i windows server 2003 l.
Download
Skip this Video
Download Presentation
??????????? I – Windows Server 2003

Loading in 2 Seconds...

play fullscreen
1 / 56

??????????? I – Windows Server 2003 - PowerPoint PPT Presentation


  • 205 Views
  • Uploaded on

作業系統平台的安全控管 I – Windows Server 2003. 邱顯智 精誠公司 恆逸資訊 系統工程部 專任講師. 本場次假設您. 具備 Windows Server 2003 管理經驗 熟悉 Windows 管理工具的操作 瞭解 Active Directory 及群組原則運作基礎. 議題大綱. 伺服器安全強化作業簡介 善用安全性範本提昇伺服器的安全性 Windows Server 2003 SP 1 功能展示 各種角色的伺服器安全強化建議 Windows Server 2003 災難復原機制. 伺服器安全強化作業簡介.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about '??????????? I – Windows Server 2003' - Angelica


Download Now An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
i windows server 2003

作業系統平台的安全控管 I– Windows Server 2003

邱顯智

精誠公司 恆逸資訊

系統工程部 專任講師

slide2
本場次假設您
  • 具備 Windows Server 2003 管理經驗
  • 熟悉 Windows 管理工具的操作
  • 瞭解Active Directory及群組原則運作基礎
slide3
議題大綱
  • 伺服器安全強化作業簡介
  • 善用安全性範本提昇伺服器的安全性
  • Windows Server 2003 SP 1 功能展示
  • 各種角色的伺服器安全強化建議
  • Windows Server 2003 災難復原機制
slide4
伺服器安全強化作業簡介
  • 企業普遍存在的問題

仍然使用老舊的系統

伺服器扮演多重角色服務

佈署安全解決方案的資源有限

系統曝露在不安全的環境

來自內部或

意外的威脅

缺乏安全專業人員

slide5
伺服器安全強化作業簡介
  • 資安人員的難題
    • 資訊安全工作多如牛毛
    • 系統怎麼設定才算安全
    • 建置資安系統經費不足
    • 對使用者是否造成影響
slide6
伺服器安全強化作業簡介
  • 難以取捨的三角習題

安全性

安全性取捨

成本

可用性

slide7
伺服器安全強化作業簡介
  • 進行安全等級分類

公開

內部

機密

極機密

slide8
伺服器安全強化作業簡介
  • 何謂「縱深防禦」
    • 提高偵測到攻擊者的機率、降低攻擊成功的機會

安全原則、程序與認知

實體安全

資料

存取授權、檔案加密

應用程式

應用程式安全強化、防毒

作業系統安全強化、驗證、HIDS

主機

IPSec、網段區隔、NIDS

內部網路

防火牆、網路存取(撥接或VPN)的隔離控制

外圍網路

警衛、人員與機房進出管制

安全文件、員工教育訓練

slide9
伺服器安全強化作業簡介
  • 伺服器安全性強化基本要務
    • 安裝最新的 Service Pack 及安全性更新程式
    • 使用群組原則設定強化伺服器的安全性
    • 利用 MBSA 確定伺服器的安全設定
    • 限制不必要的存取行為(實體及網路)
slide11
伺服器安全強化作業簡介
  • 伺服器強化的基本建議
    • 將內建的 Administrator 及 Guest 帳號重新命名
    • 使用受限群組原則限制 Administrators 群組成員
    • 限制可以在伺服上進行本機登入的使用者
    • 啟用複雜性密碼原則
    • 不要用同一組帳號密碼做為服務用的帳戶
    • 使用嚴謹的 NTFS 權限保護檔案及資料夾
slide12
議題大綱
  • 伺服器安全強化作業簡介
  • 善用安全性範本提昇伺服器的安全性
  • Windows Server 2003 SP 1 功能展示
  • 各種角色的伺服器安全強化建議
  • Windows Server 2003 災難復原機制
slide13
善用安全性範本提昇伺服器安全性
  • 何謂安全性範本
    • 集合系統安全性設定的純文字檔案
    • 可以匯入到群組原則中的安全性設定
    • 簡化安全性設定的佈署流程
slide14
善用安全性範本提昇伺服器安全性
  • 內建的安全性範本
    • 基本安全性環境
      • Setup Security.inf, DC Security.inf
    • 中度安全性環境
      • SecureDC.inf, SecureWS.inf
    • 高度安全性環境
      • HisecDC.inf, HisecWS.inf
    • 其它的安全性範本
      • CompatWS.inf, RootSec.inf
slide15
善用安全性範本提昇伺服器安全性
  • 您可以免費取得的安全性範本
    • 下載 Windows Server 2003 資訊安全手冊
    • 分三大類安全環境
      • Legacy Client
        • 含有Windows 98及Windows NT 4.0 Workstation用戶端或Windows NT 4.0 Server成員伺服器
      • Enterprise Client
        • 使用Windows 2000以上版本的伺服器及用戶端
      • High Security
        • 針對像美國國防部這類需要極為嚴苛的安全性環境而設計
slide16
善用安全性範本提昇伺服器安全性
  • 伺服器角色分類
    • Domain Controllers
    • Infrastructure Servers
    • Internet Information Service Servers
    • Certificate Service Servers
    • File Servers
    • Print Servers
    • Internet Authentication Service Servers
    • Bastion Hosts
slide17
善用安全性範本提昇伺服器安全性
  • Windows Server 2003 資訊安全手冊中附的安全性範本
slide18
善用安全性範本提昇伺服器安全性
  • 安全性範本編輯及測試工具
    • 「安全性範本」嵌入式管理單元
      • 提供與群組原則一致的設定介面
      • 可將您儲存的設定內容自動轉為 INF 檔案格式
    • 「安全性設定及分析」嵌入式管理單元
      • 比較範本與電腦現正執行的安全設定的差異
      • 修改及匯出範本內的安全設定
      • 套用範本的安全設定
slide19
善用安全性範本提昇伺服器安全性
  • 操作示範-「安全性範本」工具
    • 開啟「安全性範本」嵌入式管理單元
    • 檢視內建的安全性範本
    • 新增範本搜尋路徑
    • 建立自訂的安全性範本

DEMO

slide20
善用安全性範本提昇伺服器安全性
  • 操作示範-「安全性設定及分析」工具
    • 「安全性設定及分析」嵌入式管理單元使用邏輯
      • 開啟資料庫
      • 匯入範本
      • 分析電腦
      • 修改設定(非必要動作)
      • 匯出設定(非必要動作)
      • 設定電腦

DEMO

slide21
善用安全性範本提昇伺服器安全性
  • 利用 Active Directory 佈署安全性設定
slide22
善用安全性範本提昇伺服器安全性
  • 使用安全性範本的建議事項
    • 不要盲目地套用安全性範本
    • 儘量保留安全性設定回復的能力
    • 正式套用安全性範本之前,您應該再三測試,確定安全性範本不會影響到正常功能
    • 請勿讓他人有機會取得您的安全性範本
slide23
議題大綱
  • 伺服器安全強化作業簡介
  • 善用安全性範本提昇伺服器的安全性
  • Windows Server 2003 SP 1 功能展示
  • 各種角色的伺服器安全強化建議
  • Windows Server 2003 災難復原機制
windows server 2003 sp 1
Windows Server 2003 SP 1 功能展示
  • 安裝 WS2003 SP1 的十大理由
    • 縮小您伺服器的受攻擊面
    • 幫助保護新安裝的伺服器
    • 從開機到關機,隨時受防火牆保護
    • 利用「不可執行」硬體的支援及軟體,加強您的防衛能力
    • 以更堅固的預設值並削減特殊權限來幫助保護您的系統服務
    • 將過期的虛擬私人網路 (VPN) 資產加以隔離
windows server 2003 sp 125
Windows Server 2003 SP 1 功能展示
  • 安裝 WS2003 SP1 的十大理由(續)
    • 監視和稽核您的 IIS 組態設定值
    • Windows 防火牆原則管理
    • 幫助保全 Internet Explorer
    • 避免可能不安全的電子郵件
windows server 2003 sp 126
Windows Server 2003 SP 1 功能展示
  • SP1 主要的新功能與加強功能
    • 新增功能
      • Windows 防火牆
      • 安裝後安全更新(PSSU)
      • 安全性設定精靈(SCW)
    • 加強功能
      • 更堅固的預設值及削減特殊權限(RPC, DCOM Lock down)
      • 支援「不可執行」硬體
      • VPN 隔離功能
      • IIS 6 組態稽核
windows server 2003 sp 127
Windows Server 2003 SP 1 功能展示
  • Windows 防火牆簡介
    • 軟體的狀態式主機防火牆
    • 可保護 IPv4 與 IPv6 的資料流量
    • 預設值為「關閉」(PSSU執行期間自動啟用)
    • 可在開機過程提供短暫的保護
    • 可以利用命令提示字元及群組原則進行設定
    • 對應用程式所造成的影響
      • 預設所有輸入的網路流量將不允許
      • 只有在應用程式執行時,服務連接埠才會進行接聽動作
windows server 2003 sp 128
Windows Server 2003 SP 1 功能展示
  • Windows 防火牆功能和增強
    • 開機時的安全性
    • 全域設定
    • 稽核記錄
    • 例外資料流量的範圍限制
    • 命令列支援(Netsh 指令)
    • 「無例外開啟」操作模式
    • 以程式為基礎的例外
    • 多重設定檔
windows server 2003 sp 129
Windows Server 2003 SP 1 功能展示
  • Windows 防火牆功能和增強(續)
    • 還原預設值
    • 支援自動安裝
    • IPv6 支援(與 IPv4 共享相同的例外資料流量設定)
    • 更新的使用者介面
    • 新的群組原則支援
windows server 2003 sp 130
Windows Server 2003 SP 1 功能展示
  • 操作示範-Windows 防火牆
    • 檢視 Windows 防火牆的啟動狀況
    • 設定 Windows 防火牆相關群組原則

電腦設定/系統管理範本/網路/網路連線/ Windows 防火牆

    • 確認群組原則套用結果

DEMO

windows server 2003 sp 131
Windows Server 2003 SP 1 功能展示
  • 安裝後安全性更新(PSSU)
    • 用以保護開機後至執行安全行更新這一段其間,Windows 作業系統的安全性
    • 除非 Windows 防火牆經由無人安裝或群組原則明確啟用,否則將會於管理者第一次登入時啟用
    • 所有輸入的網路流量都將被阻擋,直到管理者點選 PSSU 的「完成」按鈕
    • 提供了連結至 Windows Update 的選項
windows server 2003 sp 132
Windows Server 2003 SP 1 功能展示
  • 安裝後安全性更新(續)
    • 提供了設定「自動更新」的選項
    • 倘若沒有完成設定將會在下一次登入時再啟動
    • 啟用時機
      • 利用包含 Windows Server 2003 SP1 的安裝光碟片進行全新作業系統安裝完成後
      • 利用包含 Windows Server 2003 SP1 的安裝光碟片昇級 Windows NT 4.0 完畢後
windows server 2003 sp 133
Windows Server 2003 SP 1 功能展示
  • 操作示範-PSSU
    • 檢視 PSSU 畫面
    • 確認 Windows 防火牆已啟用
    • 設定自動更新
    • 完成 PSSU 設定
    • 確認 Windows 防火牆已停用

DEMO

windows server 2003 sp 134
Windows Server 2003 SP 1 功能展示
  • 安全性設定精靈(SCW)
    • 減少受到攻擊的面積
      • 作業系統的預設值可能是不安全的
      • 管理者無法藉由「安全手冊」來取得或維持作業系統的安全性
    • 藉由「可延伸 XML 知識庫」來定義伺服器的角色
    • 在知識庫中定義了有超過 50 種的伺服器角色,包括了 ExchangeServer 與 SQL Server 等…
windows server 2003 sp 135
Windows Server 2003 SP 1 功能展示
  • 安全性設定精靈(續)
    • SCW 安全性涵蓋範圍
      • 停用不必要的服務
      • 停用不必要的 IIS 網站延伸功能
      • 封鎖不使用的連接埠,包括對多網卡主機的支援
      • 保護爲使用 IPSec 而開啟的連接埠
      • 降低對 LDAP、LAN Manager和SMB 等通訊協定的揭露
      • 匯入各種 Windows 安全性範本,以涵蓋精靈所無法設定的設定值
windows server 2003 sp 136
Windows Server 2003 SP 1 功能展示
  • 安全性設定精靈(續)
    • SCW 操作功能
      • 建立、編輯、套用、回復、分析
      • 遠端存取
      • 命令列支援
      • Active Directory 整合
      • XSL 檢視
windows server 2003 sp 137
Windows Server 2003 SP 1 功能展示
  • 操作示範-SCW
    • 安裝 SCW
    • 啟動 SCW

開始/系統管理工具/安全性設定精靈

    • 使用 SCW 強化 Windows Server 2003的安全設定

DEMO

slide38
議題大綱
  • 伺服器安全強化作業簡介
  • 善用安全性範本提昇伺服器的安全性
  • Windows Server 2003 SP 1 功能展示
  • 各種角色的伺服器安全強化建議
  • Windows Server 2003 災難復原機制
slide39
各種角色的伺服器安全強化建議
  • 網域控制站安全強化建議
    • 做好網域控制站的實體保護措施
    • 使用群組原則為所有的網域控制站套用網域控制站安全性範本
    • 停用不必要的服務
    • 定義必要的稽核及安全性記錄檔
    • 在每一個網域中至少安裝兩台以上網域控制站
    • 定期備份 AD 資料庫
slide40
各種角色的伺服器安全強化建議
  • 成員伺服器安全強化建議

Infrastructure Servers

File and Print Servers

規劃

Active Directory

OU 結構

套用

成員伺服器

基準原則

IIS Servers

進行以角為基礎的安全設定調校

RADIUS (IAS) Servers

Certificate Services Servers

Bastion Hosts

slide41
各種角色的伺服器安全強化建議
  • 基礎架構伺服器強化建議
    • 套用 Infrastructure Server security template以強化安全設定
    • 建議您應該還要注意以下事項
      • 啟用 DHCP 稽核記錄
      • 設計 DHCP 的容錯架構
      • 在 DNS 伺服器上儘量採用安全性動態更新
      • 避免讓外部使用者查詢 內部 DNS 的記錄
      • 限制不必要的區域轉送行為
      • 使用 IPSec 限制不必要的連接埠
slide42
各種角色的伺服器安全強化建議
  • 檔案伺服器強化建議
    • 套用 File Server security template以強化安全設定
    • 建議您應該還要注意以下事項
      • 在沒有啟用分散式檔案系統的檔案伺服器上停用 DFS 及 FRS 服務
      • 設定嚴謹的共用權限及 NTFS 權限
      • 對重要的檔案及資料夾啟用存取稽核
      • 使用 IPSec 限制不必要的連接埠
slide43
各種角色的伺服器安全強化建議
  • 列印伺服器強化建議
    • 套用 Print Server security template 以強化安全設定
    • 建議您應該還要注意以下事項
      • 確定 Print Spooler 服務都已經啟用
      • 將 Print Spooler 資料夾的位置移到不含作業系統的磁碟上
      • 確認列印伺服器沒有啟用 SMB 簽署
      • 使用 IPSec 限制不必要的連接埠
slide44
各種角色的伺服器安全強化建議
  • IIS 伺服器強化建議
    • 套用 IIS security template 以強化安全設定
    • 建議您應該還要注意以下事項
      • 只啟用必要的 IIS 元件
      • 使用專屬的磁區存放 IIS 檔案及網頁內容,並設定嚴謹的 NTFS 權限
      • 不要在網頁伺服器上同時啟用「寫入」及「指令碼及執行檔」兩種權限
      • 使用 IPSec 限制不必要的連接埠
slide45
議題大綱
  • 伺服器安全強化作業簡介
  • 善用安全性範本提昇伺服器的安全性
  • Windows Server 2003 SP 1 功能展示
  • 各種角色的伺服器安全強化建議
  • Windows Server 2003 災難復原機制
windows server 2003
Windows Server 2003 災難復原機制
  • 何謂「災難復原」
    • 「災難」泛指可能造成資訊流失的各種意外
    • 「災難復原」即是在災難發生後在短時間內將資訊恢復正常可用的處理步驟
    • 災難復原處理步驟包含以下幾點
      • 制訂災難復原計劃
      • 更換備品
      • 回存資料
      • 測試災難復原的結果
windows server 200347
Windows Server 2003 災難復原機制
  • 災難復原建議原則
    • 制訂詳細的災難復原計劃並進行定期備份
    • 定期執行災難復原演練
    • 最好建立兩組備份
    • 對伺服器進行系統狀態的備份
    • 把作業系統安裝光碟片放在垂手可得的地方
windows server 200348
Windows Server 2003 災難復原機制
  • Windows Server 2003 災難復原新功能
    • 系統自動修復
      • Automatic System Recovery (ASR)
    • 共用資料夾的陰影複製
      • Volume Shadow Copy
windows server 200349
Windows Server 2003 災難復原機制
  • ASR 的特性
    • 針對安裝作業系統的硬碟進行備份
    • 主要針對「作業系統」備份(只備份作業系統磁區內的資料)
    • 備份完成後會產生以下備份產物
      • ASR 磁片-儲存還原參數(例如:電腦名稱、SID、原來磁區的劃分方式及ASR備份檔路徑…等)
      • ASR備份檔-儲存真正作業系統的備份內容
    • 還原時會依原有硬碟的磁區劃分方式重新劃分目的地硬碟
    • 適用於作業系統完全損毀的救援用途
windows server 200350
Windows Server 2003 災難復原機制
  • 操作示範- ASR 備份及還原
    • 對 Windows Server 2003 伺服器進行 ASR 備份
    • 利用 ASR 還原恢復伺服器作業系統

DEMO

windows server 200351
Windows Server 2003 災難復原機制
  • 何謂「共用資料夾陰影複製」
    • 傳統使用者不慎覆蓋或誤刪檔案伺服器上的檔案時只能利用「資料備份」進行回存
    • 通常仰賴 IT 人員執行回存作業
    • 若由磁帶回存時,將耗費許多等待時間
    • 使用「共用資料夾陰影複製」可以讓使用者輕輕鬆鬆自行回復被誤刪或不慎覆蓋的「網路」檔案
windows server 200352
Windows Server 2003 災難復原機制
  • 「共用資料夾陰影複製」的運作特性
    • 定時掃描共用資料內容產生陰影複製
    • 針對「整個」NTFS 磁區啟用
    • 每個檔案最多可記錄 64 個異動版本
    • 預設使用 10% 的硬碟空間進行陰影複製內容的儲存區
    • 不可用來取代日常的備份
    • 用戶端必須具備「以前的版本」檢視軟體

%systemroot%\system32\clients\twclient\x86\twcli32.exe

windows server 200353
Windows Server 2003 災難復原機制
  • 操作示範-共用資料夾陰影複製
    • 在檔案伺服器設定和啟用共用資料夾陰影複製
    • 在 Windows XP 用戶電腦上
      • 覆蓋網路檔案
      • 刪除網路檔案
      • 安裝「以前的版本」檢視軟體
      • 復原遭覆蓋及刪除的檔案

DEMO

slide54
課程總結
  • 採用「縱深防禦」模型建立多層次防禦的安全保護體系
  • 儘快評估並佈署 Service Pack 1
  • 規劃適當的 OU 架構協助佈署安全設定
  • 儘可能使用複雜密碼且妥善保管密碼
  • 使用「安全性設定精靈」協助您加強伺服器的安全設定
  • 對每一台伺服器進行 ASR 備份
slide55
參考資料
  • Windows Server 2003 Service Pack 1

http://www.microsoft.com/windowsserver2003/downloads/servicepacks/sp1/default.mspx(英文)

http://www.microsoft.com/taiwan/windowsserver2003/downloads/servicepacks/sp1/default.mspx(中文)

  • Windows Server 2003 資訊安全手冊

http://download.microsoft.com/download/8/5/e/85ec42aa-b8ba-4f60-ae0e-c25455e46ee4/WinServer2003-SecurityGuide.pdf(中文)

http://www.microsoft.com/technet/security/prodtech/windowsserver2003/W2003HG/SGCH00.mspx(英文)