2023年全國碩士研究生考試考研英語一試題真題(含答案詳解+作文范文)_第1頁
已閱讀1頁,還剩54頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、Windows Vista系統(tǒng)安全建置指南,謝合宜微軟特約技術(shù)顧問MCSE : Security/Messaging MVP/MCTBS7799/ISO27001 Lead Auditor,Level 200,預(yù)備知識,熟悉Windows作業(yè)系統(tǒng)的使用與管理網(wǎng)路資訊安全管理,講題大綱,安全指南的背景Vista的安全指南網(wǎng)域架構(gòu)的用戶端安全加強(qiáng)的Vista安全,安全指南的用途,提供負(fù)責(zé)與可靠的安全指導(dǎo)方案根基在客戶所提供

2、的使用情境之上有強(qiáng)烈的支持作用專注在安全與效能、可用性的平衡提供工具來導(dǎo)入安全建置指南,What Are MSSC?(Microsoft Solutions for Security and Compliance),負(fù)責(zé)Microsoft產(chǎn)品的安全指南提出Microsoft個(gè)產(chǎn)品之間的安全協(xié)力機(jī)制整合所有的產(chǎn)品與技術(shù)MicrosoftPartnersNon-products,安全指南的歷史,Windows 98 and

3、 NT 4.0 Threat Mitigation GuideWindows 2000 Security GuideWindows XP Security GuideWindows Server 2003 Security GuideWindows Server 2003 Threats & Countermeasures GuideWindows Vista Security GuideWindows Vista

4、Threats & Countermeasures GuideNote: Vista安全指南目前正積極建立中,,TechNet Security Guidancehttp://www.microsoft.com/technet/security/http://www.microsoft.com/taiwan/technet/security,安全指南的建立過程,客戶導(dǎo)向來建立回饋方式與多個(gè)政府單位共同努力(美國)嚴(yán)

5、謹(jǐn)?shù)陌l(fā)展過程檢查每一個(gè)設(shè)定根據(jù)安全性來決定所需的設(shè)定值在多個(gè)實(shí)際環(huán)境來測試設(shè)定值的使用情形與客戶來進(jìn)行檢驗(yàn)反覆檢驗(yàn)確認(rèn)直到真正完成為止,講題大綱,安全指南的背景Vista的安全指南網(wǎng)域架構(gòu)的用戶端安全加強(qiáng)的Vista安全,Windows Vista的安全指南,從之前的作業(yè)系統(tǒng)版本擴(kuò)展而來不同環(huán)境各別給予建議提供給不同的安全等級內(nèi)容反映企業(yè)環(huán)境的需求包含情境式的安全指南善用Windows Vista的新安全技術(shù)

6、BitLocker, User Account Control等等擴(kuò)展的GPMC設(shè)定控制,Vista安全指南的建立,預(yù)設(shè)的網(wǎng)路環(huán)境,Windows Server 2003 網(wǎng)域環(huán)境未受管理的電腦與使用者排除在外利用Group Policy Management Console以邏輯的企業(yè)需求來建立OU結(jié)構(gòu),使用情境,環(huán)境企業(yè)網(wǎng)路環(huán)境特定功能電腦的特殊安全功能特別加強(qiáng)惡意軟體的防護(hù)保護(hù)敏感資料整合特定的安全設(shè)定整合與

7、支援現(xiàn)存、舊的應(yīng)用程式,全面性的防護(hù)架構(gòu),使用階層架構(gòu)分析:增加攻擊者被偵測的風(fēng)險(xiǎn)降低攻擊者意外成功的攻擊,政策,程序與體認(rèn),實(shí)體安全,OS hardening、驗(yàn)證、安全性更新管理,防火牆、網(wǎng)路存取隔離控制,守衛(wèi)、上鎖與追蹤裝置,網(wǎng)段隔離、IPSec、NIDS,Application hardening、防毒,ACLs、加密、EFS,安全文件與使用者教育,,,,,,,,網(wǎng)路周邊,內(nèi)部網(wǎng)路,主機(jī),應(yīng)用程式,資料,安全指南的大致內(nèi)容

8、,安全指南介紹設(shè)定AD網(wǎng)域基礎(chǔ)架構(gòu)用戶端的安全性設(shè)定系統(tǒng)管理範(fàn)本獨(dú)立的用戶端安全惡意軟體防制測試建議,用戶端電腦安全元件,,安全性密碼,防火牆,防毒,資料防護(hù),用戶端管理工具,應(yīng)用程式安全,行動電腦安全,軟體更新,企業(yè)網(wǎng)路環(huán)境威脅,一般的安全威脅密碼猜測Man-in-the-middle網(wǎng)路攻擊伺服器偽冒使用者洩漏、遺失資料或電腦惡意程式基本的保護(hù)就能提供高可使用性,企業(yè)網(wǎng)路環(huán)境解決對策,密碼原則帳號鎖定

9、SMB簽署(SMB signing)權(quán)限使用使用者權(quán)限Internet Explorer的加強(qiáng),特定安全限制功能Specialized Security Limited Functionality (SSLF),企業(yè)網(wǎng)路環(huán)境的特例情形特別而更強(qiáng)固的設(shè)定大致都一樣的設(shè)定,而給特別參數(shù)增加安全性可能減低可使用度Cost?針對特殊的客戶需求,特定安全限制功能解決對策,基本跟企業(yè)環(huán)境一樣設(shè)定是為了更緊密的安全例如:稽核

10、物件存取一般環(huán)境: DisableSSLF: 稽核失敗結(jié)果更多的稽核事件更可能偵測到特定的攻擊行為更困難與麻煩地去分析事件紀(jì)錄資料,行動電腦安全,當(dāng)行動電腦連線至企業(yè)網(wǎng)路時(shí)將會延伸網(wǎng)路周邊裝置對這些裝置延伸安全性:BIOS 密碼保護(hù)網(wǎng)路存取隔離控制更安全的無線存取驗(yàn)證機(jī)制CompletePC備份工具BitLockerUSB裝置的安全控管,,Windows Vista的資料保護(hù),,,教育使用者關(guān)於安全性密碼的原則

11、,使用包含空白、數(shù)字與特殊符號作為密碼的一部份,針對不同的資源使用不同的密碼,當(dāng)離開電腦時(shí)使用鎖定電腦或者使用密碼保護(hù)的螢?zāi)槐Wo(hù)程式,使用多方驗(yàn)證的機(jī)制加強(qiáng)安全,,實(shí)行安全性密碼,對抗惡意程式,使用者帳戶控制(UAC)Internet Explorer保護(hù)模式IE Phishing Filter64-bit驅(qū)動程式簽署IPSec隔離Driver Resource ProtectionWindows Defender,惡性程

12、式防護(hù)技巧,,降低攻擊層面,安裝防毒軟體,啟用主機(jī)端防火牆,利用設(shè)定掃描器測試,給予最少的特權(quán)原則,提供安全性更新,限制未授權(quán)的應(yīng)用程式,實(shí)施深度防禦機(jī)制,,Windows Update的使用,講題大綱,安全指南的背景Vista的安全指南網(wǎng)域架構(gòu)的用戶端安全加強(qiáng)的Vista安全,網(wǎng)域用戶端安全,Active Directory 元件建立 OU 的階層式架構(gòu)如何新增 OU 的階層式結(jié)構(gòu)使用 AD 建置用戶端安全,Active

13、Directory元件,群組原則建置與管理網(wǎng)路安全的基礎(chǔ)架構(gòu)樹系(Forest)Active Directory 中的安全性邊界網(wǎng)域(Domain)蒐集與管理電腦、使用者與群組物件的管理範(fàn)圍組織單位(OU)AD 中的容器物件,以組織其他物件,建立OU的階層式架構(gòu),Group Policy 可以簡化用戶端安全的設(shè)定分隔階層模組獨(dú)立出使用者 OU 與電腦 OU針對每一個(gè) OU 給予適當(dāng)?shù)脑瓌t設(shè)定,如何新增OU的階層式結(jié)構(gòu)

14、,,針對每一個(gè)部門新增 OU,1,針對每一種用戶型態(tài)的電腦依部門設(shè)定 OU,3,將所有用戶端的電腦帳號搬移至適當(dāng)?shù)?OU 中,4,新增並設(shè)定 GPO 指派給適當(dāng)?shù)?OU,5,針對每一種作業(yè)系統(tǒng)版本的用戶端依部門設(shè)定 OU,2,使用AD建置用戶端安全,,設(shè)計(jì) OU 結(jié)構(gòu)適當(dāng)管理用戶端安全,設(shè)計(jì) OU 結(jié)構(gòu)獨(dú)立出使用者與電腦的安全帳號,新增 GPO 給每個(gè) OU 以指派適當(dāng)?shù)陌踩栽瓌t給用戶端,利用Group Policy加強(qiáng)用戶端安全,使

15、用安全性範(fàn)本使用系統(tǒng)管理範(fàn)本什麼是安全性設(shè)定,使用安全性範(fàn)本,安全性範(fàn)本提供預(yù)設(shè)的安全性設(shè)定,依用戶所包含的所有範(fàn)本:所有網(wǎng)域中的使用者與電腦 桌上型電腦膝上型電腦每一個(gè)範(fàn)本包含企業(yè)的用戶端與高安全的環(huán)境可以編輯安全性範(fàn)本的設(shè)定並且匯入至 GPO 中,系統(tǒng)管理範(fàn)本可以包含:,使用系統(tǒng)管理範(fàn)本,電腦設(shè)定 使用者設(shè)定,你可以使用系統(tǒng)管理範(fàn)本來設(shè)定:,使用者操作環(huán)境應(yīng)用程式安全性設(shè)定,什麼是安全性設(shè)定,,,Windows V

16、ista的安全性設(shè)定,講題大綱,安全指南的背景Vista的安全指南網(wǎng)域架構(gòu)的用戶端安全加強(qiáng)的Vista安全,Windows Vista群組原則新功能,多重本機(jī)群組原則ADMX的使用裝置設(shè)備的管理UAC的控管更多的安全控管,多重本機(jī)群組原則,LGPO 與 AD GPO 套用順序與優(yōu)先權(quán)沒有變動 (AD GPOs 依然有較高套用權(quán))LGPOs 可以建立在:The machineNEW: Admin or non-Adm

17、in local groupsNEW: Individual local users套用順序依舊!(machine LGPO 先處理……)個(gè)別使用者的 GPO “wins”單一使用者依然會套用相關(guān)群組的LGPO (Admins or the Non-Admins, not both),ADMX的使用,ADM檔案的挑戰(zhàn):不支援多國語系環(huán)境Sysvol 體積膨脹 (4Mb+ per GPO)有些不清楚且有限制的語法ADMX

18、 的好處內(nèi)建多國語系支援 (與 ADML 檔案關(guān)聯(lián))改善的檔案儲存方式 (可擺放本機(jī)或集中位置)更彈性的語法方式 (XML-based),ADMX 的集中存放,預(yù)設(shè)為非集中存放ADMX 擺放本機(jī)(位於GPMC或GPEdit管理時(shí)的電腦)建立與使用集中存放全網(wǎng)域的存放位置 – [sysvol]\policies\policydefinitions一個(gè)簡單步驟即可完成啟用後, Windows Vista GPMC/GPEdi

19、t 開始使用集中存放的 ADMX 檔案 (並且忽略本機(jī)位置),Windows Vista共存使用情形(ADMX/ADM 並存),Windows Vista 未包含任何的 ADM 檔 (ADMX 檔已涵蓋原來的 ADM 檔)ADMX and ADM files 可以同時(shí)共存使用 用“新增/移除範(fàn)本”來新增 ADM 檔(非 ADMX 檔).,,透過系統(tǒng)管理範(fàn)本來管理Office,卸除式存放裝置原則設(shè)定Removable storage

20、 device Policy Settings,可依“電腦”或“使用者”來分別設(shè)定原則控管,管理可依“read”或“write”來處理卸除式存放裝置分類CD/DVDTapesUSB plug-in devicesWindows Portable Devices (WPD)All other external removable storage devices,使用者帳戶控制原則設(shè)定User Account Control

21、Policy setting,以電腦來設(shè)定:Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options使用者帳戶控制原則設(shè)定式控制 “UAC”的使用行為,Windows Firewall 與 IPSec,在單一主控臺來一致性的管理設(shè)定常用連線情境的順暢設(shè)定,限制只允許加入網(wǎng)域的電腦進(jìn)行網(wǎng)路資源存取,整合Windo

22、ws Firewall與IPSec 管理工作為單一操作介面,簡化的管理,強(qiáng)迫隔離的設(shè)定,更智慧的功能,指定允許的應(yīng)用程式與連接埠只有具安全連結(jié)時(shí)才允許連線只有特定的AD群組才允許連線,更多安全相關(guān)原則設(shè)定,Version 7.0,Windows Defender,Wireless and Wired Configuration,Network Access Protection,Public Key Policy Configura

23、tion,Integrated IE 7.0 Policy Settings,Device Installation control,加強(qiáng)的稽核功能,更詳細(xì)的稽核例如登入、登出、檔案系統(tǒng)存取、機(jī)碼存取、管理權(quán)限使用新的記錄架構(gòu)更方便過濾掉沒有用的事件記錄當(dāng)事件發(fā)生時(shí),可以傳送通知給管理者執(zhí)行特定的程式,整合、支援舊有的應(yīng)用程式,相容性基礎(chǔ)的情境使用讓舊的或不太適當(dāng)撰寫的程式亦能運(yùn)作減損系統(tǒng)安全來成全可使用性,整合、支援舊

24、有的應(yīng)用程式問題探討,增強(qiáng)安全通常會阻擋舊的應(yīng)用程式的使用登錄檔的限制檔案系統(tǒng)的限制API呼叫的限制網(wǎng)路連結(jié)的限制問題可能很難被修正沒有原始程式碼缺乏解決資源降低安全可能是最方便的問題解決方式,整合、支援舊有的應(yīng)用程式解決方案,Application Compatibility ToolkitUser Account Control (UAC)虛擬化調(diào)整使用者介面Windows Installer調(diào)整,講題總結(jié)

25、,善用AD與群組原則的建置與規(guī)劃來達(dá)到方便的控管從系統(tǒng)安裝、設(shè)定等等的設(shè)定都進(jìn)行檢討,建立企業(yè)本身所需的安全指南深入了解Windows Vista的新增安全加強(qiáng)功能來應(yīng)用於特殊的環(huán)境,For More Information…,TechNetwww.microsoft.com/taiwan/technetWindows Vistawww.microsoft.com/taiwan/windowsvistaWindows Vis

26、ta: Resources for IT Professionalwww.microsoft.com/technet/windowsvista/default.mspxMicrosoft Securitywww.microsoft.com/securitywww.microsoft.com/taiwan/securitywww.microsoft.com/TechNet/SecurityMVP Community社群網(wǎng)站w

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論