《微软的IT安全规划》由会员分享,可在线阅读,更多相关《微软的IT安全规划(36页珍藏版)》请在金锄头文库上搜索。
1、微软内部的安全管理微软内部的安全管理- IT 实践实践IT ManagerIT ManagerOperation Technology GroupOperation Technology GroupMicrosoft CorporationMicrosoft Corporation概述:概述:uu微软微软微软微软ITIT的使命和工作的优先级的使命和工作的优先级的使命和工作的优先级的使命和工作的优先级uu我们所面临的问题我们所面临的问题我们所面临的问题我们所面临的问题uu采取的几项措施采取的几项措施采取的几项措施采取的几项措施uu事例分析事例分析事例分析事例分析IT 目标和优先级目标和优先级优先
2、级优先级1.1.MicrosoftMicrosoft的首位用户和最佳用户的首位用户和最佳用户的首位用户和最佳用户的首位用户和最佳用户2.2.提供领先的思维提供领先的思维提供领先的思维提供领先的思维3.3.建立并列的建立并列的建立并列的建立并列的ITIT战略战略战略战略4.4.运行一个世界级的公用设施运行一个世界级的公用设施运行一个世界级的公用设施运行一个世界级的公用设施“ “预预见见性性地地交交付付超超出出我我们们客客户户、用用户户和和合合作伙伴预期作伙伴预期 的的ITIT基础结构和应用程序基础结构和应用程序使使随随时时随随地地的的工工作作更更方方便便更更有有效效率率.”.”Rick Deve
3、nuti Microsoft CIORick Devenuti Microsoft CIORedmondSydneyChofu &Les UlisTelehousTVPDublinBeneluxSilicon ValleyMadridDubaiSingaporeJohannesburgSao Paulo72,00072,000个个个个邮箱邮箱邮箱邮箱Microsoft IT数据数据MilanStockholmMunichCanyon ParkLos ColinasCharlotteChicagoMilanStockholmMunichOemachi70007000多台服务器多台服务器多台服务器
4、多台服务器遍布世界的遍布世界的遍布世界的遍布世界的4 40000多个多个多个多个ITIT支支支支持位置持位置持位置持位置每天每天每天每天450450多万封多万封多万封多万封emailemail每月每月每月每月260260万个语音万个语音万个语音万个语音电话电话电话电话400400多种应用程序多种应用程序多种应用程序多种应用程序1 150,00050,000多台多台多台多台 PCPC110110台台台台 ExchangeExchange服务器服务器服务器服务器我们所面对的:我们所面对的:uu来自外界的:来自外界的:来自外界的:来自外界的:vv100k+ intrusion attempts/pr
5、obes/scans per 100k+ intrusion attempts/probes/scans per monthmonthvv125k+ quarantined emails/month125k+ quarantined emails/monthvv225k networked devices225k networked devicesuu挑战挑战挑战挑战vv微软的文化微软的文化微软的文化微软的文化vv独特的开发要求独特的开发要求独特的开发要求独特的开发要求vv应用程序的内部测试应用程序的内部测试应用程序的内部测试应用程序的内部测试vv技术的领先技术的领先技术的领先技术的领先生态系
6、统生态系统InfoSec must understand and manage vulnerabilities InfoSec must understand and manage vulnerabilities across across all 5 vectorsall 5 vectors. . Threats in any of these vectors Threats in any of these vectors almost always lead to compromise of other vectors.almost always lead to compromise of
7、 other vectors.Exploit of misconfiguration, Exploit of misconfiguration, buffer overflows, open buffer overflows, open shares, NetBIOS attacksshares, NetBIOS attacks托管托管托管托管对应用程序的未授权访问对应用程序的未授权访问未经检查的内存驻留未经检查的内存驻留应用程序应用程序应用程序应用程序账户的一致性和私有性账户的一致性和私有性账户账户账户账户信任关系信任关系信任关系信任关系Data sniffing on the Data s
8、niffing on the wire, network wire, network fingerprintingfingerprinting网络网络网络网络External External InfluencesInfluences(people, bugs, etc.)(people, bugs, etc.)SystemSystemSecuritySecurityExternal External InfluencesInfluences(people, bugs, etc.)(people, bugs, etc.)理想的信息安全是:理想的信息安全是:在一个包含的服务、应用程序和网络架构的
9、在一个包含的服务、应用程序和网络架构的在一个包含的服务、应用程序和网络架构的在一个包含的服务、应用程序和网络架构的ITIT环环环环境中,提供高可靠性、私有性和安全境中,提供高可靠性、私有性和安全境中,提供高可靠性、私有性和安全境中,提供高可靠性、私有性和安全几点重要保证:几点重要保证:uu验证身份验证身份验证身份验证身份uu所需资源的安全可靠所需资源的安全可靠所需资源的安全可靠所需资源的安全可靠uu数据和通讯的私有性数据和通讯的私有性数据和通讯的私有性数据和通讯的私有性uu角色和职能的划分角色和职能的划分角色和职能的划分角色和职能的划分uu快速的危险和威胁的反应快速的危险和威胁的反应快速的危险
10、和威胁的反应快速的危险和威胁的反应安全的策略安全的策略目标目标目标目标确保网络周边确保网络周边确保网络周边确保网络周边的安全的安全的安全的安全确保网络内部确保网络内部确保网络内部确保网络内部的安全的安全的安全的安全确保重要资产确保重要资产确保重要资产确保重要资产的安全的安全的安全的安全加强监控和审加强监控和审加强监控和审加强监控和审计计计计服务服务服务服务策略策略策略策略n nInvestigations & ForensicsInvestigations & Forensicsn nThreat & Risk AnalysisThreat & Risk Analysisn nManage P
11、olicyManage Policyn nVulnerability ScanningVulnerability Scanningn nSecurity AuditsSecurity Auditsn nAccess ManagementAccess Managementn nSmart Cards for RASSmart Cards for RASn nSecure Remote UserSecure Remote Usern nManaged SourceManaged Sourcen nNetwork SegmentationNetwork Segmentationn nSecuring
12、 the ExtranetSecuring the Extranetn nUntrustworthy DevicesUntrustworthy Devicesn nSecure Environmental RemediationSecure Environmental Remediation危险的分类危险的分类技术不是解决问题的唯一技术不是解决问题的唯一危险的预防级别危险的预防级别事例分析事例分析安全小组安全小组Information Security TeamInformation Security TeamThreat, RiskThreat, RiskAnalysis & PolicyA
13、nalysis & PolicyAssessmentAssessmentComplianceComplianceMonitoring, Intrusion Monitoring, Intrusion Detection, Incident Detection, Incident ResponseResponseShared ServicesShared ServicesOperationsOperationsThreat & RiskThreat & RiskAnalysisAnalysisPolicyPolicyDevelopmentDevelopmentProductProductEval
14、uationEvaluationDesignDesignReviewReviewStructureStructureStandardsStandardsSecuritySecurityManagementManagementSecuritySecurityAssessmentAssessmentCompliance &Compliance &RemediationRemediationMonitoring &Monitoring &Intrusion DetectionIntrusion DetectionRapid ResponseRapid Response& Resolution& Re
15、solutionForensicsForensicsITITInvestigationsInvestigationsPhysical &Physical &Remote AccessRemote AccessCertificateCertificateAdministrationAdministrationSecuritySecurityToolsToolsInitiativeInitiativeManagementManagement确保网络周边的安全确保网络周边的安全ISA Server as Perimeter Firewall远程访问的架构远程访问的架构CorpnetCorpnetDo
16、mainDomainControllerControllerIASIASRRASRRASIASIASProxyProxyRRASRRASVPNVPNUUNet POPInternetVPN tunnel over VPN tunnel over broadband broadband connectionconnectionVPN tunnel VPN tunnel over analog over analog connectionconnectionAnalog connection Analog connection over direct dial over direct dial c
17、onnectionconnectionCHAP CHAP authenticationauthenticationEAP/TLS EAP/TLS authenticationauthenticationEmployeeEmployeecomputercomputerCorpnetCorpnetMS CHAP MS CHAP EAP EAP authenticationauthentication确保网络周边的安全确保网络周边的安全 RAS Deploymentuu使用智能卡使用智能卡使用智能卡使用智能卡uu实施实施实施实施VPN/RADIUS VPN/RADIUS uu利用利用利用利用Wind
18、ows 2000 Servers Windows 2000 Servers PKI PKI uu集中式卡的管理集中式卡的管理集中式卡的管理集中式卡的管理确保网络周边的安全确保网络周边的安全Connection Manageruu用户拨号所必需的用户拨号所必需的用户拨号所必需的用户拨号所必需的 uu检查系统设置检查系统设置检查系统设置检查系统设置: :vv是否安装放病毒软件是否安装放病毒软件是否安装放病毒软件是否安装放病毒软件vvICFICFvvICSICS ( (关闭关闭关闭关闭) )uu利用利用利用利用Auto-UpdateAuto-Update功能功能功能功能 PushPush所需的软件所
19、需的软件所需的软件所需的软件确保网络内部的安全确保网络内部的安全用户账户的管理用户账户的管理uu密码是严格控制的信息密码是严格控制的信息密码是严格控制的信息密码是严格控制的信息uu所有用户,系统,网络和应用程序的密码必须所有用户,系统,网络和应用程序的密码必须所有用户,系统,网络和应用程序的密码必须所有用户,系统,网络和应用程序的密码必须7070天更新天更新天更新天更新uu密码在网络传输的过程中加密密码在网络传输的过程中加密密码在网络传输的过程中加密密码在网络传输的过程中加密uu密码的标准密码的标准密码的标准密码的标准确保内部网络的安全确保内部网络的安全确保无线网络的安全确保无线网络的安全确保
20、无线网络的安全确保无线网络的安全uu升级升级升级升级 fireware fireware 到到到到 802.1x 802.1x uu禁用禁用禁用禁用 shared WEP key shared WEP key uu禁止使用非禁止使用非禁止使用非禁止使用非ITIT管理的管理的管理的管理的APAPuu采用采用采用采用PKIPKI分发和验证用户和机器的证书分发和验证用户和机器的证书分发和验证用户和机器的证书分发和验证用户和机器的证书 确保网络内部的安全确保网络内部的安全Network Threats, Risks, and AttacksNetwork Level ThreatsNetwork Le
21、vel Threatsn nUn-patched vulnerabilities/ Un-patched vulnerabilities/ mismis-configuration-configurationn nCompromise of data integrity “over-the-wire”Compromise of data integrity “over-the-wire”n nUnauthorized access to a computerUnauthorized access to a computerAttacksAttacksn nBuffer overflow Buf
22、fer overflow attacksattacksn nSQL SlammerSQL Slammern nCode RedCode Redn nNimdaNimdaRisksRisksn nUntrustedUntrusted computers computers n nMalware & malicious users gaining access Malware & malicious users gaining access n nNetworked machines can be a conduit to valuable Networked machines can be a
23、conduit to valuable datadata确保网络内部的安全确保网络内部的安全网络的隔离网络的隔离uu降低危险降低危险降低危险降低危险vv确认微软确认微软确认微软确认微软ITIT管理的机器管理的机器管理的机器管理的机器vv区分微软区分微软区分微软区分微软ITIT管理,非管理,非管理,非管理,非ITIT管理的机器管理的机器管理的机器管理的机器vv限制访问限制访问限制访问限制访问 uuNetwork Segmentation ApproachNetwork Segmentation Approachvv限制非限制非限制非限制非ITIT管理的机器(不在管理的机器(不在管理的机器(不在管
24、理的机器(不在domaindomain中的)中的)中的)中的) 访问访问访问访问ITIT管理的机器管理的机器管理的机器管理的机器vv利用利用利用利用IPsecIPsec确保网络内部的安全确保网络内部的安全补丁管理补丁管理 Windows UpdateWindows Update Windows UpdateWindows Update Microsoft Baseline Security Advisor (MBSA)Microsoft Baseline Security Advisor (MBSA) Microsoft Baseline Security Advisor (MBSA)Micr
25、osoft Baseline Security Advisor (MBSA)Advertised Program Monitor(Deployed by SMS) Advertised Program Monitor 在设定的时间段,程序可以自动运行在设定的时间段,程序可以自动运行 ASAP 实施实施application software assurance programapplication software assurance programuu危险评估危险评估危险评估危险评估uu设计审核设计审核设计审核设计审核uu产品发布之前的评估产品发布之前的评估产品发布之前的评估产品发布之前的评
26、估uu产品发布之后的跟踪产品发布之后的跟踪产品发布之后的跟踪产品发布之后的跟踪增强监督机制增强监督机制uu设立专门的监督部门设立专门的监督部门设立专门的监督部门设立专门的监督部门uu利用自动工具进行扫描利用自动工具进行扫描利用自动工具进行扫描利用自动工具进行扫描vv微软对外发布的工具有:微软对外发布的工具有:微软对外发布的工具有:微软对外发布的工具有:Microsoft Baseline Microsoft Baseline Security Analyzer (MBSA) and HFNetChkSecurity Analyzer (MBSA) and HFNetChkvvScan for
27、missing hotfixes and other Scan for missing hotfixes and other vulnerabilities vulnerabilities vvScanning is geographically distributed Scanning is geographically distributed and uses a variety of network sweep and uses a variety of network sweep methodologiesmethodologiesvvAn internally developed t
28、oolkit helps to An internally developed toolkit helps to identify and correct vulnerabilitiesidentify and correct vulnerabilities防病毒的策略防病毒的策略uu安装防病毒软件安装防病毒软件安装防病毒软件安装防病毒软件 vvAudit employee desktops via a logon scriptAudit employee desktops via a logon scriptvvQuarantine remote computers without eTru
29、st from Quarantine remote computers without eTrust from connecting connecting uu利用在利用在利用在利用在OutlookOutlook中的安全设置中的安全设置中的安全设置中的安全设置vvEmail attachment securityEmail attachment securityvvHeightened Outlook default security settingsHeightened Outlook default security settingsvvObject Model GuardObject M
30、odel Guarduu在在在在Exchange IMCExchange IMC上做设置上做设置上做设置上做设置vvCurrently block 38 at the IMCCurrently block 38 at the IMCuuContent scanning and filtering at Internet facing Content scanning and filtering at Internet facing serversserversuuBlock rogue Web sites at the Proxy serversBlock rogue Web sites at
31、 the Proxy servers更多的信息可以在:更多的信息可以在:uuAdditional content on OTG deployments and Additional content on OTG deployments and best practices can be found on .best practices can be found on .vvTechNet: TechNet: vvCase Study Resources:Case Study Resources: 2003 Microsoft Corporation. All rights reserved. 2003 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.
