{战略管理}本地安全策略8452905843

《{战略管理}本地安全策略8452905843》由会员分享，可在线阅读，更多相关《{战略管理}本地安全策略8452905843（38页珍藏版）》请在金锄头文库上搜索。

1、议题,Windows2003安全策略 监视和优化Windows系统性能,Windows2003安全策略,威胁和漏洞,微软深度防御理念,策略、规程,操作系统强化、修补程序管理、身份验证、主机入侵检测,防火墙、VPN 隔离,警卫、锁、跟踪设备,网段、IPSec、网络入侵检测,应用程序强化、防病毒,ACL、加密,风险管理、用户教育,物理安全性,网络周边,内部网络,主机,应用程序,数据,本地安全策略,帐户策略 本地策略 软件限制策略 IP 安全策略,安全模板,兼容 (compatws.inf) 默认安全设置 (Setup security.inf) 域控制器默认安全设置 (DC security.in

2、f) 安全 (Secure*.inf) 高级安全 (hisec*.inf) 系统根目录安全 (Rootsec.inf) 无终端服务器用户 SID (Notssid.inf),安全配置和分析,安全配置数据库 安全模板 结果分析,使用IPSEC加强系统安全性,网络的世界,Internet 的美妙之处在于你和每个人都互相连接 Internet的可怕之处在于每个人都能和你互相连接,1 导入,为什么TCP/IP是不安全的？ 风险漏洞威胁 漏洞：硬件漏洞，操作系统漏洞，应用程序漏洞，管理漏洞， 威胁 1）窃听 2）数据篡改 3）身份欺骗（IP地址欺骗） 4）盗用口令攻击（Password-Based At

3、tacks） 5）拒绝服务攻击（Denial-of-Service Attack） 6）中间人攻击（Man-in-the-Middle Attack） 7）盗取密钥攻击（Compromised-Key Attack） 8）Sniffer 攻击（Sniffer Attack） 9）应用层攻击（Application-Layer Attack）,2 IPSec概述,什么是IPSec IPSec (Internet 协议安全)是一个工业标准网络安全协议，为 IP 网络通信提供透明的安全服务，保护 TCP/IP 通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性 IPSec的作用 1）保护IP数

4、据包安全； 2）为抵御网络攻击提供防护措施。 IPSec的优点 过滤每一个访问计算机的数据包，并可根据数据报的源IP地址、协议和端口进行过滤 对应用程序完全透明，应用程序无需任何调整 三种身份验证 对数据包进行加密，以防止数据包在网络传输中被截取 使用HASH算法保障数据包在传输过程中保持完整性 确保每个IP数据包的唯一性,3 IPSec的初步实现,基本组件 筛选器：过滤规则 筛选器操作：允许，阻止，协商安全 身份验证方法 Kerberos V5 协议：适用于由 Windows 2000 或者 Windows Server2003 域或者受信任的 Active Directory 域进行身份验

5、证的计算机 证书：需要证书授权中心 预共享密钥：预共享的密钥以明文方式存储，因此安全性较差,4 IPSec的工作原理,模式 传输模式 transportation mode： 是在计算机之间使用IPSec来实现安全； 是一种端对端 end to end的保护； 是IPSec的缺省模式 隧道模式 tunnel mode： 是在网络之间使用IPSec实现安全； 是一种点到点 point to point的保护； 隧道是对数据包重新封装的过程，它将原始数据包封装在新的数据包内部，从而改变数据包的寻址路径； 通过新增IP包头的方法，将目的地址改变为隧道终点，对和隧道终点之间的传输设置加密等操作； 通常

6、，隧道终点即为安全性网关，也就是说此网关和目的主机之间的通信是安全的； 其思想是先将数据包通过IPSec策略传送到安全性网关，再由安全性网关正常传送到目的主机。,4 IPSec的工作原理,传输模式：当ESP在一台主机（客户机或服务器）上实现时使用，传送模式使用原始明文IP头，并且只加密数据，包括它的TCP和UDP头。 隧道模式：当ESP在关联到多台主机的网络访问介入装置实现时使用，隧道模式处理整个IP数据包-包括全部TCP/IP或UDP/IP头和数据，它用自己的地址做为源地址加入到新的IP头。当隧道模式用在用户终端设置时，它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。,4 IPSec

7、的工作原理,IPSec 协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括 网络认证协议 Authentication Header（AH） 封装安全载荷协议Encapsulating Security Payload（ESP） 密钥管理协议Internet Key Exchange （IKE） IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。,4 IPSec的工作原理,SA安全关联SA（Security Association）是单向的，在两个使用 IPSec的实体（主机或路由器）间

8、建立的逻辑连接，定义了实体间如何使用安全服务（如加密）进行通信。它由下列元素组成：1）安全参数索引SPI；2）IP目的地址；3）安全协议。 AH协议为IP通信提供数据源认证、数据完整性和反重播保证，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。 ESP为IP数据包提供完整性检查、认证和加密，可以看作是“超级 AH”， 因为它提供机密性并可防止篡改。ESP服务依据建立的安全关联（SA）是可选的。 IKE（Internet密钥交换）负责这些任务，它提供一种方法供两台计算机建立安全关联 (SA)。SA 对两台计算机之间的策略协议进行编码，指定它们将使用哪些算法和什么样的密钥长度，以及

9、实际的密钥本身。包括ISAKMP和OKD。,4 IPSec的工作原理,3,4 IPSec的工作原理,5 IPSec策略祥解,策略组件 每一个IPSec policy都对应一个规则 rule 每个规则下放置着多个筛选器filter 每个筛选器来启用筛选器操作 每个规则含有验证方法,5 IPSec策略祥解,策略应用过程,网络,IPSec 筛选器列表,检查是否匹配,5 IPSec策略祥解,客户端（只响应）： 只有当另一方计算机提出要求安全通信时，才应用IPSec策略来响应； 服务器（请求安全设置）： 当计算机收到数据时，会请求源计算机利用IPSec策略建立安全通道，若源计算机没有配置IPSec策略，

10、则目的计算机也接受非安全通信 安全服务器（要求安全设置）： 要求通信必须是安全的，即基于IPSec策略。,6 验证方法祥解,Kerberos V5验证 证书验证 预共享密钥验证,7 IPSec监控与排错,启用计算机审核策略 组策略中设置：审核登录事件，审核对象访问 配置IP安全监视器 Windows 2000：ipsecmon Windows 2003：MMC添加IP安全监视器 主模式：执行身份验证，在计算机之间建立IKE安全关联（SA） 快速模式：在主模式发生之后，根据策略规则中的数据报筛选器的源地址和目标地址（还有协议和端口）部分，建立IPSsec安全关联以保护特定通信的安全。有两个关联，

11、一个用于入站通信，一个用于出站通信。 主模式的SA时安全策略级别的，快速模式的SA针对IP安全规则的。,7 IPSec监控与排错,停止计算机里的 IPSec 策略代理，然后使用 Ping 命令验证计算机之间的通信 重新启动 IPSec 策略代理服务并使用 IPSec 监视器来确认计算机间已建立了安全关联。确保 IPSec 有效 通过 IP 安全策略管理器验证策略已指派给计算机 通过 IP 安全策略管理器回顾策略，并且确保它们之间是兼容的 重启 IP 安全监视器确保所有更新已应用,动手操作,实验3-1 IPSEC防止监听式反连式木马 实验3-2 使用IPSEC数据加密进行网络反监听,监视和优化W

12、INDOWS系统性能,监视和优化Windows系统性能,监视系统资源的目的: 作为一个管理员，监视系统资源的目的是为了评估你的计算机的工作负荷，观测资源使用情况的变化和趋势，测试配置的变化情况，以及诊断问题。,监视和优化Windows 系统性能,使用事件日志监视系统活动 使用“任务管理器”监视系统运行资源 使用“系统监视器”监视系统性能 设置警报监视系统活动,监视和优化Windows 系统性能,“任务管理器”提供关于运行在你的计算机上的程序和进程的快照，并提供有关计算机处理器和内存使用情况的概要信息。 “系统监视器”、“性能日志”、“警报”功能则提供有关操作系统和计算机的特定组件对资源使用情况

13、的详细数据。,1.1 使用事件日志监视系统活动,“Event Log”服务在系统启动后默认启动 监视Windows网络中的各种活动和事件 目的：识别和跟踪安全性事件，资源使用情况，以及系统和应用程序中的错误,三种类型的日志,应用程序日志记录了由应用程序或其他程序产生的事件 系统日志记录了操作系统本身产生的各种事件， 安全日志记录了有关安全性事件的信息,所有用户都可以查看应用程序和系统日志。只有管理员才能访问安全日志。,三种事件类型,信息服务、应用程序、驱动程序的正常启动和工作的事件均属于此类型。 警告当事件可能会引起故障或问题时，被记录为警告事件。 例如，当磁盘空间不足时，将会记录警告。 错误

14、造成应用程序、服务、驱动程序不能正常工作或启动的事件属此类型。,管理事件日志,目的：若你对安全性的要求很高，想归档旧的时间条目，而不是覆盖写入他们，则： 1、约束事件日志大小 在要管理的日志的“属性”中约束日志的大小 2、备份事件日志（归档）：将事件日志中的内容加以整理使其易于使用。 操作：“另存日志文件” 三种日志的文件格式： 日志文件格式（.evt）只能由事件查看器来查看。 文本文件格式（.txt）可由文字处理软件查看。 逗号界定文本文件格式（.csv）可以在电子表格或数据库程序中查看。,1.2 使用“任务管理器”监视系统运行资源,“任务管理器”可提供当前运行在系统中的应用程序的实时信息、

15、进程和内存使用情况的信息或者关于这些进程的其他数据。 进程以前台或者后台的方式运行在保留内存空间中，并执行特定的任务，可看作是应用程序的组成部分，一个应用程序可由很多进程组成。,1.3使用“系统监视器”监视系统性能,“系统监视器”较于“任务管理器”对系统的监视更加专业，可以监视系统中几乎所有的资源。（Windows 内置） “系统监视器”中可以监视的资源：内存、硬盘、CPU、网络。,1.3使用“系统监视器”监视系统性能,1、使用“系统监视器”中的对象、实例和计数器 控制面板管理工具性能 2、查看系统性能数据 三种查看方式： 图表 直方图适用于：开启了多个计数器。 报表以数字的形式实时的显示出来

16、。适用于：需要将要监视的数据导入到电子表格或数据库中。 保存方式：以网页格式（HTML格式）。右击“性能”的右侧子窗口选择“另存为”选择“*.htm”,1.4 设置警报监视系统活动,性能监视器可以为监视数据设置一个阀值，当被监视的数据超过或低于设定的阀值，系统会发出警报通知管理员处理。 在设置警报参数时需要完成以下三个操作： 选定要监视的计数器（先启动该计数器）。 为该计数器设定一个阀值。 设定当性能监视器监视到的计数器数据超过或低于所设定的阀值时操作系统所采取的行为。,1.4 设置警报监视系统活动,操作：设置“警报” “常规”选项卡 “操作”选项卡。按要求输入达到发出警报条件的行为。 “计划”选项卡。输入“开始扫描”和“结束扫描”监视计数器的时间。,学了什么,Windows2003安全策略 监视和优化Windows系统性能,