'

Безопасность приложений и данных

Понравилась презентация – покажи это...





Слайд 0

Безопасность приложений и данных Presenter Name Job Title Microsoft


Слайд 1

Содержание Введение Защита Exchange Server Защита SQL Server  Защита Small Business Server Защита данных


Слайд 2

Защита на всех уровнях Упрощает процесс обнаружения вторжения Снижает шансы атакующего на успех Политики и процедуры Защита ОС, управление обновлениями, аутентификация Межсетевые экраны, Карантин VPN-соединений Охрана, средства наблюдения Сегментация сети, IP Security, Система обнаружения вторжений Защита приложений, антивирусные системы Списки контроля доступа, шифрование Обучение пользователей Физическая защита Периметр Внутренняя сеть Компьютер Приложения Данные


Слайд 3

Важность защиты данных и приложений Оборона периметра сети обеспечивает ограниченную защиту Многие методы защиты не зависят от приложений Большинство современных атак происходят на уровне приложений


Слайд 4

Важность защиты данных Безопасность данных это последний рубеж обороны Установите права доступа к файлам Настройте шифрацию данных Защищает безопасность информации даже при небезопасном периметре


Слайд 5

Советы по безопасности приложений Настройте безопасность ОС Установите исправления для ОС и приложений Устанавливайте и разрешайте работать только тем службам, которые действительно нужны Учетные записи пользователей, используемые для работы приложений, должны иметь минимальные полномочия Используйте принципы многоуровневой защиты Назначайте минимальные полномочия, которые нужны для работы


Слайд 6

Содержание Введение Защита Exchange Server Защита SQL Server  Защита Small Business Server Защита данных


Слайд 7

Безопасность Exchange Server Безопасность Exchange основана на: Защищённости операционной системы Сетевой безопасности Безопасности IIS (при использовании OWA) Клиентской защищённости (Outlook) Безопасности Active Directory Внимание: Многоуровневая защита


Слайд 8

Защита серверов Exchange Exchange 2000 Back-End Servers Применение базового шаблона безопасности и дополнительного Exchange back-end шаблона Exchange 2000 Front-End Servers Применение базового шаблона безопасности и дополнительного Exchange front-end шаблона Удаление хранилищ (private и public) Exchange 2000 OWA Server Применение IIS Lockdown, включая URLScan Exchange 2003 Back-End Server Применение шаблонов безопасности протоколов Exchange 2003 Front-End and OWA Server IIS Lockdown и URLScan интегрированный с IIS 6.0 Использование режима изоляции приложений


Слайд 9

Аспекты безопасности Exchange Server Защищённый доступ к Exchange Server Блокировка несанкционированного доступа Защищённые коммуникации Блокировка и шифрование коммуникаций Блокировка спама Фильтрование входящих сообщений Запрет ретрансляции: Не помогайте спамерам! Блокировка небезопасных сообщений Антивирусная проверка Блокировка вложений


Слайд 10

Настройка аутентификации, Часть 1 Защита аутентификации Outlook Настройка Exchange и Outlook 2003 для использования RPC поверх HTTPS Настройка SPA для шифрования аутентификации для интернет клиентов Внимание: Защита аутентификации не эквивалентна шифрованию данных


Слайд 11

Настройка аутентификации, Часть 2 OWA поддерживает несколько методов аутентификации:


Слайд 12

Защищённые коммуникации Настройка шифрования RPC Установки клиентской программы Enforcement с ISA Server FP1 Блокировки портов Публикация сервера посредством ISA Server Настройка HTTPS для OWA Использование S/MIME для шифрования сообщений Дополнительные возможности Outlook 2003 Аутентификация Kerberos RPC поверх HTTPS


Слайд 13

Шифрование сообщений Active Directory Domain Controller Клиент 1 Клиент 2 SMTP VS1 SMTP VS 2 Поиск публичного ключа Клиента 2 Сообщение отправляется с использованием S/MIME Сообщение шифруется открытым ключом Новое сообщение 1 2 3 4 Сообщение приходит зашифрованным 5 Открытый ключ расшифровывается личным ключом Клиента 2. Открытый ключ используется для расшифровки сообщения 6


Слайд 14

Демонстрация Защищённый сервер Exchange Настройка Аутентификации на основе форм Настройка RPC шифрования Использование ISA Server для публикации Exchange


Слайд 15

Блокировка спама Exchange 2000 Запрет ретрансляции! Защита против подмены адресов Предотвращение разрешения имён получателей в GAL во внешних сообщениях Конфигурация реверсного поиска в DNS


Слайд 16

Блокировка спама Exchange 2003 Использование дополнительных возможностей в Exchange Server 2003 Поддержка списков блокировок в режиме реального времени Глобальные списки разрешённых и запрещённых отправителей Фильтрование отправителей и адресов входящих сообщений Улучшенная защита от ретрансляции Интеграция с Outlook 2003 и антиспам программами других фирм


Слайд 17

Демонстрация Настройка Exchange для защиты от спама Защита от ретрансляции


Слайд 18

Блокировка сообщений Антивирусные шлюзы Мониторинг входящих и исходящих сообщений Регулярные обновления сигнатур Настройка защиты вложений Outlook Защита в браузере определяет можно ли открывать файл вложения в OWA ISA Server Компонент Message Screener может блокировать входящие сообщения


Слайд 19

Использование разрешений для защиты Exchange Модели администрирования Централизованная Децентрализованная Передача прав и разрешений Создание административных групп Использование административных ролей Передача административного управления


Слайд 20

Дополнительные возможности защиты Exchange Server 2003 Большинство настроек безопасны по умолчанию Новые возможности защиты транспортных протоколов Новый мастер Internet Connection Wizard Поддержка аутентификации между лесами


Слайд 21

Многоуровневая защита


Слайд 22

10 правил для защиты Exchange Установка последних пакетов обновлений Установка всех пакетов исправлений Проверка настроек с помощью MBSA Проверка настроек ретрансляции Отключение известных учётных записей Использование всех антивирусных средств Использование брандмауэров Настройка ISA Server Защита OWA Реализация системы резервного копирования 1 2 3 4 5 6 7 8 9 10


Слайд 23

Содержание Введение Защита Exchange Server Защита SQL Server  Защита Small Business Server Защита данных


Слайд 24

Базовая конфигурация безопасности Установите пакеты исправлений и дополнений Используйте MBSA для обнаружения пропущенных обновлений по SQL Заблокиуйте неиспользуемые сервисы SQLSERVERAGENT MSSQLServerADHelper Microsoft Search Microsoft DTC


Слайд 25

Общие угрозы и контрмеры для сервера баз данных Уязвимости конфигурации Учетная запись с повыш.привилегиями Слабые разрешения Отсутствие сертификата


Слайд 26

Категории безопасности сервера баз данных


Слайд 27

Безопасность на уровне сети Закройте доступ SQL Server к TCP/IP Защитите стек TCP/IP Закройте неиспользуемые порты


Слайд 28

Безопасность на уровне операционной системы Предоставьте учетной записи SQL Server минимально возможные права Удалите или заблокируйте неиспользуемые учетные записи Используйте повышенную безопасность процедуры аутентификации


Слайд 29

Логины, Пользователи и Роли Используйте сильный пароль для системного администратора (sa) Удалите учетную запись SQL guest Удалите BUILTIN\Administrators Не предоставляйте разрешений роли public


Слайд 30

Файлы, папки и разделяемые каталоги Проверьте разрешения на папки установки SQL Server Убедитесь, что группа Everyone не имеет прав к файлам SQL Server Обезопасьте установочные лог-файлы Обезопасьте или удалите инструменты, утилиты и SDK Удалите неиспользуемые разделяемые каталоги Ограничьте доступ к необходимым разделяемым каталогам Защитите параметры реестра с помощью списков контроля доступа


Слайд 31

Безопасность SQL Установить аутентификацию Windows only Если же все же нужна смешанная аутентификация, убедитесь, что трафик аутентификации зашифрован


Слайд 32

Аудит SQL Отслеживайте все неуспешные попытки входа в Windows Отслеживайте успешные и неуспешные действия на уровне файловой системы Включите аудит регистрации на уровне SQL Включите общий аудит на уровне SQL Server


Слайд 33

Безопасность на уровне объектов базы данных Удалите базы данных с примерами Ограничьте доступ к хранимым процедурам Ограничьте доступ к расширенным хранимым процедурам Оставьте доступ к cmdExec только роли системный администратор


Слайд 34

Используйте представления и хранимые процедуры Запросы SQL могут содержать конфиденциальную информацию Используйте хранимые процедуры где только возможно Используйте представления вместо непосредственного доступа к таблицам Повышайте безопасность на уровне веб-приложений


Слайд 35

Безопасность на уровне веб приложений Обрабатывайте входные данные Обеспечьте аутентификацию и авторизацию Обеспечьте безопасность важных данных Используйте политику минимальных привилегий для процессов и учетных записей Настройте аудит и запись журналов Используйте структурированные обработчики исключений


Слайд 36

Десять советов по безопасности SQL Server Устанавливайте последние сервисные пакеты Пользуйтесь MBSA Установите Windows аутентификацию Изолируйте сервер Проверьте пароль для sa Ограничьте привилегии сервиса SQL Заблокируйте порты на сетевом экране Используйте NTFS Удалите установочные файлы и БД с примерами Используйте аудит подключений 1 2 3 4 5 6 7 8 9 10


Слайд 37

Содержание Введение Защита Exchange Server Защита SQL Server  Защита Small Business Server Защита данных


Слайд 38

Определение угроз Small Business Server исполняет сразу несколько серверных ролей Внешние угрозы Small Business Server часто подключен непосредственно к Интернет Внутренние угрозы Все компоненты Small Business Server должны быть настроены безопасно Многие из настроек безопасны по умолчанию


Слайд 39

Защита от внешних угроз Настройка политик паролей для требования сложных паролей Настройка безопасного удаленного доступа Remote Web Workplace Remote Access Переименуйте пользователя Administrator Настройте Exchange и IIS как было рассказано ранее Используйте межсетевой экран


Слайд 40

Использование экрана Что есть в составе: ISA Server 2000 в SBS 2000 и SBS 2003, Premium Edition Базовая функциональность в SBS 2003, Standard Edition Подумайте о необходимости отдельного межсетевого экрана SBS 2003 может взаимодействовать с внешним межсетевым экраном, поддерживающим UPnP ISA Server может обеспечить еще и защиту на уровне приложений Internet Экран LAN


Слайд 41

Защита от внутренних угроз Установите антивирусное ПО Регулярное резервное копирование Запускайте регулярно MBSA Контролируйте права доступа Обучайте пользователей Не используйте сервер как рабочую станцию Обеспечьте физическую защиту сервера Ограничивайте пространство на диске для пользователей Обновляйте ПО


Слайд 42

Содержание Введение Защита Exchange Server Защита SQL Server  Защита Small Business Server Защита данных


Слайд 43

Роль ограничения защиты на уровне файлов Предотвращает неавторизованный доступ Ограничивает администраторов Не обеспечивает защиты от взлома при физическом доступе Шифрование обеспечивает дополнительную безопасность


Слайд 44

Роль и ограничения EFS Преимущества EFS Обеспечивает конфиденциальность информации Использует надежную технологию открытых ключей Опасности шифрования Доступ к данным может быть потерян в случае потери личного ключа Личные ключи на клиентских компьютерах Ключи шифруются производной от пользовательского пароля Ключи так же защищены как защищены пароли Ключи теряются если теряется профиль пользователя


Слайд 45

Архитектура EFS


Слайд 46

Различия в версиях EFS Windows 2000 и более новые версии Windows поддерживают работу EFS на разделах NTFS Windows XP и Windows Server 2003 включают дополнительные возможности: Дополнительные пользователи могут быть авторизованы Можно шифровать Offline файлы Используется алгоритм triple-DES (3DES) вместо DESX Можно использовать password reset диск EFS сохраняет шифрацию при работе через WebDAV Агенты восстановления информации рекомендуются, но не обязательны Улучшения в интерфейсе пользователя


Слайд 47

Внедряем EFS: как сделать правильно С помощью групповых политик запретите использование EFS до завершения централизованного планирования Составьте план политики Определите агентов восстановления данных Назначьте сертификаты Установите с использованием групповой политики


Слайд 48

Демонстрация Настройка EFS Настройка агентов восстановления Шифрация файлов Дешифрация файлов


Слайд 49

Итоги семинара Введение Защита Exchange Server Защита SQL Server  Защита Small Business Server Защита данных


Слайд 50

Дальнейшие шаги Будьте в курсе новостей Подпишитесь на рассылку бюллетеней безопасности: http://www.microsoft.com/security/security_bulletins/alerts2.asp Загрузите себе свежие руководства по безопасности: http://www.microsoft.com/security/guidance/ Пройдите дополнительное обучение На семинарах Microsoft: http://www.microsoft.com/rus/events В учебных центрах CTEC: http://www.microsoft.com/rus/learning/


Слайд 51

Дополнительная информация Сайт Microsoft по безопасности http://www.microsoft.com/security Для администраторов http://www.microsoft.com/technet/security Для разработчиков http://msdn.microsoft.com/security


Слайд 52

Вопросы и ответы


Слайд 53


×

HTML:





Ссылка: