微软(中国)安全服务计划介绍说会windows平台的安全管理.pptVIP

微软安全服务计划介绍会Windows平台的安全管理 微软公司产品经理 殷建松 jasonyin@ 内容安排 安全挑战和对策 企业网络安全基础架构 保护服务器端 保护客户机端 网络安全管理流程 微软安全服务计划市场背景 信息安全是热点话题 用户被信息安全的复杂性所困扰 服务成为软件的重要价值之一 什么是微软安全服务计划 长期性的会员制计划 微软用户可以通过网站上注册加入 微软将从今天起在新浪等门户网站大举宣传这一计划，第一期宣传将持续到4月底 微软将把这些注册的用户信息分给微软安全服务伙伴去跟踪，提供服务方案和采购建议 微软安全服务伙伴能够得到微软持续地技术和市场支持，有义务定期向微软提供报告 用户加入安全服务计划 加入时获得微软欢迎礼包 欢迎信 安全工具包 Technet专刊 价值100元的CTEC培训礼券 价值36元的Windows .Net Magazine订阅礼券 还会定期收到 微软安全信息快递服务 Technet期刊和补丁光盘 掌握及时准确的网络安全技术是关键 微软CTEC开设安全课程 双威启迪从4月底在全国开始远程教育“企业网络安全技术”课程。 欢迎订阅《软件-Winmag》 (网址：) 来自于美国的最新Windows .Net Magazine国际中文版， 网络工程师的交流平台。 安全的挑战及对策 黑客攻击行为日益增加 计算机病毒的发展趋势 微软安全策略 安全预防胜于事后补救，建立一个严谨的信息系统架构 网络安全的基础架构 如何保护服务器端 如何保护客户机端 网络安全的管理流程 外部安全和内部安全并重，集中控制，分段隔离 简单管理就是有效的管理 - 集中管理 有效的风险管理 一、基础架构 目录服务是企业IT架构的基础 用组策略实现系统安全 远程分支机构和远程访问 部署防火墙 集中管理总结 备份 Windows 2000 Server基准安全注意事项 网络状况 需要管理的资源 典型网络分布 部署AD-多域 部署AD-单域 统一网络身份管理 Windows 2000 AD 单一登录 在Active Directory中 存放唯一帐号 分析 Windows?2000 缺省安全性 缺省安全模板应用到所有新安装的Windows 2000 除非: 从 Windows NT 4.0 升级 只用FAT 文件系统的计算机 配置安全模板 当前配置与基准线比较 自动分析安全基准线 使用组策略对象实施安全配置 基于策略分层管理 一个计算机或用户作用的策略是多个策略的和并 分支机构网络 一个典型的 VPN 架构… 远程访问-移动用户 部署防火墙- 小型网络或分公司的配置 访问策略规则 - IP封包, 应用程式, 使用者, 群组等的存取规则 带宽规则 - 不同Internet request所分配不同带宽的规则 发布规则 - 将Internet服务(如web,ftp,mail)透过防火墙 的保护公布給外界大众 入侵检测 - 防火墙入侵监测与警示 监视和日志 – 进出流量分析与报表 Web 缓存-所有放火墙的安全策存内容略会被自动应用到缓存内容之上 蜂巢式安全防护体系 利用内部安全隔离机制控制病毒扩散 部署防火墙--DMZ方式1 部署防火墙--DMZ方式2 部署防火墙不影响远程网络连接 ISA和VPN在远程网络的部署 可以选择让VPN服务器和 ISA安装在同一台机器上或分开 集中管理总结Active Directory 是核心，组策略是根本 集中管理服务包和Hotfixes 服务包 使用 SMS 服务器实施 使用组策略 通过登录脚本和 .msi 包 Hotfixes HFNetChk Tool QChain Windows 2000 Server基准安全注意事项 验证所有磁盘分区是否都用 NTFS 格式化 验证管理员帐户是否有强密码 禁用不必要的服务 禁用或删除不必要的帐户 保护文件和目录 确保禁用来宾帐户 防止注册表被匿名访问 HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\SecurePipeServers \winreg 应用适当的注册表 ACL Windows 2000 Server基准安全注意事项(2) 限制对公用本地安全机构 (LSA) 信息进行访问 HKEY_LOCAL_MACHINE\SYSTEMCurrentControlSet\Control\LSA RestrictAnonymous 设置较强的密码策略 设置帐户锁定策略 配置管理员帐户 删除所有不必要的文件共享 对所有必要的文件共享设置适当的 ACL 安装防病毒软件和更新 安装最新的 Service Pack 安装适当的 S