《2021年企业如何建置安全的操作系统-Windows-XP-网络安全PPT课件》由会员分享,可在线阅读,更多相关《2021年企业如何建置安全的操作系统-Windows-XP-网络安全PPT课件(41页珍藏版)》请在金锄头文库上搜索。
1、Click to edit Master title styleClick to edit Master subtitle style企業如何建置安全的作業系統 Windows XP 網路安全蘇建榮蘇建榮eventtaipeicity.orgeventtaipeicity.orgMCSE2003/MVP/MCTMCSE2003/MVP/MCTDesktopDeploymentCenterDesktopDeploymentCenter大綱l威脅,弱點與攻擊 l安全的第一步 l分析與修補軟體弱點 l增進企業網路的安全 l增進無線網路應用的安全 l增進網際網路應用的安全威脅,弱點與攻擊說 明實 例威
2、脅對您可能產生潛在危害的各種行為攻擊者經常在 Internet 掃瞄有哪些 IP Address 上有什麼 Port 被開啟弱點由任何型式的威脅行為所能發現或暴露出來的安全缺口不適當的設定或軟體的瑕疵未被修補攻擊由精心設計的方法,跨越系統的安全控制進行各種資源擁有者預期外的操作未被認可的資料存取、設定修改或執行程式大綱l威脅,弱點與攻擊 l安全的第一步 l分析與修補軟體弱點 l增進企業網路的安全 l增進無線網路應用的安全 l增進網際網路應用的安全安全的第一步l啟用網際網路連線防火牆(ICF)l管制IP封包的進出l減少可能的被攻擊面l仍能對網路上的資源正常的進行存取ICF 網際網路連線防火牆l每
3、個網路界面的設定是獨立的l對外的存取一切正常l外來的存取預設全部封鎖l能以協定種類與埠號進行篩選l無法以IP位址或應用程式資料進行篩選啟動 ICFl網路安裝精靈l新增連線精靈l網路連線資料夾服務選項l l允許使用者在本機電腦允許使用者在本機電腦上執行服務,或在家用上執行服務,或在家用網路環境內建立網路環境內建立portport的的對應對應l l供应一系列預先定義好供应一系列預先定義好的服務的服務l l使用者可以自行建立新使用者可以自行建立新的對應值的對應值大綱l威脅,弱點與攻擊 l安全的第一步 l分析與修補軟體弱點 l增進企業網路的安全 l增進無線網路應用的安全 l增進網際網路應用的安全我的電
4、腦有哪些安全弱點?MBSA 的特色lMBSA.exe圖形化介面lMBSAcli.exe命令列界面lMBSAcli.exe/hfHFNetChk風格l可同時掃描一部或多部電腦執行MBSA的帳戶必須是Administrators群組成員Mbsacli.exe-r192.168.0.1-192.168.0.10lXML格式的安全性基準的報告儲存於%userprofile%的SecurityScans中lFreedownloadhttp:/ Security Baseline Analyzer)l支援平台lWindowsXPHomeEdition/ProfessionallWindows2000Pro
5、fessional/ServerlWindowsServer2003l掃描支援產品lWindowsXP,WindowsServer2003,Windows2000,WindowsNT4.0lIIS4.0,IIS5.x,IIS6.0lInternetExplorer5.01以上lWindowsMediaPlayer6.4以上lSQL7,2000(含MSDE)lExchangeServer5.5,2000,2003lBizTalk,CommerceServer,CMS,HIS等MBSA 的運作l執行時會嘗試連線到Internet,以便從Microsoft下載msscure.cab及msscure.
6、xmllmsscure.cab是由MicrosoftCorporation數位簽署的l指定網域或IP位址的範圍時,會嘗試Ping全部電腦;MBSA會列出哪些電腦沒有辦法Ping到,並且繼續對已回應的電腦進行掃描l人工下載mssecure.cab,mssecure.xmllhttp:/ ScorelCheckFailed(Critical)lCheckFailed(non-Critical)lCheckPassedlBestPracticeslAdditionalInformationSecurity Update Scan Results什麼是 Software Update Services
7、自動更新 Software Update Services伺服器 自動更新LANWindows Update Web siteInternetSUS 伺服器下載重大更新與安全性補充程式企業內的用戶電腦的自動更新服務直接由 SUS 伺服器下載更新自動更新SUS 伺服器l硬體需求PentiumIII700MHz以上512MBRAM6GB以上格式化為NTFS檔案系統的邏輯磁碟l軟體需求Windows2000ServerSP2以上或WindowsServer2003IIS5.0以上InternetExplorer6.0以上SUS 用戶端lWindowsXPsp1(含以上)lWindows2000sp3
8、(含以上)lWindowsServer2003l使用自動更新並設定WUServerSoftwarePoliciesMicrosoftWindowsWindowsUpdateAUAUOptionsSoftwarePoliciesMicrosoftWindowsWindowsUpdateAUAUOptionsSoftwarePoliciesMicrosoftWindowsWindowsUpdateAUUseWUServerSoftwarePoliciesMicrosoftWindowsWindowsUpdateAUUseWUServerSoftwarePoliciesMicrosoftWindow
9、sWindowsUpdateWUServerSoftwarePoliciesMicrosoftWindowsWindowsUpdateWUServerSoftwarePoliciesMicrosoftWindowsWindowsUpdateWUStatusServerSoftwarePoliciesMicrosoftWindowsWindowsUpdateWUStatusServer大綱l威脅,弱點與攻擊 l安全的第一步 l分析與修補軟體弱點 l增進企業網路的安全 l增進無線網路應用的安全 l增進網際網路應用的安全VPN 虛擬私人網路l在公眾的電腦網路(如:Internet)建立虛擬的私人網路
10、連線,達成犹如私人網路相同的安全性並節省費用l可透過公眾的電腦網路(如:Internet,publicIPAddress),將多個企業內部網路(Intranet,privateIPAddress)進行連通l對IP封包進行封裝與加密使用 VPN 虛擬私人網路VPN 伺服器Windows Server 2003Internet 界面211.55.66.71Intranet 界面192.168.0.1公司內部Intranet192.168.0.0Windows XP61.11.22.31InternetTunnel192.168.10.2192.168.10.2192.168.10.3192.168
11、.10.3建立一個新連線Windows XP 所支援的 VPN 協定PPTPPPTPInternetwork must be IP-basedNo header compressionNo tunnel authenticationBuilt-in PPP encryptionL2TPL2TPInternetwork can be IP, frame relay, X.25, or ATM-basedHeader compressionTunnel authenticationUses IPSec encryptionPPTP or L2TPPPTP or L2TPInternet什麼是 IP
12、SeclIP網路傳輸安全的業界標準架構l供应l通訊前與通訊期間的雙向驗證l確保資料傳輸的隱密性l確保封包傳輸的完整性l防止以封包重播方式的攻擊lAH(AuthenticationHeader;驗證標頭)l驗證傳送資料電腦的身份並確保資料的完整性lESP(EncapsulatedSecurityPayload;壓縮安全性內容)l驗證傳送資料電腦的身份並確保資料的隱密性與完整性IPSec 如何運作 TCP 層IPSec驅動程式TCP 層IPSec 驅動程式Encrypted IP Packets3安全性關聯交涉2IP 安全性原則IP 安全性原則1Active Directory什麼是 IP 安全性
13、原則lIPSec使用規則與原則來確保網路傳輸的安全l規則的組成IP篩選器清單篩選器動作驗證方法l預設的原則用戶端(僅回應)伺服器(要求安全性)安全的伺服器(需要安全性)使用預設原則未指派用戶端(僅回應)伺服器(要求安全性)安全的伺服器(需要安全性)未指派No IPSecNo IPSecNo IPSec無法通訊用戶端(僅回應)No IPSecNo IPSecIPSecIPSec伺服器(要求安全性)No IPSecIPSecIPSecIPSec安全的伺服器(需要安全性)無法通訊IPSecIPSecIPSec 預設以預設以 Kerberos Kerberos 驗證驗證如何指派 IP 安全性原則l使用
14、IP安全性原則治理l在ActiveDirectory網域中使用群組原則進行集中治理大綱l威脅,弱點與攻擊 l安全的第一步 l分析與修補軟體弱點 l增進企業網路的安全 l增進無線網路應用的安全 l增進網際網路應用的安全802.11 無線網路的安全機制l身分驗證Authenticationl開放式系統OpenSysteml封閉式系統ClosedSysteml共享密鑰認證Shared-Keyl資料保密ConfidentialitylWEP(WiredEquivalentPrivacy)l資料的完整性IntegritylCRClCRC+WEP802.11 認證模式身份驗證AuthenticationS
15、SID(ServiceSetID)WEP資料加密開放式系統OpenSystem接受SSID值為空白不使用不支援封閉式系統ClosedSystem需輸入有效的SSID不使用不支援分享密鑰認證SharedKey(Challenge-Response)需輸入有效的SSID利用WEP與RC4演算法進行身分確認利用WEP產生的金要進行資料加密802.1XlPort-based存取掌握方式l可以用在無線或有線網路環境lAccesspoint必須支援802.1Xl不需要大幅改變現有硬體架構l可以使用EAP使用更高安全性的驗證方式l讓用戶端選擇使用的驗證方式lAccesspoint不需要供应EAP的驗證方式l
16、金鑰自動治理l不須重新改寫無線網卡的晶片設計802.1Xl連接埠存取實體(PAE,也稱為LAN連接埠)l支援連接埠相關IEEE802.1X通訊協定的邏輯實體;l驗證者l對於無線連線而言,驗證者就是無線存取點(AP)上的邏輯LAN連接埠請求者l請求者l對於無線連線而言,請求者就是在無線LAN網路介面卡上要求存取有線網路的邏輯LAN連接埠l驗證伺服器l無線AP通常會使用遠端驗證撥號使用者服務(RADIUS)通訊協定將連線嘗試參數傳送給RADIUS伺服器(IAS,網際網路驗證服務);WPAl支援Pre-SharedKey(PSK)l讓沒有RADIUS的環境也能使用l在每次連線起始過程重新產生金鑰lTKIP取代802.1X金鑰治理lTemporalkeyintegrityprotocoll128-bitRC4結合128-bitIV及用戶端MACaddressl每個frame都使用不同的加密金鑰l並非完全取代WEPl供应更安全的加密金鑰機制(AES)大綱l威脅,弱點與攻擊 l安全的第一步 l分析與修補軟體弱點 l增進企業網路的安全 l增進無線網路應用的安全 l增進網際網路應用的安全保護電子郵件l
