windowsvista的安全指南-microsoftdownloadcenter

1、Windows Vista系統(tǒng)安全建置指南,謝合宜微軟特約技術顧問MCSE : Security/Messaging MVP/MCTBS7799/ISO27001 Lead Auditor,Level 200,預備知識,熟悉Windows作業(yè)系統(tǒng)的使用與管理網路資訊安全管理,講題大綱,安全指南的背景Vista的安全指南網域架構的用戶端安全加強的Vista安全,安全指南的用途,提供負責與可靠的安全指導方案根基在客戶所提供

2、的使用情境之上有強烈的支持作用專注在安全與效能、可用性的平衡提供工具來導入安全建置指南,What Are MSSC?(Microsoft Solutions for Security and Compliance),負責Microsoft產品的安全指南提出Microsoft個產品之間的安全協(xié)力機制整合所有的產品與技術MicrosoftPartnersNon-products,安全指南的歷史,Windows 98 and

3、 NT 4.0 Threat Mitigation GuideWindows 2000 Security GuideWindows XP Security GuideWindows Server 2003 Security GuideWindows Server 2003 Threats & Countermeasures GuideWindows Vista Security GuideWindows Vista

4、Threats & Countermeasures GuideNote: Vista安全指南目前正積極建立中,,TechNet Security Guidancehttp://www.microsoft.com/technet/security/http://www.microsoft.com/taiwan/technet/security,安全指南的建立過程,客戶導向來建立回饋方式與多個政府單位共同努力(美國)嚴

5、謹的發(fā)展過程檢查每一個設定根據安全性來決定所需的設定值在多個實際環(huán)境來測試設定值的使用情形與客戶來進行檢驗反覆檢驗確認直到真正完成為止,講題大綱,安全指南的背景Vista的安全指南網域架構的用戶端安全加強的Vista安全,Windows Vista的安全指南,從之前的作業(yè)系統(tǒng)版本擴展而來不同環(huán)境各別給予建議提供給不同的安全等級內容反映企業(yè)環(huán)境的需求包含情境式的安全指南善用Windows Vista的新安全技術

6、BitLocker, User Account Control等等擴展的GPMC設定控制,Vista安全指南的建立,預設的網路環(huán)境,Windows Server 2003 網域環(huán)境未受管理的電腦與使用者排除在外利用Group Policy Management Console以邏輯的企業(yè)需求來建立OU結構,使用情境,環(huán)境企業(yè)網路環(huán)境特定功能電腦的特殊安全功能特別加強惡意軟體的防護保護敏感資料整合特定的安全設定整合與

7、支援現存、舊的應用程式,全面性的防護架構,使用階層架構分析：增加攻擊者被偵測的風險降低攻擊者意外成功的攻擊,政策，程序與體認,實體安全,OS hardening、驗證、安全性更新管理,防火牆、網路存取隔離控制,守衛(wèi)、上鎖與追蹤裝置,網段隔離、IPSec、NIDS,Application hardening、防毒,ACLs、加密、EFS,安全文件與使用者教育,,,,,,,,網路周邊,內部網路,主機,應用程式,資料,安全指南的大致內容

8、,安全指南介紹設定AD網域基礎架構用戶端的安全性設定系統(tǒng)管理範本獨立的用戶端安全惡意軟體防制測試建議,用戶端電腦安全元件,,安全性密碼,防火牆,防毒,資料防護,用戶端管理工具,應用程式安全,行動電腦安全,軟體更新,企業(yè)網路環(huán)境威脅,一般的安全威脅密碼猜測Man-in-the-middle網路攻擊伺服器偽冒使用者洩漏、遺失資料或電腦惡意程式基本的保護就能提供高可使用性,企業(yè)網路環(huán)境解決對策,密碼原則帳號鎖定

9、SMB簽署(SMB signing)權限使用使用者權限Internet Explorer的加強,特定安全限制功能Specialized Security Limited Functionality (SSLF),企業(yè)網路環(huán)境的特例情形特別而更強固的設定大致都一樣的設定，而給特別參數增加安全性可能減低可使用度Cost?針對特殊的客戶需求,特定安全限制功能解決對策,基本跟企業(yè)環(huán)境一樣設定是為了更緊密的安全例如：稽核

10、物件存取一般環(huán)境: DisableSSLF: 稽核失敗結果更多的稽核事件更可能偵測到特定的攻擊行為更困難與麻煩地去分析事件紀錄資料,行動電腦安全,當行動電腦連線至企業(yè)網路時將會延伸網路周邊裝置對這些裝置延伸安全性：BIOS 密碼保護網路存取隔離控制更安全的無線存取驗證機制CompletePC備份工具BitLockerUSB裝置的安全控管,,Windows Vista的資料保護,,,教育使用者關於安全性密碼的原則

11、,使用包含空白、數字與特殊符號作為密碼的一部份,針對不同的資源使用不同的密碼,當離開電腦時使用鎖定電腦或者使用密碼保護的螢幕保護程式,使用多方驗證的機制加強安全,,實行安全性密碼,對抗惡意程式,使用者帳戶控制(UAC)Internet Explorer保護模式IE Phishing Filter64-bit驅動程式簽署IPSec隔離Driver Resource ProtectionWindows Defender,惡性程

12、式防護技巧,,降低攻擊層面,安裝防毒軟體,啟用主機端防火牆,利用設定掃描器測試,給予最少的特權原則,提供安全性更新,限制未授權的應用程式,實施深度防禦機制,,Windows Update的使用,講題大綱,安全指南的背景Vista的安全指南網域架構的用戶端安全加強的Vista安全,網域用戶端安全,Active Directory 元件建立 OU 的階層式架構如何新增 OU 的階層式結構使用 AD 建置用戶端安全,Active

13、Directory元件,群組原則建置與管理網路安全的基礎架構樹系（Forest）Active Directory 中的安全性邊界網域（Domain）蒐集與管理電腦、使用者與群組物件的管理範圍組織單位（OU）AD 中的容器物件，以組織其他物件,建立OU的階層式架構,Group Policy 可以簡化用戶端安全的設定分隔階層模組獨立出使用者 OU 與電腦 OU針對每一個 OU 給予適當的原則設定,如何新增OU的階層式結構

14、,,針對每一個部門新增 OU,1,針對每一種用戶型態(tài)的電腦依部門設定 OU,3,將所有用戶端的電腦帳號搬移至適當的 OU 中,4,新增並設定 GPO 指派給適當的 OU,5,針對每一種作業(yè)系統(tǒng)版本的用戶端依部門設定 OU,2,使用AD建置用戶端安全,,設計 OU 結構適當管理用戶端安全,設計 OU 結構獨立出使用者與電腦的安全帳號,新增 GPO 給每個 OU 以指派適當的安全性原則給用戶端,利用Group Policy加強用戶端安全,使

15、用安全性範本使用系統(tǒng)管理範本什麼是安全性設定,使用安全性範本,安全性範本提供預設的安全性設定,依用戶所包含的所有範本：所有網域中的使用者與電腦 桌上型電腦膝上型電腦每一個範本包含企業(yè)的用戶端與高安全的環(huán)境可以編輯安全性範本的設定並且匯入至 GPO 中,系統(tǒng)管理範本可以包含：,使用系統(tǒng)管理範本,電腦設定 使用者設定,你可以使用系統(tǒng)管理範本來設定：,使用者操作環(huán)境應用程式安全性設定,什麼是安全性設定,,,Windows V

16、ista的安全性設定,講題大綱,安全指南的背景Vista的安全指南網域架構的用戶端安全加強的Vista安全,Windows Vista群組原則新功能,多重本機群組原則ADMX的使用裝置設備的管理UAC的控管更多的安全控管,多重本機群組原則,LGPO 與 AD GPO 套用順序與優(yōu)先權沒有變動 (AD GPOs 依然有較高套用權)LGPOs 可以建立在：The machineNEW: Admin or non-Adm

17、in local groupsNEW: Individual local users套用順序依舊！(machine LGPO 先處理……)個別使用者的 GPO “wins”單一使用者依然會套用相關群組的LGPO (Admins or the Non-Admins, not both),ADMX的使用,ADM檔案的挑戰(zhàn)：不支援多國語系環(huán)境Sysvol 體積膨脹 (4Mb+ per GPO)有些不清楚且有限制的語法ADMX

18、 的好處內建多國語系支援 (與 ADML 檔案關聯)改善的檔案儲存方式 (可擺放本機或集中位置)更彈性的語法方式 (XML-based),ADMX 的集中存放,預設為非集中存放ADMX 擺放本機(位於GPMC或GPEdit管理時的電腦)建立與使用集中存放全網域的存放位置 – [sysvol]\policies\policydefinitions一個簡單步驟即可完成啟用後, Windows Vista GPMC/GPEdi

19、t 開始使用集中存放的 ADMX 檔案 (並且忽略本機位置),Windows Vista共存使用情形(ADMX/ADM 並存),Windows Vista 未包含任何的 ADM 檔 (ADMX 檔已涵蓋原來的 ADM 檔)ADMX and ADM files 可以同時共存使用 用“新增/移除範本”來新增 ADM 檔(非 ADMX 檔).,,透過系統(tǒng)管理範本來管理Office,卸除式存放裝置原則設定Removable storage

20、 device Policy Settings,可依“電腦”或“使用者”來分別設定原則控管，管理可依“read”或“write”來處理卸除式存放裝置分類CD/DVDTapesUSB plug-in devicesWindows Portable Devices (WPD)All other external removable storage devices,使用者帳戶控制原則設定User Account Control

21、Policy setting,以電腦來設定：Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options使用者帳戶控制原則設定式控制 “UAC”的使用行為,Windows Firewall 與 IPSec,在單一主控臺來一致性的管理設定常用連線情境的順暢設定,限制只允許加入網域的電腦進行網路資源存取,整合Windo

22、ws Firewall與IPSec 管理工作為單一操作介面,簡化的管理,強迫隔離的設定,更智慧的功能,指定允許的應用程式與連接埠只有具安全連結時才允許連線只有特定的AD群組才允許連線,更多安全相關原則設定,Version 7.0,Windows Defender,Wireless and Wired Configuration,Network Access Protection,Public Key Policy Configura

23、tion,Integrated IE 7.0 Policy Settings,Device Installation control,加強的稽核功能,更詳細的稽核例如登入、登出、檔案系統(tǒng)存取、機碼存取、管理權限使用新的記錄架構更方便過濾掉沒有用的事件記錄當事件發(fā)生時，可以傳送通知給管理者執(zhí)行特定的程式,整合、支援舊有的應用程式,相容性基礎的情境使用讓舊的或不太適當撰寫的程式亦能運作減損系統(tǒng)安全來成全可使用性,整合、支援舊

24、有的應用程式問題探討,增強安全通常會阻擋舊的應用程式的使用登錄檔的限制檔案系統(tǒng)的限制API呼叫的限制網路連結的限制問題可能很難被修正沒有原始程式碼缺乏解決資源降低安全可能是最方便的問題解決方式,整合、支援舊有的應用程式解決方案,Application Compatibility ToolkitUser Account Control (UAC)虛擬化調整使用者介面Windows Installer調整,講題總結

25、,善用AD與群組原則的建置與規(guī)劃來達到方便的控管從系統(tǒng)安裝、設定等等的設定都進行檢討，建立企業(yè)本身所需的安全指南深入了解Windows Vista的新增安全加強功能來應用於特殊的環(huán)境,For More Information…,TechNetwww.microsoft.com/taiwan/technetWindows Vistawww.microsoft.com/taiwan/windowsvistaWindows Vis

26、ta: Resources for IT Professionalwww.microsoft.com/technet/windowsvista/default.mspxMicrosoft Securitywww.microsoft.com/securitywww.microsoft.com/taiwan/securitywww.microsoft.com/TechNet/SecurityMVP Community社群網站w