top
Loading...
Asp的安全管理(8)
ASP 的安全配置工具

ASP 管理員應當對安全配置工具非常熟悉,因為要獲得系統中與安全相關的所有方面的信息,這是必不可少的。
這些工具應當使您非常容易地回答以下問題:“我的計算機安全嗎?”,或者“我的網絡安全嗎?”。這些工具應當允許對已定義的安全策略所包含的所有方面進行配置和分析,例如:
帳號策略。 設置或更改訪問策略,包括域或本地密碼策略、域或本地帳戶鎖定策略以及域 Kerberos 策略(在適用情況下)。
本地策略。 配置本地審核策略、用戶權限分配和各式各樣的安全選項,例如對軟盤、CD-ROM 等的控制。
受限制的組。 對內置的組以及要進行配置的任何其它特定組指定或更改組成員(如 Administrators、Server Operators、Backup Operators、Power Users 等)。這不應作為一般的成員管理工具來使用 — 只用來控制特定組(具有指定給他們的敏感功能)的成員。
系統服務。 配置安裝在系統上不同服務(包括網絡傳輸服務如 TCP/IP、NetBIOS、CIFS 文件共享、打印等)的安全性。如果不使用,則會停止 TCP/IP 之外的服務。有關詳細信息,請參見 http://www.microsoft.com/technet/
文件或文件夾共享。 配置文件系統和重定向器服務的設置。這包括訪問各種網絡文件共享時關閉匿名訪問以及啟用數據包簽名和安全性的選項。
系統注冊表。 設置或更改有關系統注冊表項的安全性。
系統存儲。 設置或更改本地系統文件卷和目錄樹的安全性。
準備。 為客戶和 ASP 準備一個安全的環境,以便安全地創建用戶、文件等。

這些工具還應當有助于監視安全策略中已定義的所有方面,例如:
帳號策略 — 密碼、鎖定以及 Kerberos 設置。
本地策略 — 審核、用戶權限和安全選項。(“安全選項”主要包括與安全相關的注冊表值。)
事件日志 — 系統、應用程序、安全和目錄服務日志的設置。
受限制的組 — 有關組成員的策略。
系統服務 — 系統服務的啟動模式和訪問控制。
注冊表 — 注冊表項的訪問控制。
文件系統 — 文件夾和文件的訪問控制。
物理訪問系統 — 對設備的訪問、卡式鑰匙的使用、閉環視頻等。

這些工具還應當可以分析組策略,一直下行至用戶級。可以使用其它工具來分析監視過程中收集到的全部數據。這些工具通常特別依賴于統計技術。
使用 Windows 2000 的 ASP 管理員可用“Windows 2000 安全配置工具集”的下列組件來配置上述部分或全部的安全方面。
“安全模板”管理單元。“安全模板”管理單元是獨立的 Microsoft 管理控制臺 (MMC) 管理單元,它可以創建基于文本的模板文件,該文件包含所有安全方面的安全設置。
“安全配置和分析”管理單元。“安全配置和分析”管理單元是獨立的 MMC 管理單元,它可以配置或分析 Windows 2000 操作系統的安全性。其操作基于使用“安全模板”管理單元創建的安全模板的內容。
Secedit.exe。Secedit.exe 是“安全配置和分析”管理單元的命令行版本。它可以使安全配置和分析在沒有圖形用戶界面 (GUI) 的情況下執行。
對組策略的安全設置擴展。“安全配置工具集”還包括一個對組策略編輯器的擴展管理單元,用來配置本地安全策略以及域或組織單元 (OU) 的安全策略。本地安全策略只包括上述“帳號策略”和“本地策略”的安全范圍。為域或 OU 定義的安全策略可包括所有的安全性范圍。
ASP 安全任務和方法介紹

創建網絡安全時,會用到許多策略、任務和方法。下面是對它們的簡要介紹。
安全通信和概念
介紹和解釋在 ASP 的策略規劃中針對風險的安全策略
提供安全概念和詞匯的背景材料,使讀者熟悉安全規劃
確定 ASP 網絡的安全風險。在安全規劃中將其列出并加以解釋
執行所有必要的安全措施(不要忘記物理方法)
嚴密監視安全性
審核、評估、改進和培訓所有的步驟和策略

定義訪問控制
確定 ASP 的組織目前如何使用組和建立組名稱的規范,以及如何使用組類型
介紹用于對 ASP 范圍內資源進行廣泛安全訪問的頂層安全組。它們可能是客戶通用組
介紹訪問控制策略,特別是關于如何以一致的方式使用安全組
確定創建新組的步驟以及由誰負責管理組成員
確定代表管理員控制特定任務的條件,介紹什么是客戶管理員的任務以及什么是 ASP 管理員的任務
規定 ASP 策略以保護管理員帳戶和管理控制臺
審核、評估、改進和培訓所有步驟及策略

遠程客戶或用戶訪問
描述支持客戶或用戶遠程訪問的 ASP 策略
建立一個規劃來傳遞遠程訪問步驟,包括連接方法
建立通過專用連接連接到客戶網絡的策略
審核、評估、改進和培訓所有步驟及策略

身份驗證訪問
確保對網絡資源的所有訪問都需要使用域帳戶進行身份驗證
確定用戶群(ASP 內部和客戶用戶)的哪一部分需要對交互式或遠程訪問登錄使用有效的身份驗證
如果需要有效的身份驗證,則確定部署公鑰安全以及(或)進行智能卡登錄的規劃
定義用戶帳戶的密碼長度、更改間隔以及復雜性要求
確定一個 ASP 策略來消除在任何網絡上純文本密碼的傳輸,并制定出支持一次性登錄或保護密碼傳輸的策略
審核、評估、改進和培訓所有步驟及策略

代碼簽名和軟件簽名
規定下載的代碼所需要的安全級別
部署內部的 ASP 步驟,對所有公開分發的內部開發軟件實施代碼簽名
審核、評估、改進和培訓所有步驟及策略

部署“安全應用程序”策略
建立測試規劃和單獨的測試環境 來確認 ASP 應用程序是否在適當配置的安全系統下正常運行
確定還需要什么樣的附加應用程序來加強安全功能以達到 ASP 的安全目標
進行適當的更改管理,包括在發布之前對更改的認可和安全驗證
審核、評估、改進和培訓所有步驟及策略

啟用數據保護
確定對敏感或保密客戶和內部信息進行識別和管理的 ASP 策略,并確定保護這些敏感數據的條件
確定存放敏感客戶(或內部)數據的 ASP 服務器,這些數據可能需要附加的數據保護以防止竊取
建立一個使用 IPSec 的部署規劃,以保護遠程訪問數據或訪問敏感的 ASP 數據服務器
審核、評估、改進和培訓所有步驟及策略

加密文件系統
介紹“數據恢復策略”,包括“恢復代理”的角色
介紹用來實施數據恢復過程并驗證該過程有效的步驟
審核、評估、改進和培訓所有步驟及策略

建立信任關系
介紹 ASP 域、域目錄樹和目錄林并明確規定它們之間的信任關系
確定對信任的客戶和廠商以及其它外部域的策略(信任其它域意味著也信任由該域的所有者確定的安全策略)
審核、評估、改進和培訓所有步驟及策略

設置統一的安全策略
使用安全模板的方法來介紹對不同的計算機類實施的安全級別
確定域范圍內的帳號策略并將這些策略和指導方針傳遞給客戶和用戶群
確定對網絡上不同類系統(例如桌面、文件和打印服務器、以及電子郵件服務器)的本地安全策略要求。確定對應于每個類別的組策略安全設置
確定這樣的應用程序服務器,在其中可用特定的安全模板來管理安全設置以及在整個組策略中考慮對它們的管理

北斗有巢氏 有巢氏北斗