网络终端计算机安全管理培训.ppt

资源描述

终端安全运行讲义版本信息版本号 1 0 0更新时间 2008 10 28编者信息房仲阳中国移动辽宁公司网络部电话 13889888988 2208邮箱 fangzhongyang 培训要求该课程主要介绍网络与信息安全基础知识培训对象面向管理层安全管理人员安全技术人员系统维护人员及普通员工共5类人员培训时间 3小时左右培训侧重点本教材针对5类人员的培训内容并无差别课程目的了解windows系统的设计原理了解终端系统的安全特性能够对终端系统进行安全配置授课方式讲解演示目录终端安全概述终端系统安全性终端体系构架终端安全威胁终端安全配置终端安全检查终端安全加固终端用户安全职责终端接入要求终端标准化的意见和操作建议终端的定义及分类什么是终端终端即计算机显示终端是计算机系统的输入输出设备计算机显示终端伴随主机时代的集中处理模式而产生并随着计算技术的发展而不断发展迄今为止计算技术经历了主机时代 PC时代和网络计算时代这三个发展时期终端与计算技术发展的三个阶段相适应应用也经历了字符哑终端图形终端和网络终端这三个形态终端的定义及分类终端的分类终端的分类目前常见的客户端设备分为两类一类是胖客户端一类是瘦客户端那么把以PC为代表的基于开放性工业标准架构功能比较强大的设备叫做胖客户端其他归入瘦客户端瘦客户机产业的空间和规模也很大不会亚于PC现在的规模终端的定义及分类技术层面数据处理模式将从分散走向集中用户界面将更加人性化可管理性和安全性也将大大提升同时通信和信息处理方式也将全面实现网络化并可实现前所未有的系统扩展能力和跨平台能力终端的定义及分类应用形态网络终端设备将不局限在传统的桌面应用环境随着连接方式的多样化它既可以作为桌面设备使用也能够以移动和便携方式使用终端设备会有多样化的产品形态此外随着跨平台能力的扩展为了满足不同系统应用的需要网络终端设备也将以众多的面孔出现 Unix终端 Windows终端 Linux终端 Web终端 Java终端等等终端的定义及分类应用领域字符哑终端和图形终端时代的终端设备只能用于窗口服务行业和柜台业务的局面将一去不复返网上银行网上证券银行低柜业务等非柜台业务将广泛采用网络终端设备同时网络终端设备的应用领域还将会迅速拓展至电信电力税务教育以及政府等新兴的非金融行业终端的定义及分类终端安全的重要性 1 首先对于一个网络来说80 以上的安全事件来自于终端 2 其次在企业内部至少有90 的员工需要每天使用终端计算机 3 最后终端使用者的水平参差不齐透过现象看本质本章回顾什么是终端终端安全在网络安全的地位终端所面临的风险目录终端安全概述终端系统安全性终端体系构架终端安全威胁终端安全配置终端安全检查终端安全加固终端用户安全职责终端接入要求终端标准化的意见和操作建议 TCSEC安全等级基于C2级标准的安全组件灵活的访问控制要求允许对象的属主能够完全控制谁可以访问这个对象及拥有什么样的访问权限对象再利用 Windows很明确地阻止所有的应用程序访问被另一应用程序占用的资源比如内存或磁盘强制登陆 Windows用户在能访问任何资源前必须通过登陆来验证他们的身份因此缺乏这种强制登陆的NT要想达到C2级标准就必须禁止网络功能审计因为Windows采用单独地机制来控制对任何资源的访问所以这种机制可以集中地记录下所有的访问活动控制对象的访问 Windows不允许直接访问系统里的资源系统漏洞导致的损失 2004年 Mydoom所造成的经济损失已经达到261亿美元 2005年 Nimda电脑病毒在全球各地侵袭了830万部电脑总共造成5亿9000万美元的损失 2006年美国联邦调查局公布报告估计僵尸网络蠕虫特洛伊木马等电脑病毒给美国机构每年造成的损失达119亿美元 2007年熊猫烧香造成巨大损失 2008年磁碟机造成熊猫烧香10倍损失本章回顾系统安全等级划分的几大标准windowsXP windows2003所处的安全等级目录终端安全概述终端系统安全性终端体系构架终端安全威胁终端安全配置终端安全检查终端安全加固终端用户安全职责终端接入要求终端标准化的意见和操作建议 Windows系统构架仅以NT示意 XPVISTA 服务管理器服务进程系统支持进程本地安全验证服务 Windows登录会话管理器应用程序环境子系统 Svchost exe Winmgmt exe Spooler Services exe 任务管理器 Windows浏览器用户级应用程序子系统动态链接库 OS 2 POSIX Win32 系统服务调度进程核心可调用接口 I O设备管理器设备文件驱动程序对象管理器虚拟内存管理器进程和线程管理器注册表配置管理器 NTdll dll Win32UserGDI图形驱动 HAL 硬件抽象层 Microkernel 安全引用监视器进程和线程什么是进程代表了运行程序的一个实例每一个进程有一个私有的内存地址空间什么是线程进程内的一个执行上下文进程内的所有线程共享相同的进程地址空间每一个进程启动时带有一个主线程运行程序的主函数可以在同一个进程中创建其他的线程可以创建额外的进程系统进程基本的系统进程SystemIdleProcess这个进程是作为单线程运行在每个处理器上并在系统不处理其他线程的时候分派处理器的时间smss exe会话管理子系统负责启动用户会话csrss exe子系统服务器进程winlogon exe管理用户登录services exe包含很多系统服务lsass exe本地安全身份验证服务器svchost exe包含很多系统服务SPOOLSV EXE将文件加载到内存中以便迟后打印系统服务 explorer exe资源管理器internat exe托盘区的拼音图标附加的系统进程 mstask exe允许程序在指定时间运行系统服务 regsvc exe允许远程注册表操作系统服务 winmgmt exe提供系统管理信息系统服务 inetinfo exe通过Internet信息服务的管理单元提供信息服务连接和管理系统服务 tlntsvr exe允许远程用户登录到系统并且使用命令行运行控制台系统服务 dns exe应答对域名系统 DNS 名称的查询和更新请求系统服务系统进程树安全的元素安全标识符SID 综合计算机名字当前时间以及处理当前用户模式线程所花费CPU的时间所建立起来的一个SID S 1 5 163499331 18283675290 12989372637 500访问令牌访问令牌是由用户的SID 用户所属于组的SID 用户名用户所在组的组名构成的安全描述符安全描述符是由对象属主的SID 组SID 灵活访问控制列表以及计算机访问控制列表访问控制列表包括DACL和SACL 灵活访问控制列表里记录用户和组以及它们的相关权限系统访问控制列表包含为对象审计的事件安全的元素安全标识符SID 综合计算机名字当前时间以及处理当前用户模式线程所花费CPU的时间所建立起来的一个SID S 1 5 163499331 18283675290 12989372637 500访问令牌访问令牌是由用户的SID 用户所属于组的SID 用户名用户所在组的组名构成的安全描述符安全描述符是由对象属主的SID 组SID 灵活访问控制列表以及计算机访问控制列表访问控制列表包括DACL和SACL 灵活访问控制列表里记录用户和组以及它们的相关权限系统访问控制列表包含为对象审计的事件 S表示该字符串是SID SID的版本号对于win2k来说是1 标志符的颁发机构对于win2k的帐户颁发机构就是NT 值是5 表示一系列的子颁发机构最后一个标志着域内的帐户和组 windowsNT安全模型 Logonprocess SAM UserAccountDatabase SecurityPolicyDatabase LSA Auditlog Win32subsystem SecurityReferenceMonitor Usermode Kernelmode Securitypolicy Auditmessage Win32application windowsNT安全模型 Logonprocess SAM UserAccountDatabase SecurityPolicyDatabase LSA Auditlog Win32subsystem SecurityReferenceMonitor Usermode Kernelmode Securitypolicy Auditmessage Win32application 使用户登陆生效生成安全访问令牌管理本地安全策略记录SRM审核消息产生的事件日志负责SAM数据库的控制与维护防止大部分用户和进程对对象的直接访问根据本地安全策略的审核策略生成审核信息用户登录认证过程本章回顾什么是线程什么是进程什么是进程树目录终端安全概述终端系统安全性终端体系构架终端安全威胁终端安全配置终端安全检查终端安全加固终端用户安全职责终端接入要求终端标准化的意见和操作建议终端安全关注点终端免疫终端安全管控 IT支持资产滥用终端运行监控外设硬件滥用软件安装管理 IP管理记录表网络管理备忘表桌面合规管理 AV A Other A SPY A Phishing 恶意代码终端管理的一些必要手段和措施终端免疫终端安全管控 IT支持资产管理软件分发终端运行监控外设管理软件安装管理远程维护 IP管理网络管理桌面合规管理 AV A Other A SPY A Phishing 恶意代码查杀内网安全的规划内网合规抵御入侵能力防泄密能力防病毒能力防非法接入能力审计能力补丁更新能力IP MAC 用户绑定能力内网合规实践基于策略的访问控制基于网络行为的攻击防护ARP欺骗主动防御分布式流量管理安全状态检测及自动修复资产管理外设管理进程管理IP管理补丁分发软件分发HOD远程按需支援移动存储设备认证文件透明加密与授权文件授权共享文件操作审计文件打印审计上网行为审计移动存储审计异常路由审计Windows登录审计网络准入控制802 1x接入层EOU汇聚层应用准入控制DNS Web Proxy EmailWindows LinuxServer网管及准入控制客户端准入控制五维化终端合规管理模型打造安全可信的合规内网本章回顾终端威胁的类别抵御威胁的手段什么是内网合规目录终端安全概述终端系统安全性终端体系构架终端安全威胁终端安全配置终端安全检查终端安全加固终端用户安全职责终端接入要求终端标准化的意见和操作建议安全管理与安全维护用户管理保护注册表数据备份漏洞与补丁安全配置程序安全分析组策略安全模板安全策略数据安全 IPSEC EFS 访问控制 TCP IP 组策略权限控制身份认证证书服务 Kerberos 智能卡 NTLM SSL TLS Win2000基本安全注意事项 Win2000安装配置建立和选择分区选择安装目录不安装多余的组件停止多余的服务安装系统补丁多余的组件 Internt信息服务 IIS 如不需要索引服务IndexingService消息队列服务 MSMQ 远程安装服务远程存储服务终端服务终端服务授权关闭不必要的服务 ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行Messenger传输客户端和服务器之间的NETSEND和警报器服务消息DistributedFileSystem 局域网管理共享文件不需要禁用Distributedlinktrackingclient 用于局域网更新连接信息不需要禁用Errorreportingservice 禁止发送错误报告MicrosoftSerch 提供快速的单词搜索不需要可禁用NTLMSecuritysupportprovide telnet服务和MicrosoftSerch用的不需要禁用PrintSpooler 如果没有打印机可禁用RemoteRegistry 禁止远程修改注册表RemoteDesktopHelpSessionManager 禁止远程协助Workstation关闭的话远程NET命令列不出用户组安全管理与安全维护用户管理保护注册表数据备份漏洞与补丁安全配置程序安全分析组策略安全模板安全策略数据安全 IPSEC EFS 访问控制 TCP IP 组策略权限控制身份认证证书服务 Kerberos 智能卡 NTLM SSL TLS Win2000基本安全注意事项用户身份验证交互式登录使用域帐号使用本地计算机帐户网络身份验证NTLM验证KerberosV5安全套接字层传输层安全 SSL TLS SYSKEY 从NT4ServicePack3开始 Microsoft提供了对SAM散列进行进一步加密的方法称为SYSKEY SYSKEY是SystemKEY的缩写它生成一个随机的128位密钥对散列再次进行加密不是对SAM文件加密而是对散列 SYSKEY 练习利用Syskey对系统中的帐号密码文件加密设定系统的启动密码安全管理与安全维护用户管理保护注册表数据备份漏洞与补丁安全配置程序安全分析组策略安全模板安全策略数据安全 IPSEC EFS 访问控制 TCP IP 组策略权限控制身份认证证书服务 Kerberos 智能卡 NTLM SSL TLS Win2000基本安全注意事项访问控制 NTFS与FAT分区文件属性文件权限用户权限权限控制原则网络访问控制 NTFS与FAT分区权限 FAT32 NTFS 用户权限 Administrators组Users组PowerUsers组BackupOperators组权限控制原则和特点 1 权限是累计用户对资源的有效权限是分配给该个人用户帐户和用户所属的组的所有权限的总和 2 拒绝的权限要比允许的权限高拒绝权限可以覆盖所有其他的权限甚至作为一个组的成员有权访问文件夹或文件但是该组被拒绝访问那么该用户本来具有的所有权限都会被锁定而导致无法访问该文件夹或文件有一个文件叫FILE USER1用户属于GROUP1组USER1 读取权限 FILEFILE GROUP1 拒绝拒绝访问那么USER1对FILE的权限将不再是读取写入而是无法访问文件FILE 权限控制原则和特点 3 文件权限比文件夹权限高例如如果我对文件夹设置了拒绝写入但是对文件夹里的文件设置为允许写入我就可以对此文件有写入权限 4 利用用户组来进行权限控制不同的用户组具有不同的权限可以把不同的用户划分到不同的组里 5 权限的最小化原则只给用户真正需要的权限权限控制原则和特点网络访问控制利用IP安全策略实现访问控制设置IPSec策略禁止Ping 设置IPsec策略关闭135 445端口安全管理与安全维护用户管理保护注册表数据备份漏洞与补丁安全配置程序安全分析组策略安全模板安全策略数据安全 IPSEC EFS 访问控制 TCP IP 组策略权限控制身份认证证书服务 Kerberos 智能卡 NTLM SSL TLS Win2000基本安全注意事项 EFS加密文件系统特性 1 采用单一密钥技术2 核心文件加密技术仅用于NTFS 使用户在本地计算机上安全存储数据3 加密用户使用透明其他用户被拒4 不能加密压缩的和系统文件加密后不能被共享能被删除建议加密文件夹不要加密单独的文件 EFS恢复代理故障恢复代理就是获得授权解密由其他用户加密的数据的管理员必须进行数据恢复时恢复代理可以从安全的存储位置获得数据恢复证书导入系统默认的超级管理员就是恢复代理使用条件当加密密钥丢失练习用EFS加密一个文件安全管理与安全维护用户管理保护注册表数据备份漏洞与补丁安全配置程序安全分析组策略安全模板安全策略数据安全 IPSEC EFS 访问控制 TCP IP 组策略权限控制身份认证证书服务 Kerberos 智能卡 NTLM SSL TLS Win2000基本安全注意事项本地安全策略帐号策略在账户策略密码策略中设定密码复杂性要求启用密码长度最小值6位强制密码历史5次最长存留期30天在账户策略账户锁定策略中设定账户锁定3次错误登录锁定时间20分钟复位锁定计数20分钟本地安全策略本地策略审核策略决定记录在计算机成功失败的尝试的安全日志上的安全事件用户权利分配决定在计算机上有登录任务特权的用户或组安全选项启用或禁用计算机的安全设置例如数据的数字信号 administrator和guest的帐号名软驱和光盘的访问驱动程序的安装以及登录提示安全管理与安全维护用户管理保护注册表数据备份漏洞与补丁安全配置程序安全分析组策略安全模板安全策略数据安全 IPSEC EFS 访问控制 TCP IP 组策略权限控制身份认证证书服务 Kerberos 智能卡 NTLM SSL TLS Win2000基本安全注意事项用户管理更改超级管理名称取消guest帐号合理分配其它用户权限注册表安全设置禁止默认网络共享禁止枚举域内用户删除默认网络共享服务器 Key HKLM SYSTEM CurrentControlSet Services lanmanserver parametersName AutoShareServerType DWORDValue 0工作站 Key HKLM SYSTEM CurrentControlSet Services lanmanserver parametersName AutoShareWksType DWORDValue 0 取消默认共享编辑txt文本内容netsharec delnetshared delnetsharee delnetshareADMIN del改扩展名为 bat设置开机自启动此批处理文件删除默认网络共享禁止枚举用户名和共享 Key HKLM SYSTEM CurrentControlSet Control LsaName RestrictAnonymousType REG DWORDValue 1 备份和还原数据将文件备份到文件或磁带备份系统状态数据使用备份向导备份文件计划备份系统文件备份系统文件备份系统文件备份系统文件备份系统文件备份系统漏洞及修复输入法漏洞空会话漏洞unicode漏洞 ida idq缓冲区溢出漏洞 printisapi扩展远程缓冲区溢出Frontpage服务器扩展漏洞sqlserver空口令Windows接口远程缓冲区漏洞安全审核与日志审计成功可以确定用户或服务获得访问指定文件打印机或其他对象的频率审计失败警告那些可能发生的安全泄漏访问文件夹的审核审核策略安全事件查看并分析目录终端安全概述终端系统安全性终端体系构架终端安全威胁终端安全配置终端安全检查终端安全加固终端用户安全职责终端接入要求终端标准化的意见和操作建议 windowsNT日志系统日志跟踪各种各样的系统事件比如跟踪系统启动过程中的事件或者硬件和控制器的故障 systemroot system32 config SysEvent EVT应用程序日志跟踪应用程序关联的事件比如应用程序产生的象装载DLL 动态链接库失败的信息将出现在日志中 systemroot system32 config AppEvent EVT安全日志跟踪事件如登录上网下网改变访问权限以及系统启动和关闭注意安全日志的默认状态是关闭的 systemroot system32 config SecEvent EVT 日志 Internet信息服务FTP日志默认位置 systemroot system32 logfiles msftpsvc1默认每天一个日志Internet信息服务WWW日志默认位置 systemroot system32 logfiles w3svc1 默认每天一个日志FTP日志和WWW日志文件名通常为ex 年份月份日期例如ex001023就是2000年10月23日产生的日志用记事本就可直接打开Scheduler服务日志默认位置 systemroot schedlgu txt 日志分析 FTP日志分析如下例 Software MicrosoftInternetInformationServices5 0 微软IIS5 0 Version 1 0 版本1 0 Date 2000102303 11 55 服务启动时间日期 03 11 55127 0 0 1 1 USERadministator 331 IP地址为127 0 0 1用户名为administator试图登录 03 11 58127 0 0 1 1 PASS 530 登录失败 03 12 04127 0 0 1 1 USERnt 331 IP地址为127 0 0 1用户名为nt的用户试图登录 03 12 06127 0 0 1 1 PASS 530 登录失败 03 12 32127 0 0 1 1 USERadministrator 331 IP地址为127 0 0 1用户名为administrator试图登录 03 12 34127 0 0 1 1 PASS230 登录成功登录成功 03 12 41127 0 0 1 1 MKDnt550 新建目录失败 03 12 45127 0 0 1 1 QUIT550 退出FTP程序目录终端安全概述终端系统安全性终端体系构架终端安全威胁终端安全配置终端安全检查终端安全加固终端用户安全职责终端接入要求终端标准化的意见和操作建议及时打补丁建议启用微软自动更新功能终端系统日常安全配置建议安装杀毒软件并正确的使用杀毒软件及时升级杀毒软件开启实时扫描功能定期杀毒终端系统日常安全配置建议安装并启用个人防火墙可以是windows自带的或杀毒软件自带的终端系统日常安全配置建议显示所有文件及文件扩展名终端系统日常安全配置建议关闭自动播放功能终端系统日常安全配置建议设置浏览器安全级别终端系统日常安全配置建议离开计算机时锁屏Windows2000Ctrl Alt DelWindowsxp运行 gpedit msc配置启用总是用经典登录终端系统日常安全配置建议利用目录系统确保终端安全目录系统是什么管理中心资源整合安全中心集中管理和控制分层次的权限委派单一登陆开放的平台与多种应用进行整合使用目录系统实现对企业内部大量终端的规范安全管理规范终端管理结构组策略是什么组策略对象使用户可以集中配置大量用户和计算机可配置客户端的桌面环境安全设置以及控制计算机和用户的状态减少管理员直接访问每台计算机的时间增加管理员的集中控制能力安全模板是一组预先配置的安全设置WindowsXP安全指南模板包括两个包含适用于域中所有计算机的设置的域模板两个包含适用于桌面计算机的设置的模板两个包含适用于膝上型计算机的设置的模板每个模板均具有一个企业版和高安全性版安全模板中的设置可被编辑保存和导入到GPO中安全模板是什么安全设置是什么如何应用安全模板和管理模板策略驱动的机制用于标识和控制客户端计算机上的软件默认的安全级别具有两个选项不受限的可以运行除明确拒绝的软件外的所有软件不允许的只能运行明确允许的软件什么是软件限制策略使用组策略编辑器为域定义策略通过组策略将策略下载到计算机在运行软件时由操作系统实施 1 2 3 软件限制如何工作安全威胁和来源安全原则和体系终端的安全配置内容终端安全管理的手段和方法总结内容遵循深层防御模型应用最低权限最少连接和最低用户访问权限的准则运用监视和审核培训用户注意安全性问题从经验中学习制定和测试事件应对计划和过程努力实现在设计上安全的系统安全性最佳做法创建安全策略和过程文档订阅安全性警告电子邮件了解更新管理的最新信息维护定期备份和还原过程捕捉攻击者的心思安全性检查列表目录终端安全概述终端系统安全性终端体系构架终端安全威胁终端安全配置终端安全检查终端安全加固终端用户安全职责终端接入要求终端标准化的意见和操作建议员工安全职责恶意代码类员工 AV A Other A SPY A Phishing 系统维护人员安全技术人员安全管理人员管理层安全项需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注员工安全职责终端准入身份认证终端强制修复网络准入客户端准入应用准入第三方联动员工系统维护人员安全技术人员安全管理人员管理层安全项需要关注无需关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注员工安全职责终端安全控制补丁管理共享控制 ARP欺骗防御口令控制安全状态检测服务控制进程控制注册表保护流量控制员工系统维护人员安全技术人员安全管理人员管理层安全项需要关注无需关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注员工安全职责终端泄密控制移动存储管理非法外联监控文档防泄密员工系统维护人员安全技术人员安全管理人员管理层安全项需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注员工安全职责审计信息文件共享审计上网行为审计邮件审计移动存储审计网络共享审计打印审计注册表审计终端操作审计员工系统维护人员安全技术人员安全管理人员管理层安全项需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注员工安全职责桌面合规管理资产管理软件分发终端运行监控外设管理软件安装管理远程维护 IP管理网络管理员工系统维护人员安全技术人员安全管理人员管理层安全项无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注无需关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注需要关注无需关注无需关注无需关注无需关注无需关注目录终端安全概述终端系统安全性终端体系构架终端安全威胁终端安全配置终端安全检查终端安全加固终端用户安全职责终端接入要求终端标准化的意见和操作建议终端接入基本合规审核项终端免疫终端安全管控 IT支持资产管理软件分发终端运行监控外设管理软件安装管理远程维护 IP管理网络管理桌面合规管理 AV A Other A SPY A Phishing 恶意代码查杀准入流程 IP MAC比对合规性比对用户比对通过准入准入方式划分 802 1X网络准入EAPOU网络准入ARP网络准入网关网络准入客户端准入终端准入控制网络准入的分类内网修复区内网修复区认证不通过不符合安全策略认证通过符合安全策略不支持802 1x 策略服务器策略服务器基于CiscoEOU的汇聚层网络准入终端准入控制应用准入基于策略网关的应用层准入认证通过符合安全策略认证不通过不符合安全策略内网修复区 Mail DNS服务器 Web服务器 ISA服务器网管机准入控制策略服务器终端准入控制客户端准入基于安全策略访问控制策略的客户端准入安装客户端符合安全策略符合访问控制策略内网策略服务器安装客户端符合安全策略不符合访问控制策略安装客户端不符合安全策略未安装客户端本章回顾什么是EAL EOU和EOL的最大区别是什么准入控制方式有哪几种哪种方式对网络影响最小目录终端安全概述终端系统安全性终端体系构架终端安全威胁终端安全配置终端安全检查终端安全加固终端用户安全职责终端接入要求终端标准化的意见和操作建议终端标准化的意义可以有效避免大部分终端安全问题方便统一管理统一升级减少网络安全事件排查的耗时可以最大程度减轻维护人员的工作压力终端标准化建议按业务按部门按职责划分终端组定制终端组应用软件服务端口标准制定终端组合规准则审计制度应用情况改进制度循环上述过程完善制度合规性建议建立软件和进程的黑白红名单建立IP MAC 用户资产对照表建立移动存储设备使用规范添加准入控制手段建立口令制定准则建立补丁病毒库升级准则建立审计机制软件进程黑白红名单黑名单不允许运行的软件或进程白名单只允许运行的软件或进程红名单必需运行的软件或进程可以有效管理软件及进程可以防止常见的恶意程序建议建议用途 IP MAC 用户资产对照表防止ARP类攻击可以绑定IP MAC 用户的唯一关系可以做到事后审计精确到人方便资产管理建议绑定ip mac 用户建议建议用途移动存储设备使用规范可以在一定程度上避免病毒传播可以保护涉密信息认证过的移动存储设备可以使用审计认证移动存储设备的操作记录或者禁止使用移动存储设备建议建议用途准入控制手段推荐使用802 1X或EOU方式的准入控制建议准入检查前进行必要的合规检查可以避免非法接入行为避免越权访问资源避免IP滥用建议建议用途口令制定准则口令长度限制口令生存周期限制口令繁杂度限制口令是终端安全的第一道大门保护终端信息不被窃取建议建议用途补丁病毒库升级定期更新补丁及病毒库制定更新最后期限超过期限则视为不合规终端比如说病毒库最少5天更新一次可以有效防止病毒入侵终端避免漏洞隐患建议建议用途建立审计机制可以真实记录终端标准化的每个环节方便找到行为隐患以便完善终端标准化进程发生安全事件可以准确定位及时解决审计上网行为审计打印行为审计邮件建议建议用途本章回顾为什么需要终端标准化终端标准化包括那几个必要环节什么是软件红名单 Anyquestions 谢谢大家

展开阅读全文