网络安全的实现和管理.ppt

第7章为服务器角色规划 配置和部署安全基线 网络安全的实现和管理 以WindowsServer2003和ISAServer2004为例 第1章规划和配置授权和身份验证策略第2章安装 配置和管理证书颁发机构第3章配置 部署和管理证书第4章规划 实现和故障诊断智能卡证书第5章加密文件系统的规划 实现和故障排除第6章规划 配置和部署安全的成员服务器基线第7章为服务器角色规划 配置和部署安全基线第8章规划 配置 实现和部署安全客户端计算机基线第9章规划和实现软件更新服务第10章数据传输安全性的规划 部署和故障排除第11章部署配置和管理SSL第12章规划和实施无线网络的安全措施第13章保护远程访问安全 网络安全的实现和管理 以WindowsServer2003和ISAServer2004为例 第14章MICROSOFTISASERVER概述第15章安装和维护ISAServer第16章允许对Internet资源的访问第17章配置ISAServer作为防火墙第18章配置对内部资源的访问第19章集成ISAServer2004和MicrosoftExchangeServer第20章高级应用程序和Web筛选第21章为远程客户端和网络配置虚拟专用网络访问第22章实现缓存第23章监视ISAServer2004 第7章 为服务器角色规划 配置和部署安全基线 规划和配置域控制器的安全基线规划和配置DNS服务器的安全基线规划和配置基本架构服务器的安全基线规划文件和打印服务器的安全基线规划和配置IIS服务器的安全基线Internet验证服务基线策略ExchangeServer服务器基线策略SQLServer服务器基线策略 针对域控制器的安全威胁域控制器基线策略ActiveDirectory数据库和日志文件Ntdsutil exe移动ActiveDirectory数据库和日志文件的方式调整ActiveDirectory事件日志文件的大小SYSKEY 7 1规划和配置域控制器的安全基线 规划和配置域控制器的安全基线 物理接入域控制器的恶意用户无时限得对域控制器进行攻击对存储在默认位置下的ActiveDirectory数据库和日志文件进行攻击 对域控制器进行拒绝服务攻击导致服务失效 干扰目录复制 缓冲区溢出攻击 对一个域有管理访问权的攻击者获得林中每个域的管理访问权 社会工程 7 1 1针对域控制器的安全威胁 针对域控制器的安全威胁 域控制器基线策略 域控制器基线策略 链接到OU优先级高于默认域控制器策略其他安全措施手工将安全组添加到用户权限分配中将ActiveDirectory数据库日志和文件移动到安全的位置使用SYSKEY调整事件日志的大小 7 1 2域控制器基线策略 7 1 3ActiveDirectory数据库和日志文件 ActiveDirectory数据库和日志文件 Ntdsutil exe Ntdsutil exe使用Ntdsutil exe 是提供ActiveDirectory管理工具的命令行工具 执行ActiveDirectory数据库维护管理和控制单个主控操作移除未通过正确卸载而从网络中删除的域控制器所遗留下的元数据创建应用程序目录分区将数据库从磁盘上一个位置移动到另一个安全的位置将ActiveDirectory对象标记为已认证 7 1 4Ntdsutil exe 演示 移动ActiveDirectory数据库和日志文件的方式 7 1 5移动ActiveDirectory数据库和日志文件的方式 移动ActiveDirectory数据库和日志文件的方式 演示 调整ActiveDirectory事件日志文件的大小 7 1 6调整ActiveDirectory事件日志文件的大小 调整ActiveDirectory事件日志文件的大小 SYSKEY SYSKEYSYSKEY模式 提供额外的防范措施来防御脱机密码破解软件使用强加密技术来保护存储在目录服务中的账户密码信息 模式1模糊密钥模式2管理员密码模式3在软盘上保存SYSKEY密码 7 1 6SYSKEY 第7章 为服务器角色规划 配置和部署安全基线 规划和配置域控制器的安全基线规划和配置DNS服务器的安全基线规划和配置基本架构服务器的安全基线规划文件和打印服务器的安全基线规划和配置IIS服务器的安全基线Internet验证服务基线策略ExchangeServer服务器基线策略SQLServer服务器基线策略 针对DNS服务器的安全威胁保护MicrosoftDNS服务器的指导方针配置DNS动态更新凭据限制DNS区域传输的方式限制对DNS服务器的外部访问的指导方针防止DNS高速缓存污染的方式 7 2规划和配置DNS服务器的安全基线 规划和配置DNS服务器的安全基线 7 2 1针对DNS服务器的安全威胁 针对DNS服务器的安全威胁 保护MicrosoftDNS服务器 使用ActiveDirectory集成DNS为不与ActiveDirector集成的DNS服务器创建定制模板限制DNS区域传输限制对DNS服务器的外部访问启用 保护缓存防止污染 设置安全的动态更新调整DNS日志大小 7 2 2保护MicrosoftDNS服务器的指导方针 保护MicrosoftDNS服务器的指导方针 配置DNS动态更新凭据 演示 配置DNS动态更新凭据 配置DNS动态更新凭据配置DHCP服务器使用该账户 7 2 3配置DNS动态更新凭据 限制DNS区域传输的方式 演示 限制DNS区域传输的方式 7 2 4限制DNS区域传输的方式 限制对DNS服务器的外部访问 使用私有内部名称空间配置外部路由器和防火墙只允许在内部和外部DNS服务器之间进行DNS通信使组织的内部DNS名称空间成为组织的外部DNS名称空间的子域使用数据包筛选来限制到DNS服务器的通信 7 2 5限制对DNS服务器的外部访问的指导方针 限制对DNS服务器的外部访问的指导方针 演示 防止DNS高速缓存污染的方式 7 2 6防止DNS高速缓存污染的方式 防止DNS高速缓存污染的方式 目的 掌握配置DNS更新凭据 7 2 7实验7 1 配置DNS更新凭据 实验7 1 配置DNS更新凭据 第7章 为服务器角色规划 配置和部署安全基线 规划和配置域控制器的安全基线规划和配置DNS服务器的安全基线规划和配置基本架构服务器的安全基线规划文件和打印服务器的安全基线规划和配置IIS服务器的安全基线Internet验证服务基线策略ExchangeServer服务器基线策略SQLServer服务器基线策略 针对基本架构服务器的安全威胁基本架构服务器基线策略配置其他DHCP设置的方法增加DHCP服务器容错能力的方法保护WINS服务器的指导方针创建静态WINS条目 7 3规划和配置基础架构服务器的安全基线 规划和配置基本架构服务器的安全基线 针对基本架构服务器的安全威胁 7 3 1针对基础架构服务器的安全威胁 基本架构服务器基线策略 基本架构服务器基线策略模板基本架构基线模板的差异 基于成员服务器基线模板的增量模板 DHCP服务被配置为在所有三种安全环境中自动启动WINS服务被配置为在所有三种安全环境中自动启动 7 3 2基础架构服务器基线策略 配置其他DHCP设置的方法 启用DHCP事件记录 限制对DHCP日志的访问增加DHCP审核日志大小 选择 启用DHCP审核记录 选项 将ServerOperators和AuthenticatedUsers组从 systemroot system32 dhcp 文件夹的ACL中移除 修改DhcpLog最小日志空间设置 7 3 3配置其他DHCP设置的方法 增加DHCP服务器容错能力的方法 使用分割作用域配置使用群集化DHCP服务器使用备用服务器 7 3 4增加DHCP服务器容错能力的方法 保护WINS服务器的指导方针 限制外部访问WINS服务器 限制对WINS管理员组的访问监视WINS复制停止运行NetBIOS应用程序启用WINS记录不要将WINS数据库和日志文件从它们的默认位置移出使用静态WINS条目 7 3 5保护WINS服务器的指导方针 创建静态WINS条目 演示 创建静态WINS条目 7 3 6创建静态WINS条目 实验7 2 创建GPO以限制对基础架构服务器的访问 目的 为基本架构服务器创建GPO 7 3 7实验7 2 创建GPO以限制对基础架构服务器的访问 第7章 为服务器角色规划 配置和部署安全基线 规划和配置域控制器的安全基线规划和配置DNS服务器的安全基线规划和配置基本架构服务器的安全基线规划文件和打印服务器的安全基线规划和配置IIS服务器的安全基线Internet验证服务基线策略ExchangeServer服务器基线策略SQLServer服务器基线策略 规划文件和打印服务器的安全基线 针对文件和打印服务器的安全威胁文件服务器和打印服务器基线策略保护文件服务器的指导方针保护打印服务器的指导方针 7 4规划文件和打印服务器的安全基线 针对文件和打印服务器的安全威胁 7 4 1针对文件和打印服务器的安全威胁 文件服务器和打印服务器基线策略 文件服务器模板和成员服务器基线模板之间的差别打印服务器模板和成员服务器基线模板之间的差别 分布式文件系统 DFS 和文件复制服务 FRS 服务被配置为在所有三种安全环境中禁用 PrintSpooler 打印后台处理程序 服务被配置为在所有三种安全环境中自动启动安全选项 Microsoft网络服务器 数字签名通信 始终 在三种安全环境中都是禁用的 7 4 2文件服务器和打印服务器基线策略 保护文件服务器的指导方针 保护文件服务器 如果需要DFS 仅启用DFS服务如果需要文件复制 仅启用文件复制服务 7 4 3保护文件服务器的指导方针 保护打印服务器的指导方针 保护打印服务器 禁用打印服务器的 数字签名通信 始终 设置允许其他用户停止 启动和暂停PrintSpooler服务 7 4 4保护打印服务器的指导方针 实验7 3 创建组合式文件和打印服务器基线策略 目的 创建组合式文件和打印服务器基线策略 7 4 5实验7 3 创建组合式文件和打印服务器基线策略 第7章 为服务器角色规划 配置和部署安全基线 规划和配置域控制器的安全基线规划和配置DNS服务器的安全基线规划和配置基本架构服务器的安全基线规划文件和打印服务器的安全基线规划和配置IIS服务器的安全基线Internet验证服务基线策略ExchangeServer服务器基线策略SQLServer服务器基线策略 规划和配置IIS服务器的安全基线 针对IIS服务器的安全威胁IIS服务器基线策略安装IIS的方式为IIS服务器设置用户权限分配的指导方针IISServers配置IIS日志记录的指导方针在IIS中配置额外设置的指导方针 7 5规划和配置IIS服务器的安全基线 针对IIS服务器的安全威胁 7 5 1针对IIS服务器的安全威胁 IIS服务器基线策略 IIS服务器基线模板成员服务器基线模板和IIS服务器基线模板之间的差别 是基于成员服务器基线模板的增量模板 HTTPSSL服务 IISAdmin服务和WWWPublishing服务被配置为在所有三种安全环境中自动启动 7 5 2IIS服务器基线策略 安装IIS的方式 演示 安装IIS的方式 7 5 3安装IIS的方式 为IIS服务器设置用户权限分配的指导方针IISServers 为IIS服务器设置用户权限分配 从 拒绝从网络访问这台计算机 列表中删除Guests组包括ANONYMOUSLOGON Built inAdministrator Support 388945a0和所有非操作系统服务账户 7 5 4为IIS服务器设置用户权限分配的指导方针IISServers 配置IIS日志记录的指导方针 在非系统带区或带区上和有镜像的磁盘卷上存储日志来提高服务器性能 留出充足的磁盘空间以存储日志文件 指定保存日志文件的目录和应该开始新建日志文件的时间 在日志文件目录上设置适当的访问控制来保护日志数据 考虑仅允许管理员和IIS WPG组访问日志文件目录 更频繁的创建新的日志文件 让它们更小并且更加可管理 7 5 5配置IIS日志记录的指导方针 在IIS中配置额外设置的指导方针 在专用磁盘卷上存储内容的指导方针设置NTFS权限的指导方针启用FTP SMTP和NNTP服务的指导方针 不要在包含操作系统或者其他敏感数据的磁盘卷上存储内容 将NTFS权限和Web权限结合使用明确拒绝这些Web站点或应用程序中的匿名账户的访问 启用相应的服务以使该服务运行 7 5 6在IIS中配置额外设置的指导方针 第7章 为服务器角色规划 配置和部署安全基线 规划和配置域控制器的安全基线规划和配置DNS服务器的安全基线规划和配置基本架构服务器的安全基线规划文件和打印服务器的安全基线规划和配置IIS服务器的安全基线Internet验证服务基线策略ExchangeServer服务器基线策略SQLServer服务器基线策略 Internet验证服务基线策略 配置IASRADIUS消息验证程序账户锁定隔离控制日志记录注意事项用防火墙保护IAS 7 6Internet验证服务基线策略 配置IAS 7 6 1配置IAS RADIUS消息验证程序 RADIUS服务器RADIUS客户端 7 6 2RADIUS消息验证程序 账户锁定 启用远程访问账户锁定修改失败尝试计数器重设之前的时间量在失败尝试计数器自动重设前手动重设已锁定的用户账户 7 6 3账户锁定 隔离控制 网络访问隔离控制 ISA提供隔离控制来帮助确定远程访问用户的计算机是否是安全延迟对专用网的正常远程访问 直到管理员提供的脚本检查并确认了远程访问计算机的配置是有效的 7 6 4隔离控制 日志记录注意事项 7 6 5日志记录注意事项 用防火墙保护IAS 记账通信使用UDP1813和1646端口隔离控制的通知和侦听器组件默认使用7250端口 7 6 6用防火墙保护IAS 第7章 为服务器角色规划 配置和部署安全基线 规划和配置域控制器的安全基线规划和配置DNS服务器的安全基线规划和配置基本架构服务器的安全基线规划文件和打印服务器的安全基线规划和配置IIS服务器的安全基线Internet验证服务基线策略ExchangeServer服务器基线策略SQLServer服务器基线策略 ExchangeServer服务器基线策略 网络加密日志记录注意事项使用防火墙保护ExchangeServer 7 7ExchangeServer服务器基线策略 网络加密 7 7 1网络加密 日志记录注意事项 7 7 2日志记录注意事项 使用防火墙保护ExchangeServer 7 7 3使用防火墙保护ExchangeServer 第7章 为服务器角色规划 配置和部署安全基线 规划和配置域控制器的安全基线规划和配置DNS服务器的安全基线规划和配置基本架构服务器的安全基线规划文件和打印服务器的安全基线规划和配置IIS服务器的安全基