作业系统平台安全控管.pptVIP

作業系統平台的安全控管 II：Microsoft Windows XP 主講人： 精誠公司恆逸教育訓練中心 資深講師：劉聖路 本次研討會大綱 規劃Windows XP用戶端之安全性 Windows XP SP2 的功能與運用 Microsoft Anti-Spyware 的功能與運用 Malware Remove Tool 的功能與運用 規劃 WinXP 用戶端之安全性 安全架構 核心用戶端安全 預防惡性程式的入侵 用戶端防火牆 網域用戶端安全 利用 Group Policy 加強用戶端安全 安全的應用程式 軟體限制原則 針對獨立的用戶端啟用本機安全性原則 安全的重要 全面性的防護架構 使用階層架構分析： 增加攻擊者被偵測的風險 降低攻擊者意外成功的攻擊 核心用戶端安全 用戶端電腦安全元件 管理軟體安全更新 Windows XP SP2 安全技術 行動電腦安全 資料保護 實行安全性密碼 用戶端電腦安全元件 管理軟體安全更新 Windows XP SP2 安全技術 行動電腦安全 當行動電腦連線至企業網路時將會延伸網路周邊裝置 對這些裝置延伸安全性： BIOS 密碼保護 網路存取隔離控制 更安全的無線存取驗證機制 備份工具 資料保護 實行安全性密碼 預防惡性程式的入侵 惡性程式的問題 瞭解威脅與爆發的時間關係 防毒軟體的部屬 防毒軟體的更新 使用附加工具作用戶端防護 惡性程式防護技巧 惡性程式的問題 瞭解威脅與爆發的時間關係 防毒軟體的部屬 防毒軟體的更新 桌上型電腦 透過本地端的伺服器作防毒軟體的更新 使用推進的方式將防毒軟體所用的定義檔傳送給用戶端 不需要依賴使用者自行下載更新 膝上型電腦 當離開辦公室時，利用 Internet 更新 使用附加工具作用戶端防護 Microsoft Windows AntiSpyware 偵測與移除 spyware 提供即時掃瞄與排程掃瞄機制 使用代理服務阻礙 spyware 動作 Windows Malicious Software Removal Tool 掃瞄與移除多數常見的惡性程式（Malware） 每個月的第二個星期二釋出新的版本 惡性程式防護技巧 用戶端防火牆 誰需要用戶端防火牆 Windows 防火牆 協力廠商防火牆軟體 如何設定 Windows 防火牆 用戶端防火牆的最佳實施 誰需要用戶端防火牆 網路用戶端 使用數據連線的桌上型電腦 行動電腦 Windows 防火牆 預設是開啟的 提供開機階段安全 全域設定與回復 本地子網路亦受限制 支援命令提示列 協力廠商防火牆軟體 考慮使用協力廠商防火牆的理由： 不但能夠控制進入的流量，而且可以提供出去的流量掃瞄 能夠具體指定能夠存取 Internet的應用程式 問題點： 安全規則制訂會趨向複雜 延展性可能是個問題 如何設定 Windows 防火牆 用戶端防火牆的最佳實施 網域用戶端安全 Active Directory 元件 建立 OU 的階層式架構 如何新增 OU 的階層式結構 使用 AD 建置用戶端安全 Active Directory 元件 群組原則 建置與管理網路安全的基礎架構 樹係（Forest） Active Directory 中的安全性邊界 網域（Domain） 蒐集與管理電腦、使用者與群組物件的管理範圍 組織單位（OU，Organizational Unit） AD 中的容器物件，以組織其他物件 建立 OU 的階層式架構 Group Policy 可以簡化用戶端安全的設定 分隔階層模組 獨立出使用者 OU 與電腦 OU 針對每一個 OU 給予適當的原則設定 如何新增 OU 的階層式結構 使用 AD 建置用戶端安全 利用 Group Policy 加強用戶端安全 使用安全性範本 使用系統管理範本 什麼是安全性設定 建議設定的安全性選項 以 Group Policy 對用戶端安全的最佳建置 使用安全性範本 使用系統管理範本 什麼是安全性設定 密碼原則 帳戶鎖定原則 稽核原則 事件記錄 檔案系統 IP 安全性原則 登錄設定 受限群組 安全性選項 軟體限制原則 系統服務 使用者權限指派 建議設定的安全性選項 網路安全性：LAN Manager 驗證層級 建議針對企業用戶端設定：只傳送 NTLMv2 回應 網路安全性：下次密碼變更時不儲存 LAN Manager 雜湊數值 建議設定成『啟用』 Microsoft 網路用戶端：數位簽章用戶端的通訊 建議設定成『停用』 Microsoft網路用戶端：數位簽章用戶端的通訊（如果伺服器同意） 建議設定成『啟用』 以 Group Policy 對用戶端安全的最佳建置 安全的應用程式 Internet Explorer 系統管理範本 Internet Explorer