Стратегии безопасности презентация

Содержание

Содержание Введение Стратегии управления обновлениями исправлений (Patch Management) Стратегии удаленного доступа Построение защищенных конфигураций

Слайд 1Стратегии безопасности
Presenter Name
Job Title
Microsoft

Слайд 2Содержание
Введение
Стратегии управления обновлениями исправлений (Patch Management)
Стратегии удаленного доступа
Построение защищенных конфигураций

Слайд 3Защита на всех уровнях
Упрощает процесс обнаружения вторжения
Снижает шансы атакующего на успех
Политики

и процедуры

Защита ОС, управление обновлениями, аутентификация

Межсетевые экраны, Карантин VPN-соединений

Охрана, средства наблюдения

Сегментация сети, IP Security, Система обнаружения вторжений

Защита приложений, антивирусные системы

Списки контроля доступа, шифрование

Обучение пользователей

Физическая защита

Периметр

Внутренняя сеть

Компьютер

Приложения

Данные

Слайд 4Основные проблемы обеспечения безопасности
Управление обновлениями (Patch management)
Безопасный удаленный доступ
Реализация политики безопасности

Слайд 5Содержание
Введение
Стратегии управления исправлениями (Patch Management)
Стратегии удаленного доступа
Построение защищенных конфигураций

Слайд 6Важность своевременной установки исправлений

Слайд 7



Процесс управления установки
1. Определение среды для установки заплат

Периодически
A. Реестр систем
B. Архитектура

установки заплат
C. Обзор инфраструктуры/ конфигурации

Постоянно
A. Новые объекты для защиты
B. Инвентаризация клиентов

1. Оценка

2. Идент.

4. Внедре-ние

3. План

2.Идентификация новых заплат

Задачи
A. Новые заплаты
B. Определение важности
C. Выяснение принадлежности неизменности

3.Исследование и планирование внедрения

Задачи
A. Получение разрешения на установку заплаты
B. Определение рисков
C. Планирование внедрение заплат
D. Финальное тестирование заплат

4. Внедрение заплат

Задачи
A. Распространение и установка заплат
B. Отчеты о прогрессе
C. Обработка исключительных ситуаций
D. Отчет о внедрении

Слайд 8Как узнать о выходе исправления
Подписаться на службы уведомления
Microsoft Security Notification Service
Списки

рассылки, новостные группы третьих фирм
На веб-сайте
www.microsoft.com/technet/security
На сайтах продуктов
На сайтах третьих фирм
Реализуйте регулярное изучение заплат и составьте график их установки
Каждый второй вторник месяца Microsoft выпускает исправления для своих продуктов
Исключение: когда есть существенный риск
Настройте автоматические инструменты для ежедневных проверок

Слайд 9Когда устанавливать исправления
Как можно скорее
Только после тестирования
С учетом возможных побочных эффектов
В

соответствии с уровнем критичности

Слайд 10Инструменты Microsoft для управления установкой исправлений

Слайд 11Основные преимущества MBSA
Автоматическая идентификация отсутствия необходимых исправлений и проблем в настройках

системы безопасности
Позволяет администраторам централизованно сканировать большое количество систем одновременно
Работает с целым спектром программного обеспечения от Microsoft (не только Windows и Office)

Слайд 12Как работает MBSA
Файл MSSecure.xml
Названия бюллетеней безопасности
Исправления для продуктов
Версию и контрольную сумму
Ключи

реестра
Номера статей в базе знаний

Microsoft Download Center

MSSecure.xml

Скачивает CAB с MSSecure.xml и проверяет цифровую подпись

Администратор запускает MBSA и определяет цели

Сканирует целевые системы по ОС, компонентам и приложениям

Проверяет какие обновления доступны

Проверяет все ли установлены

Создает отчет о неустановленных заплатках

MBSA Computer

Слайд 13Автоматизация MBSA
MBSA Scan (GUI)
Для малых и средних сетей
MBSA Scan (mbsacli.exe)
Автоматическое сканирование

из командной строки с параметрами
Example: mbsacli /d mydomain /f report.txt
MBSA Scan в режиме HFNetChk (mbsacli.exe /hf)
Автоматически сканирует из командной строки
Проверяет только на неустановленные заплаты
Пример: mbssacli -hf -o tab –f report.txt
MBSA и Windows Update могут показывать разные результаты

Слайд 14Примеры использования MBSA из командной строки
Сканирование всех компьютеров в удаленном офисе:
Mbsacli

/r “192.168.1.2-192.168.1.254” /sus “http://susserver” /n “SQL” /f “\\server\share\SUSScan.txt”
Сканирование группы серверов на установленные исправления:
Mbsacli -hf –fh d:\Serverlist.txt –o tab –v –f D:\HFScan.txt

Слайд 15Демонстрация Использование MBSA Параметры командной строки MBSA Просмотр журналов MBSA

Использование MBSA для создания скриптов

Слайд 16Автоматическая установка исправлений и мониторинг с Software Update Service
Скачивает все пакеты

исправлений, критические исправления и т.п.
Предоставляет администраторам контроль за установкой исправлений
Блокирует несанкционированную установку исправлений при использовании SUS с Automatic Updates
Может работать в режиме тестирования
Работает на Windows 2000 и более поздних версиях

Слайд 17Сценарии использования Update Service
Используйте SUS для управления процессом установки исправлений

с Windows Update
Используйте SUS для управления внедрением исправлений
Используйте SUS для управления установкой исправлений в рамках всей сети предприятия

Слайд 18Software Update Service Сценарий 1
SUS Server
SUS server загружает исправления и метаданные
Automatic Update

получает список подтвержденных обновлений с SUS server

Automatic Update загружает подтвержденные обновления с Windows Update

Windows Update Service

Администратор, проверяет и подтверждает обновления

Firewall

Windows Update Service

Слайд 19Software Update Service Сценарий 1
Когда использовать данный сценарий
В маленьком офисе с одним

сервером SUS и высокоскоростным каналом в Интернет
В случае нескольких офисов с одним сервером SUS; каждый офис имеет прямое подключение к Интернет
Когда не использовать
Если есть ограничения на скорость доступа в Интернет
Если несколько офисов имеют единый канал доступа к Интернету

Слайд 20Software Update Service Сценарий 2
SUS Server
SUS server скачивает обновления и метаданные
Automatic Update

получает список подтвержденных обновлений с SUS server

Automatic Update скачивает обновления с SUS server

Windows Update Service

Администратор подтверждает обновления

Firewall

Слайд 21Software Update Service Сценарий 2
Когда использовать:
Для управления процессом установки обновлений в офисе

с одним или несколькими серверами SUS
В нескольких офисах с одним сервером SUS и высокоскоростными каналами между офисами
Когда не использовать:
В нескольких офисах с ограниченной пропускной способностью каналов связи между ними

Слайд 22Software Update Service Сценарий 3
Parent SUS Server
SUS server скачивает обновления
Подтверждения синхронизируются с потомками

SUS servers

Automatic Updates получает список с SUS server

Automatic Update скачивает обновления с Windows Update

Automatic Update скачивает обновления с SUS server

Windows Update Service

Child SUS Server

Child SUS Server

Windows Update Service

Администратор подтверждает обновления

Firewall

Слайд 23Software Update Service Сценарий 3
Когда использовать:
В компаниях с несколькими офисами и медленными

каналами связи между ними
При наличии большого числа рабочих станций в офисе
Использовать Network Load Balancing
В компаниях с несколькими офисами и смесью WAN и Интернет соединений
Не использовать
При малом числе клиентских компьютеров в одном офисе

Слайд 24Управление сложными установками SUS
Центральное управление и подтверждение установки исправлений
Назначается для OU

и GPO для управления
Используйте шаблон WUAU.ADM template для настройки AU на рабочих станциях
Назначьте GPO к OU

Слайд 25Software Update Service Советы
Просматривайте каждое обновление
Скачайте и установите
Проверьте каждое обновление перед внедрением
Разверните

тестовую лабораторию
Установите тестовый сервер SUS
Можно использовать Virtual PC в лаборатории
Разработайте и примените стандартную процедуру приемки тестов

Слайд 26Software Update Service Советы
Пилотное внедрение
Настройте дочерний сервер SUS для подтверждения обновлений
Настройте групповую

политику таким образом, чтобы обновления скачивались только с пилотного сервера SUS и только для определенных рабочих станций
Если пилотный проект провалился – удалите разрешение на установку обновления на сервере SUS и вручную удалите исправление с рабочих станций
Завершите внедрение

Слайд 27Использование корпоративных систем управления для установки обновлений
System Management Server (SMS) 2003
Полный

контроль для администраторов за установкой исправлений
Автоматический процесс управления
Обновляет целый спектр ПО от Microsoft
Обновляет ПО третьих фирм
Позволяет использовать скрипты для увеличения гибкости
Решения третьих фирм
Интеграция с решениями третьих фирм посредством скриптов

Слайд 28Что делает SMS
Сканирует SMS клиентов
Установка: Скачивает информацию о обновлениях для Windows,

Office и т.п., запускает инвентаризацию

Информация о сканировании в центральной базе

Администратор запускает Distribute Software Updates Wizard для авторизации обновлений

Software Update Installation Agent устанавливает требуемые обновления

Периодически процесс повторяется со сканированием и т.п.

Загружаются файлы обновлений, пакеты реплицируются и программы устанавливаются на клиентах

Слайд 29Демонстрация 2 SMS 2003 Внедрение исправлений с использованием Distribute Software Updates Wizard


Слайд 30Решения третьих фирм

Слайд 31Обновление Microsoft Office
Office Inventory Tool
Office Update
Исправления для Office, которым требуются оригинальные

файлы
Кеширование файлов для установки для Office 2003
Обновление контрольных точек для установки

Слайд 32Демонстрация Office Inventory Tool Анализ Office Преобразование файлов с Office Update


Слайд 33Наилучшие стратегии управления обновлениями
Используйте контроль за изменениями
Прочтите всю необходимую документацию
Устанавливайте обновления

только если они нужны
Тестируйте обновления перед установкой во всей сети
Поддерживайте единую политику обновлений на всех контроллерах домена
Проведите резервное копирование и планируйте время простоя
Всегда имейте план для возврата к исходному состоянию
Заранее предупреждайте службу поддержки в компании и наиболее важных пользователей
Начинайте с не-критичных серверов

Слайд 34Содержание
Введение
Стратегии управления обновлениями исправлений (Patch Management)
Стратегии удаленного доступа
Построение защищенных конфигураций

Слайд 35VPN и межсетевые экраны
Объединение межсетевого экрана и VPN сервера

Слайд 36VPN за межсетевым экраном
Сложно: Пропустить через межсетевой экран трафик для VPN

сервера
Сложно: Stateful inspection

Слайд 37ISA Server как сервер VPN и межсетевой экран

Слайд 38Сложности при использовании IPSec и NAT
Заголовок пакета модифицирован
IKE использует фрагментированный IP
NAT

устройства, которые используют туннель

Слайд 39Модель решения
IETF draft по NAT Traversal (NAT-T) рекомендует использовать устройства с

обоих сторон, которые:
Обнаруживают наличие NAT
Не используют порты IPSec; устройства NAT не оказывают влияния на сетевой трафик
Инкапсулируют IPSec в UDP
Дополнительно, решение Microsoft препятствует фрагментации IP

Слайд 40Как работает NAT-T

Слайд 41Вопросы взаимодействия
VPN клиент и VPN сервер должны поддерживать NAT-T
Сложности с устройствами

третьих фирм
Но постепенно все становится совместимым
Не нужно никаких изменений на устройствах NAT
Межсетевой экран
Открыть трафик по UDP 4500
Открыть трафик по UDP 500

Слайд 42Поддержка NAT-T в Windows
Реализована в соответствии с IETF Proposed Standard
Проверена

совместимость с шлюзами третьих фирм по L2TP/IPSec
Поддержка L2TP/IPSec в Windows XP и ниже
Поддержка IPSec в Windows Server 2003

Замечание 1: После Windows Update
Замечание 2: после обновления
Замечание 3: поддержка с сайта

Замечание 4: Не работает Active FTP
Замечание 5: Некоторые PTMU не работают

Слайд 43Обеспечение безопасности удаленных клиентов
Проблема:
Удаленные клиенты не соответствуют требованиям безопасности, принятым в

компании
Представляют опасность для всей сети, если такие компьютеры подключатся к ней
Решение:
Запретить удаленный доступ
Доверить пользователям настроить их компьютеры на безопасную работу
Создать отдельную сеть для подключения через VPN
Настраивать на безопасность при подключении
Автоматически отключать клиентов, которые не соответствуют требованиям безопасности: Network Access Quarantine Control

Слайд 44Что такоеNetwork Access Quarantine Control?

Слайд 45Требования для карантина

Intranet
Internet
RAS Client with CM
Windows Server 2003 RRAS Server
Windows Server

2003 IAS Server

Active Directory Domain Controller

Quarantine Resources

Remote Access Policy

Дополнительно нужны RQC.exe и RQS.exe из Windows Server 2003 Resource Kit Tools

Слайд 46Процесс работы карантина

Слайд 47Ограничения для доступа в сеть при карантине
Зависят от настроек, которые проверяются

работой скриптов
Зависят от скриптов на клиентском компьютере
Злоумышленник может пробиться через карантин
У пользователей должны быть возможности соответствовать требованиям
Установить обновления
Внешняя точка для установки обновлений для антивирусного ПО
Ограничивает соединения через модем и VPN

Слайд 48Network Access Quarantine Control
Изучите описание в Windows Server 2003 Resource Kit
Используйте

Connection Manager
Создайте различные профили для разных типов клиентов
Учитывайте карантин для ресурсов
Не предоставляйте доступ клиентам, не установивших своевременно исправления

Слайд 49Демонстрация Настройка сетевого карантина Установка, настройка и тестирование сетевого карантина

Слайд 50Содержание
Введение
Стратегии управления исправлениями (Patch Management)
Стратегии удаленного доступа
Построение защищенных конфигураций

Слайд 51Разрешение конфликтов в шаблонах безопасности
Инструмент: Resultant Set of Policies (RSoP)
Средства

управления Active Directory
Group Policy Results из GPMC
GPResult

Слайд 52Разрешение проблем с приложениями
Установка обновлений или шаблонов безопасности могут привести к

сбоям в работе приложений
Инструменты для разрешения конфликтов
Network Monitor
File Monitor
Registry Monitor
Dependency Walker
Cipher

Слайд 53Разрешение проблем со службами
Возможные проблемы:
Служба не стартует
Нужна ли служба?
Инструменты:
Tlist.exe или Process

Explorer
Dependency Walker
Посмотрите свойства DLL

Слайд 54Проблемы с доступом к сети
Убедитесь, что открыты только нужные порты
Инструменты:
Netstat –o

(на Windows XP или Windows Server 2003)
Task Manager


Слайд 55Разрешение конфликты при настройках безопасности
Используйте формальные правила контроля изменений для всех

изменений в безопасности
Тестируйте все изменения безопасности
Используйте RSOP в режиме планирования
Документируйте настройки работоспособных конфигураций
Имейте под рукой стратегию восстановления работоспособных конфигураций
Не подвергайте системы опасности при выявлении проблем с настройками

Слайд 56Итоги
Введение
Стратегии управления исправлениями (Patch Management)
Стратегии удаленного доступа
Построение защищенных конфигураций

Слайд 57Дальнейшие шаги
Будьте в курсе новостей
Подпишитесь на рассылку бюллетеней безопасности:
http://www.microsoft.com/security/security_bulletins/alerts2.asp
Загрузите себе последние

версии руководств по безопасности:
http://www.microsoft.com/security/guidance/
Пройдите дополнительное обучение
На семинарах Microsoft:
http://www.microsoft.com/rus/events
В учебных центрах CTEC:
http://www.microsoft.com/rus/learning/

Слайд 58Дополнительная информация
Сайт Microsoft по безопасности
http://www.microsoft.com/security
Для администраторов
http://www.microsoft.com/technet/security
Для разработчиков
http://msdn.microsoft.com/security

Слайд 59Вопросы и ответы

Похожие презентации

Intro to Comparative Politics. Ethnic and national identities 250
Влияние образов прошлого на современную региональную политическую культуру 266
Представництво ЄС в Україні 249
ИНСТРУМЕНТ УСПЕХА 263
Prime Minister Modi's Year in Review 236
РЕН ТВ ПРЕДСТАВЛЯЕТ 275

Обратная связь

Если не удалось найти и скачать презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:

Email: Нажмите что бы посмотреть 

Что такое ThePresentation.ru?

Это сайт презентаций, докладов, проектов, шаблонов в формате PowerPoint. Мы помогаем школьникам, студентам, учителям, преподавателям хранить и обмениваться учебными материалами с другими пользователями.

Для правообладателей

Яндекс.Метрика