本地安全策略8452905843.pptx

议题Windows2003安全策略监视和优化Windows系统性能Windows2003安全策略威胁和漏洞微软深度防御理念策略、规程物理安全性ACL、加密数据应用程序应用程序强化、防病毒操作系统强化、修补程序管理、身份验证、主机入侵检测主机网段、IPSec、网络入侵检测内部网络防火墙、VPN 隔离网络周边警卫、锁、跟踪设备风险管理、用户教育本地安全策略帐户策略本地策略软件限制策略IP 安全策略安全模板兼容 (compatws.inf) 默认安全设置 (Setup security.inf) 域控制器默认安全设置 (DC security.inf) 安全 (Secure*.inf) 高级安全 (hisec*.inf) 系统根目录安全 (Rootsec.inf) 无终端服务器用户 SID (Notssid.inf) 安全配置和分析安全配置数据库安全模板结果分析使用IPSEC加强系统安全性网络的世界Internet 的美妙之处在于你和每个人都互相连接Internet的可怕之处在于每个人都能和你互相连接1 导入为什么TCP/IP是不安全的？风险＝漏洞＋威胁漏洞：硬件漏洞，操作系统漏洞，应用程序漏洞，管理漏洞，威胁1）窃听 2）数据篡改 3）身份欺骗（IP地址欺骗） 4）盗用口令攻击（Password-Based Attacks） 5）拒绝服务攻击（Denial-of-Service Attack）6）中间人攻击（Man-in-the-Middle Attack） 7）盗取密钥攻击（Compromised-Key Attack） 8）Sniffer 攻击（Sniffer Attack） 9）应用层攻击（Application-Layer Attack） 2 IPSec概述什么是IPSecIPSec (Internet 协议安全)是一个工业标准网络安全协议，为 IP 网络通信提供透明的安全服务，保护 TCP/IP 通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性IPSec的作用1）保护IP数据包安全；2）为抵御网络攻击提供防护措施。IPSec的优点过滤每一个访问计算机的数据包，并可根据数据报的源IP地址、协议和端口进行过滤对应用程序完全透明，应用程序无需任何调整三种身份验证对数据包进行加密，以防止数据包在网络传输中被截取使用HASH算法保障数据包在传输过程中保持完整性确保每个IP数据包的唯一性3 IPSec的初步实现基本组件筛选器：过滤规则筛选器操作：允许，阻止，协商安全身份验证方法Kerberos V5 协议：适用于由 Windows 2000 或者 Windows Server?2003 域或者受信任的 Active Directory 域进行身份验证的计算机 证书：需要证书授权中心预共享密钥：预共享的密钥以明文方式存储，因此安全性较差4 IPSec的工作原理模式传输模式 transportation mode：是在计算机之间使用IPSec来实现安全；是一种端对端 end to end的保护；是IPSec的缺省模式隧道模式 tunnel mode：是在网络之间使用IPSec实现安全；是一种点到点 point to point的保护；隧道是对数据包重新封装的过程，它将原始数据包封装在新的数据包内部，从而改变数据包的寻址路径；通过新增IP包头的方法，将目的地址改变为隧道终点，对和隧道终点之间的传输设置加密等操作；通常，隧道终点即为安全性网关，也就是说此网关和目的主机之间的通信是安全的；其思想是先将数据包通过IPSec策略传送到安全性网关，再由安全性网关正常传送到目的主机。 4 IPSec的工作原理传输模式：当ESP在一台主机（客户机或服务器）上实现时使用，传送模式使用原始明文IP头，并且只加密数据，包括它的TCP和UDP头。隧道模式：当ESP在关联到多台主机的网络访问介入装置实现时使用，隧道模式处理整个IP数据包--包括全部TCP/IP或UDP/IP头和数据，它用自己的地址做为源地址加入到新的IP头。当隧道模式用在用户终端设置时，它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。 IP地址TCP/UDP端口数据包内容新IP地址新TCP/UDP端口原IP地址原TCP/UDP端口数据包内容4 IPSec的工作原理IPSec 协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议 Authentication Header（AH）封装安全载荷协议Encapsulating Security Payload（ESP）密钥管理协议Internet Key Exchange （IKE）IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密