《windows2003安全介绍.ppt》由会员分享,可在线阅读,更多相关《windows2003安全介绍.ppt(71页珍藏版)》请在三一办公上搜索。
1、Windows 2003安全介绍,什么网络操作系统Windows Server 2003 介绍Windows Server 2003 安全性Windows Server安全部署安全工具,提纲,什么是网络操作系统,网络操作系统(NOS)是网络的心脏和灵魂,是向网络计算机提供服务的特殊的操作系统。网络操作系统运行在称为服务器的计算机上,并由联网的计算机用户共享,这类用户称为客户。NOS与运行在工作站上的单用户操作系统或多用户操作系统由于提供的服务类型不同而有差别。NOS是以使网络相关特性达到最佳为目的的,如共享设备、数据文件、软件应用等。一般计算机的操作系统,其目的是让用户与系统及在此操作系统上运
2、行的各种应用之间的交互作用最佳。,NOS与用户操作系统的不同,为防止一次由一个以上的用户对文件进行访问,一般网络操作系统都具有文件或数据加锁功能。如果系统没有这种功能,用户将不会正常工作。文件加锁功能可跟踪使用中的每个文件,并确保一次只能一个用户对其进行编辑。文件也进行加密,以维持专用文件的专用性。NOS还负责管理网络用户和网络设备之间的连接。NOS总是跟踪每一个可供使用的设备,以及每个用户的请求,并对如何满足这些请求进行管理,使每个端用户感到进行操作的设备犹如与其计算机直接相连。最重要的一点,需要高效、可靠的网络通信能力,并提供提供多种网络服务功能和应用软件系统服务,其对性能的要求远小于对可
3、用性的要求。,网络操作系统的要求,1.NOS允许在不同的硬件平台上安装和使用,能够支持各种的网络协议和网络服务。2.提供必要的网络连接支持,能够连接两个不同的网络。3.提供多用户协同工作的支持,具有多种网络设置,管理的工具软件,能够方便的完成网络的管理。4.有很高的安全性,能够进行系统安全性保护和各类用户的存取权限控制。,提纲,Windows Server 2003,Windows Server 2003是微软的网络操作系统。最初叫作“Windows.NET Server”,后改成“Windows.NET Server 2003”,最终被改成“Windows Server 2003”,于200
4、3年3月28日发布,并在同年四月底上市。当.NET承接Windows 2000的成功进行大踏步前进时,比尔盖茨向微软所有参与.NET开发的所有程序员发出一封邮件,让大家停止开发,转而去思考如何解决服务器操作系统的安全问题这个决定使开发工作停滞了40天,也对最终的Server 2003的产生了巨大的影响。Windows 2000 的支持生命周期在2010年7月13日已结束,Windows Server 2003版本,Windows Server 2003 Web版用于构建和存放Web应用程序、网页和XMLWeb Services。它主要使用IIS6.0 Web服务器并提供快速开发和部署使用ASP
5、。NET技术的XML Web services和应用程序。支持双处理器,最低支持256MB的内存.它最高支持2GB的内存。Windows Server 2003 标准版销售目标是中小型企业,支持文件和打印机共享,提供安全的Internet连接,允许集中的应用程序部署。支持4个处理器;最低支持256MB的内存,最高支持4GB的内存。Windows Server 2003 企业版Windows Server 2003 企业版与 Windows Server 2003 标准版的主要区别在于:Windows Server 2003 企业版 支持高性能服务器,并且可以群集服务器,以便处理更大的负荷。通过
6、这些功能实现了可靠性,有助于确保系统即使在出现问题时仍可用。在一个系统或分区中最多支持八个处理器,八节点群集,最高支持32GB的内存。Windows Server 2003 数据中心版针对要求最高级别的可伸缩性、可用性和可靠性的大型企业或国家机构等而设计的。它是最强大的服务器操作系统。分为32位版与64位版:32位版支持32个处理器,支持8点集群;最低要求128MB内存,最高支持512GB的内存。64位版支持Itanium和Itanium2两种处理器,支持64个处理器与支持8点集群;最低支持1GB的内存,最高支持512GB的内存。,Windows Server 2003 R2,R2是Windo
7、ws Server 2003的改进版本,在2005年12月发售,但旧版的用户不能免费更新到新版本,而需要付费更新。不过,现时市面上所发售的都是R2。R2的属性除了包含Win2K3 SP1以外,还有另外一片CD,包含更多新的功能。R2的额外新功能 分支办事处服务器管理 文档和打印机集中管理工具 增强的分布式文件系统(DFS)命名空间管理界面,WIN 2003十大特点,1.便于部署、管理和使用 由于具有用户所熟悉的Windows界面,Windows Server 2003非常易于使用。精简的新向导简化了特定服务器角色的安装和例程服务器管理任务,从而使即便是没有专职管理员的服务器,管理起来也很简单2
8、.安全的基础结构 Windows Server 2003 使单位可以利用现有 IT 投资的优势,并通过部署关键功能将这些优势扩展。Active Directory 中的标识管理的范围跨越整个网络,从而帮助您确保整个企业的安全。3.企业级可靠性、可用性、可伸缩性和性能 通过一系列新功能和改进功能(包括内存镜像、热添加内存以及 Internet 信息服务 IIS 6.0 中的状态检测),可靠性和性能都得到了增强。4.增强和采用最新技术,降低了TCO Windows Server 2003 提供许多技术革新以帮助单位降低总体拥有成本(TCO)。,WIN 2003十大特点(续一),5.便于创建动态In
9、tranet和Internet Web站点 IIS 6.0 是 Windows Server 2003 中包含的 Web 服务器,它提供增强的安全性和可靠的结构(该结构独立于其他应用程序,并极大地提高了性能)。6.用 Integrated Application Server 加快开发速度 Windows Server 2003是完全基于Microsoft.NET架构的操作系统,具有.NET跨平台、易操作的各种特性。7.便于查找、共享和重新利用 XML Web 服务 Windows Server 2003包含了名为企业通用描述、发现与集成的服务。IT管理人员可以分类和管理网络中的编程资源。企业
10、UDDI服务也帮助企业建立更智能,更可靠的应用。,WIN 2003十大特点(续二),8.稳定的管理工具 新的组策略管理控制台(GPMC)预计可作为外接组件使用,它使管理员可以更好地部署并管理那些自动调整关键配置区域(如用户的桌面、设置、安全和漫游配置文件)的策略。9.降低支持成本,增强用户功能 由于有了新的影像复制功能,网络用户可立即检索到误修改或删除的文件。分布式文件系统(DFS)和文件复制服务(FRS)的增强为用户提供一种一致的方法,使他们无论身在何处都能访问其文件。10.利用全球伙伴和认证专业人士网的专家知识 单位将获得全球范围内的广泛的解决方案和专门技术,其中包括 750,000 家提
11、供硬件、软件和服务的合作伙伴以及 450,000 名 Microsoft 认证专家(MCP)。,WIN 2003十大新功能,1.Active Directory 改进 在 Windows 2000 引入的 Microsoft Active Directory服务简化了复杂网络目录的管理,并使用户即使在最大的网络上也能够很容易地查找资源。2.组策略管理控制台 管理员可以使用组策略定义设置以及允许用户和计算机执行的操作。与本地策略相比,单位可以使用组策略在Active Directory 中设置应用于指定站点、域或组织单位的策略。3.策略结果集 策略结果集(RSoP)工具允许管理员查看目标用户或计
12、算机上的组策略效果,能够使用强大灵活的基本工具来计划、监控组策略和解决组策略问题。,WIN 2003十大新功能(续一),4.卷影像复制恢复 作为卷影像复制服务的一部分,此功能使管理员能够在不中断服务的情况下配置关键数据卷的即时点副本。用户可以检索他们文档的存档版本5.Internet Information Services 6.0 Internet Information Services(IIS)6.0是启用了Web应用程序和 XML Web服务的全功能的 Web 服务器。IIS 6.0是全新设计的,它将单个的 Web应用程序或多个站点分隔到一个独立的进程(称为应用程序池)中,提高了系统可
13、靠性。,WIN 2003十大新功能(续二),6.集成的.NET 框架 Microsoft.NET 框架是用于生成、部署和运行Web应用程序、智能客户应用程序和XML Web服务的 Microsoft.NET连接的软件和技术的编程模型,.NET框架为将现有的投资与新一代应用程序和服务集成起来而提供了高效率的基于标准的环境7.命令行管理 Windows Server 2003通过使用Windows管理规范(WMI)启用的信息存储来执行大多数任务的功能。与现有的外壳程序和实用工具命令交互操作,并可以很容易地被脚本或其他面向管理的应用程序扩展8.群集(8 节点支持)此服务仅用于Windows Serv
14、er 2003企业版和Windows Server 2003 Datacenter版,它为任务关键型应用程序(例如数据库、消息系统以及文件和打印服务)提供高可用性和伸缩性。,WIN 2003十大新功能(续三),9.安全的无线 LAN(802.1X)Windows Server 2003系列对 802.1X提供了更好更安全的支持,能确保所有物理访问都是已授权和加密的。使用基于802.1X的无线访问点或选项,公司可以确保只有受信任的系统才能与受保护的网络连接并交换数据包。10.紧急管理服务:无外设服务器支持“无外设服务器”功能使 IT 管理员在没有监视器、VGA 显示适配器、键盘或鼠标的情况下也能
15、安装和管理计算机。紧急管理服务是一种新增功能,它使 IT 管理员在无法使用服务器时通过网络或其他标准的远程管理工具和机制,执行远程管理和系统恢复任务。,提纲,操作系统安全定义,信息安全的五类服务,作为安全的操作系统时必须提供的 有些操作系统所提供的服务是不健全的、默认关闭的,信息安全评估标准,ITSEC和TCSECTCSEC描述的系统安全级别D-ACC(Common Critical)标准BS 7799:2000标准体系ISO 17799标准,TCSEC安全等级,基于C2级标准的安全组件,灵活的访问控制-要求允许对象的属主能够完全控制谁可以访问这个对象及拥有什么样的访问权限。对象再利用-Win
16、dows 很明确地阻止所有的应用程序访问被另一应用程序占用的资源(比如内存或磁盘)。强制登陆-Windows 用户在能访问任何资源前必须通过登陆来验证他们的身份。因此,缺乏这种强制登陆的NT要想达到C2级标准就必须禁止网络功能。审计-因为Windows 采用单独地机制来控制对任何资源的访问,所以这种机制可以集中地记录下所有的访问活动。控制对象的访问-Windows 不允许直接访问系统里的资源。,Windows系统漏洞导致的损失,2004年,Mydoom所造成的经济损失已经达到261亿美元。2005年,Nimda电脑病毒在全球各地侵袭了830万部电脑,总共造成5亿9000万美元的损失。2006年
17、,美国联邦调查局公布报告估计:“僵尸网络”、蠕虫、特洛伊木马等电脑病毒给美国机构每年造成的损失达119亿美元。,服务管理器,服务进程,系统支持进程,本地安全验证服务,Windows登录,会话管理器,应用程序,环境子系统,Svchost.exe,Winmgmt.exe,Spooler,Services.exe,任务管理器,Windows浏览器,用户级应用程序,子系统动态链接库,OS/2,POSIX,Win32,系统服务调度进程,核心可调用接口,I/O设备管理器设备、文件驱动程序,对象管理器,虚拟内存管理器,进程和线程管理器,注册表配置管理器,NTdll,dll,Win32UserGDI图形驱动,
18、HAL(硬件抽象层),Micro kernel,安全引用监视器,Windows NT系统构架,进程和线程,什么是进程?代表了运行程序的一个实例每一个进程有一个私有的内存地址空间什么是线程?进程内的一个执行上下文进程内的所有线程共享相同的进程地址空间每一个进程启动时带有一个主线程运行程序的“主”函数可以在同一个进程中创建其他的线程可以创建额外的进程,系统进程,基本的系统进程System Idle Process 这个进程是作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间smss.exe 会话管理子系统,负责启动用户会话csrss.exe 子系统服务器进程winlogon
19、.exe 管理用户登录services.exe 包含很多系统服务lsass.exe 本地安全身份验证服务器 svchost.exe 包含很多系统服务spoolsv.exe 将文件加载到内存中以便迟后打印explorer.exe 资源管理器internat.exe 托盘区的拼音图标,系统进程树,smss.exe对话管理器第一个创建的进程引入参数HKLMSystemCurrentControlSetControlSession Manager装入所需的子系统(csrss),然后winlogoncsrss.exeWin32 子系统winlogon.exe登录进程装入services.exe 和 ls
20、ass.exe 显示登录对话框(“键入CTRL+ALT+DEL,登录)当有人登入,运行HKLMSoftwareMicrosoftWindows NTWinLogonUserinit中的进程(通常只是userinit.exe)services.exe 服务控制器也是几项服务的出发点服务的开始进程不是services.exe的一部分(由 HKLMSystemCurrentControlSetServices驱动)lsass.exe本地安全验证服务器(打开SAM)userinit.exe登陆之后启动启动外壳(通常是Explorer.exe HKLMSoftwareMicrosoftWindowsNT
21、CurrentVersionWinLogonShell)装入配置文件,恢复驱动器标识符映象,退出explorer.exe和它的子进程是所有交互式应用的创建者,附加的系统进程,mstask.exe 允许程序在指定时间运行。(系统服务)regsvc.exe 允许远程注册表操作。(系统服务)winmgmt.exe 提供系统管理信息(系统服务)。inetinfo.exe 通过Internet 信息服务的管理单元提供信息服务连接和管理。(系统服务)tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台。(系统服务)dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)
22、。,Windows系统的安全架构,Windows NT系统内置支持用户认证、访问 控制、管理、审核。,Windows系统的安全组件,访问控制的判断(Discretion access control)允许对象所有者可以控制谁被允许访问该对象以及访问的方式。对象重用(Object reuse)当资源(内存、磁盘等)被某应用访问时,Windows 禁止所有的系统应用访问该资源,这也就是为什么无法恢复已经被删除的文件的原因。强制登陆(Mandatory log on)要求所有的用户必须登陆,通过认证后才可以访问资源审核(Auditing)在控制用户访问资源的同时,也可以对这些访问作了相应的记录。对象
23、的访问控制(Control of access to object)不允许直接访问系统的某些资源。必须是该资源允许被访问,然后是用户或应用通过第一次认证后再访问。,安全子系统的组件(1),安全标识符(Security Identifiers):就是我们经常说的SID,每次当我们创建一个用户或一个组的时候,系统会分配给改用户或组一个唯一SID,当你重新安装系统后,也会得到一个唯一的SID。SID永远都是唯一的,由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。例:S-1-5-21-1763234323-3212657521-1234321321-500访问令
24、牌(Access tokens):用户通过验证后,登陆进程会给用户一个访问令牌,该令牌相当于用户访问系统资源的票证,当用户试图访问系统资源时,将访问令牌提供给Windows 系统,然后Windows NT检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象,系统将会分配给用户适当的访问权限。访问令牌是用户在通过验证的时候有登陆进程所提供的,所以改变用户的权限需要注销后重新登陆,重新获取访问令牌。,安全子系统的组件(2),安全描述符(Security descriptors):Windows 系统中的任何对象的属性都有安全描述符这部分。它保存对象的安全配置。访问控制列表(Access
25、control lists):访问控制列表有两种:任意访问控制列表(Discretionary ACL)、系统访问控制列表(System ACL)。任意访问控制列表包含了用户和组的列表,以及相应的权限,允许或拒绝。每一个用户或组在任意访问控制列表中都有特殊的权限。而系统访问控制列表是为审核服务的,包含了对象被访问的时间。访问控制项(Access control entries):访问控制项(ACE)包含了用户或组的SID以及对象的权限。访问控制项有两种:允许访问和拒绝访问。拒绝访问的级别高于允许访问。,安全子系统(1),安全子系统包括以下部分:WinlogonGraphical Identif
26、ication and Authentication DLL(GINA)Local Security Authority(LSA)Security Support Provider Interface(SSPI)Authentication PackagesSecurity support providersNetlogon ServiceSecurity Account Manager(SAM),安全子系统(2),Winlogon,加载GINA,监视认证顺序,加载认证包,支持额外的验证机制,为认证建立安全通道,提供登陆接口,提供真正的用户校验,管理用户和用户证书的数据库,安全子系统(3),W
27、inlogon and Gina:Winlogon调用GINA DLL,并监视安全认证序列。而GINA DLL提供一个交互式的界面为用户登陆提供认证请求。GINA DLL被设计成一个独立的模块,当然我们也可以用一个更加强有力的认证方式(指纹、视网膜)替换内置的GINA DLL。Winlogon在注册表中查找HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon,如果存在GinaDLL键,Winlogon将使用这个DLL,如果不存在该键,Winlogon将使用默认值MSGINA.DLL,安全子系统(4),本地安全认证(Local Securit
28、y Authority):本地安全认证(LSA)是一个被保护的子系统,它负责以下任务:调用所有的认证包,检查在注册表HKLMSYSTEMCurrentControlSetControlLSA下AuthenticationPAckages下的值,并调用该DLL进行认证(MSV_1.DLL)。在4.0版里,Windows NT会寻找HKLMSYSTEMCurrentControlSetControlLSA 下所有存在的SecurityPackages值并调用。重新找回本地组的SIDs和用户的权限。创建用户的访问令牌。管理本地安装的服务所使用的服务账号。储存和映射用户权限。管理审核的策略和设置。管理
29、信任关系。,安全子系统(5),安全支持提供者的接口(Security Support Provide Interface):微软的Security Support Provide Interface很简单地遵循RFC 2743和RFC 2744的定义,提供一些安全服务的API,为应用程序和服务提供请求安全的认证连接的方法。所有通过API调用进行。认证包(Authentication Package):认证包可以为真实用户提供认证。通过GINA DLL的可信认证后,认证包返回用户的SIDs给LSA,然后将其放在用户的访问令牌中。,安全子系统(6),安全支持提供者(Security Support
30、 Provider):安全支持提供者是以驱动的形式安装的,能够实现一些附加的安全机制,默认情况下,Windows NT安装了以下三种:Msnsspc.dll:微软网络挑战/反应认证模块Msapsspc.dll:分布式密码认证挑战/反应模块,该模块也可以在微软网络中使用Schannel.dll:该认证模块使用某些证书颁发机构提供的证书来进行验证,常见的证书机构比如Verisign。这种认证方式经常在使用SSL(Secure Sockets Layer)和PCT(Private Communication Technology)协议通信的时候用到。,安全子系统(7),网络登陆(Netlogon):
31、网络登陆服务必须在通过认证后建立一个安全的通道。要实现这个目标,必须通过安全通道与域中的域控制器建立连接,然后,再通过安全的通道传递用户的口令,在域的域控制器上响应请求后,重新取回用户的SIDs和用户权限。安全账号管理者(Security Account Manager):安全账号管理者,也就是我们经常所说的SAM,它是用来保存用户账号和口令的数据库。保存了注册表中HKLMSecuritySam中的一部分内容。不同的域有不同的Sam,在域复制的过程中,Sam包将会被拷贝。,用户登录认证过程,提纲,身 份 认 证,安全配置程序,数据的安全,EFS,IPSec,SSL/TLS,Kerberos,证
32、书服务,智能卡,安全模板,组策略,安全分析,安全策略,NTLM,安全管理与维护,保护注册表,用户管理,漏洞与补丁,数据备份,Win2003基本安全注意事项,访问控制,TCP/IP,权限控制,组权限,IP安全策略,Windows安全配置流程,Win2003安装配置,建立和选择分区:NTFS选择安装目录不安装多余的组件停止多余的服务安装系统补丁,多余的组件,Internt信息服务(IIS)(如不需要)索引服务Indexing Service消息队列服务(MSMQ)远程安装服务远程存储服务终端服务终端服务授权,Win2K3服务,用户身份验证,交互式登录使用域帐号使用本地计算机帐户网络身份验证NTLM
33、验证Kerberos V5安全套接字层/传输层安全(SSL/TLS),访问控制,NTFS与FAT分区文件属性文件权限用户权限权限控制原则网络访问控制,NTFS与FAT分区权限,FAT32,NTFS,文件权限,用户权限,Administrators 组Users 组Power Users 组Backup Operators组,权限控制原则和特点,权限是累计的用户对资源的有效权限是分配给该个人用户帐户和用户所属的组的所有权限的总和。拒绝的权限要比允许的权限高拒绝权限可以覆盖所有其他的权限。甚至作为一个组的成员有权访问文件夹或文件,但是该组被拒绝访问,那么该用户本来具有的所有权限都会被锁定而导致无法
34、访问该文件夹或文件。文件权限比文件夹权限高利用用户组来进行权限控制权限的最小化原则,网络访问控制,注意:不推荐使用TCP/IP筛选里的端口过滤功能。譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。,利用IP安全策略实现访问控制,设置IPSec策略,禁
35、止Ping。,EFS加密文件系统简介,EFS(Encrypted File System,加密文件系统)是Windows NT 5.0之后所特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接被操作系统加密保存,在很大程度上提高了数据的安全性。采用单一密钥技术核心文件加密技术仅用于NTFS,使用户在本地计算机上安全存储数据加密用户使用透明,其他用户被拒绝不能加密压缩的和系统文件,加密后不能被共享、能被删除建议加密文件夹,不要加密单独的文件,EFS恢复代理,故障恢复代理就是获得授权解密由其他用户加密的数据的管理员必须进行数据恢复时,恢复代理可以从安全的存储位置获得数据恢复证书导入系统。默
36、认的超级管理员就是恢复代理使用条件:当加密密钥丢失,本地安全策略-帐号策略,账户策略-密码策略中设定:密码复杂性要求 启用密码长度最小值 6位强制密码历史 5次最长存留期 30天账户策略-账户锁定策略中设定:账户锁定 3次错误登录锁定时间 20分钟复位锁定计数 20分钟,本地安全策略-本地策略,审核策略:决定记录在计算机(成功/失败的尝试)的安全日志上的安全事件。用户权利分配:决定在计算机上有登录/任务特权的用户或组。安全选项:启用或禁用计算机的安全设置,例如数据的数字信号、administrator 和guest的帐号名、软驱和光盘的访问、驱动程序的安装以及登录提示。,安全模板与配置分析工具
37、,安全模板安全配置分析配置计算机,预定义安全模板,默认工作站(basicwk.inf)默认服务器(basicsv.inf)默认域控制器(basicdc.inf)兼容工作站或服务器(compatws.inf)安全工作站或服务器(securews.inf)高度安全工作站或服务器(hisecws.inf)专用域控制器(dedicadc.inf)安全域控制器(securedc.inf)高度安全域控制器(hisecdc.inf),用户管理,更改超级管理名称取消guest帐号合理分配其它用户权限,注册表安全设置举例,不显示上次登录的用户名HKLMSoftwareMicrosoftWindows NTCur
38、rentVersionsWindlogon将DontDisplayLastUserName的值设为1禁止默认网络共享服务器:Key:HKLMSYSTEMCurrentControlSetServiceslanmanserverparametersName:AutoShareServerType:DWORDValue:0工作站:Key:HKLMSYSTEMCurrentControlSetServiceslanmanserverparametersName:AutoShareWksType:DWORDValue:0禁止枚举域内用户Key:HKLMSYSTEMCurrentControlSetCo
39、ntrolLsaName:RestrictAnonymousType:REG_DWORDValue:1|2,备份和还原数据,将文件备份到文件或磁带备份“系统状态”数据使用备份向导备份文件计划备份将文件备份到Microsoft Exchange,系统漏洞及修复,输入法漏洞空会话漏洞unicode漏洞.ida/.idq缓冲区溢出漏洞.print isapi扩展远程缓冲区溢出Frontpage 服务器扩展漏洞sqlserver 空口令Windows接口远程缓冲区漏洞,提纲,一致的结果,扩展的产品支持Microsoft Update(MU)“Hosted”更新服务版本基于Web的用户解决方案Windo
40、ws Server Update Services(WSUS)其它所有更新产品和工具的基础微软平台的更新管理解决方案Microsoft Baseline Security Analyzer(MBSA)2.0不需要服务器的安全扫描工具Systems Management Server 2003Inventory Tool for Microsoft Updates,微软安全更新管理之今天,Microsoft Update(MU),微软在线更新服务():识别缺少的Windows、Office、Exchange和SQL更新生成缺失更新的目标清单安装用户选择的所缺更新提供更新安装历史使用自动更新能够自
41、动下载微软更新的内容支持的产品不断增加Windows Update目录站点提供:全面的所有Windows系统和“Designed for Windows”设备驱动更新 driver updates 搜索 寻找所需的更新人工下载所需的更新下载历史,*Windows 2000+,Office XP+,Exchange 2000+,SQL 2000 SP4+Note:also updates 64-bit editions of Windows Server,识别,新更新,部署,安全检查工具,MBSA 的特色,MBSA.exe 图形化接口MBSAcli.exe 命令列界面MBSAcli.exe/hf HFNetChk风格可同时扫描一部或多部计算机执行 MBSA 的账户必须是 Administrators 群组成员Mbsacli.exe-r 192.168.0.1-192.168.0.10XML 格式的安全性基准的报告储存于%userprofile%的 SecurityScans 中Free downloadhttp:/,安全更新检查结果,安全总结,安全从头开始:安装时候使用NTFS分区格式减小攻击面:禁止不必要的服务和增强网络连接安全性、仅安装必要的组件应用安全补丁 设定适度的用户策略安装防病毒软件 使用漏洞扫描程序 使用最少特权策略 限制未授权的应用程序,71,谢谢!,
