'

Реализация защиты рабочих станций

Понравилась презентация – покажи это...





Слайд 0

Реализация защиты рабочих станций Докладчик Microsoft


Слайд 1

Содержание Основы безопасности клиентов Обеспечение защиты с помощью групповых и локальных политик Защита приложений Политика ограничений на исполнение программ Антивирусная защита Клиентский брандмауэр


Слайд 2

Компоненты безопасности клиентских компьютеров


Слайд 3

Политика паролей Объяснить пользователям, как правильно задавать и защищать пароли Использовать в качестве паролей сложные комбинации, содержащие цифры, специальные символы и т.п. Для разных ресурсов нужно использовать разные пароли При отсутствии пользователя на рабочем месте, его рабочая станция должна быть заблокирована Использовать многофакторную аутентификацию для усиления защиты


Слайд 4

Защита данных Шифрующая файловая система Защищает данные на уровне файловой системы NTFS Цифровые подписи в документах и исполняемых модулях Обеспечивают аутентичность и целостность данных и кода Information Rights Management в Microsoft Office 2003 На уровне документов защищает конфиденциальную информацию от кражи


Слайд 5

Мобильные компьютеры Использование мобильных компьютеров требует дополнительных мер по обеспечению безопасности Мобильные устройства, подключенные к информационной системе предприятия, расширяют ее периметр Дополнительные уровни защиты: Пароли доступа к BIOS Карантин службы удаленного доступа Аутентификация в беспроводных соединениях Усиленная защита данных, хранящихся на мобильных устройствах


Слайд 6

Содержание Основы безопасности клиентов Обеспечение защиты с помощью групповых и локальных политик Защита приложений Политика ограничений на исполнение программ Антивирусная защита Клиентский брандмауэр


Слайд 7

Иерархия Организационных подразделений Групповые политики Active Directory позволяют унифицировать и автоматизировать процесс применения настроек безопасности на рабочих станциях Иерархическое разделение «Windows XP Security Guide» Отдельные ОП для пользователей и компьютеров Собственные Групповые политики для каждого ОП


Слайд 8

Административные шаблоны Готовые наборы конфигурационных параметров рабочих станций для импорта в объекты Групповых политик Административные шаблоны Windows XP SP1 содержат более 850 параметров «Windows XP Security Guide» содержит 10 административных шаблонов Дополнительные административные шаблоны могут поставляться в комплекте с программными продуктами


Слайд 9

Шаблоны безопасности Готовые наборы параметров безопасности для импорта в объекты Групповых политик Шаблоны в составе «Windows XP Security Guide»: Шаблон с базовыми настройками для всех пользователей и компьютеров домена Шаблон с настройками для стационарных рабочих станций Шаблон со специальными настройками для портативных компьютеров Каждый шаблон представлен в 2 версиях Стандартный уровень защиты Высокий уровень защиты


Слайд 10

Иерархия подразделений и применение шаблонов


Слайд 11

Параметры безопасности


Слайд 12

Важнейшие настройки Право форматировать и извлекать съемные носители Дано только администраторам машины Анонимный просмотр списка учетных записей SAM запрещен Включен аудит Успешных и неуспешных действий Для объектов и служб Разрешения группе Everyone не распространяются на анонимные действия


Слайд 13

Важнейшие настройки Аутентификация LAN Manager Разрешен только протокол NTLM v2 Политика паролей Помнить 24 пароля Максимальный срок жизни пароля 42 дня Минимальная длина пароля 8 символов Проверка сложности паролей Не хранить LM-хеши паролей Цифровая подпись пакетов SMB включена


Слайд 14

Локальные политики Для рабочих станций, которые не включены в домен Active Directory, управление настройками безопасности происходит через Локальную политику В составе «Windows XP Security Guide» поставляются шаблоны безопасности для Локальных политик Шаблоны для машин, включенных в домен NT 4.0 Шаблон для отдельно стоящих машин


Слайд 15

Демонстрация Применение шаблонов безопасности и административных шаблонов


Слайд 16

Содержание Основы безопасности клиентов Обеспечение защиты с помощью групповых и локальных политик Защита приложений Политика ограничений на исполнение программ Антивирусная защита Клиентский брандмауэр


Слайд 17

Административные шаблоны для Internet Explorer Усиление требований к безопасности рабочих станций Windows XP Предотвращение получения нежелательных данных и вредного кода Конфигурация зон и доверяемых сайтов в разделе Internet Explorer Maintenance (IEM) Групповых политик High Medium - Low Medium


Слайд 18

Microsoft Outlook Настройка безопасности Outlook с помощью «Outlook Administrator Pack» Блокировка почтовых вложений Уведомления Уровни безопасности Административные шаблоны для настройки Outlook с помощью Групповых политик Microsoft Office Outlook 2003 Предупреждение, перед открытием потенциально опасного файла Запрет доступа к адресной книге другим приложениям Контроль нежелательных сообщений (anti-spam) Запрет на автоматическую загрузку HTML


Слайд 19

Лучшие практики защиты приложений Обучить пользователей правилам безопасной загрузки файлов из Интернет и правилам обращения c почтовыми вложениями Устанавливать на рабочие станции только те приложения, которые необходимы для работы и проверены Своевременно обновлять приложения


Слайд 20

Содержание Основы безопасности клиентов Обеспечение защиты с помощью групповых и локальных политик Защита приложений Политика ограничений на исполнение программ Антивирусная защита Клиентский брандмауэр


Слайд 21

Ограничения на исполнение программ Политика, определяющая, какие программы можно запускать на компьютере Базовый уровень и дополнительные правила Базовый уровень = Disallowed По умолчанию все программы запрещены Дополнительные правила содержат список разрешенных приложений Базовый уровень = Unrestricted По умолчанию все программы разрешены Дополнительные правила содержат «черный список» запрещенных программ


Слайд 22

Принцип действия Администратор создает и назначает политику ограничений на исполнение программ Групповая политика применяется на компьютере Операционная система контролирует каждый запуск каждого исполняемого модуля в соответствии с политикой 1 2 3


Слайд 23

Дополнительные правила Путь Указывается папка, содержащая файлы приложения Правило применяется ко всем исполняемым модулям, расположенным в указанной папке Хеш Программа идентифицируется по хеш-значению (MD5 или SHA1) исполняемого модуля Для запрета или разрешения конкретного программного файла Сертификат Проверяется цифровая подпись программы (например, Authenticode) Для ограничений как на программы Win32, так и ActiveX Зона Интернет Указывается зона Интернет Правило применяется ко всем модулям, загруженным из указанной зоны


Слайд 24

Демонстрация Политика ограничений на исполнение программ


Слайд 25

Продумать и подготовить план отката на случай возникновения проблем Использовать для ограничения программ отдельные Групповые политики Использовать политики ограничения в комбинации с системой контроля доступа NTFS Применять политику только в рамках своего домена Тщательно протестировать все параметры политики ограничения Лучшие практики политики ограничения программ


Слайд 26

Содержание Основы безопасности клиентов Обеспечение защиты с помощью групповых и локальных политик Защита приложений Политика ограничений на исполнение программ Антивирусная защита Клиентский брандмауэр


Слайд 27

Проблемы, создаваемые вирусами Суммарные потери из-за вирусных атак уже превышают $10 Млрд. в год Прямые затраты Затраты на восстановление системы и ликвидацию последствий заражения Работа IT-персонала и внешних консультантов Непрямые затраты Потеря данных, продуктивности работы, репутации…


Слайд 28

Защита от вирусов


Слайд 29

Стационарные компьютеры Централизованное хранилище антивирусных обновлений на локальном сервере Модель «Проталкивания» (Push) Принудительная немедленная установка обновлений на все рабочие станции Не зависит от желания и активности пользователя Портативные компьютеры Альтернативная политика обновления с Интернет-ресурса поставщика антивируса Когда компьютер не имеет доступа к локальной сети предприятия Обновление антивирусных систем


Слайд 30

Лучшие практики защиты от вирусов Своевременно обновлять антивирусное программное обеспечение Использовать, насколько возможно, централизованную структуру Устанавливать на рабочие станции антивирусное ПО, соответствующее версиям операционных систем


Слайд 31

Содержание Основы безопасности клиентов Обеспечение защиты с помощью групповых и локальных политик Защита приложений Политика ограничений на исполнение программ Антивирусная защита Клиентский брандмауэр


Слайд 32

Соединение локальной сети с Интернет должно быть защищено полноценным межсетевым экраном Многоуровневый контроль и анализ трафика между локальной сетью и Интернет Обнаружение и защита от внешних атак Соединения с Интернет, установленные в обход корпоративного межсетевого экрана, необходимо защищать с помощью персональных брандмауэров Прямые модемные соединения стационарных рабочих станций с Интернет Мобильные подключения портативных компьютеров Использование межсетевых экранов


Слайд 33

Internet Connection Firewall Базовая защита соединения с Интернет В составе Windows XP и Windows Server 2003 Запрет входящего трафика Ограничения Отсутствует фильтрация исходящего трафика Ряд функций управляющего ПО не могут работать при включенном ICF SMS, MBSA Ограниченные возможности настройки


Слайд 34

Демонстрация Internet Connection Firewall


Слайд 35

Лучшие практики использования брандмауэров При нахождении рабочей станции вне периметра локальной сети предприятия, Internet Connection Firewall должен быть включен При установлении клиентом VPN-соединения с сервером удаленного доступа, Internet Connection Firewall должен быть включен автоматически (с помощью сценария) На рабочих станциях, физически подключенных к локальной сети внутри периметра, Internet Connection Firewall нужно отключить (с помощью Групповой политики)


Слайд 36

Информация Информационный ресурс Microsoft по безопасности www.microsoft.com/security Для профессионалов IT: www.microsoft.com/technet/security На русском языке: http://www.microsoft.com/rus/security Руководства Microsoft по защите рабочих станций Windows XP http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/prodtech/winclnt/secwinxp/default.asp


Слайд 37

Сертификация Windows XP Операционная система Microsoft Windows XP Professional сертифицирована на соответствие руководящему документу Гостехкомиссии России «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий»


Слайд 38

© 2004 Microsoft Corporation. All rights reserved. This session is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.


×

HTML:





Ссылка: