WindowsServer上实施服务器安全ppt课件

在Windows2000和WindowsServer2003上实施服务器安全 胡明瑜微软全球技术中心 议事日程 保护服务器简介核心服务器安全ActiveDirectory安全加固成员服务器加固域控制器针对特定角色加固服务器加固独立服务器 服务器安全原则 保密性确保保护信息访问完整性确保信息未被修改可用性确保信息可供访问 深层防御 使用分层的方法 增加攻击者被检测到的风险降低攻击者的成功几率 策略 过程和通告 操作系统强化 修补程序管理 身份验证 HIDS 防火墙 VPN隔离 防护 锁定 追踪设备 网络分段 IPSec NIDS 应用程序强化 防病毒 ACL 加密 用户教育 物理安全 周边 内部网络 主机 应用程序 数据 议事日程 保护服务器简介核心服务器安全ActiveDirectory安全加固成员服务器加固域控制器针对特定角色加固服务器加固独立服务器 核心服务器安全做法 应用最新的ServicePack和所有可用的安全修补程序 使用组策略来加固服务器 禁用不需要的服务 实施安全密码策略 禁用LANManager和NTLMv1身份验证 限制对服务器的物理和网络访问 管理软件更新 实施修补程序管理解决方案以免出现漏洞参与修补程序管理培训课程或查看以下站点上的说明性指南 technet security patch 英文版 修补程序严重级别和时限 过程 人员 技术 成功的修补程序管理 加固服务器的建议 重命名内置的Administrator和Guest帐户对内置和非操作系统服务帐户限制访问不要将服务配置为使用域帐户登录使用NTFS来保护文件和文件夹的安全 您可能希望禁用的服务 您不应禁用的服务 确定服务依存关系 在禁用服务之前应确定服务依存关系使用 计算机管理 中的 服务 管理单元来查看服务依存关系 配置执行多个角色的服务器上的服务 安全模板包含控制服务行为的设置使用组策略将修改的 特定于角色的安全模板应用到执行多个角色的服务器 通过使用IPSec筛选保护服务器 通常 阻止往返服务器的所有通信 但服务器为了执行其角色所需的通信除外部署之前测试IP安全策略使用IP安全策略管理管理单元 组策略或脚本来配置IPSec筛选根据服务器的服务器角色将特定的IPSec筛选器用于服务器 用于域控制器的IPSec筛选器 用于域控制器的IPSec筛选器 续 用于保护域控制器的注册表项 在域控制器上使用IPSec筛选时 使用小范围的动态RPC端口来支持客户端登录过程包括50 000以上的端口通过在所有域控制器上配置注册表设置来限制动态RPC端口的范围 如何创建IP安全策略 打开GPMC编辑您想在其中指派IP安全策略的GPO创建一个或多个IPSec筛选器列表创建一个或多个筛选器操作创建IP安全策略在IP安全策略中 为您创建的每个筛选器列表创建一个IP安全规则指派IP安全策略 安全审核 管理员应建立审核策略建立审核策略时 分析威胁模型考虑系统和用户的能力测试和改进策略考虑集中式日志监控 Microsoft审核收集服务 MACS WMI 被监控的客户端 被监控的服务器 SQL 收集程序 易受篡改的事件 在审核者控制下的事件 事件日志 事件日志 实时入侵检测应用程序 法庭分析 管理系统 用于成员服务器的建议审核策略设置 IIS锁定工具 IIS锁定工具关闭不必要的功能以减小IIS4 0 IIS5 0和IIS5 1的攻击面为了提供深层防御 锁定工具集成了URLScan 后者包含针对每个受支持的服务器角色的自定义模板 IIS锁定结果 X表示启用 URLScan URLScan帮助阻止可能有害的请求到达服务器URLScan限制了IIS将处理的HTTP请求类型 对长URL的请求使用另一种字符集的请求包含不允许方法的请求符合任何模式的请求 加固操作系统的安全 并应用所有相关的安全修补程序 删除不必要的组件 运行IIS锁定工具 配置URLScan 将内容放在单独的NTFS分区上 通过使用最少权限来保护文件 要求对敏感的Web通信进行加密 如有可能 请不要同时启用同一Web站点的 执行 和 写 权限 使用 中级 或 高级应用程序保护 运行应用程序 使用IPSec筛选以只允许与Web服务器进行必需的通信 HTTP和HTTPS 保护IIS5 x的十大首要措施 1 2 3 4 5 6 7 8 9 10 IIS6 0中的安全增强功能 从包装盒中取出IIS6 0时 它已处于 锁定 状态 带有默认设置的最强的超时和内容限制 IIS安全小结 新的IIS6 0体系结构带来了更高的安全性和可靠性将最新的工具 指南和安全更新用于您的Web服务器随时获取最新信息并使系统保持最新 议事日程 保护服务器简介核心服务器安全ActiveDirectory安全加固成员服务器加固域控制器针对特定角色加固服务器加固独立服务器 ActiveDirectory组件 目录林目录林在ActiveDirectory中充当安全边界域组织单元组策略组策略是用于实现和管理网络安全的一种重要工具 规划ActiveDirectory安全 分析环境Intranet数据中心分支机构Extranet数据中心执行威胁分析确定对ActiveDirectory的威胁确定威胁的类型确定威胁的来源确定针对威胁的安全措施建立意外事故计划 建立安全ActiveDirectory边界 指定安全和管理边界 基于授权要求设计ActiveDirectory结构 基于最佳做法指南实施安全边界 增强域策略设置 确保密码和帐户策略符合组织的安全要求 增强 默认域策略GPO 中的设置 或在域级别创建一个新的GPO 检查重要ActiveDirectory对象的审核设置 建立基于角色的OU层次结构 基于服务器角色的OU层次结构能够 简化安全管理问题将安全策略设置应用于每个OU中的服务器和其他对象 如何创建用于管理和保护服务器的OU层次结构 创建一个名为 成员服务器 的OU在 成员服务器 OU内为每个服务器角色创建OU根据角色将每个服务器对象移入相应的OU将对每个基于角色的OU的控制授权给相应的安全组 管理最佳做法 建立安全目录服务和数据管理做法 授予所需的最小权限 区分服务和数据管理角色 议事日程 保护服务器简介核心服务器安全ActiveDirectory安全加固成员服务器加固域控制器针对特定角色加固服务器加固独立服务器 服务器加固概述 将基准安全设置应用于所有成员服务器将附加设置应用于特定服务器角色使用GPResult来确保已正确应用了设置 保护ActiveDirectory安全 应用成员服务器基准策略 RADIUS IAS 服务器 加固程序 应用增量式基于角色的安全设置 成员服务器基准安全模板 修改成员服务器基准安全模板并将其应用于所有成员服务器成员服务器基准安全模板中的设置 审核策略用户权利指派安全选项事件日志系统服务 如何使用MBSA 打开MBSA 然后选择扫描计算机在选择要扫描的计算机页上 输入要扫描的计算机的IP地址或名称选择所有需要的扫描选项单击开始扫描检查扫描的结果 使用安全模板的最佳做法 在使用安全模板之前对模板进行检查和修改 使用安全配置和分析工具在应用模板设置之前对设置进行检查 在部署模板之前对它们进行彻底测试 将安全模板存储在一个安全的位置 议事日程 保护服务器简介核心服务器安全ActiveDirectory安全加固成员服务器加固域控制器针对特定角色加固服务器加固独立服务器 针对域控制器配置安全 保护域控制器构建环境的安全 建立提供安全的域控制器构建做法 保持物理安全 如何应用域控制器安全模板 打开 组策略管理控制台 然后浏览到 域控制器 OU创建一个新的GPO 并将其链接到 域控制器 OU浏览到计算机设置 Windows设置 安全设置右键单击安全设置 然后单击导入策略选择域控制器安全策略 然后单击确定新的策略设置将在下一次刷新或下一次重新启动时在每台域控制器上生效 可选 在每台域控制器上运行GPUpdate以便立即刷新组策略 加固域控制器的最佳做法 使用适当的安全方法来控制对域控制器的物理访问 实施适当的审核和事件日志设置 使用组策略将域控制器安全模板应用到所有域控制器 禁用不需要的服务 议事日程 保护服务器简介核心服务器安全ActiveDirectory安全加固成员服务器加固域控制器针对特定角色加固服务器加固独立服务器 针对特定服务器角色使用安全模板 可依据 成员服务器 OU下的OU对执行特定角色的服务器进行编组首先 将成员服务器基准模板应用于 成员服务器 OU然后 将基于角色的相应安全模板应用于 成员服务器 OU下的每个OU针对执行多个角色的服务器自定义安全模板 加固基础结构服务器 应用基础结构服务器安全模板中的安全设置在每台基础结构服务器上手动配置附加设置配置DHCP日志记录保护免受DHCPDoS攻击为ActiveDirectory区域使用集成了ActiveDirectory的DNS保护服务帐户的安全通过使用IPSec筛选器 只允许使用服务器应用程序需要的那些端口 加固文件服务器 应用文件服务器安全模板中的安全设置在每台文件服务器上手动配置附加设置禁用DFS和FRS 如果非必需 通过使用NTFS和共享权限 保护共享文件和文件夹对关键文件启用审核保护服务帐户的安全通过使用IPSec筛选器 只允许使用特定端口 加固打印服务器 应用打印服务器安全模板中的安全设置在每台打印服务器上手动配置附加设置确保启用了PrintSpooler服务保护广为人知的帐户的安全保护服务帐户的安全通过使用IPSec筛选器 只允许使用特定端口 加固IIS服务器 应用IIS服务器安全模板中的安全设置手动配置每台IIS服务器在所有安装的IIS5 0上安装 IIS锁定 并配置URLScan仅启用必需的IIS组件为包含Web内容的所有文件夹配置NTFS权限安装IIS并将Web内容存储在专用磁盘卷上如有可能 请不要在同一Web站点上同时启用 执行 和 写 权限在IIS5 0服务器上 使用 中等或高级别应用程序保护 运行应用程序使用IPSec筛选器 以仅允许使用端口80和443 针对特定角色加固服务器的最佳做法 保护广为人知的用户帐户的安全 仅启用角色需要的服务 启用服务日志记录以捕获相关信息 使用IPSec筛选 以便基于服务器角色阻止特定端口 根据需要为具有多个角色的服务器修改模板 议事日程 保护服务器简介核心服务器安全ActiveDirectory安全加固成员服务器加固域控制器针对特定角色加固服务器加固独立服务器 加固独立服务器 必须手动 而不是使用组策略 将安全设置应用于每台独立服务器可能需要为每台独立服务器创建一个自定义安全模板使用 安全配置和分析 工具或Secedit来应用安全模板设置安全配置和分析允许比较和应用多种安全模板Secedit 安全配置和分析 工具的命令行版本 它允许以脚本方式应用安全模板 如何使用Secedit来加固独立服务器 使用适用于独立服务器的所需安全设置配置一个自定义安全模板在独立服务器上打开命令提示符通过键入以下命令 依据自定义安全模板创建一个设置数据库 secedit import dbc security sdb cfg安全模板名称通过键入以下命令 将数据库中的设置应用于独立服务器 secedit configure dbc security sdb 加固独立服务器的最佳做法 使用 安全配置和分析 工具将模板应用于独立服务器 根据服务器角色要求配置服务设置 启用服务日志记录以捕获相关信息 使用IPSec以便根据服务器角色筛选端口 课程小结 保护服务器简介核心服务器安全ActiveDir