'

Повышение безопасности серверов и рабочих станций

Понравилась презентация – покажи это...





Слайд 0

Повышение безопасности серверов и рабочих станций Presenter Name Job Title Microsoft


Слайд 1

Содержание Основы безопасности серверов и рабочих станций Настройка безопасности серверов Методики настройки IIS Настройка безопасности рабочих станций Методики обеспечения безопасности мобильных клиентов


Слайд 2

Основные правила безопасности Active Directory Определите границы безопасности Active Directory Ужесточите политики безопасности в домене Используйте ролевую иерархию OU Обеспечьте безопасность администраторских функций Защитите DNS


Слайд 3

Основные правила безопасности серверов Установите последний пакет исправлений и дополнений и все исправления безопасности Используйте групповые политики для защиты серверов - Отключите все ненужные службы - Включите строгие пароли - Отключите аутентификацию по протоколу LAN Manager и NTLMv1 Ограничьте физический доступ к серверам и сетевому оборудованию


Слайд 4

Основные правила безопасности рабочих станций Установите последний пакет исправлений и дополнений и все исправления безопасности Используйте групповые политики для защиты рабочих станций - Отключите все ненужные службы - Применяйте шаблоны безопасности - Настройте безопасность Internet Explorer Применяйте антивирусное ПО Обучайте пользователей


Слайд 5

Содержание Основы безопасности серверов и рабочих станций Настройка безопасности серверов Методики настройки IIS Настройка безопасности рабочих станций Методики обеспечения безопасности мобильных клиентов


Слайд 6

Системные службы, которые можно отключить


Слайд 7

Необходимые системные службы


Слайд 8

Определение зависимости служб Выясните зависимости между службами перед отключением Специальная оснастка в консоли Computer Management


Слайд 9

Настройка служб на серверах, выполняющих несколько ролей Шаблоны безопасности содержат настройки, которые определяют работу служб Настройки и ролевые шаблоны удобнее всего распространять с помощью групповых политик


Слайд 10

Использование фильтрации IPSec Общее правило – блокируйте весь трафик, кроме того, для обработки которого сервер предназначен Проверяйте политику IPSec перед внедрением Используйте оснастку IP Security Policy Management, Group Policy, или скрипты для настройки фильтров IPSec Настройте фильтры для каждой используемой роли сервера


Слайд 11

Фильтры IPSec для контроллеров домена


Слайд 12

Фильтры IPSec для контроллеров домена (продолжение)


Слайд 13

Использование реестра для настройки безопасности на контроллерах домена При использовании фильтров IPSec на контроллерах домена: Откройте небольшое количество динамических RPC портов для регистрации клиентов Ограничьте количество динамических RPC портов путем настройки параметров реестра на всех контроллерах домена


Слайд 14

Как создать политику безопасности IP Откройте GPMC Отредактируйте необходимый объект GPO для применения политики Создайте списки фильтров IPSec Определите действия для фильтров Создайте политику безопасности IP Внутри политики IP создайте правило безопасности IP для каждого из созданного списка фильтров Назначьте готовую политику безопасности IP


Слайд 15

Демонстрация Создание политики безопасности IP Использование GPMC для создания и назначения политики безопасности IP


Слайд 16

Аудит безопасности Администраторы должны установить политику аудита При создании политики аудита: Проанализируйте модель угроз Учтите возможности пользователей и систем Тестируйте и постоянно совершенствуйте политику Рассмотрите возможность централизованного хранения журналов событий безопасности


Слайд 17

Microsoft Audit Collection Services (MACS) WMI Рабочие станции Серверы с аудитом SQL Collector События для анализа Аудиторы контролируют процессы Журналы Журналы Приложения обнаружения вторжения Анализ Система управления


Слайд 18

Рекомендуемые настройки политики для серверов


Слайд 19

Демонстрация Аудит Использование EventCombMT для просмотра журнала событий


Слайд 20

Содержание Основы безопасности серверов и рабочих станций Настройка безопасности серверов Методики настройки IIS Настройка безопасности рабочих станций Методики обеспечения безопасности мобильных клиентов


Слайд 21

Инструмент IIS Lockdown Tool IIS Lockdown Tool выключает все ненужные возможности для снижения пространства атак в IIS 4.0, IIS 5.0, и IIS 5.1 Для усиления защиты Lockdown Tool включает также URLScan, который содержит шаблоны для настроек для каждой роли сервера


Слайд 22

IIS Lockdown Results (X - включено)


Слайд 23

URLScan URLScan помогает предотвратить потенциально опасные запросы к серверу URLScan ограничивает типы запросов HTTP, которые может обработать IIS: Слишком длинные URL Запросы запрещенных методов Запросов удовлетворяющих другим критериям опасности


Слайд 24

Защитите ОС и установите все исправления безопасности Удалите ненужные компоненты Запустите IIS Lockdown Tool Настройте URLScan Храните содержимое сайтов на отдельном разделе NTFS Защитите файлы минимальными правами Зашифруйте важный трафик Если возможно, не разрешайте одновре-менно Execute и Write на одном сайте Запускайте приложения в режимах Medium или High Application Protection Настройте фильтрацию IPSec для нужного трафика к веб-серверу (HTTP и HTTPS) 10 самых важных шагов для защиты IIS 5.x 1 2 3 4 5 6 7 8 9 10


Слайд 25

Новое в безопасности IIS 6.0 IIS 6.0 является защищенным сразу же после завершения установки с самыми строгими ограничениями и настройками


Слайд 26

Пулы приложений в IIS 6.0 Пулы приложений – изолированные набор приложений и рабочих процессов, которые их обслуживают Если приложение сбоит, это не влияет на приложения из других пулов Создайте пулы для приложений, которые не зависят друг от друга


Слайд 27

Демонстрация Настройка IIS 6.0 Настройка пулов приложений


Слайд 28

Безопасность IIS: итоги Новая архитектура IIS 6.0 для высокой безопасности и надежности Применяйте новые инструменты, руководства и обновления безопасности для своего веб-сервера Следите за информацией и обновляйте системы своевременно


Слайд 29

Содержание Основы безопасности серверов и рабочих станций Настройка безопасности серверов Методики настройки IIS Настройка безопасности рабочих станций Методики обеспечения безопасности мобильных клиентов


Слайд 30

Политики ограничения используемого ПО Запуск неподконтрольных программ пользователями представляет собой серьезный риск Политика управления использованием ПО запрещают пользователям запускать вредоносные программы: Применяются к исполнимым файлам, компонентам и скриптам Может быть внедрена с помощью групповых политик


Слайд 31

Применение политик ограничения запуска программ Определите настройки по умолчанию: Разрешено или запрещено Определите исключения из правил по умолчанию: Правила на хеш Правила на сертификаты Правила на путь Правила зон безопасности Internet Определите сколько правил будет применяться: Используйте приоритет правил


Слайд 32

Настройте ограничения на использование ПО Дополнительные настройки: Проверка DLL, определение правил для администраторов, настройка типов файлов


Слайд 33

Создание политики GPO или локальная политика Для пользователя или компьютера Уровень по умолчанию Настройка правил Настройка параметров Привязка политики к сайту, домену или OU


Слайд 34

Демонстрация Применение политик по ограничению используемого ПО Настройка политик ограничений


Слайд 35

Использование шаблонов Шаблоны – текстовые файлы, которые определяют настройки политики безопасности для защиты компьютеров, работающих на Windows


Слайд 36

Использование политик на уровне домена Политики применяются к контроллерам домена для всех пользователей в домене


Слайд 37

Внедрение шаблонов безопасности Внедряйте с использованием групповых политик Изучите шаблоны в руководстве по безопасности для Windows XP Импортируйте настройки по умолчанию в шаблонах в GPO и отредактируйте по необходимости


Слайд 38

Обеспечение безопасности старых версий ОС Рабочие станции на базе Windows 2000 могут использовать шаблоны безопасности при применении групповой политики Другие клиенты могут использовать скрипты и файлы политик: Скрипты при регистрации в системе Системные политики Дополнительные скрипты


Слайд 39

Сценарии внедрения


Слайд 40

Что говорить пользователям Выбирайте сложные пароли* Защищайте пароли Блокируйте компьютеры когда не работаете* Не работайте с высокими привилегиями* Запускайте только разрешенное ПО* Не открывайте подозрительных вложений* Не верьте никому на слово Ознакомьтесь с правилами в организации Не пытайтесь бороться с настройками* Сообщайте о возможных проблемах 1 2 3 4 5 6 7 8 9 10 *Данные настройки могут быть полностью или частично управляться централизованно


Слайд 41

Содержание Основы безопасности серверов и рабочих станций Настройка безопасности серверов Методики настройки IIS Настройка безопасности рабочих станций Методики обеспечения безопасности мобильных клиентов


Слайд 42

Типы удаленных клиентов модем Интернет LAN VPN OWA Wireless клиенты VPN клиенты Удаленные клиенты почты


Слайд 43

Проблемы применения политик для удаленных пользователей Могут быть не членами домена: Не применяются групповые политики Использование VPN с ограниченным доступом к сети Возможно, необходимо создать управление карантином для доступа к сети Групповые политики могут обновляться только при подключении рабочих станций к сети Возможно снижение производительности при применении групповых политик по медленным каналам


Слайд 44

Доступ к почте для удаленных клиентов Используйте Outlook Access RPC через HTTP Microsoft Office Outlook Web Access (OWA): Методы аутентификации Шифрация POP, IMAP, и SMTP Outlook Mobile Access


Слайд 45

Настройка клиентов Wireless Windows XP: Поддерживается 802.1x Windows 2000: 802.1x по умолчанию выключен Требует утилит третьих фирм Не поддерживаются профили для пользователей Нельзя использовать групповые политики для настройки параметров подключения


Слайд 46

Правила безопасности для удаленных пользователей При работе с Terminal Services требуйте установки шифрованного VPN соединения Используйте многофакторную аутентификацию если возможно Проводите аудит журналов Обязательно нужна аутентификация для 802.1x клиентов беспроводных сетей


Слайд 47

Итоги Основы безопасности серверов и рабочих станций Настройка безопасности серверов Методики настройки IIS Настройка безопасности рабочих станций Методики обеспечения безопасности мобильных клиентов


Слайд 48

Дальнейшие шаги Будьте в курсе новостей Подпишитесь на рассылку бюллетеней безопасности: http://www.microsoft.com/security/security_bulletins/alerts2.asp Загрузите себе свежие руководства по безопасности: http://www.microsoft.com/security/guidance/ Пройдите дополнительное обучение На семинарах Microsoft: http://www.microsoft.com/rus/events В учебных центрах CTEC: http://www.microsoft.com/rus/learning/


Слайд 49

Дополнительная информация Сайт Microsoft по безопасности http://www.microsoft.com/security Для администраторов http://www.microsoft.com/technet/security Для разработчиков http://msdn.microsoft.com/security


Слайд 50

Вопросы и ответы


Слайд 51


×

HTML:





Ссылка: