议题Windows2003安全策略监视和优化Windows系统性能Windows2003安全策略威胁和漏洞微软深度防御理念策略、规程操作系统强化、修补程序管理、身份验证、主机入侵检测防火墙、VPN隔离警卫、锁、跟踪设备网段、IPSec、网络入侵检测应用程序强化、防病毒ACL、加密风险管理、用户教育物理安全性网络周边内部网络主机应用程序数据本地安全策略帐户策略本地策略软件限制策略IP安全策略安全模板兼容(compatws.inf)默认安全设置(Setupsecurity.inf)域控制器默认安全设置(DCsecurity.inf)安全(Secure*.inf)高级安全(hisec*.inf)系统根目录安全(Rootsec.inf)无终端服务器用户SID(Notssid.inf)安全配置和分析安全配置数据库安全模板结果分析使用IPSEC加强系统安全性网络的世界Internet的美妙之处在于你和每个人都互相连接Internet的可怕之处在于每个人都能和你互相连接1导入为什么TCP/IP是不安全的?风险=漏洞+威胁漏洞:硬件漏洞,操作系统漏洞,应用程序漏洞,管理漏洞,威胁1)窃听2)数据篡改3)身份欺骗(IP地址欺骗)4)盗用口令攻击(Password-BasedAttacks)5)拒绝服务攻击(Denial-of-ServiceAttack)6)中间人攻击(Man-in-the-MiddleAttack)7)盗取密钥攻击(Compromised-KeyAttack)8)Sniffer攻击(SnifferAttack)9)应用层攻击(Application-LayerAttack)2IPSec概述什么是IPSecIPSec(Internet协议安全)是一个工业标准网络安全协议,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性IPSec的作用1)保护IP数据包安全;2)为抵御网络攻击提供防护措施。IPSec的优点过滤每一个访问计算机的数据包,并可根据数据报的源IP地址、协议和端口进行过滤对应用程序完全透明,应用程序无需任何调整三种身份验证对数据包进行加密,以防止数据包在网络传输中被截取使用HASH算法保障数据包在传输过程中保持完整性确保每个IP数据包的唯一性3IPSec的初步实现基本组件筛选器:过滤规则筛选器操作:允许,阻止,协商安全身份验证方法KerberosV5协议:适用于由Windows2000或者WindowsServer2003域或者受信任的ActiveDirectory域进行身份验证的计算机证书:需要证书授权中心预共享密钥:预共享的密钥以明文方式存储,因此安全性较差4IPSec的工作原理模式传输模式transportationmode:是在计算机之间使用IPSec来实现安全;是一种端对端endtoend的保护;是IPSec的缺省模式隧道模式tunnelmode:是在网络之间使用IPSec实现安全;是一种点到点pointtopoint的保护;隧道是对数据包重新封装的过程,它将原始数据包封装在新的数据包内部,从而改变数据包的寻址路径;通过新增IP包头的方法,将目的地址改变为隧道终点,对和隧道终点之间的传输设置加密等操作;通常,隧道终点即为安全性网关,也就是说此网关和目的主机之间的通信是安全的;其思想是先将数据包通过IPSec策略传送到安全性网关,再由安全性网关正常传送到目的主机。4IPSec的工作原理IP地址TCP/UDP端口数据包内容传输模式:当ESP在一台主机(客户机或服务器)上实现时使用,传送模式使用原始明文IP头,并且只加密数据,包括它的TCP和UDP头。隧道模式:当ESP在关联到多台主机的网络访问介入装置实现时使用,隧道模式处理整个IP数据包--包括全部TCP/IP或UDP/IP头和数据,它用自己的地址做为源地址加入到新的IP头。当隧道模式用在用户终端设置时,它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。新IP地址新TCP/UDP端口原IP地址原TCP/UDP端口数据包内容4IPSec的工作原理IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AuthenticationHeader(AH)封装安全载荷协议EncapsulatingSecurityPayload(ESP)密钥管理协议InternetKeyExchange(IKE)IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。4IPSec的工作原理SA安全关联SA(SecurityAssociation)是单向的,在两个使用IPSec的实体(主机或路由器)间建立的逻辑连接,定义了实体间如何使用安全服务(如加密)进行通信。它由下列元素组成:1)安全参数索引SPI;2)IP目的地址;3)安全协议。AH协议为IP通信提供数据源认证、数据完整性和反重播保证,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。ESP为IP数据包提供完整性检查、认证和加密,可以看作是“超级AH”,因为它提供机密性并可防止篡改。ESP服务依据建立的安全关联(SA)是可选的。IKE(Internet密钥交换)负责这些任务,它提供一种方法供两台计算机建立安全关联(SA)。SA对两台计算机之间的策略协议进行编码,指定它们将使用哪些算法和什么样的密钥长度,以及实际的密钥本身。包括ISAKMP和OKD。4IPSec的工作原理TCP层IPSec驱动程序TCP层IPSec驱动程序加密的IP数据包3安全关联协商(ISAKMP)2IPSec策略IPSec策略1ActiveDirectory4IPSec的工作原理5IPSec策略祥解策略组件每一个IPSecpolicy都对应一个规则rule每个规则下放置着多个筛选器filter每个筛选器来启用筛选器操作每个规则含有验证方法5IPSec策略祥解策略应用过程IP数据报IPSec驱动程序安全的数据报网络IPSec筛选器列表检查是否匹配5IPSec策略祥解客户端(只响应):只有当另一方计算机提出要求安全通信时,才应用IPSec策略来响应;服务器(请求安全设置):当计算机收到数据时,会请求源计算机利用IPSec策略建立安全通道,若源计算机没有配置IPSec策略,则目的计算机也接受非安全通信安全服务器(要求安全设置):要求通信必须是安全的,即基于IPSec策略。6验证方法祥解KerberosV5验证证书验证预共享密钥验证7IPSec监控与排错启用计算机审核策略组策略中设置:审核登录事件,审核对象访问配置IP安全监视器Windows2000:ipsecmonWindows2003:MMC添加IP安全监视器主模式:执行身份验证,在计算机之间建立IKE安全关联(SA)快速模式:在主模式发生之后,根据策略规则中的数据报筛选器的源地址和目标地址(还有协议和端口)部分,建立IPSsec安全关联以保护特定通信的安全。有两个关联,一个用于入站通信,一个用于出站通信。主模式的SA时安全策略级别的,快速模式的SA针对IP安全规则的。7IPSec监控与排错停止计算机里的IPSec策略代理,然后使用Ping命令验证计算机之间的通信重新启动IPSec策略代理服务并使用IPSec监视器来确认计算机间已建立了安全关联。确保IPSec有效通过IP安全策略管理器验证策略已指派给计算机通过IP安全策略管理器回顾策略,并且确保它们之间是兼容的重启IP安全监视器确保所有更新已应用动手操作实验3-1IPSEC防止监听式/反连式木马实验3-2使用IPSEC数据加密进行网络反监听监视和优化WINDOWS系统性能监视和优化Windows系统性能监视系统资源的目的:作为一个管理员,监视系统资源的目的是为了评估你的计算机的工作负荷,观测资源使用情况的变化和趋势,测试配置的变化情况,以及诊断问题。监视和优化Windows系统性能使用事件日志监视系统活动使用“任务管理器”监视系统运行资源使用“系统监视器”监视系统性能设置警报监视系统活动监视和优化Windows系统性能“任务管理器”提供关于运行在你的计算机上的程序和进程的快照,并提供有关计算机处理器和内存使用情况的概要信息。“系统监视器”、“性能日志”、“警报”功能则提供有关操作系统和计算机的特定组件对资源使用情况的详细数据。1.1使用事件日志监视系统活动“EventLog”服务在系统启动后默认启动监视Windows网络中的各种活动和事件目的:识别和跟踪安全性事件,资源使用情况,以及系统和应用程序中的错误三种类型的日志应用程序日志——记录了由应用程序或其他程序产生的事件系统日志——记录了操作系统本身产生的各种事件,安全日志——记录了有关安全性事件的信息所有用户都可以查看应用程序和系统日志。只有管理员才能访问安全日志。三种事件类型信息——服务、应用程序、驱动程序的正常启动和工作的事件均属于此类型。警告——当事件可能会引起故障或问题时,被记录为警告事件。例如,当磁盘空间不足时,将会记录警告。错误——造成应用程序、服务、驱动程序不能正常工作或启动的事件属此类型。管理事件日志目的:若你对安全性的要求很高,想归档旧的时间条目,而不是覆盖写入他们,则:1、约束事件日志大小在要管理的日志的“属性”中约束日志的大小2、备份事件日志(归档):将事件日志中的内容加以整理使其易于使用。操作:“另存日志文件”三种日志的文件格式:日志文件格式(.evt)—只能由事件查看器来查看。文本文件格式(.txt)—可由文字处理软件查看。逗号界定文本文件格式(.csv)—可以在电子表格或数据库程序中查看。1.2使用“任务管理器”监视系统运行资源“任务管理器”—可提供当前运行在系统中的应用程序的实时信息、进程和内存使用情况的信息或者关于这些进程的其他数据。进程-以前台或者后台的方式运行在保留内存空间中,并执行特定的任务,可看作是应用程序的组成部分,一个应用程序可由很多进程组成。1.3使用“系统监视器”监视系统性能“系统监视器”——较于“任务管理器”对系统的监视更加专业,可以监视系统中几乎所有的资源。(Windows内置)“系统监视器”中可以监视的资源:内存、硬盘、CPU、网络。1.3使用“系统监视器”监视系统性能1、使用“系统监视器”中的对象、实例和计数器控制面板——管理工具——性能2、查看系统性能数据三种查看方式:图表——直方图——适用于:开启了多个计数器。报表——以数字的形式实时的显示出来。适用于:需要将要监视的数据导入到电子表格或数据库中。保存方式:以网页格式(HTML格式)。右击“性能”的右侧子窗口—选择“另存为”——选择“*.htm”1.4设置警报监视系统活动性能监视器可以为监视数据设置一个阀值,当被监视的数据超过或低于设定的阀值,系统会发出警报通知管理员处理。在设置警报参数时需要完成以下三个操作:选定要监视的计数器(先启动该计数器)。为该计数器设定一个阀值。设定当性能监视器监视到的计数器数据超过或低于所设定的阀值时操作系统所采取的行为。1.4设置警报监视系统活动操作:设置“警报”“常规”选项卡“操作”选项卡。按要求输入达到发出警报条件的行为。“计划”选项卡。输入“开始扫描”和“结束扫描”监视计数器的时间。学了什么Windows2003安全策略监视和优化Windows系统性能