ITTrainingPlanCGNBBournerV.ppt

微软安全解决方案 任远解决方案专家成都微软技术中心 成都融微软件服务有限公司 Agenda 信息安全威胁微软安全体系结构微软安全解决方案网络安全基础架构安全信息保护虚拟化技术Q A 3 信息泄漏 4 系统运行不必要的服务 7 缺乏安全配置的INTERNET服务器 13 不充分的日志 监控 和保护 8 错误配置的防火墙 5 弱 重复使用的口令 12 没有验证的服务 10 过多的文件 路径访问权限 14 缺乏管理制度 流程 指导和标准 错误配置的路由器访问控制表 9 没有打补丁 采用缺省配置的软件 2 不安全 无监控的远程访问节点 11 过多的信任关系 6 普通用户和测试账号有额外的权限 BranchOffice InternalLAN InternalLAN Dialup Workstation BorderRouter Mobile HomeUser Internet Workstation Firewall RemoteAccessServer Internet DMZServers InternalRouter DedicatedCircuits 信息安全威胁 面临的主要安全威胁 商业数据泄密 通过电子邮件 移动存贮介质 计算机盗窃 内网接入安全桌面系统管理混乱服务攻击 Agenda 信息安全威胁微软安全体系结构微软安全解决方案网络安全基础架构安全信息保护虚拟化技术Q A 层次化安全防护体系 层次化安全防护体系 身份管理操作系统安全数据安全及备份网络安全应用系统安全虚拟化技术 Agenda 信息安全威胁微软安全体系结构微软安全解决方案网络安全基础架构安全信息保护虚拟化技术Q A 基础架构 数据安全 虚拟技术 安全体系 安全体系建设 网络安全实现 边缘安全内外网安全隔离上网行为管理及控制应用系统安全发布攻击防护内网接入安全 解决方案说明 边缘网络安全隔离 内网接入安全 客户端接入安全检查及访问控制 防火墙及访问控制 ISAServer 它是什么 caching Contentfiltering applicationpublishing advancedapplicationlayerfirewall 缓存 内容过滤 应用发布 高级应用层防火墙 VPN 缓存功能的好处 降低了网络带宽的要求多用户对同一对象的访问只从Internet下载一次改善了WEB访问效率保存在缓存中的对象访问更快保证对象即时更新ISA保证对访问对象的即时更新分布式带宽利用最频繁访问的内容可在下班时间或用户请求之前被下载降低了服务器负载 有缓存的Internet访问 客户端1 客户端2 ISAServer Internet 高级保护 包过滤和状态校验防火墙今天越来越多攻击针对应用层例如 CodeRed Sasser Blaster防火墙需要检查应用层网络传输以提供更有效保护对应用的预身份验证为分支机构连接提供高级安全和管理解决方案 Application LayerContent 传统防火墙对包的处理 只检查数据包头部应用层内容以 黑盒 形式出现 IPHeader SourceAddress DestinationAddress TTL Checksum TCPHeader SequenceNumberSourcePort DestinationPort Checksum 根据端口号决定转发合法传输与应用层攻击使用相同端口 WebServer ExpectedHTTPTraffic UnexpectedHTTPTraffic WebServerAttacks IncomingTraffic Non HTTPTraffic Internet Application LayerContent GET ISA对包的处理 包头和应用内容均受到检查 IPHeader SourceAddress DestinationAddress TTL Checksum TCPHeader SequenceNumberSourcePort DestinationPort Checksum 根据内容进行转发仅仅合法的HTTP传输被送至Webserver WebServer ExpectedHTTPTraffic UnexpectedHTTPTraffic WebServerAttacks IncomingTraffic Non HTTPTraffic Internet HTTP过滤 对允许内容的灵活控制 HTTP筛选器应用实例 一 HTTP筛选器应用实例 二 阻止Nimda CERT AdvisoryCA 2001 26NimdaWorm GET scripts root exe c dirGET MSADC root exe c dirGET c winnt system32 cmd exe c dirGET d winnt system32 cmd exe c dirGET scripts xc1 x1c winnt system32 cmd exe c dirGET scripts xc0 winnt system32 cmd exe c dirGET scripts xc0 xaf winnt system32 cmd exe c dirGET scripts xc1 x9c winnt system32 cmd exe c dirGET scripts 35c winnt system32 cmd exe c dirGET scripts 35c winnt system32 cmd exe c dirGET scripts 5c winnt system32 cmd exe c dirGET scripts 2f winnt system32 cmd exe c dirGET scripts 5c winnt system32 cmd exe c dirGET vti bin 5c 5c 5c winnt system32 cmd exe c dirGET mem bin 5c 5c 5c winnt system32 cmd exe c dirGET msadc 5c 5c 5c xc1 x1c xc1 x1c xc1 x1c winnt system32 cmd exe c dir 可以使用HTTP筛选器阻止可执行文件 exe Exchange邮件系统安全发布 Internet Outlook RPC RPC HTTP Browser OWA OMA Other POP IMAP Exchange服务器 ISAServer2006 企业网络 攻击防护功能 拒绝服务保护SYN floodprotectionClientconnectionquotasCanhelppreventwormorvirusfloodsSpoofedUDPpacketfloodingmitigation攻击 入侵监测IPoptions DNSAttacks IPhalf scan Portscan 1 网络接入防护 NAP 1 WindowsClient 2 2 DHCP VPNorSwitch RouterrelayshealthstatustoMicrosoftNetworkPolicyServer RADIUS 3 3 NetworkPolicyServer NPS validatesagainstIT definedhealthpolicy 4 Ifnotpolicycompliant clientisputinarestrictedVLANandgivenaccesstofixupresourcestodownloadpatches configurations signatures Repeat1 4 Notpolicycompliant 5 Ifpolicycompliant clientisgrantedfullaccesstocorporatenetwork Policycompliant NPS DHCP VPNSwitch Router 4 5 Clientrequestsaccesstonetworkandpresentscurrenthealthstate IncreasedProtection NAP如何工作 Requestingaccess Here smynewhealthstatus MSNPS Client 802 1XSwitch RemediationServers MayIhaveaccess Here smycurrenthealthstatus Shouldthisclientberestrictedbasedonitshealth OngoingpolicyupdatestoNetworkPolicyServer Youaregivenrestrictedaccessuntilfix up CanIhaveupdates Hereyougo Accordingtopolicy theclientisnotuptodate Quarantineclient requestittoupdate RestrictedNetwork Clientisgrantedaccesstofullintranet SystemHealthServers Accordingtopolicy theclientisuptodate Grantaccess 基础架构 数据安全 虚拟技术 安全体系 安全体系建设 解决方案说明 统一身份管理 桌面安全管理 集中的安全补丁分发统一的安全策略部署软硬件资产管理 集中客户帐号管理 实现统一的认证 授权及审计功能 应用系统安全 邮件系统 协作系统安全防护 统一用户管理需求 实现单点登陆 基于身份的访问控制 安全审计 提供基于身份的安全审计纪录 基于身份的应用访问控制基于身份的资源访问控制基于身份的网络访问控制 用户信息存在于不同系统和应用 用户需要记多个用户密码管理员需要维护多套用户系统 管理复杂 什么是活动目录ActiveDirectory 网络和用户管理的核心针对网络和应用安全的集中授权系统整合的集成点 AccountInformationPrivilegesProfilesPoliciesSingleSign On Windows用户 NetworkResourcesFileSharesPrintersPolicies Windows服务器 ConfigurationSecurityQuarantinePolicies Windows客户端 DirectoriesDatabasesMainframesUNIX 其它系统 ProductInformationPrivilegesProfilesPoliciesAutomateddeployment Microsoft产品 ConfigurationQualityofServicesSecurityPoliciesSingleSign On 网络设备 ConfigurationSecurityPolicyVPN RemoteAccessQuarantineSingleSign On 防火墙服务 SingleSign OnAutomateddeploymentConfigurationApp specificdirectorydata 第三方应用 OperationalEfficiencyImprovedSecurityImprovedProductivityInteroperability 活动目录 身份和访问管理的基础 统一的用户身份管理 企业对安全桌面管理的需要 企业需要对从笔记本电脑 台式机到服务器甚至是移动设备进行统一和完整的桌面安全管理 系统安全补丁管理控制桌面应用安装应用软件分发软件资产管理 减少软件许可费用并应付审计安全监控与管理报表使用快速 高效的远程控制 实时的信息收集和诊断以及远程问题支持移动办公 ForeFront防病毒解决方案ForeFrontSecforExchangeForeFrontSecforSharePointAntigenforInstantMessaging 防病毒及垃圾邮件解决方案 多层防护多引擎应用 更强的防护 更少开支防垃圾邮件 提高生产力内容过滤 强制策略系统融合提高系统使用率优化Exchange SharePoint andLCS即时消息对最新威胁的防护通过多方病毒实验室提供的签名文件自动升级以减少开支通过垃圾邮件定义的升级 帮助IT在垃圾制造技术不断演变的竞争中保持领先 ForeFront安全防护产品帮助企业保护其消息及协作服务器使其免受病毒 蠕虫及垃圾邮件的冲击 场景分析 LiveCommunicationServer SharePointServer Exchangemailboxserver ExchangeIMCserver 防火墙 防火墙 SMTPServer LiveCommunicationServer 邮件 即时消息及文件 邮件 即时消息及文件 病毒蠕虫 ForeFront 应用系统安全防护 LiveCommunicationServer SharePointServer Exchangemailboxserver ExchangeIMCserver ISAServer Firewall SMTPServer LiveCommunicationServer 邮件 即时消息及文件 邮件 即时消息及文件 病毒蠕虫 ForeFront帮助拦截入站病毒及不合适内容帮助内部服务器免受病毒攻击帮助防止保密信息外发 ISAServer防火墙在网络前端拦截应用层攻击用户接入的预先认证 ForeFront ISAServer2006 ISAServer2006 ForeFront ForeFront ForeFront ForeFront ForeFront 基础架构 数据安全 虚拟技术 安全体系 安全体系建设 解决方案说明 操作系统安全 数据访问限制 加密文件系统EFS卷加密解决方案BitLocker 数据备份保护 Windows文件备份及恢复解决方案 操作系统安全防护模块及产品 Windows服务加固深度防御 KernelDrivers D D User modeDrivers Service1 Service2 Service3 Service Service ServiceA ServiceB ServiceHardening Activeprotection Filesystem Registry Network IncreasedProtection 服务加固 Windows XPSP2 Server2003R2 LocalSystem WindowsVista Server Longhorn NetworkService LocalService LocalSystemFirewallRestricted NetworkServiceNetworkRestricted LocalServiceNoNetworkAccess LocalSystem NetworkServiceFullyRestricted LocalServiceFullyRestricted Removemostprevalentviruses Removeallknownviruses Real timeantivirus Removeallknownspyware Real timeantispyware Centralreportingandalerting Customization MicrosoftClientProtection FORINDIVIDUALUSERS FORBUSINESSES MSRT WindowsDefender WindowsLiveSafetyCenter WindowsOneCareLive ITInfrastructureIntegration 桌面端防病毒产品 基础架构 数据安全 虚拟技术 安全体系 安全体系建设 VirtualizationTechnologies GreaterFlexibility WindowsServerVirtualization ServerVirtualization PresentationVirtualization ApplicationVirtualization DesktopVirtualization Management GreaterFlexibility TerminalServicesGateway ExternalFirewall InternalFirewall Internet PerimeterNetwork CorporateNetwork Remote MobileUser TerminalServicesGateway TunnelsRDPoverHTTPs StripsoffRDP HTTPs TerminalServersandotherRDPHosts RDPtrafficpassedtoTS Internet GreaterFlexibility TerminalServicesRemoteApp TerminalServicesGatewayServer RemoteprogramsintegratedwithlocalcomputerCentrallyconfigureaterminalserverwiththeTerminalServerConfigurationconsole RemoteAppconsoleusedtomakeapplicationavailableAlsousedtomakeprogramsavailableviaTSWebAccess Programslookl