'

Стратегии безопасности

Понравилась презентация – покажи это...





Слайд 0

Стратегии безопасности Presenter Name Job Title Microsoft


Слайд 1

Содержание Введение Стратегии управления обновлениями исправлений (Patch Management) Стратегии удаленного доступа Построение защищенных конфигураций


Слайд 2

Защита на всех уровнях Упрощает процесс обнаружения вторжения Снижает шансы атакующего на успех Политики и процедуры Защита ОС, управление обновлениями, аутентификация Межсетевые экраны, Карантин VPN-соединений Охрана, средства наблюдения Сегментация сети, IP Security, Система обнаружения вторжений Защита приложений, антивирусные системы Списки контроля доступа, шифрование Обучение пользователей Физическая защита Периметр Внутренняя сеть Компьютер Приложения Данные


Слайд 3

Основные проблемы обеспечения безопасности Управление обновлениями (Patch management) Безопасный удаленный доступ Реализация политики безопасности


Слайд 4

Содержание Введение Стратегии управления исправлениями (Patch Management) Стратегии удаленного доступа Построение защищенных конфигураций


Слайд 5

Важность своевременной установки исправлений


Слайд 6

Процесс управления установки 1. Определение среды для установки заплат Периодически A. Реестр систем B. Архитектура установки заплат C. Обзор инфраструктуры/ конфигурации Постоянно A. Новые объекты для защиты B. Инвентаризация клиентов 1. Оценка 2. Идент. 4. Внедре-ние 3. План 2.Идентификация новых заплат Задачи A. Новые заплаты B. Определение важности C. Выяснение принадлежности неизменности 3.Исследование и планирование внедрения Задачи A. Получение разрешения на установку заплаты B. Определение рисков C. Планирование внедрение заплат D. Финальное тестирование заплат 4. Внедрение заплат Задачи A. Распространение и установка заплат B. Отчеты о прогрессе C. Обработка исключительных ситуаций D. Отчет о внедрении


Слайд 7

Как узнать о выходе исправления Подписаться на службы уведомления Microsoft Security Notification Service Списки рассылки, новостные группы третьих фирм На веб-сайте www.microsoft.com/technet/security На сайтах продуктов На сайтах третьих фирм Реализуйте регулярное изучение заплат и составьте график их установки Каждый второй вторник месяца Microsoft выпускает исправления для своих продуктов Исключение: когда есть существенный риск Настройте автоматические инструменты для ежедневных проверок


Слайд 8

Когда устанавливать исправления Как можно скорее Только после тестирования С учетом возможных побочных эффектов В соответствии с уровнем критичности


Слайд 9

Инструменты Microsoft для управления установкой исправлений


Слайд 10

Основные преимущества MBSA Автоматическая идентификация отсутствия необходимых исправлений и проблем в настройках системы безопасности Позволяет администраторам централизованно сканировать большое количество систем одновременно Работает с целым спектром программного обеспечения от Microsoft (не только Windows и Office)


Слайд 11

Как работает MBSA Файл MSSecure.xml Названия бюллетеней безопасности Исправления для продуктов Версию и контрольную сумму Ключи реестра Номера статей в базе знаний Microsoft Download Center MSSecure.xml Скачивает CAB с MSSecure.xml и проверяет цифровую подпись Администратор запускает MBSA и определяет цели Сканирует целевые системы по ОС, компонентам и приложениям Проверяет какие обновления доступны Проверяет все ли установлены Создает отчет о неустановленных заплатках MBSA Computer


Слайд 12

Автоматизация MBSA MBSA Scan (GUI) Для малых и средних сетей MBSA Scan (mbsacli.exe) Автоматическое сканирование из командной строки с параметрами Example: mbsacli /d mydomain /f report.txt MBSA Scan в режиме HFNetChk (mbsacli.exe /hf) Автоматически сканирует из командной строки Проверяет только на неустановленные заплаты Пример: mbssacli -hf -o tab –f report.txt MBSA и Windows Update могут показывать разные результаты


Слайд 13

Примеры использования MBSA из командной строки Сканирование всех компьютеров в удаленном офисе: Mbsacli /r “192.168.1.2-192.168.1.254” /sus “http://susserver” /n “SQL” /f “\\server\share\SUSScan.txt” Сканирование группы серверов на установленные исправления: Mbsacli -hf –fh d:\Serverlist.txt –o tab –v –f D:\HFScan.txt


Слайд 14

Демонстрация Использование MBSA Параметры командной строки MBSA Просмотр журналов MBSA Использование MBSA для создания скриптов


Слайд 15

Автоматическая установка исправлений и мониторинг с Software Update Service Скачивает все пакеты исправлений, критические исправления и т.п. Предоставляет администраторам контроль за установкой исправлений Блокирует несанкционированную установку исправлений при использовании SUS с Automatic Updates Может работать в режиме тестирования Работает на Windows 2000 и более поздних версиях


Слайд 16

Сценарии использования Update Service Используйте SUS для управления процессом установки исправлений с Windows Update Используйте SUS для управления внедрением исправлений Используйте SUS для управления установкой исправлений в рамках всей сети предприятия


Слайд 17

Software Update Service Сценарий 1 SUS Server SUS server загружает исправления и метаданные Automatic Update получает список подтвержденных обновлений с SUS server Automatic Update загружает подтвержденные обновления с Windows Update Windows Update Service Администратор, проверяет и подтверждает обновления Firewall Windows Update Service


Слайд 18

Software Update Service Сценарий 1 Когда использовать данный сценарий В маленьком офисе с одним сервером SUS и высокоскоростным каналом в Интернет В случае нескольких офисов с одним сервером SUS; каждый офис имеет прямое подключение к Интернет Когда не использовать Если есть ограничения на скорость доступа в Интернет Если несколько офисов имеют единый канал доступа к Интернету


Слайд 19

Software Update Service Сценарий 2 SUS Server SUS server скачивает обновления и метаданные Automatic Update получает список подтвержденных обновлений с SUS server Automatic Update скачивает обновления с SUS server Windows Update Service Администратор подтверждает обновления Firewall


Слайд 20

Software Update Service Сценарий 2 Когда использовать: Для управления процессом установки обновлений в офисе с одним или несколькими серверами SUS В нескольких офисах с одним сервером SUS и высокоскоростными каналами между офисами Когда не использовать: В нескольких офисах с ограниченной пропускной способностью каналов связи между ними


Слайд 21

Software Update Service Сценарий 3 Parent SUS Server SUS server скачивает обновления Подтверждения синхронизируются с потомками SUS servers Automatic Updates получает список с SUS server Automatic Update скачивает обновления с Windows Update Automatic Update скачивает обновления с SUS server Windows Update Service Child SUS Server Child SUS Server Windows Update Service Администратор подтверждает обновления Firewall


Слайд 22

Software Update Service Сценарий 3 Когда использовать: В компаниях с несколькими офисами и медленными каналами связи между ними При наличии большого числа рабочих станций в офисе Использовать Network Load Balancing В компаниях с несколькими офисами и смесью WAN и Интернет соединений Не использовать При малом числе клиентских компьютеров в одном офисе


Слайд 23

Управление сложными установками SUS Центральное управление и подтверждение установки исправлений Назначается для OU и GPO для управления Используйте шаблон WUAU.ADM template для настройки AU на рабочих станциях Назначьте GPO к OU


Слайд 24

Software Update Service Советы Просматривайте каждое обновление Скачайте и установите Проверьте каждое обновление перед внедрением Разверните тестовую лабораторию Установите тестовый сервер SUS Можно использовать Virtual PC в лаборатории Разработайте и примените стандартную процедуру приемки тестов


Слайд 25

Software Update Service Советы Пилотное внедрение Настройте дочерний сервер SUS для подтверждения обновлений Настройте групповую политику таким образом, чтобы обновления скачивались только с пилотного сервера SUS и только для определенных рабочих станций Если пилотный проект провалился – удалите разрешение на установку обновления на сервере SUS и вручную удалите исправление с рабочих станций Завершите внедрение


Слайд 26

Использование корпоративных систем управления для установки обновлений System Management Server (SMS) 2003 Полный контроль для администраторов за установкой исправлений Автоматический процесс управления Обновляет целый спектр ПО от Microsoft Обновляет ПО третьих фирм Позволяет использовать скрипты для увеличения гибкости Решения третьих фирм Интеграция с решениями третьих фирм посредством скриптов


Слайд 27

Что делает SMS Сканирует SMS клиентов Установка: Скачивает информацию о обновлениях для Windows, Office и т.п., запускает инвентаризацию Информация о сканировании в центральной базе Администратор запускает Distribute Software Updates Wizard для авторизации обновлений Software Update Installation Agent устанавливает требуемые обновления Периодически процесс повторяется со сканированием и т.п. Загружаются файлы обновлений, пакеты реплицируются и программы устанавливаются на клиентах


Слайд 28

Демонстрация 2 SMS 2003 Внедрение исправлений с использованием Distribute Software Updates Wizard


Слайд 29

Решения третьих фирм


Слайд 30

Обновление Microsoft Office Office Inventory Tool Office Update Исправления для Office, которым требуются оригинальные файлы Кеширование файлов для установки для Office 2003 Обновление контрольных точек для установки


Слайд 31

Демонстрация Office Inventory Tool Анализ Office Преобразование файлов с Office Update


Слайд 32

Наилучшие стратегии управления обновлениями Используйте контроль за изменениями Прочтите всю необходимую документацию Устанавливайте обновления только если они нужны Тестируйте обновления перед установкой во всей сети Поддерживайте единую политику обновлений на всех контроллерах домена Проведите резервное копирование и планируйте время простоя Всегда имейте план для возврата к исходному состоянию Заранее предупреждайте службу поддержки в компании и наиболее важных пользователей Начинайте с не-критичных серверов


Слайд 33

Содержание Введение Стратегии управления обновлениями исправлений (Patch Management) Стратегии удаленного доступа Построение защищенных конфигураций


Слайд 34

VPN и межсетевые экраны Объединение межсетевого экрана и VPN сервера


Слайд 35

VPN за межсетевым экраном Сложно: Пропустить через межсетевой экран трафик для VPN сервера Сложно: Stateful inspection


Слайд 36

ISA Server как сервер VPN и межсетевой экран


Слайд 37

Сложности при использовании IPSec и NAT Заголовок пакета модифицирован IKE использует фрагментированный IP NAT устройства, которые используют туннель


Слайд 38

Модель решения IETF draft по NAT Traversal (NAT-T) рекомендует использовать устройства с обоих сторон, которые: Обнаруживают наличие NAT Не используют порты IPSec; устройства NAT не оказывают влияния на сетевой трафик Инкапсулируют IPSec в UDP Дополнительно, решение Microsoft препятствует фрагментации IP


Слайд 39

Как работает NAT-T


Слайд 40

Вопросы взаимодействия VPN клиент и VPN сервер должны поддерживать NAT-T Сложности с устройствами третьих фирм Но постепенно все становится совместимым Не нужно никаких изменений на устройствах NAT Межсетевой экран Открыть трафик по UDP 4500 Открыть трафик по UDP 500


Слайд 41

Поддержка NAT-T в Windows Реализована в соответствии с IETF Proposed Standard Проверена совместимость с шлюзами третьих фирм по L2TP/IPSec Поддержка L2TP/IPSec в Windows XP и ниже Поддержка IPSec в Windows Server 2003 Замечание 1: После Windows Update Замечание 2: после обновления Замечание 3: поддержка с сайта Замечание 4: Не работает Active FTP Замечание 5: Некоторые PTMU не работают


Слайд 42

Обеспечение безопасности удаленных клиентов Проблема: Удаленные клиенты не соответствуют требованиям безопасности, принятым в компании Представляют опасность для всей сети, если такие компьютеры подключатся к ней Решение: Запретить удаленный доступ Доверить пользователям настроить их компьютеры на безопасную работу Создать отдельную сеть для подключения через VPN Настраивать на безопасность при подключении Автоматически отключать клиентов, которые не соответствуют требованиям безопасности: Network Access Quarantine Control


Слайд 43

Что такоеNetwork Access Quarantine Control?


Слайд 44

Требования для карантина Intranet Internet RAS Client with CM Windows Server 2003 RRAS Server Windows Server 2003 IAS Server Active Directory Domain Controller Quarantine Resources Remote Access Policy Дополнительно нужны RQC.exe и RQS.exe из Windows Server 2003 Resource Kit Tools


Слайд 45

Процесс работы карантина


Слайд 46

Ограничения для доступа в сеть при карантине Зависят от настроек, которые проверяются работой скриптов Зависят от скриптов на клиентском компьютере Злоумышленник может пробиться через карантин У пользователей должны быть возможности соответствовать требованиям Установить обновления Внешняя точка для установки обновлений для антивирусного ПО Ограничивает соединения через модем и VPN


Слайд 47

Network Access Quarantine Control Изучите описание в Windows Server 2003 Resource Kit Используйте Connection Manager Создайте различные профили для разных типов клиентов Учитывайте карантин для ресурсов Не предоставляйте доступ клиентам, не установивших своевременно исправления


Слайд 48

Демонстрация Настройка сетевого карантина Установка, настройка и тестирование сетевого карантина


Слайд 49

Содержание Введение Стратегии управления исправлениями (Patch Management) Стратегии удаленного доступа Построение защищенных конфигураций


Слайд 50

Разрешение конфликтов в шаблонах безопасности Инструмент: Resultant Set of Policies (RSoP) Средства управления Active Directory Group Policy Results из GPMC GPResult


Слайд 51

Разрешение проблем с приложениями Установка обновлений или шаблонов безопасности могут привести к сбоям в работе приложений Инструменты для разрешения конфликтов Network Monitor File Monitor Registry Monitor Dependency Walker Cipher


Слайд 52

Разрешение проблем со службами Возможные проблемы: Служба не стартует Нужна ли служба? Инструменты: Tlist.exe или Process Explorer Dependency Walker Посмотрите свойства DLL


Слайд 53

Проблемы с доступом к сети Убедитесь, что открыты только нужные порты Инструменты: Netstat –o (на Windows XP или Windows Server 2003) Task Manager


Слайд 54

Разрешение конфликты при настройках безопасности Используйте формальные правила контроля изменений для всех изменений в безопасности Тестируйте все изменения безопасности Используйте RSOP в режиме планирования Документируйте настройки работоспособных конфигураций Имейте под рукой стратегию восстановления работоспособных конфигураций Не подвергайте системы опасности при выявлении проблем с настройками


Слайд 55

Итоги Введение Стратегии управления исправлениями (Patch Management) Стратегии удаленного доступа Построение защищенных конфигураций


Слайд 56

Дальнейшие шаги Будьте в курсе новостей Подпишитесь на рассылку бюллетеней безопасности: http://www.microsoft.com/security/security_bulletins/alerts2.asp Загрузите себе последние версии руководств по безопасности: http://www.microsoft.com/security/guidance/ Пройдите дополнительное обучение На семинарах Microsoft: http://www.microsoft.com/rus/events В учебных центрах CTEC: http://www.microsoft.com/rus/learning/


Слайд 57

Дополнительная информация Сайт Microsoft по безопасности http://www.microsoft.com/security Для администраторов http://www.microsoft.com/technet/security Для разработчиков http://msdn.microsoft.com/security


Слайд 58

Вопросы и ответы


Слайд 59


×

HTML:





Ссылка: