)器的安全基線規(guī)劃文件和打印服務(wù)器的安全基線規(guī)劃和配置IIS服務(wù)器的安全基線Internet驗(yàn)證服務(wù)基線策略ExchangeServer服務(wù)器基線策略SQLServer服務(wù)器基線策略 ExchangeServer服務(wù)器基線策略 網(wǎng)絡(luò)加密日志記錄注意事項(xiàng)使用防火墻保護(hù)ExchangeServer 7 7ExchangeServer服務(wù)器基線策略 網(wǎng)絡(luò)加密 7 7 1網(wǎng)絡(luò)加密 日志記錄注意事項(xiàng) 7 7 2日志記錄注意事項(xiàng) 使用防火墻保護(hù)ExchangeServer 7 7 3使用防火墻保護(hù)ExchangeServer 第7章 為服務(wù)器角色規(guī)劃 配置和部署安全基線 規(guī)劃和配置域控制器的安全基線規(guī)劃和配置DNS服務(wù)器的安全基線規(guī)劃和配置基本架構(gòu)服務(wù)器的安全基線規(guī)劃文件和打印服務(wù)器的安全基線規(guī)劃和配置IIS服務(wù)器的安全基