網(wǎng)絡(luò)終端計(jì)算機(jī)安全管理培訓(xùn).ppt

1、終端安全運(yùn)行講義,版本信息： 版本號(hào)：1.0.0 更新時(shí)間：2008-10-28 編者信息： 房仲陽(yáng) 中國(guó)移動(dòng)遼寧公司網(wǎng)絡(luò)部 電話：2208 郵箱： ,培訓(xùn)要求： 該課程主要介紹網(wǎng)絡(luò)與信息安全基礎(chǔ)知識(shí) 培訓(xùn)對(duì)象： 面向管理層、安全管理人員、安全技術(shù)人員、系統(tǒng)維護(hù)人員、及普通員工，共5類(lèi)人員 培訓(xùn)時(shí)間： 3小時(shí)左右 培訓(xùn)側(cè)重點(diǎn)： 本教材針對(duì)5類(lèi)人員的培訓(xùn)內(nèi)容并無(wú)差別,課程目的,了解windows系統(tǒng)的設(shè)計(jì)原理 了解終端系統(tǒng)的安全特性 能夠?qū)K端系統(tǒng)進(jìn)行安全配置 授課方式：講解、演示,目錄,終端安全概述 終端系統(tǒng)安全性 終端體系構(gòu)架 終端安全威脅 終端安全配置 終端安全檢

2、查 終端安全加固 終端用戶安全職責(zé) 終端接入要求 終端標(biāo)準(zhǔn)化的意見(jiàn)和操作建議,終端的定義及分類(lèi),什么是終端？,終端，即計(jì)算機(jī)顯示終端，是計(jì)算機(jī)系統(tǒng)的輸入、輸出設(shè)備。計(jì)算機(jī)顯示終端伴隨主機(jī)時(shí)代的集中處理模式而產(chǎn)生，并隨著計(jì)算技術(shù)的發(fā)展而不斷發(fā)展。迄今為止，計(jì)算技術(shù)經(jīng)歷了主機(jī)時(shí)代、PC時(shí)代和網(wǎng)絡(luò)計(jì)算時(shí)代這三個(gè)發(fā)展時(shí)期，終端與計(jì)算技術(shù)發(fā)展的三個(gè)階段相適應(yīng)，應(yīng)用也經(jīng)歷了字符啞終端、圖形終端和網(wǎng)絡(luò)終端這三個(gè)形態(tài)。,終端的定義及分類(lèi),終端的分類(lèi),終端的分類(lèi)：目前常見(jiàn)的客戶端設(shè)備分為兩類(lèi)：一類(lèi)是胖客戶端，一類(lèi)是瘦客戶端。那么，把以PC為代表的基于開(kāi)放性工業(yè)標(biāo)準(zhǔn)架構(gòu)、功能比較強(qiáng)大的設(shè)備叫做“胖客戶端”，其他歸

3、入“瘦客戶端”。瘦客戶機(jī)產(chǎn)業(yè)的空間和規(guī)模也很大，不會(huì)亞于PC現(xiàn)在的規(guī)模。,終端的定義及分類(lèi),技術(shù)層面,數(shù)據(jù)處理模式將從分散走向集中，用戶界面將更加人性化，可管理性和安全性也將大大提升；同時(shí)，通信和信息處理方式也將全面實(shí)現(xiàn)網(wǎng)絡(luò)化，并可實(shí)現(xiàn)前所未有的系統(tǒng)擴(kuò)展能力和跨平臺(tái)能力。,終端的定義及分類(lèi),應(yīng)用形態(tài),網(wǎng)絡(luò)終端設(shè)備將不局限在傳統(tǒng)的桌面應(yīng)用環(huán)境，隨著連接方式的多樣化，它既可以作為桌面設(shè)備使用，也能夠以移動(dòng)和便攜方式使用，終端設(shè)備會(huì)有多樣化的產(chǎn)品形態(tài)；此外，隨著跨平臺(tái)能力的擴(kuò)展，為了滿足不同系統(tǒng)應(yīng)用的需要，網(wǎng)絡(luò)終端設(shè)備也將以眾多的面孔出現(xiàn)：Unix終端、Windows終端、Linux終端、Web終端

4、、Java終端等等。,終端的定義及分類(lèi),應(yīng)用領(lǐng)域,字符啞終端和圖形終端時(shí)代的終端設(shè)備只能用于窗口服務(wù)行業(yè)和柜臺(tái)業(yè)務(wù)的局面將一去不復(fù)返，網(wǎng)上銀行、網(wǎng)上證券、銀行低柜業(yè)務(wù)等非柜臺(tái)業(yè)務(wù)將廣泛采用網(wǎng)絡(luò)終端設(shè)備，同時(shí)網(wǎng)絡(luò)終端設(shè)備的應(yīng)用領(lǐng)域還將會(huì)迅速拓展至電信、電力、稅務(wù)、教育以及政府等新興的非金融行業(yè)。,終端的定義及分類(lèi),終端安全的重要性,1、首先，對(duì)于一個(gè)網(wǎng)絡(luò)來(lái)說(shuō)80%以上的安全事件來(lái)自于終端。 2、其次，在企業(yè)內(nèi)部至少有90%的員工需要每天使用終端計(jì)算機(jī)。 3、最后，終端使用者的水平參差不齊。,透過(guò)現(xiàn)象看本質(zhì),本章回顧,什么是終端 終端安全在網(wǎng)絡(luò)安全的地位 終端所面臨的風(fēng)險(xiǎn),目錄,終端安全概述 終端

5、系統(tǒng)安全性 終端體系構(gòu)架 終端安全威脅 終端安全配置 終端安全檢查 終端安全加固 終端用戶安全職責(zé) 終端接入要求 終端標(biāo)準(zhǔn)化的意見(jiàn)和操作建議,TCSEC 安全等級(jí),基于C2級(jí)標(biāo)準(zhǔn)的安全組件,靈活的訪問(wèn)控制-要求允許對(duì)象的屬主能夠完全控制誰(shuí)可以訪問(wèn)這個(gè)對(duì)象及擁有什么樣的訪問(wèn)權(quán)限。 對(duì)象再利用-Windows 很明確地阻止所有的應(yīng)用程序訪問(wèn)被另一應(yīng)用程序占用的資源（比如內(nèi)存或磁盤(pán)）。 強(qiáng)制登陸-Windows 用戶在能訪問(wèn)任何資源前必須通過(guò)登陸來(lái)驗(yàn)證他們的身份。因此，缺乏這種強(qiáng)制登陸的NT要想達(dá)到C2級(jí)標(biāo)準(zhǔn)就必須禁止網(wǎng)絡(luò)功能。 審計(jì)-因?yàn)閃indows 采用單獨(dú)地機(jī)制來(lái)控制對(duì)任何資源的訪問(wèn)，所以這

6、種機(jī)制可以集中地記錄下所有的訪問(wèn)活動(dòng)。 控制對(duì)象的訪問(wèn)-Windows 不允許直接訪問(wèn)系統(tǒng)里的資源。,系統(tǒng)漏洞導(dǎo)致的損失,2004年，Mydoom所造成的經(jīng)濟(jì)損失已經(jīng)達(dá)到261億美元 。 2005年，Nimda電腦病毒在全球各地侵襲了830萬(wàn)部電腦，總共造成5億9000萬(wàn)美元的損失。 2006年，美國(guó)聯(lián)邦調(diào)查局公布報(bào)告估計(jì)：“僵尸網(wǎng)絡(luò)”、蠕蟲(chóng)、特洛伊木馬等電腦病毒給美國(guó)機(jī)構(gòu)每年造成的損失達(dá)119億美元。 2007年熊貓燒香造成巨大損失。 2008年磁碟機(jī)造成熊貓燒香10倍損失。,本章回顧,系統(tǒng)安全等級(jí)劃分的幾大標(biāo)準(zhǔn) windowsXP、windows2003所處的安全等級(jí),目錄,終端安全概述

7、終端系統(tǒng)安全性 終端體系構(gòu)架 終端安全威脅 終端安全配置 終端安全檢查 終端安全加固 終端用戶安全職責(zé) 終端接入要求 終端標(biāo)準(zhǔn)化的意見(jiàn)和操作建議,Windows系統(tǒng)構(gòu)架(僅以NT示意) XP VISTA,服務(wù)管理器,服務(wù)進(jìn)程,系統(tǒng)支持進(jìn)程,本地安全驗(yàn)證服務(wù),Windows登錄,會(huì)話管理器,應(yīng)用程序,環(huán)境子系統(tǒng),Svchost.exe,Winmgmt.exe,Spooler,Services.exe,任務(wù)管理器,Windows瀏覽器,用戶級(jí)應(yīng)用程序,子系統(tǒng)動(dòng)態(tài)鏈接庫(kù),OS/2,POSIX,Win32,系統(tǒng)服務(wù)調(diào)度進(jìn)程,核心可調(diào)用接口,I/O設(shè)備 管理器 設(shè)備、文件 驅(qū)動(dòng)程序,對(duì)象 管理器,虛擬內(nèi)

8、存 管理器,進(jìn)程和 線程管 理器,注冊(cè)表 配置 管理器,NTdll,dll,Win32 User GDI 圖形驅(qū)動(dòng),HAL（硬件抽象層）,Micro kernel,安全引用 監(jiān)視器,進(jìn)程和線程,什么是進(jìn)程？ 代表了運(yùn)行程序的一個(gè)實(shí)例 每一個(gè)進(jìn)程有一個(gè)私有的內(nèi)存地址空間 什么是線程？ 進(jìn)程內(nèi)的一個(gè)執(zhí)行上下文 進(jìn)程內(nèi)的所有線程共享相同的進(jìn)程地址空間 每一個(gè)進(jìn)程啟動(dòng)時(shí)帶有一個(gè)主線程 運(yùn)行程序的“主”函數(shù) 可以在同一個(gè)進(jìn)程中創(chuàng)建其他的線程 可以創(chuàng)建額外的進(jìn)程,系統(tǒng)進(jìn)程,基本的系統(tǒng)進(jìn)程 System Idle Process 這個(gè)進(jìn)程是作為單線程運(yùn)行在每個(gè)處理器上，并在系統(tǒng)不處理其他線程的時(shí)候分派處理器

9、的時(shí)間 smss.exe 會(huì)話管理子系統(tǒng)，負(fù)責(zé)啟動(dòng)用戶會(huì)話 csrss.exe 子系統(tǒng)服務(wù)器進(jìn)程 winlogon.exe 管理用戶登錄 services.exe 包含很多系統(tǒng)服務(wù) lsass.exe 本地安全身份驗(yàn)證服務(wù)器 svchost.exe 包含很多系統(tǒng)服務(wù) SPOOLSV.EXE 將文件加載到內(nèi)存中以便遲后打印。(系統(tǒng)服務(wù)) explorer.exe 資源管理器 internat.exe 托盤(pán)區(qū)的拼音圖標(biāo),附加的系統(tǒng)進(jìn)程, mstask.exe 允許程序在指定時(shí)間運(yùn)行。(系統(tǒng)服務(wù)) regsvc.exe 允許遠(yuǎn)程注冊(cè)表操作。 (系統(tǒng)服務(wù)) winmgmt.exe 提供系統(tǒng)管理信息(系

10、統(tǒng)服務(wù))。 inetinfo.exe 通過(guò)Internet 信息服務(wù)的管理單元提供信息服務(wù)連接和管理。(系統(tǒng)服務(wù)) tlntsvr.exe 允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺(tái)。(系統(tǒng)服務(wù)) dns.exe 應(yīng)答對(duì)域名系統(tǒng) (DNS)名稱的查詢和更新請(qǐng)求。(系統(tǒng)服務(wù)) 。,系統(tǒng)進(jìn)程樹(shù),安全的元素,安全標(biāo)識(shí)符 SID：綜合計(jì)算機(jī)名字、當(dāng)前時(shí)間、以及處理當(dāng)前用戶模式線程所花費(fèi)CPU的時(shí)間所建立起來(lái)的。一個(gè)SID： S-1-5-16349933112989372637-500 訪問(wèn)令牌 訪問(wèn)令牌是由用戶的SID、用戶所屬于組的SID、用戶名、用戶所在組的組名構(gòu)成的

11、。 安全描述符 安全描述符是由對(duì)象屬主的SID、組SID，靈活訪問(wèn)控制列表以及計(jì)算機(jī)訪問(wèn)控制列表 訪問(wèn)控制列表 包括DACL和SACL，靈活訪問(wèn)控制列表里記錄用戶和組以及它們的相關(guān)權(quán)限。系統(tǒng)訪問(wèn)控制列表包含為對(duì)象審計(jì)的事件。,安全的元素,安全標(biāo)識(shí)符 SID：綜合計(jì)算機(jī)名字、當(dāng)前時(shí)間、以及處理當(dāng)前用戶模式線程所花費(fèi)CPU的時(shí)間所建立起來(lái)的。一個(gè)SID： S-1-5-16349933112989372637-500 訪問(wèn)令牌 訪問(wèn)令牌是由用戶的SID、用戶所屬于組的SID、用戶名、用戶所在組的組名構(gòu)成的。 安全描述符 安全描述符是由對(duì)象屬主的SID、組SID，靈活訪問(wèn)控制

12、列表以及計(jì)算機(jī)訪問(wèn)控制列表 訪問(wèn)控制列表 包括DACL和SACL，靈活訪問(wèn)控制列表里記錄用戶和組以及它們的相關(guān)權(quán)限。系統(tǒng)訪問(wèn)控制列表包含為對(duì)象審計(jì)的事件。,S表示該字符串是SID,SID的版本號(hào)，對(duì)于win2k來(lái)說(shuō)，是1,標(biāo)志符的頒發(fā)機(jī)構(gòu)，對(duì)于win2k的帳戶，頒發(fā)機(jī)構(gòu)就是NT，值是5,表示一系列的子頒發(fā)機(jī)構(gòu),最后一個(gè)標(biāo)志著域內(nèi)的帳戶和組,windowsNT安全模型,Logon process,SAM,User Account Database,Security Policy Database,LSA,Audit log,Win32 subsystem,Security Reference M

13、onitor,User mode,Kernel mode,Security policy,Audit message,Win32 application,windowsNT安全模型,Logon process,SAM,User Account Database,Security Policy Database,LSA,Audit log,Win32 subsystem,Security Reference Monitor,User mode,Kernel mode,Security policy,Audit message,Win32 application,使用戶登陸生效 生成安全訪問(wèn)令牌

14、管理本地安全策略 記錄SRM審核消息產(chǎn)生的事件日志,負(fù)責(zé)SAM數(shù)據(jù)庫(kù)的控制與維護(hù),防止大部分用戶和進(jìn)程對(duì)對(duì)象的直接訪問(wèn) 根據(jù)本地安全策略的審核策略生成審核信息,用戶登錄認(rèn)證過(guò)程,本章回顧,什么是線程？ 什么是進(jìn)程？ 什么是進(jìn)程樹(shù)？,目錄,終端安全概述 終端系統(tǒng)安全性 終端體系構(gòu)架 終端安全威脅 終端安全配置 終端安全檢查 終端安全加固 終端用戶安全職責(zé) 終端接入要求 終端標(biāo)準(zhǔn)化的意見(jiàn)和操作建議,終端安全關(guān)注點(diǎn),終端免疫,終端安全管控,IT支持,資產(chǎn)濫用,終端運(yùn)行監(jiān)控,外設(shè)硬件濫用,軟件安裝管理,IP管理、記錄表,網(wǎng)絡(luò)管理、備忘表,桌面合規(guī)管理,AV,A-Other,A-SPY,A-Phishi

15、ng,惡意代碼,終端管理的一些必要手段和措施,終端免疫,終端安全管控,IT支持,資產(chǎn)管理,軟件分發(fā),終端運(yùn)行監(jiān)控,外設(shè)管理,軟件安裝管理,遠(yuǎn)程維護(hù),IP管理,網(wǎng)絡(luò)管理,桌面合規(guī)管理,AV,A-Other,A-SPY,A-Phishing,惡意代碼查殺,內(nèi)網(wǎng)安全的規(guī)劃-內(nèi)網(wǎng)合規(guī),抵御入侵能力 防泄密能力 防病毒能力 防非法接入能力 審計(jì)能力 補(bǔ)丁更新能力 IP-MAC-用戶綁定能力 ,內(nèi)網(wǎng)合規(guī)實(shí)踐,基于策略的訪問(wèn)控制 基于網(wǎng)絡(luò)行為的攻擊防護(hù) ARP欺騙主動(dòng)防御 分布式流量管理 安全狀態(tài)檢測(cè)及自動(dòng)修復(fù),資產(chǎn)管理 外設(shè)管理 進(jìn)程管理 IP管理 補(bǔ)丁分發(fā) 軟件分發(fā) HOD遠(yuǎn)程按需支援,移動(dòng)存儲(chǔ)設(shè)備認(rèn)證

16、 文件透明加密與授權(quán) 文件授權(quán)共享,文件操作審計(jì) 文件打印審計(jì) 上網(wǎng)行為審計(jì) 移動(dòng)存儲(chǔ)審計(jì) 異常路由審計(jì) Windows登錄審計(jì),網(wǎng)絡(luò)準(zhǔn)入控制 802.1x接入層 EOU匯聚層,應(yīng)用準(zhǔn)入控制 DNS 、Web、Proxy、Email Windows & Linux Server 網(wǎng)管及準(zhǔn)入控制,客戶端準(zhǔn)入控制,五維化終端合規(guī)管理模型 打造安全可信的合規(guī)內(nèi)網(wǎng),本章回顧,終端威脅的類(lèi)別 抵御威脅的手段 什么是內(nèi)網(wǎng)合規(guī),目錄,終端安全概述 終端系統(tǒng)安全性 終端體系構(gòu)架 終端安全威脅 終端安全配置 終端安全檢查 終端安全加固 終端用戶安全職責(zé) 終端接入要求 終端標(biāo)準(zhǔn)化的意見(jiàn)和操作建議,安全管理與安全維

17、護(hù),用戶管理,保護(hù)注冊(cè)表,數(shù)據(jù)備份,漏洞與補(bǔ)丁,安全配置程序,安全分析,組策略,安全模板,安全策略,數(shù)據(jù)安全,IPSEC,EFS,訪問(wèn)控制,TCP/IP,組策略,權(quán)限控制,身份認(rèn)證,證書(shū)服務(wù),Kerberos,智能卡,NTLM,SSL/TLS,Win2000基本安全注意事項(xiàng),Win2000安裝配置,建立和選擇分區(qū) 選擇安裝目錄 不安裝多余的組件 停止多余的服務(wù) 安裝系統(tǒng)補(bǔ)丁,多余的組件,Internt信息服務(wù)（IIS）（如不需要） 索引服務(wù)Indexing Service 消息隊(duì)列服務(wù)（MSMQ） 遠(yuǎn)程安裝服務(wù) 遠(yuǎn)程存儲(chǔ)服務(wù) 終端服務(wù) 終端服務(wù)授權(quán),關(guān)閉不必要的服務(wù),Computer Brow

18、ser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表 Task scheduler 允許程序在指定時(shí)間運(yùn)行 Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報(bào)器服務(wù)消息 Distributed File System: 局域網(wǎng)管理共享文件，不需要禁用 Distributed linktracking client：用于局域網(wǎng)更新連接信息，不需要禁用 Error reporting service：禁止發(fā)送錯(cuò)誤報(bào)告 Microsoft Serch：提供快速的單詞搜索，不需要可禁用 NTLMSecuritysupportprovide：telnet服務(wù)和Microsoft Se

19、rch用的，不需要禁用 PrintSpooler：如果沒(méi)有打印機(jī)可禁用 Remote Registry：禁止遠(yuǎn)程修改注冊(cè)表 Remote Desktop Help Session Manager：禁止遠(yuǎn)程協(xié)助 Workstation 關(guān)閉的話遠(yuǎn)程N(yùn)ET命令列不出用戶組,安全管理與安全維護(hù),用戶管理,保護(hù)注冊(cè)表,數(shù)據(jù)備份,漏洞與補(bǔ)丁,安全配置程序,安全分析,組策略,安全模板,安全策略,數(shù)據(jù)安全,IPSEC,EFS,訪問(wèn)控制,TCP/IP,組策略,權(quán)限控制,身份認(rèn)證,證書(shū)服務(wù),Kerberos,智能卡,NTLM,SSL/TLS,Win2000基本安全注意事項(xiàng),用戶身份驗(yàn)證,交互式登錄 使用域帳號(hào)

20、使用本地計(jì)算機(jī)帳戶 網(wǎng)絡(luò)身份驗(yàn)證 NTLM驗(yàn)證 Kerberos V5 安全套接字層/傳輸層安全（SSL/TLS）,SYSKEY,從NT4 Service Pack 3開(kāi)始，Microsoft提供了對(duì)SAM散列進(jìn)行進(jìn)一步加密的方法，稱為SYSKEY。 SYSKEY是System KEY的縮寫(xiě)，它生成一個(gè)隨機(jī)的128位密鑰，對(duì)散列再次進(jìn)行加密(不是對(duì)SAM文件加密，而是對(duì)散列)。,SYSKEY,練 習(xí),利用Syskey對(duì)系統(tǒng)中的帳號(hào)密碼文件加密 設(shè)定系統(tǒng)的啟動(dòng)密碼,安全管理與安全維護(hù),用戶管理,保護(hù)注冊(cè)表,數(shù)據(jù)備份,漏洞與補(bǔ)丁,安全配置程序,安全分析,組策略,安全模板,安全策略,數(shù)據(jù)安全,IPS

21、EC,EFS,訪問(wèn)控制,TCP/IP,組策略,權(quán)限控制,身份認(rèn)證,證書(shū)服務(wù),Kerberos,智能卡,NTLM,SSL/TLS,Win2000基本安全注意事項(xiàng),訪問(wèn)控制,NTFS與FAT分區(qū)文件屬性 文件權(quán)限 用戶權(quán)限 權(quán)限控制原則 網(wǎng)絡(luò)訪問(wèn)控制,NTFS與FAT分區(qū)權(quán)限,FAT32,NTFS,用戶權(quán)限,Administrators 組 Users 組 Power Users 組 Backup Operators組,權(quán)限控制原則和特點(diǎn),1權(quán)限是累計(jì) 用戶對(duì)資源的有效權(quán)限是分配給該個(gè)人用戶帳戶和用戶所屬的組的所有權(quán)限的總和。 2拒絕的權(quán)限要比允許的權(quán)限高 拒絕權(quán)限可以覆蓋所有其他的權(quán)限。甚至作為

22、一個(gè)組的成員有權(quán)訪問(wèn)文件夾或文件，但是該組被拒絕訪問(wèn)，那么該用戶本來(lái)具有的所有權(quán)限都會(huì)被鎖定而導(dǎo)致無(wú)法訪問(wèn)該文件夾或文件。,有一個(gè)文件叫FILE。 USER1用戶屬于GROUP1組 USER1（讀取權(quán)限） FILE FILE GROUP1（拒絕） 拒絕訪問(wèn) 那么USER1對(duì)FILE的權(quán)限將不再是：讀取寫(xiě)入，而是無(wú)法訪問(wèn)文件FILE。,權(quán)限控制原則和特點(diǎn),3文件權(quán)限比文件夾權(quán)限高 例如：如果我對(duì)文件夾設(shè)置了拒絕寫(xiě)入，但是對(duì)文件夾里的文件設(shè)置為允許寫(xiě)入，我就可以對(duì)此文件有寫(xiě)入權(quán)限。 4利用用戶組來(lái)進(jìn)行權(quán)限控制 不同的用戶組具有不同的權(quán)限，可以把不同的用戶劃分到不同的組里。 5權(quán)限的最小化原則 只給

23、用戶真正需要的權(quán)限,權(quán)限控制原則和特點(diǎn),網(wǎng)絡(luò)訪問(wèn)控制,利用IP安全策略實(shí)現(xiàn)訪問(wèn)控制,設(shè)置IPSec策略，禁止Ping。 設(shè)置IPsec策略，關(guān)閉135，445端口,安全管理與安全維護(hù),用戶管理,保護(hù)注冊(cè)表,數(shù)據(jù)備份,漏洞與補(bǔ)丁,安全配置程序,安全分析,組策略,安全模板,安全策略,數(shù)據(jù)安全,IPSEC,EFS,訪問(wèn)控制,TCP/IP,組策略,權(quán)限控制,身份認(rèn)證,證書(shū)服務(wù),Kerberos,智能卡,NTLM,SSL/TLS,Win2000基本安全注意事項(xiàng),EFS加密文件系統(tǒng),特性：,1、采用單一密鑰技術(shù) 2、核心文件加密技術(shù)僅用于NTFS，使用戶在本地計(jì)算機(jī)上安全存儲(chǔ)數(shù)據(jù) 3、加密用戶使用透明，其

24、他用戶被拒 4、不能加密壓縮的和系統(tǒng)文件，加密后不能被共享、能被刪除,建議加密文件夾，不要加密單獨(dú)的文件,EFS恢復(fù)代理,故障恢復(fù)代理就是獲得授權(quán)解密由其他用戶加密的數(shù)據(jù)的管理員 必須進(jìn)行數(shù)據(jù)恢復(fù)時(shí)，恢復(fù)代理可以從安全的存儲(chǔ)位置獲得數(shù)據(jù)恢復(fù)證書(shū)導(dǎo)入系統(tǒng)。 默認(rèn)的超級(jí)管理員就是恢復(fù)代理 使用條件：當(dāng)加密密鑰丟失,練習(xí),用EFS加密一個(gè)文件。,安全管理與安全維護(hù),用戶管理,保護(hù)注冊(cè)表,數(shù)據(jù)備份,漏洞與補(bǔ)丁,安全配置程序,安全分析,組策略,安全模板,安全策略,數(shù)據(jù)安全,IPSEC,EFS,訪問(wèn)控制,TCP/IP,組策略,權(quán)限控制,身份認(rèn)證,證書(shū)服務(wù),Kerberos,智能卡,NTLM,SSL/TLS

25、,Win2000基本安全注意事項(xiàng),本地安全策略-帳號(hào)策略,*在賬戶策略-密碼策略中設(shè)定：密碼復(fù)雜性要求 啟用密碼長(zhǎng)度最小值 6位強(qiáng)制密碼歷史 5次最長(zhǎng)存留期 30天 *在賬戶策略-賬戶鎖定策略中設(shè)定：賬戶鎖定 3次錯(cuò)誤登錄鎖定時(shí)間 20分鐘復(fù)位鎖定計(jì)數(shù) 20分鐘,本地安全策略-本地策略,審核策略：決定記錄在計(jì)算機(jī)（成功/失敗的嘗試）的安全日志上的安全事件。 用戶權(quán)利分配：決定在計(jì)算機(jī)上有登錄/任務(wù)特權(quán)的用戶或組。 安全選項(xiàng)：?jiǎn)⒂没蚪糜?jì)算機(jī)的安全設(shè)置，例如數(shù)據(jù)的數(shù)字信號(hào)、administrator 和guest的帳號(hào)名、軟驅(qū)和光盤(pán)的訪問(wèn)、驅(qū)動(dòng)程序的安裝以及登錄提示。,安全管理與安全維護(hù),用戶管

26、理,保護(hù)注冊(cè)表,數(shù)據(jù)備份,漏洞與補(bǔ)丁,安全配置程序,安全分析,組策略,安全模板,安全策略,數(shù)據(jù)安全,IPSEC,EFS,訪問(wèn)控制,TCP/IP,組策略,權(quán)限控制,身份認(rèn)證,證書(shū)服務(wù),Kerberos,智能卡,NTLM,SSL/TLS,Win2000基本安全注意事項(xiàng),用戶管理,更改超級(jí)管理名稱 取消guest帳號(hào) 合理分配其它用戶權(quán)限,注冊(cè)表安全設(shè)置,禁止默認(rèn)網(wǎng)絡(luò)共享 禁止枚舉域內(nèi)用戶,刪除默認(rèn)網(wǎng)絡(luò)共享,服務(wù)器: Key: HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters Name: AutoShareServer Type: D

27、WORD Value: 0 工作站： Key: HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters Name: AutoShareWks Type: DWORD Value: 0,取消默認(rèn)共享 編輯txt文本內(nèi)容 net share c$ /del net share d$ /del net share e$ /del net share ADMIN$ /del 改擴(kuò)展名為.bat 設(shè)置開(kāi)機(jī)自啟動(dòng)此批處理文件,刪除默認(rèn)網(wǎng)絡(luò)共享,禁止枚舉用戶名和共享,Key:HKLMSYSTEMCurrentControlSetControlLsa

28、 Name: RestrictAnonymous Type: REG_DWORD Value: 1,備份和還原數(shù)據(jù),將文件備份到文件或磁帶 備份“系統(tǒng)狀態(tài)”數(shù)據(jù) 使用備份向?qū)浞菸募?計(jì)劃備份,系統(tǒng)文件備份,系統(tǒng)文件備份,系統(tǒng)文件備份,系統(tǒng)文件備份,系統(tǒng)文件備份,系統(tǒng)漏洞及修復(fù),輸入法漏洞 空會(huì)話漏洞 unicode漏洞 .ida/.idq緩沖區(qū)溢出漏洞 .print isapi擴(kuò)展遠(yuǎn)程緩沖區(qū)溢出 Frontpage 服務(wù)器擴(kuò)展漏洞 sqlserver 空口令 Windows接口遠(yuǎn)程緩沖區(qū)漏洞,安全審核與日志,審計(jì)成功：可以確定用戶或服務(wù)獲得訪問(wèn)指定文件、打印機(jī)或其他對(duì)象的頻率 審計(jì)失敗：警告

29、那些可能發(fā)生的安全泄漏,訪問(wèn)文件夾的審核 審核策略 安全事件查看并分析,目錄,終端安全概述 終端系統(tǒng)安全性 終端體系構(gòu)架 終端安全威脅 終端安全配置 終端安全檢查 終端安全加固 終端用戶安全職責(zé) 終端接入要求 終端標(biāo)準(zhǔn)化的意見(jiàn)和操作建議,windowsNT日志,系統(tǒng)日志 跟蹤各種各樣的系統(tǒng)事件，比如跟蹤系統(tǒng)啟動(dòng)過(guò)程中的事件或者硬件和控制器的故障。 %systemroot%system32configSysEvent.EVT 應(yīng)用程序日志 跟蹤應(yīng)用程序關(guān)聯(lián)的事件，比如應(yīng)用程序產(chǎn)生的象裝載 DLL （動(dòng)態(tài)鏈接庫(kù)）失敗的信息將出現(xiàn)在日志中。 %systemroot%system32configApp

30、Event.EVT 安全日志 跟蹤事件如登錄上網(wǎng)、下網(wǎng)、改變?cè)L問(wèn)權(quán)限以及系統(tǒng)啟動(dòng)和關(guān)閉。注意：安全日志的默認(rèn)狀態(tài)是關(guān)閉的。 %systemroot%system32configSecEvent.EVT,日志,Internet信息服務(wù) FTP日志默認(rèn)位置： %systemroot%/system32/logfiles/msftpsvc1 默認(rèn)每天一個(gè)日志 Internet 信息服務(wù)WWW 日志默認(rèn)位置： ： %systemroot%/system32/logfiles/w3svc1 ，默認(rèn)每天一個(gè)日志 FTP 日志和WWW 日志文件名通常為ex （年份）（月份）（日期），例如ex001023 就

31、是2000 年10 月23 日產(chǎn)生的日志，用記事本就可直接打開(kāi) Scheduler服務(wù)日志默認(rèn)位置： %systemroot%/schedlgu.txt,日志分析,FTP日志分析， 如下例： #Software: Microsoft Internet Information Services 5.0 （微軟IIS5.0 ） #Version: 1.0 （版本1.0） #Date: 20001023 03:11:55 （服務(wù)啟動(dòng)時(shí)間日期） 03:11:55 1USER administator -331 （IP地址為 用戶名為administator 試圖登

32、錄） 03:11:58 1PASS -530 （登錄失?。?03:12:04 1USER nt -331 （ IP地址為 用戶名為 nt的用戶試圖登錄） 03:12:06 1PASS -530 （登錄失敗） 03:12:32 1USER administrator -331 （ IP地址為 用戶名為administrator 試圖登錄） 03:12:34 1PASS 230 （登錄成功） （登錄成功） 03:12:41 1MKD nt 55

33、0 （新建目錄失?。?03:12:45 1QUIT 550 （退出FTP 程序）,目錄,終端安全概述 終端系統(tǒng)安全性 終端體系構(gòu)架 終端安全威脅 終端安全配置 終端安全檢查 終端安全加固 終端用戶安全職責(zé) 終端接入要求 終端標(biāo)準(zhǔn)化的意見(jiàn)和操作建議,及時(shí)打補(bǔ)丁，建議啟用微軟自動(dòng)更新功能,終端系統(tǒng)日常安全配置建議,安裝殺毒軟件并正確的使用殺毒軟件，及時(shí)升級(jí)殺毒軟件，開(kāi)啟實(shí)時(shí)掃描功能，定期殺毒,終端系統(tǒng)日常安全配置建議,安裝并啟用個(gè)人防火墻（可以是windows自帶的或殺毒軟件自帶的）,終端系統(tǒng)日常安全配置建議,顯示所有文件及文件擴(kuò)展名,終端系統(tǒng)日常安全配置建議,關(guān)閉自動(dòng)播放功能

34、,終端系統(tǒng)日常安全配置建議,設(shè)置瀏覽器安全級(jí)別,終端系統(tǒng)日常安全配置建議,離開(kāi)計(jì)算機(jī)時(shí)鎖屏 Windows 2000 Ctrl+Alt+Del Windows xp 運(yùn)行-gpedit.msc 配置啟用“總是用經(jīng)典登錄”,終端系統(tǒng)日常安全配置建議,利用目錄系統(tǒng)確保終端安全,目錄系統(tǒng)是什么 管理中心： 資源整合 安全中心： 集中管理和控制 分層次的權(quán)限委派 單一登陸 開(kāi)放的平臺(tái)： 與多種應(yīng)用進(jìn)行整合 使用目錄系統(tǒng)，實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部大量終端的規(guī)范、安全管理；,規(guī)范終端管理結(jié)構(gòu),組策略是什么？,組策略對(duì)象使用戶可以集中配置大量用戶和計(jì)算機(jī)。 可配置客戶端的桌面環(huán)境、安全設(shè)置以及控制計(jì)算機(jī)和用戶的狀態(tài)。

35、 減少管理員直接訪問(wèn)每臺(tái)計(jì)算機(jī)的時(shí)間。 增加管理員的集中控制能力。,安全模板是一組預(yù)先配置的安全設(shè)置 Windows XP 安全指南模板包括： 兩個(gè)包含適用于域中所有計(jì)算機(jī)的設(shè)置的域模板 兩個(gè)包含適用于桌面計(jì)算機(jī)的設(shè)置的模板 兩個(gè)包含適用于膝上型計(jì)算機(jī)的設(shè)置的模板 每個(gè)模板均具有一個(gè)企業(yè)版和高安全性版 安全模板中的設(shè)置可被編輯、保存和導(dǎo)入到 GPO 中,安全模板是什么？,安全設(shè)置是什么？,如何應(yīng)用安全模板和管理模板？,策略驅(qū)動(dòng)的機(jī)制，用于標(biāo)識(shí)和控制客戶端計(jì)算機(jī)上的軟件 默認(rèn)的安全級(jí)別具有兩個(gè)選項(xiàng)： 不受限的 可以運(yùn)行除明確拒絕的軟件外的所有軟件 不允許的 只能運(yùn)行明確允許的軟件,什么是軟件限制

36、策略？,使用組策略編輯器為 域定義策略,通過(guò)組策略將策略下載到 計(jì)算機(jī),在運(yùn)行軟件時(shí)由操作系統(tǒng)實(shí)施,1,2,3,軟件限制如何工作？,安全威脅和來(lái)源 安全原則和體系 終端的安全配置內(nèi)容 終端安全管理的手段和方法 總結(jié),內(nèi)容,遵循深層防御模型,應(yīng)用最低權(quán)限、最少連接和最低用戶訪問(wèn)權(quán)限的準(zhǔn)則,運(yùn)用監(jiān)視和審核,培訓(xùn)用戶注意安全性問(wèn)題,從經(jīng)驗(yàn)中學(xué)習(xí),制定和測(cè)試事件應(yīng)對(duì)計(jì)劃和過(guò)程,努力實(shí)現(xiàn)在設(shè)計(jì)上安全的系統(tǒng),安全性最佳做法,創(chuàng)建安全策略和過(guò)程文檔,訂閱安全性警告電子郵件,了解更新管理的最新信息,維護(hù)定期備份和還原過(guò)程,捕捉攻擊者的心思,安全性檢查列表,目錄,終端安全概述 終端系統(tǒng)安全性 終端體系構(gòu)架 終端

37、安全威脅 終端安全配置 終端安全檢查 終端安全加固 終端用戶安全職責(zé) 終端接入要求 終端標(biāo)準(zhǔn)化的意見(jiàn)和操作建議,員工安全職責(zé)-惡意代碼類(lèi),員工,AV,A-Other,A-SPY,A-Phishing,系統(tǒng)維護(hù)人員,安全技術(shù)人員,安全管理人員,管理層,安全項(xiàng),需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,員工安全職責(zé)-終端準(zhǔn)入,身份認(rèn)證,終端強(qiáng)制修復(fù),網(wǎng)絡(luò)準(zhǔn)入,客戶端準(zhǔn)入,應(yīng)用準(zhǔn)入,第三方聯(lián)動(dòng),員工,系統(tǒng)維護(hù)人員,安全技術(shù)人員,安全管理人員,管

38、理層,安全項(xiàng),需要關(guān)注,無(wú)需關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,員工安全職責(zé)-終端安全控制,補(bǔ)丁管理,共享控制,ARP欺騙防御,口令控制,安全狀態(tài)檢測(cè),服務(wù)控制,進(jìn)程控制,注冊(cè)表保護(hù),流量控制,員工,系統(tǒng)維護(hù)人員,安全技術(shù)人員,安全管理人員,管理層,安全項(xiàng),需要關(guān)注,無(wú)需關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需

39、要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,員工安全職責(zé)-終端泄密控制,移動(dòng)存儲(chǔ)管理,非法外聯(lián)監(jiān)控,文檔防泄密,員工,系統(tǒng)維護(hù)人員,安全技術(shù)人員,安全管理人員,管理層,安全項(xiàng),需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,

40、無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,員工安全職責(zé)-審計(jì)信息,文件共享審計(jì),上網(wǎng)行為審計(jì),郵件審計(jì),移動(dòng)存儲(chǔ)審計(jì),網(wǎng)絡(luò)共享審計(jì),打印審計(jì),注冊(cè)表審計(jì),終端操作審計(jì),員工,系統(tǒng)維護(hù)人員,安全技術(shù)人員,安全管理人員,管理層,安全項(xiàng),需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,

41、需要關(guān)注,需要關(guān)注,需要關(guān)注,員工安全職責(zé)-桌面合規(guī)管理,資產(chǎn)管理,軟件分發(fā),終端運(yùn)行監(jiān)控,外設(shè)管理,軟件安裝管理,遠(yuǎn)程維護(hù),IP管理,網(wǎng)絡(luò)管理,員工,系統(tǒng)維護(hù)人員,安全技術(shù)人員,安全管理人員,管理層,安全項(xiàng),無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,需要關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,無(wú)需關(guān)注,目錄,終端安全概述 終端系統(tǒng)安全性 終端體系構(gòu)架 終端安全威脅 終端安全配置 終端安全檢查 終端安全加固 終端用戶安全職責(zé) 終端接入要求 終端標(biāo)準(zhǔn)化的意見(jiàn)和操作建議,終端接入-基本合規(guī)審核項(xiàng),終端免疫,終端安全管控,IT支持,資產(chǎn)管理,軟件分發(fā),終端運(yùn)行監(jiān)控,外設(shè)管理,軟件安裝管理,遠(yuǎn)程維護(hù),IP管理,網(wǎng)絡(luò)管理,桌面合規(guī)管理,AV,A-Other,A-SPY,A-Phishing,惡意代碼查殺,準(zhǔn)入流程,IP&MAC比對(duì),合規(guī)性比對(duì),用戶比對(duì),通過(guò)準(zhǔn)入,準(zhǔn)入方式劃分