'

Реализация защиты серверов

Понравилась презентация – покажи это...





Слайд 0

Реализация защиты серверов Докладчик Microsoft


Слайд 1

Содержание Основа безопасности серверов Безопасность Active Directory и защита контроллеров домена Защита серверов с помощью шаблонов безопасности и групповых политик


Слайд 2

Принципы безопасности серверов Конфиденциальность Защита информации от несанкционированного доступа Целостность Защита информации от несанкционированной модификации Доступность Надежная и бесперебойная работа информационных ресурсов


Слайд 3

Политика безопасности Защита Обнаружение Корректировка Операции и поддержка Приобретение Исследования Дизайн и внедрение Интеграция Тестирование Сертификация Обучение и тренировка


Слайд 4

Моделирование угроз Анализ окружения и конфигураций Базовые системы и программное обеспечение Диаграммы потоков данных и взаимодействия систем Сегрегация систем по задачам и требованиям безопасности Определение доверяемых систем Уровни доверия Ограничение окружения и привилегий Минимально допустимые права и привилегии Службы и порты, необходимых для работы Защита коммуникаций между системами и пользователями Компромисс Баланс между защищенностью системы и удобством работы с ней


Слайд 5

Руководство к действию «Windows Server 2003 Security Guide» Руководство по защите серверов Построение инфраструктуры Создание базовой политики защиты Рекомендации по защите различных типов серверов Инструментарий для реализации защиты с помощью Групповых политик Active Directory Набор шаблонов безопасности и сценариев www.microsoft.com/security/guidance/prodtech/WindowsServer2003.mspx


Слайд 6

Лучшие практики по защите серверов Своевременно устанавливать все обновления и исправления Объединять серверы по ролям и использовать Групповые политики для централизованной настройки защиты Отключить ненужные службы, переименовать встроенные учетные записи и ограничить их привилегии Ограничить физический и сетевой доступ к серверам


Слайд 7

Базовые рекомендации Переименовать встроенные учетные записи Administrator и Guest Изменить их пароли и описания Ограничить права доступа к системе для служебных учетных записей Administrator, Support_388945a0, Guest Не использовать для работы сервисов доменные учетные записи Использовать средства файловой системы NTFS для защиты файлов и папок


Слайд 8

Содержание Основа безопасности серверов Безопасность Active Directory и защита контроллеров домена Защита серверов с помощью шаблонов безопасности и групповых политик


Слайд 9

Компоненты Active Directory Лес Функционирует как периметр безопасности Active Directory Домен Организационное подразделение Групповые политики Основной инструмент для настройки системы безопасности


Слайд 10

Политика домена Применение и наследование Групповых политик Политики родительских ОП Политика своего ОП Политика сайта


Слайд 11

Демонстрация Управление Групповыми политиками


Слайд 12

Защита Active Directory Анализ инфраструктуры Централизованная интранет-структура Удаленный офис Распределенная экстранет-структура Анализ угроз Определение угроз Определение типов угроз Определение источников угроз Выработка мер защиты от угроз Создание детального плана действий на случай вторжения/атаки


Слайд 13

Угрозы службе каталогов Цель атакующего: Изменить поведение системы/контроллера Установка специальных программ Модификация базы данных каталога Подключение отладчика к процессу LSA Для достижения цели нужно Получить физический доступ к контроллеру домена Получить права администратора служб У каждой компьютерной системы есть администратор…


Слайд 14

Угрозы службе каталогов Анонимный пользователь Аутентифицированный пользователь Физический доступ Сетевые ресурсы Корневой домен Администратор данных Администратор служб a Контроллер домена b.a


Слайд 15

Защита на уровне домена Групповая политика для домена Модификация Default Domain Policy GPO или создание новой политики для домена Политика паролей, учетных записей, параметры протокола Kerberos Аудит системных разделов Active Directory Разделение администраторов по категориям Администраторы служб Администраторы данных Строгое делегирование и контроль административных полномочий


Слайд 16

Группировка серверов Иерархия организационных подразделений Отдельный контейнер для каждой роли Специальные групповые политики для каждой роли Встроенный контейнер для контроллеров домена Групповая политика “Default Domain Controllers Policy” Domain Policy Domain Member Server Baseline Policy Member Servers Domain Controllers Domain Controllers Policy Print Server Policy File Server Policy IIS Server Policy Print Servers File Servers Web Servers Operations Admin Operations Admin Web Service Admin


Слайд 17

Важные параметры защиты контроллеров домена


Слайд 18

Демонстрация Защита контроллера с помощью SYSKEY


Слайд 19

Лучшие практики по защите контроллеров Создавать и настраивать контроллеры домена только в защищенном окружении Установить и соблюдать жесткие правила установки и восстановления контроллеров Установить требуемые параметры защиты в Групповой политике для контроллеров домена Обеспечить физическую защиту контроллеров


Слайд 20

Содержание Основа безопасности серверов Безопасность Active Directory и защита контроллеров домена Защита серверов с помощью шаблонов безопасности и групповых политик


Слайд 21

Практика использования шаблонов безопасности Проверить и (если нужно) модифицировать шаблон безопасности Перед применением шаблона проанализировать его параметры с помощью консоли «Security configuration and analysis» Протестировать политику после импорта в нее шаблона безопасности Хранить шаблоны в защищенном месте


Слайд 22

Порядок защиты серверов


Слайд 23

Member Server Baseline Security Базовый шаблон для всех серверов, включенных в домен определяет: Политику аудита Права пользователей Параметры безопасности Настройки журналов Настройки системных служб Domain Policy Domain Member Server Baseline Policy Member Servers Domain Controllers Domain Controllers Policy Print Server Policy File Server Policy IIS Server Policy Print Servers File Servers Web Servers Operations Admin Operations Admin Web Service Admin


Слайд 24

Базовые параметры защиты Системные параметры Очищать файл подкачки при выключении системы Цифровая подпись коммуникаций между клиентами и серверами При невозможности записать сообщения в журнал безопасности немедленно завершить работу Запрет на анонимные подключения Отключена аутентификация LM и NTLM v1 Разрешен только NTLM v2 Отключено кэширование регистрации пользователей


Слайд 25

Базовые параметры аудита Ограничения для журналов 10 Мб Не переписывать события Аудит успешных и неуспешных событий Регистрация пользователя, управление учетными записями, доступ к объектам, изменение политик, системные события Аудит неуспешных событий Доступ к службе каталогов и использование привилегий


Слайд 26

Защита серверов инфраструктуры Готовый шаблон безопасности для ОП “Infrastructure Servers” Рекомендуемые дополнительные настройки (где требуется): Журнал сервера DHCP Защита от DoS-атак на сервер DHCP Настройка режима зон DNS Active Directory-integrated Учетные записи для сервисов Блокировка ненужных портов с помощью фильтров IPSec


Слайд 27

Защита файловых серверов Готовый шаблон безопасности для ОП “File Servers” Рекомендуемые дополнительные настройки: Отключить службы DFS и FRS, если они не используются Назначить строгие права доступа к сетевым каталогам Аудит доступа к критичным файлам Регистрировать как успешные, так и неуспешные попытки доступа


Слайд 28

Защита серверов печати Готовый шаблон безопасности для ОП “Print Servers” Рекомендуемые дополнительные настройки: Сервис «Print Spooler» должен быть включен и сконфигурирован На каждом сервере печати Для нормальной работы пользователей с очередью печати нужно отключить режим цифровой подписи коммуникаций в настройках протокола SMB


Слайд 29

Защита серверов IIS 5.0 Готовый шаблон безопасности для ОП “IIS Servers” Рекомендуемые дополнительные настройки Установить «IIS Lockdown» и настроить URLScan Включить только необходимые компоненты IIS Установить права доступа (NTFS) для папок, содержащих файлы веб-страниц и приложений Разместить эти файлы на отдельном томе Если возможно, не допускать одновременного разрешения на запись и исполнение для веб-сайта Установить для приложений Средний или Высокий уровень защиты Заблокировать все порты, кроме 80 and 443 с помощью фильтров IPSec


Слайд 30

Безопасность IIS 6.0 Безопасная инсталляция по умолчанию В Windows Server 2003 IIS 6.0 по умолчанию не установлен По умолчанию включена усиленная защита «IIS Lockdown» и «URL Scan» По умолчанию обслуживается только статический контент Web Service Extensions Разрешение или запрет расширений Права и разрешения Такие же, как в IIS 5.0


Слайд 31

Защита серверов, не включенных в домен Серверами, которые не являются членами домена, невозможно управлять с помощью групповых политик Все настройки нужно делать в ручную, непосредственно на серверах Возможно потребуется создать собственные шаблоны безопасности для каждого сервера Для применения настроек можно использовать консоль «Security Configuration and Analysis» или утилиту Secedit Security Configuration And Analysis Графический инструмент для анализа настроек сервера и применения шаблонов Secedit Инструмент командной строки для автоматического применения шаблонов


Слайд 32

Демонстрация Импорт, анализ и применение ролевых шаблонов безопасности


Слайд 33

Лучшие практики защиты ролевых серверов Защита известных встроенных учетных записей Включены должны быть только те сервисы, которые необходимы для конкретной роли Включить журнал работы сервисов Персональная модификация шаблонов для серверов, выполняющих одновременно несколько ролей Блокировка ненужных портов с помощью фильтров IPSec


Слайд 34

Информация Информационный ресурс Microsoft по безопасности www.microsoft.com/security Для профессионалов IT: www.microsoft.com/technet/security На русском языке: http://www.microsoft.com/rus/security Руководства Microsoft по защите серверов http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/prodtech/win2003/w2003hg/sgch00.asp


Слайд 35

© 2004 Microsoft Corporation. All rights reserved. This session is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.


×

HTML:





Ссылка: