|
ASP 的安全配置工具
ASP 管理員應(yīng)當(dāng)對(duì)安全配置工具非常熟悉,因?yàn)橐@得系統(tǒng)中與安全相關(guān)的所有方面的信息,這是必不可少的。
這些工具應(yīng)當(dāng)使您非常容易地回答以下問(wèn)題:“我的計(jì)算機(jī)安全嗎?”,或者“我的網(wǎng)絡(luò)安全嗎?”。這些工具應(yīng)當(dāng)允許對(duì)已定義的安全策略所包含的所有方面進(jìn)行配置和分析,例如:
帳號(hào)策略。 設(shè)置或更改訪問(wèn)策略,包括域或本地密碼策略、域或本地帳戶鎖定策略以及域 Kerberos 策略(在適用情況下)。
本地策略。 配置本地審核策略、用戶權(quán)限分配和各式各樣的安全選項(xiàng),例如對(duì)軟盤(pán)、CD-ROM 等的控制。
受限制的組。 對(duì)內(nèi)置的組以及要進(jìn)行配置的任何其它特定組指定或更改組成員(如 Administrators、Server Operators、Backup Operators、Power Users 等)。這不應(yīng)作為一般的成員管理工具來(lái)使用 — 只用來(lái)控制特定組(具有指定給他們的敏感功能)的成員。
系統(tǒng)服務(wù)。 配置安裝在系統(tǒng)上不同服務(wù)(包括網(wǎng)絡(luò)傳輸服務(wù)如 TCP/IP、NetBIOS、CIFS 文件共享、打印等)的安全性。如果不使用,則會(huì)停止 TCP/IP 之外的服務(wù)。有關(guān)詳細(xì)信息,請(qǐng)參見(jiàn) http://www.microsoft.com/technet/
文件或文件夾共享。 配置文件系統(tǒng)和重定向器服務(wù)的設(shè)置。這包括訪問(wèn)各種網(wǎng)絡(luò)文件共享時(shí)關(guān)閉匿名訪問(wèn)以及啟用數(shù)據(jù)包簽名和安全性的選項(xiàng)。
系統(tǒng)注冊(cè)表。 設(shè)置或更改有關(guān)系統(tǒng)注冊(cè)表項(xiàng)的安全性。
系統(tǒng)存儲(chǔ)。 設(shè)置或更改本地系統(tǒng)文件卷和目錄樹(shù)的安全性。
準(zhǔn)備。 為客戶和 ASP 準(zhǔn)備一個(gè)安全的環(huán)境,以便安全地創(chuàng)建用戶、文件等。
這些工具還應(yīng)當(dāng)有助于監(jiān)視安全策略中已定義的所有方面,例如:
帳號(hào)策略 — 密碼、鎖定以及 Kerberos 設(shè)置。
本地策略 — 審核、用戶權(quán)限和安全選項(xiàng)。(“安全選項(xiàng)”主要包括與安全相關(guān)的注冊(cè)表值。)
事件日志 — 系統(tǒng)、應(yīng)用程序、安全和目錄服務(wù)日志的設(shè)置。
受限制的組 — 有關(guān)組成員的策略。
系統(tǒng)服務(wù) — 系統(tǒng)服務(wù)的啟動(dòng)模式和訪問(wèn)控制。
注冊(cè)表 — 注冊(cè)表項(xiàng)的訪問(wèn)控制。
文件系統(tǒng) — 文件夾和文件的訪問(wèn)控制。
物理訪問(wèn)系統(tǒng) — 對(duì)設(shè)備的訪問(wèn)、卡式鑰匙的使用、閉環(huán)視頻等。
這些工具還應(yīng)當(dāng)可以分析組策略,一直下行至用戶級(jí)。可以使用其它工具來(lái)分析監(jiān)視過(guò)程中收集到的全部數(shù)據(jù)。這些工具通常特別依賴于統(tǒng)計(jì)技術(shù)。
使用 Windows 2000 的 ASP 管理員可用“Windows 2000 安全配置工具集”的下列組件來(lái)配置上述部分或全部的安全方面。
“安全模板”管理單元。“安全模板”管理單元是獨(dú)立的 Microsoft 管理控制臺(tái) (MMC) 管理單元,它可以創(chuàng)建基于文本的模板文件,該文件包含所有安全方面的安全設(shè)置。
“安全配置和分析”管理單元。“安全配置和分析”管理單元是獨(dú)立的 MMC 管理單元,它可以配置或分析 Windows 2000 操作系統(tǒng)的安全性。其操作基于使用“安全模板”管理單元?jiǎng)?chuàng)建的安全模板的內(nèi)容。
Secedit.exe。Secedit.exe 是“安全配置和分析”管理單元的命令行版本。它可以使安全配置和分析在沒(méi)有圖形用戶界面 (GUI) 的情況下執(zhí)行。
對(duì)組策略的安全設(shè)置擴(kuò)展。“安全配置工具集”還包括一個(gè)對(duì)組策略編輯器的擴(kuò)展管理單元,用來(lái)配置本地安全策略以及域或組織單元 (OU) 的安全策略。本地安全策略只包括上述“帳號(hào)策略”和“本地策略”的安全范圍。為域或 OU 定義的安全策略可包括所有的安全性范圍。
ASP 安全任務(wù)和方法介紹
創(chuàng)建網(wǎng)絡(luò)安全時(shí),會(huì)用到許多策略、任務(wù)和方法。下面是對(duì)它們的簡(jiǎn)要介紹。
安全通信和概念
介紹和解釋在 ASP 的策略規(guī)劃中針對(duì)風(fēng)險(xiǎn)的安全策略
提供安全概念和詞匯的背景材料,使讀者熟悉安全規(guī)劃
確定 ASP 網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。在安全規(guī)劃中將其列出并加以解釋
執(zhí)行所有必要的安全措施(不要忘記物理方法)
嚴(yán)密監(jiān)視安全性
審核、評(píng)估、改進(jìn)和培訓(xùn)所有的步驟和策略
定義訪問(wèn)控制
確定 ASP 的組織目前如何使用組和建立組名稱的規(guī)范,以及如何使用組類型
介紹用于對(duì) ASP 范圍內(nèi)資源進(jìn)行廣泛安全訪問(wèn)的頂層安全組。它們可能是客戶通用組
介紹訪問(wèn)控制策略,特別是關(guān)于如何以一致的方式使用安全組
確定創(chuàng)建新組的步驟以及由誰(shuí)負(fù)責(zé)管理組成員
確定代表管理員控制特定任務(wù)的條件,介紹什么是客戶管理員的任務(wù)以及什么是 ASP 管理員的任務(wù)
規(guī)定 ASP 策略以保護(hù)管理員帳戶和管理控制臺(tái)
審核、評(píng)估、改進(jìn)和培訓(xùn)所有步驟及策略
遠(yuǎn)程客戶或用戶訪問(wèn)
描述支持客戶或用戶遠(yuǎn)程訪問(wèn)的 ASP 策略
建立一個(gè)規(guī)劃來(lái)傳遞遠(yuǎn)程訪問(wèn)步驟,包括連接方法
建立通過(guò)專用連接連接到客戶網(wǎng)絡(luò)的策略
審核、評(píng)估、改進(jìn)和培訓(xùn)所有步驟及策略
身份驗(yàn)證訪問(wèn)
確保對(duì)網(wǎng)絡(luò)資源的所有訪問(wèn)都需要使用域帳戶進(jìn)行身份驗(yàn)證
確定用戶群(ASP 內(nèi)部和客戶用戶)的哪一部分需要對(duì)交互式或遠(yuǎn)程訪問(wèn)登錄使用有效的身份驗(yàn)證
如果需要有效的身份驗(yàn)證,則確定部署公鑰安全以及(或)進(jìn)行智能卡登錄的規(guī)劃
定義用戶帳戶的密碼長(zhǎng)度、更改間隔以及復(fù)雜性要求
確定一個(gè) ASP 策略來(lái)消除在任何網(wǎng)絡(luò)上純文本密碼的傳輸,并制定出支持一次性登錄或保護(hù)密碼傳輸?shù)牟呗?
審核、評(píng)估、改進(jìn)和培訓(xùn)所有步驟及策略
代碼簽名和軟件簽名
規(guī)定下載的代碼所需要的安全級(jí)別
部署內(nèi)部的 ASP 步驟,對(duì)所有公開(kāi)分發(fā)的內(nèi)部開(kāi)發(fā)軟件實(shí)施代碼簽名
審核、評(píng)估、改進(jìn)和培訓(xùn)所有步驟及策略
部署“安全應(yīng)用程序”策略
建立測(cè)試規(guī)劃和單獨(dú)的測(cè)試環(huán)境 來(lái)確認(rèn) ASP 應(yīng)用程序是否在適當(dāng)配置的安全系統(tǒng)下正常運(yùn)行
確定還需要什么樣的附加應(yīng)用程序來(lái)加強(qiáng)安全功能以達(dá)到 ASP 的安全目標(biāo)
進(jìn)行適當(dāng)?shù)母墓芾恚ㄔ诎l(fā)布之前對(duì)更改的認(rèn)可和安全驗(yàn)證
審核、評(píng)估、改進(jìn)和培訓(xùn)所有步驟及策略
啟用數(shù)據(jù)保護(hù)
確定對(duì)敏感或保密客戶和內(nèi)部信息進(jìn)行識(shí)別和管理的 ASP 策略,并確定保護(hù)這些敏感數(shù)據(jù)的條件
確定存放敏感客戶(或內(nèi)部)數(shù)據(jù)的 ASP 服務(wù)器,這些數(shù)據(jù)可能需要附加的數(shù)據(jù)保護(hù)以防止竊取
建立一個(gè)使用 IPSec 的部署規(guī)劃,以保護(hù)遠(yuǎn)程訪問(wèn)數(shù)據(jù)或訪問(wèn)敏感的 ASP 數(shù)據(jù)服務(wù)器
審核、評(píng)估、改進(jìn)和培訓(xùn)所有步驟及策略
加密文件系統(tǒng)
介紹“數(shù)據(jù)恢復(fù)策略”,包括“恢復(fù)代理”的角色
介紹用來(lái)實(shí)施數(shù)據(jù)恢復(fù)過(guò)程并驗(yàn)證該過(guò)程有效的步驟
審核、評(píng)估、改進(jìn)和培訓(xùn)所有步驟及策略
建立信任關(guān)系
介紹 ASP 域、域目錄樹(shù)和目錄林并明確規(guī)定它們之間的信任關(guān)系
確定對(duì)信任的客戶和廠商以及其它外部域的策略(信任其它域意味著也信任由該域的所有者確定的安全策略)
審核、評(píng)估、改進(jìn)和培訓(xùn)所有步驟及策略
設(shè)置統(tǒng)一的安全策略
使用安全模板的方法來(lái)介紹對(duì)不同的計(jì)算機(jī)類實(shí)施的安全級(jí)別
確定域范圍內(nèi)的帳號(hào)策略并將這些策略和指導(dǎo)方針傳遞給客戶和用戶群
確定對(duì)網(wǎng)絡(luò)上不同類系統(tǒng)(例如桌面、文件和打印服務(wù)器、以及電子郵件服務(wù)器)的本地安全策略要求。確定對(duì)應(yīng)于每個(gè)類別的組策略安全設(shè)置
確定這樣的應(yīng)用程序服務(wù)器,在其中可用特定的安全模板來(lái)管理安全設(shè)置以及在整個(gè)組策略中考慮對(duì)它們的管理
|
溫馨提示:喜歡本站的話,請(qǐng)收藏一下本站!
