I windows server 2003
Download
1 / 56

I - PowerPoint PPT Presentation


  • 203 Views
  • Updated On :

作業系統平台的安全控管 I – Windows Server 2003. 邱顯智 精誠公司 恆逸資訊 系統工程部 專任講師. 本場次假設您. 具備 Windows Server 2003 管理經驗 熟悉 Windows 管理工具的操作 瞭解 Active Directory 及群組原則運作基礎. 議題大綱. 伺服器安全強化作業簡介 善用安全性範本提昇伺服器的安全性 Windows Server 2003 SP 1 功能展示 各種角色的伺服器安全強化建議 Windows Server 2003 災難復原機制. 伺服器安全強化作業簡介.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' I' - Angelica


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
I windows server 2003 l.jpg

作業系統平台的安全控管 I– Windows Server 2003

邱顯智

精誠公司 恆逸資訊

系統工程部 專任講師


Slide2 l.jpg
本場次假設您

  • 具備 Windows Server 2003 管理經驗

  • 熟悉 Windows 管理工具的操作

  • 瞭解Active Directory及群組原則運作基礎


Slide3 l.jpg
議題大綱

  • 伺服器安全強化作業簡介

  • 善用安全性範本提昇伺服器的安全性

  • Windows Server 2003 SP 1 功能展示

  • 各種角色的伺服器安全強化建議

  • Windows Server 2003 災難復原機制


Slide4 l.jpg
伺服器安全強化作業簡介

  • 企業普遍存在的問題

仍然使用老舊的系統

伺服器扮演多重角色服務

佈署安全解決方案的資源有限

系統曝露在不安全的環境

來自內部或

意外的威脅

缺乏安全專業人員


Slide5 l.jpg
伺服器安全強化作業簡介

  • 資安人員的難題

    • 資訊安全工作多如牛毛

    • 系統怎麼設定才算安全

    • 建置資安系統經費不足

    • 對使用者是否造成影響


Slide6 l.jpg
伺服器安全強化作業簡介

  • 難以取捨的三角習題

安全性

安全性取捨

成本

可用性


Slide7 l.jpg
伺服器安全強化作業簡介

  • 進行安全等級分類

公開

內部

機密

極機密


Slide8 l.jpg
伺服器安全強化作業簡介

  • 何謂「縱深防禦」

    • 提高偵測到攻擊者的機率、降低攻擊成功的機會

安全原則、程序與認知

實體安全

資料

存取授權、檔案加密

應用程式

應用程式安全強化、防毒

作業系統安全強化、驗證、HIDS

主機

IPSec、網段區隔、NIDS

內部網路

防火牆、網路存取(撥接或VPN)的隔離控制

外圍網路

警衛、人員與機房進出管制

安全文件、員工教育訓練


Slide9 l.jpg
伺服器安全強化作業簡介

  • 伺服器安全性強化基本要務

    • 安裝最新的 Service Pack 及安全性更新程式

    • 使用群組原則設定強化伺服器的安全性

    • 利用 MBSA 確定伺服器的安全設定

    • 限制不必要的存取行為(實體及網路)



Slide11 l.jpg
伺服器安全強化作業簡介

  • 伺服器強化的基本建議

    • 將內建的 Administrator 及 Guest 帳號重新命名

    • 使用受限群組原則限制 Administrators 群組成員

    • 限制可以在伺服上進行本機登入的使用者

    • 啟用複雜性密碼原則

    • 不要用同一組帳號密碼做為服務用的帳戶

    • 使用嚴謹的 NTFS 權限保護檔案及資料夾


Slide12 l.jpg
議題大綱

  • 伺服器安全強化作業簡介

  • 善用安全性範本提昇伺服器的安全性

  • Windows Server 2003 SP 1 功能展示

  • 各種角色的伺服器安全強化建議

  • Windows Server 2003 災難復原機制


Slide13 l.jpg
善用安全性範本提昇伺服器安全性

  • 何謂安全性範本

    • 集合系統安全性設定的純文字檔案

    • 可以匯入到群組原則中的安全性設定

    • 簡化安全性設定的佈署流程


Slide14 l.jpg
善用安全性範本提昇伺服器安全性

  • 內建的安全性範本

    • 基本安全性環境

      • Setup Security.inf, DC Security.inf

    • 中度安全性環境

      • SecureDC.inf, SecureWS.inf

    • 高度安全性環境

      • HisecDC.inf, HisecWS.inf

    • 其它的安全性範本

      • CompatWS.inf, RootSec.inf


Slide15 l.jpg
善用安全性範本提昇伺服器安全性

  • 您可以免費取得的安全性範本

    • 下載 Windows Server 2003 資訊安全手冊

    • 分三大類安全環境

      • Legacy Client

        • 含有Windows 98及Windows NT 4.0 Workstation用戶端或Windows NT 4.0 Server成員伺服器

      • Enterprise Client

        • 使用Windows 2000以上版本的伺服器及用戶端

      • High Security

        • 針對像美國國防部這類需要極為嚴苛的安全性環境而設計


Slide16 l.jpg
善用安全性範本提昇伺服器安全性

  • 伺服器角色分類

    • Domain Controllers

    • Infrastructure Servers

    • Internet Information Service Servers

    • Certificate Service Servers

    • File Servers

    • Print Servers

    • Internet Authentication Service Servers

    • Bastion Hosts


Slide17 l.jpg
善用安全性範本提昇伺服器安全性

  • Windows Server 2003 資訊安全手冊中附的安全性範本


Slide18 l.jpg
善用安全性範本提昇伺服器安全性

  • 安全性範本編輯及測試工具

    • 「安全性範本」嵌入式管理單元

      • 提供與群組原則一致的設定介面

      • 可將您儲存的設定內容自動轉為 INF 檔案格式

    • 「安全性設定及分析」嵌入式管理單元

      • 比較範本與電腦現正執行的安全設定的差異

      • 修改及匯出範本內的安全設定

      • 套用範本的安全設定


Slide19 l.jpg
善用安全性範本提昇伺服器安全性

  • 操作示範-「安全性範本」工具

    • 開啟「安全性範本」嵌入式管理單元

    • 檢視內建的安全性範本

    • 新增範本搜尋路徑

    • 建立自訂的安全性範本

DEMO


Slide20 l.jpg
善用安全性範本提昇伺服器安全性

  • 操作示範-「安全性設定及分析」工具

    • 「安全性設定及分析」嵌入式管理單元使用邏輯

      • 開啟資料庫

      • 匯入範本

      • 分析電腦

      • 修改設定(非必要動作)

      • 匯出設定(非必要動作)

      • 設定電腦

DEMO


Slide21 l.jpg
善用安全性範本提昇伺服器安全性

  • 利用 Active Directory 佈署安全性設定


Slide22 l.jpg
善用安全性範本提昇伺服器安全性

  • 使用安全性範本的建議事項

    • 不要盲目地套用安全性範本

    • 儘量保留安全性設定回復的能力

    • 正式套用安全性範本之前,您應該再三測試,確定安全性範本不會影響到正常功能

    • 請勿讓他人有機會取得您的安全性範本


Slide23 l.jpg
議題大綱

  • 伺服器安全強化作業簡介

  • 善用安全性範本提昇伺服器的安全性

  • Windows Server 2003 SP 1 功能展示

  • 各種角色的伺服器安全強化建議

  • Windows Server 2003 災難復原機制


Windows server 2003 sp 1 l.jpg
Windows Server 2003 SP 1 功能展示

  • 安裝 WS2003 SP1 的十大理由

    • 縮小您伺服器的受攻擊面

    • 幫助保護新安裝的伺服器

    • 從開機到關機,隨時受防火牆保護

    • 利用「不可執行」硬體的支援及軟體,加強您的防衛能力

    • 以更堅固的預設值並削減特殊權限來幫助保護您的系統服務

    • 將過期的虛擬私人網路 (VPN) 資產加以隔離


Windows server 2003 sp 125 l.jpg
Windows Server 2003 SP 1 功能展示

  • 安裝 WS2003 SP1 的十大理由(續)

    • 監視和稽核您的 IIS 組態設定值

    • Windows 防火牆原則管理

    • 幫助保全 Internet Explorer

    • 避免可能不安全的電子郵件


Windows server 2003 sp 126 l.jpg
Windows Server 2003 SP 1 功能展示

  • SP1 主要的新功能與加強功能

    • 新增功能

      • Windows 防火牆

      • 安裝後安全更新(PSSU)

      • 安全性設定精靈(SCW)

    • 加強功能

      • 更堅固的預設值及削減特殊權限(RPC, DCOM Lock down)

      • 支援「不可執行」硬體

      • VPN 隔離功能

      • IIS 6 組態稽核


Windows server 2003 sp 127 l.jpg
Windows Server 2003 SP 1 功能展示

  • Windows 防火牆簡介

    • 軟體的狀態式主機防火牆

    • 可保護 IPv4 與 IPv6 的資料流量

    • 預設值為「關閉」(PSSU執行期間自動啟用)

    • 可在開機過程提供短暫的保護

    • 可以利用命令提示字元及群組原則進行設定

    • 對應用程式所造成的影響

      • 預設所有輸入的網路流量將不允許

      • 只有在應用程式執行時,服務連接埠才會進行接聽動作


Windows server 2003 sp 128 l.jpg
Windows Server 2003 SP 1 功能展示

  • Windows 防火牆功能和增強

    • 開機時的安全性

    • 全域設定

    • 稽核記錄

    • 例外資料流量的範圍限制

    • 命令列支援(Netsh 指令)

    • 「無例外開啟」操作模式

    • 以程式為基礎的例外

    • 多重設定檔


Windows server 2003 sp 129 l.jpg
Windows Server 2003 SP 1 功能展示

  • Windows 防火牆功能和增強(續)

    • 還原預設值

    • 支援自動安裝

    • IPv6 支援(與 IPv4 共享相同的例外資料流量設定)

    • 更新的使用者介面

    • 新的群組原則支援


Windows server 2003 sp 130 l.jpg
Windows Server 2003 SP 1 功能展示

  • 操作示範-Windows 防火牆

    • 檢視 Windows 防火牆的啟動狀況

    • 設定 Windows 防火牆相關群組原則

      電腦設定/系統管理範本/網路/網路連線/ Windows 防火牆

    • 確認群組原則套用結果

DEMO


Windows server 2003 sp 131 l.jpg
Windows Server 2003 SP 1 功能展示

  • 安裝後安全性更新(PSSU)

    • 用以保護開機後至執行安全行更新這一段其間,Windows 作業系統的安全性

    • 除非 Windows 防火牆經由無人安裝或群組原則明確啟用,否則將會於管理者第一次登入時啟用

    • 所有輸入的網路流量都將被阻擋,直到管理者點選 PSSU 的「完成」按鈕

    • 提供了連結至 Windows Update 的選項


Windows server 2003 sp 132 l.jpg
Windows Server 2003 SP 1 功能展示

  • 安裝後安全性更新(續)

    • 提供了設定「自動更新」的選項

    • 倘若沒有完成設定將會在下一次登入時再啟動

    • 啟用時機

      • 利用包含 Windows Server 2003 SP1 的安裝光碟片進行全新作業系統安裝完成後

      • 利用包含 Windows Server 2003 SP1 的安裝光碟片昇級 Windows NT 4.0 完畢後


Windows server 2003 sp 133 l.jpg
Windows Server 2003 SP 1 功能展示

  • 操作示範-PSSU

    • 檢視 PSSU 畫面

    • 確認 Windows 防火牆已啟用

    • 設定自動更新

    • 完成 PSSU 設定

    • 確認 Windows 防火牆已停用

DEMO


Windows server 2003 sp 134 l.jpg
Windows Server 2003 SP 1 功能展示

  • 安全性設定精靈(SCW)

    • 減少受到攻擊的面積

      • 作業系統的預設值可能是不安全的

      • 管理者無法藉由「安全手冊」來取得或維持作業系統的安全性

    • 藉由「可延伸 XML 知識庫」來定義伺服器的角色

    • 在知識庫中定義了有超過 50 種的伺服器角色,包括了 ExchangeServer 與 SQL Server 等…


Windows server 2003 sp 135 l.jpg
Windows Server 2003 SP 1 功能展示

  • 安全性設定精靈(續)

    • SCW 安全性涵蓋範圍

      • 停用不必要的服務

      • 停用不必要的 IIS 網站延伸功能

      • 封鎖不使用的連接埠,包括對多網卡主機的支援

      • 保護爲使用 IPSec 而開啟的連接埠

      • 降低對 LDAP、LAN Manager和SMB 等通訊協定的揭露

      • 匯入各種 Windows 安全性範本,以涵蓋精靈所無法設定的設定值


Windows server 2003 sp 136 l.jpg
Windows Server 2003 SP 1 功能展示

  • 安全性設定精靈(續)

    • SCW 操作功能

      • 建立、編輯、套用、回復、分析

      • 遠端存取

      • 命令列支援

      • Active Directory 整合

      • XSL 檢視


Windows server 2003 sp 137 l.jpg
Windows Server 2003 SP 1 功能展示

  • 操作示範-SCW

    • 安裝 SCW

    • 啟動 SCW

      開始/系統管理工具/安全性設定精靈

    • 使用 SCW 強化 Windows Server 2003的安全設定

DEMO


Slide38 l.jpg
議題大綱

  • 伺服器安全強化作業簡介

  • 善用安全性範本提昇伺服器的安全性

  • Windows Server 2003 SP 1 功能展示

  • 各種角色的伺服器安全強化建議

  • Windows Server 2003 災難復原機制


Slide39 l.jpg
各種角色的伺服器安全強化建議

  • 網域控制站安全強化建議

    • 做好網域控制站的實體保護措施

    • 使用群組原則為所有的網域控制站套用網域控制站安全性範本

    • 停用不必要的服務

    • 定義必要的稽核及安全性記錄檔

    • 在每一個網域中至少安裝兩台以上網域控制站

    • 定期備份 AD 資料庫


Slide40 l.jpg
各種角色的伺服器安全強化建議

  • 成員伺服器安全強化建議

Infrastructure Servers

File and Print Servers

規劃

Active Directory

OU 結構

套用

成員伺服器

基準原則

IIS Servers

進行以角為基礎的安全設定調校

RADIUS (IAS) Servers

Certificate Services Servers

Bastion Hosts


Slide41 l.jpg
各種角色的伺服器安全強化建議

  • 基礎架構伺服器強化建議

    • 套用 Infrastructure Server security template以強化安全設定

    • 建議您應該還要注意以下事項

      • 啟用 DHCP 稽核記錄

      • 設計 DHCP 的容錯架構

      • 在 DNS 伺服器上儘量採用安全性動態更新

      • 避免讓外部使用者查詢 內部 DNS 的記錄

      • 限制不必要的區域轉送行為

      • 使用 IPSec 限制不必要的連接埠


Slide42 l.jpg
各種角色的伺服器安全強化建議

  • 檔案伺服器強化建議

    • 套用 File Server security template以強化安全設定

    • 建議您應該還要注意以下事項

      • 在沒有啟用分散式檔案系統的檔案伺服器上停用 DFS 及 FRS 服務

      • 設定嚴謹的共用權限及 NTFS 權限

      • 對重要的檔案及資料夾啟用存取稽核

      • 使用 IPSec 限制不必要的連接埠


Slide43 l.jpg
各種角色的伺服器安全強化建議

  • 列印伺服器強化建議

    • 套用 Print Server security template 以強化安全設定

    • 建議您應該還要注意以下事項

      • 確定 Print Spooler 服務都已經啟用

      • 將 Print Spooler 資料夾的位置移到不含作業系統的磁碟上

      • 確認列印伺服器沒有啟用 SMB 簽署

      • 使用 IPSec 限制不必要的連接埠


Slide44 l.jpg
各種角色的伺服器安全強化建議

  • IIS 伺服器強化建議

    • 套用 IIS security template 以強化安全設定

    • 建議您應該還要注意以下事項

      • 只啟用必要的 IIS 元件

      • 使用專屬的磁區存放 IIS 檔案及網頁內容,並設定嚴謹的 NTFS 權限

      • 不要在網頁伺服器上同時啟用「寫入」及「指令碼及執行檔」兩種權限

      • 使用 IPSec 限制不必要的連接埠


Slide45 l.jpg
議題大綱

  • 伺服器安全強化作業簡介

  • 善用安全性範本提昇伺服器的安全性

  • Windows Server 2003 SP 1 功能展示

  • 各種角色的伺服器安全強化建議

  • Windows Server 2003 災難復原機制


Windows server 2003 l.jpg
Windows Server 2003 災難復原機制

  • 何謂「災難復原」

    • 「災難」泛指可能造成資訊流失的各種意外

    • 「災難復原」即是在災難發生後在短時間內將資訊恢復正常可用的處理步驟

    • 災難復原處理步驟包含以下幾點

      • 制訂災難復原計劃

      • 更換備品

      • 回存資料

      • 測試災難復原的結果


Windows server 200347 l.jpg
Windows Server 2003 災難復原機制

  • 災難復原建議原則

    • 制訂詳細的災難復原計劃並進行定期備份

    • 定期執行災難復原演練

    • 最好建立兩組備份

    • 對伺服器進行系統狀態的備份

    • 把作業系統安裝光碟片放在垂手可得的地方


Windows server 200348 l.jpg
Windows Server 2003 災難復原機制

  • Windows Server 2003 災難復原新功能

    • 系統自動修復

      • Automatic System Recovery (ASR)

    • 共用資料夾的陰影複製

      • Volume Shadow Copy


Windows server 200349 l.jpg
Windows Server 2003 災難復原機制

  • ASR 的特性

    • 針對安裝作業系統的硬碟進行備份

    • 主要針對「作業系統」備份(只備份作業系統磁區內的資料)

    • 備份完成後會產生以下備份產物

      • ASR 磁片-儲存還原參數(例如:電腦名稱、SID、原來磁區的劃分方式及ASR備份檔路徑…等)

      • ASR備份檔-儲存真正作業系統的備份內容

    • 還原時會依原有硬碟的磁區劃分方式重新劃分目的地硬碟

    • 適用於作業系統完全損毀的救援用途


Windows server 200350 l.jpg
Windows Server 2003 災難復原機制

  • 操作示範- ASR 備份及還原

    • 對 Windows Server 2003 伺服器進行 ASR 備份

    • 利用 ASR 還原恢復伺服器作業系統

DEMO


Windows server 200351 l.jpg
Windows Server 2003 災難復原機制

  • 何謂「共用資料夾陰影複製」

    • 傳統使用者不慎覆蓋或誤刪檔案伺服器上的檔案時只能利用「資料備份」進行回存

    • 通常仰賴 IT 人員執行回存作業

    • 若由磁帶回存時,將耗費許多等待時間

    • 使用「共用資料夾陰影複製」可以讓使用者輕輕鬆鬆自行回復被誤刪或不慎覆蓋的「網路」檔案


Windows server 200352 l.jpg
Windows Server 2003 災難復原機制

  • 「共用資料夾陰影複製」的運作特性

    • 定時掃描共用資料內容產生陰影複製

    • 針對「整個」NTFS 磁區啟用

    • 每個檔案最多可記錄 64 個異動版本

    • 預設使用 10% 的硬碟空間進行陰影複製內容的儲存區

    • 不可用來取代日常的備份

    • 用戶端必須具備「以前的版本」檢視軟體

      %systemroot%\system32\clients\twclient\x86\twcli32.exe


Windows server 200353 l.jpg
Windows Server 2003 災難復原機制

  • 操作示範-共用資料夾陰影複製

    • 在檔案伺服器設定和啟用共用資料夾陰影複製

    • 在 Windows XP 用戶電腦上

      • 覆蓋網路檔案

      • 刪除網路檔案

      • 安裝「以前的版本」檢視軟體

      • 復原遭覆蓋及刪除的檔案

DEMO


Slide54 l.jpg
課程總結

  • 採用「縱深防禦」模型建立多層次防禦的安全保護體系

  • 儘快評估並佈署 Service Pack 1

  • 規劃適當的 OU 架構協助佈署安全設定

  • 儘可能使用複雜密碼且妥善保管密碼

  • 使用「安全性設定精靈」協助您加強伺服器的安全設定

  • 對每一台伺服器進行 ASR 備份


Slide55 l.jpg
參考資料

  • Windows Server 2003 Service Pack 1

    http://www.microsoft.com/windowsserver2003/downloads/servicepacks/sp1/default.mspx(英文)

    http://www.microsoft.com/taiwan/windowsserver2003/downloads/servicepacks/sp1/default.mspx(中文)

  • Windows Server 2003 資訊安全手冊

    http://download.microsoft.com/download/8/5/e/85ec42aa-b8ba-4f60-ae0e-c25455e46ee4/WinServer2003-SecurityGuide.pdf(中文)

    http://www.microsoft.com/technet/security/prodtech/windowsserver2003/W2003HG/SGCH00.mspx(英文)



ad