企业如何建置安全的作业系统.ppt

企業如何建置安全的作業系統WindowsXP網路安全,蘇建榮eventtaipeicity.orgMCSE2003/MVP/MCTDesktopDeploymentCenter,大綱,威脅、弱點與攻擊安全的第一步分析與修補軟體弱點增進企業網路的安全增進無線網路應用的安全增進網際網路應用的安全,威脅、弱點與攻擊,大綱,威脅、弱點與攻擊安全的第一步分析與修補軟體弱點增進企業網路的安全增進無線網路應用的安全增進網際網路應用的安全,安全的第一步,啟用網際網路連線防火牆ICF管制IP封包的進出減少可能的被攻擊面仍能對網路上的資源正常的進行存取,ICF網際網路連線防火牆,,每個網路界面的設定是獨立的對外的存取一切正常外來的存取預設全部封鎖能以協定種類與埠號進行篩選無法以IP位址或應用程式資料進行篩選,啟動ICF,網路安裝精靈新增連線精靈網路連線資料夾,服務選項,允許使用者在本機電腦上執行服務，或在家用網路環境內建立port的對應提供一系列預先定義好的服務使用者可以自行建立新的對應值,大綱,威脅、弱點與攻擊安全的第一步分析與修補軟體弱點增進企業網路的安全增進無線網路應用的安全增進網際網路應用的安全,我的電腦有哪些安全弱點,MBSA的特色,MBSA.圖形化介面MBSAcli.命令列界面MBSAcli./hfHFNetChk風格可同時掃描一部或多部電腦執行MBSA的帳戶必須是Administrators群組成員Mbsacli.-r192.168.0.1-192.168.0.10XML格式的安全性基準的報告儲存於userprofile的SecurityScans中Freedownload,MBSAMicrosoftSecurityBaselineAnalyzer,支援平台WindowsXPHomeEdition/ProfessionalWindows2000Professional/ServerWindowsServer2003掃描支援產品WindowsXP,WindowsServer2003,Windows2000,WindowsNT4.0IIS4.0,IIS5.x,IIS6.0InternetExplorer5.01以上WindowsMediaPlayer6.4以上SQL7,2000含MSDEExchangeServer5.5,2000,2003BizTalk、CommerceServer、CMS、HIS等,MBSA的運作,執行時會嘗試連線到Internet，以便從Microsoft下載msscure.cab及msscure.xmlmsscure.cab是由MicrosoftCorporation數位簽署的指定網域或IP位址的範圍時，會嘗試Ping所有電腦。MBSA會列出哪些電腦沒有辦法Ping到，並且繼續對已回應的電腦進行掃描人工下載mssecure.cab、mssecure.xml,MBSAScore,CheckFailedCriticalCheckFailednon-CriticalCheckPassedBestPracticesAdditionalInation,SecurityUpdateScanResults,什麼是SoftwareUpdateServices,,,,,,,,,,自動更新,SoftwareUpdateServices伺服器,自動更新,LAN,,,WindowsUpdateWebsite,Internet,,,,,,,,,自動更新,SUS伺服器,硬體需求PentiumIII700MHz以上512MBRAM6GB以上格式化為NTFS檔案系統的邏輯磁碟軟體需求Windows2000ServerSP2以上或WindowsServer2003IIS5.0以上InternetExplorer6.0以上,SUS用戶端,WindowsXPsp1含以上Windows2000sp3含以上WindowsServer2003使用自動更新並設定WUServer,Software\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptionsSoftware\Policies\Microsoft\Windows\WindowsUpdate\AU\UseWUServerSoftware\Policies\Microsoft\Windows\WindowsUpdate\WUServerSoftware\Policies\Microsoft\Windows\WindowsUpdate\WUStatusServer,大綱,威脅、弱點與攻擊安全的第一步分析與修補軟體弱點增進企業網路的安全增進無線網路應用的安全增進網際網路應用的安全,VPN虛擬私人網路,在公眾的電腦網路如Internet建立虛擬的私人網路連線，達成如同私人網路相同的安全性並節省費用可透過公眾的電腦網路如Internet,publicIPAddress，將多個企業內部網路Intranet,privateIPAddress進行連通對IP封包進行封裝與加密,使用VPN虛擬私人網路,,VPN伺服器WindowsServer2003,Internet界面211.55.66.71,Intranet界面192.168.0.1,公司內部Intranet192.168.0.0,WindowsXP61.11.22.31,192.168.10.2,192.168.10.3,建立一個新連線,WindowsXP所支援的VPN協定,PPTP,L2TP,InternetworkcanbeIP,framerelay,X.25,orATM-based,Headercompression,Tunnelauthentication,UsesIPSecencryption,PPTPorL2TP,什麼是IPSec,IP網路傳輸安全的業界標準架構提供通訊前與通訊期間的雙向驗證確保資料傳輸的隱密性確保封包傳輸的完整性防止以封包重播方式的攻擊AH（AuthenticationHeader；驗證標頭）驗證傳送資料電腦的身份並確保資料的完整性ESP（EncapsulatedSecurityPayload；壓縮安全性內容）驗證傳送資料電腦的身份並確保資料的隱密性與完整性,IPSec如何運作,TCP層,IPSec驅動程式,TCP層,IPSec驅動程式,IP安全性原則,IP安全性原則,ActiveDirectory,什麼是IP安全性原則,IPSec使用規則與原則來確保網路傳輸的安全規則的組成IP篩選器清單篩選器動作驗證方法預設的原則用戶端僅回應伺服器要求安全性安全的伺服器需要安全性,使用預設原則,◎預設以Kerberos驗證,如何指派IP安全性原則,使用『IP安全性原則管理』在ActiveDirectory網域中使用群組原則進行集中管理,大綱,威脅、弱點與攻擊安全的第一步分析與修補軟體弱點增進企業網路的安全增進無線網路應用的安全增進網際網路應用的安全,802.11無線網路的安全機制,身分驗證Authentication開放式系統OpenSystem封閉式系統ClosedSystem分享密鑰認證Shared-Key資料保密ConfidentialityWEPWiredEquivalentPrivacy資料的完整性IntegrityCRCCRCWEP,802.11認證模式,802.1X,Port-based存取控制方式可以用在無線或有線網路環境Accesspoint必須支援802.1X不需要大幅改變現有硬體架構可以使用EAP使用更高安全性的驗證方式讓用戶端選擇使用的驗證方式Accesspoint不需要提供EAP的驗證方式金鑰自動管理不須重新改寫無線網卡的晶片設計,802.1X,連接埠存取實體PAE,也稱為LAN連接埠支援連接埠相關IEEE802.1X通訊協定的邏輯實體。驗證者對於無線連線而言，驗證者就是無線存取點AP上的邏輯LAN連接埠請求者請求者對於無線連線而言，請求者就是在無線LAN網路介面卡上要求存取有線網路的邏輯LAN連接埠驗證伺服器無線AP通常會使用「遠端驗證撥號使用者服務」RADIUS通訊協定將連線嘗試參數傳送給RADIUS伺服器IAS,網際網路驗證服務。,WPA,支援Pre-SharedKeyPSK讓沒有RADIUS的環境也能使用在每次連線起始過程重新產生金鑰TKIP取代802.1X金鑰管理Temporalkeyintegrityprotocol128-bitRC4結合128-bitIV及用戶端MACaddress每個frame都使用不同的加密金鑰並非完全取代WEP提供更安全的加密金鑰機制AES,大綱,威脅、弱點與攻擊安全的第一步分析與修補軟體弱點增進企業網路的安全增進無線網路應用的安全增進網際網路應用的安全,保護電子郵件,加密防止郵件內容被第三者看到簽章防止郵件內容被竄改確認發信者的身份法律效力內政部自然人憑證,如何在電子郵件使用簽章與加密,向憑證授權單位CA申請目的為『安全電子郵件』用途的憑證請注意E-Mail位址需正確，且收發信雙方皆信任此CA將含私有金鑰的憑證安裝匯入至發信電腦設定Outlook或OutlookExpress啟用簽章、加密並使用該憑證發信時，依需要選取簽章、加密收信者需取得發信者的公開金鑰，並在通訊錄的該聯絡人設定中匯入,保護Web通訊,SecureSocketsLayerSSL3.0使用https443/TCP防止傳輸內容被第三者看到需要向憑證授權單位CA為Web伺服器申請『確保遠端電腦的識別』憑證,如何使用https,使用網頁伺服器憑證精靈，建立certreq.txt向憑證授權單位CA，提交certreq.txt下載憑證certnew.cer並使用網頁伺服器憑證精靈進行安裝啟用安全通訊用戶端以https進行存取,Web用戶端憑證,用以確認使用者身份不需輸入帳戶及密碼用戶需預先向憑證授權單位CA申請『向遠端電腦證明您的身分』的憑證Web伺服器管理者需啟用接受用戶憑證功能並將用戶憑證對應為本機或網域的使用者帳戶,TechNet研討會實錄與社群,,