Asp的安全管理(8)

安全

ASP 的安全配置工具

ASP 管理员应当对安全配置工具非常熟悉,因为要获得系统中与安全相关的所有方面的信息,这是必不可少的。
这些工具应当使您非常容易地回答以下问题:“我的计算机安全吗?”,或者“我的网络安全吗?”。这些工具应当允许对已定义的安全策略所包含的所有方面进行配置和分析,例如:
帐号策略。 设置或更改访问策略,包括域或本地密码策略、域或本地帐户锁定策略以及域 Kerberos 策略(在适用情况下)。
本地策略。 配置本地审核策略、用户权限分配和各式各样的安全选项,例如对软盘、CD-ROM 等的控制。
受限制的组。 对内置的组以及要进行配置的任何其它特定组指定或更改组成员(如 Administrators、Server Operators、Backup Operators、Power Users 等)。这不应作为一般的成员管理工具来使用 — 只用来控制特定组(具有指定给他们的敏感功能)的成员。
系统服务。 配置安装在系统上不同服务(包括网络传输服务如 TCP/IP、NetBIOS、CIFS 文件共享、打印等)的安全性。如果不使用,则会停止 TCP/IP 之外的服务。有关详细信息,请参见 http://www.microsoft.com/technet/
文件或文件夹共享。 配置文件系统和重定向器服务的设置。这包括访问各种网络文件共享时关闭匿名访问以及启用数据包签名和安全性的选项。
系统注册表。 设置或更改有关系统注册表项的安全性。
系统存储。 设置或更改本地系统文件卷和目录树的安全性。
准备。 为客户和 ASP 准备一个安全的环境,以便安全地创建用户、文件等。

这些工具还应当有助于监视安全策略中已定义的所有方面,例如:
帐号策略 — 密码、锁定以及 Kerberos 设置。
本地策略 — 审核、用户权限和安全选项。(“安全选项”主要包括与安全相关的注册表值。)
事件日志 — 系统、应用程序、安全和目录服务日志的设置。
受限制的组 — 有关组成员的策略。
系统服务 — 系统服务的启动模式和访问控制。
注册表 — 注册表项的访问控制。
文件系统 — 文件夹和文件的访问控制。
物理访问系统 — 对设备的访问、卡式钥匙的使用、闭环视频等。

这些工具还应当可以分析组策略,一直下行至用户级。可以使用其它工具来分析监视过程中收集到的全部数据。这些工具通常特别依赖于统计技术。
使用 Windows 2000 的 ASP 管理员可用“Windows 2000 安全配置工具集”的下列组件来配置上述部分或全部的安全方面。
“安全模板”管理单元。“安全模板”管理单元是独立的 Microsoft 管理控制台 (MMC) 管理单元,它可以创建基于文本的模板文件,该文件包含所有安全方面的安全设置。
“安全配置和分析”管理单元。“安全配置和分析”管理单元是独立的 MMC 管理单元,它可以配置或分析 Windows 2000 操作系统的安全性。其操作基于使用“安全模板”管理单元创建的安全模板的内容。
Secedit.exe。Secedit.exe 是“安全配置和分析”管理单元的命令行版本。它可以使安全配置和分析在没有图形用户界面 (GUI) 的情况下执行。
对组策略的安全设置扩展。“安全配置工具集”还包括一个对组策略编辑器的扩展管理单元,用来配置本地安全策略以及域或组织单元 (OU) 的安全策略。本地安全策略只包括上述“帐号策略”和“本地策略”的安全范围。为域或 OU 定义的安全策略可包括所有的安全性范围。
ASP 安全任务和方法介绍

创建网络安全时,会用到许多策略、任务和方法。下面是对它们的简要介绍。
安全通信和概念
介绍和解释在 ASP 的策略规划中针对风险的安全策略
提供安全概念和词汇的背景材料,使读者熟悉安全规划
确定 ASP 网络的安全风险。在安全规划中将其列出并加以解释
执行所有必要的安全措施(不要忘记物理方法)
严密监视安全性
审核、评估、改进和培训所有的步骤和策略

定义访问控制
确定 ASP 的组织目前如何使用组和建立组名称的规范,以及如何使用组类型
介绍用于对 ASP 范围内资源进行广泛安全访问的顶层安全组。它们可能是客户通用组
介绍访问控制策略,特别是关于如何以一致的方式使用安全组
确定创建新组的步骤以及由谁负责管理组成员
确定代表管理员控制特定任务的条件,介绍什么是客户管理员的任务以及什么是 ASP 管理员的任务
规定 ASP 策略以保护管理员帐户和管理控制台
审核、评估、改进和培训所有步骤及策略

远程客户或用户访问
描述支持客户或用户远程访问的 ASP 策略
建立一个规划来传递远程访问步骤,包括连接方法
建立通过专用连接连接到客户网络的策略
审核、评估、改进和培训所有步骤及策略

身份验证访问
确保对网络资源的所有访问都需要使用域帐户进行身份验证
确定用户群(ASP 内部和客户用户)的哪一部分需要对交互式或远程访问登录使用有效的身份验证
如果需要有效的身份验证,则确定部署公钥安全以及(或)进行智能卡登录的规划
定义用户帐户的密码长度、更改间隔以及复杂性要求
确定一个 ASP 策略来消除在任何网络上纯文本密码的传输,并制定出支持一次性登录或保护密码传输的策略
审核、评估、改进和培训所有步骤及策略

代码签名和软件签名
规定下载的代码所需要的安全级别
部署内部的 ASP 步骤,对所有公开分发的内部开发软件实施代码签名
审核、评估、改进和培训所有步骤及策略

部署“安全应用程序”策略
建立测试规划和单独的测试环境 来确认 ASP 应用程序是否在适当配置的安全系统下正常运行
确定还需要什么样的附加应用程序来加强安全功能以达到 ASP 的安全目标
进行适当的更改管理,包括在发布之前对更改的认可和安全验证
审核、评估、改进和培训所有步骤及策略

启用数据保护
确定对敏感或保密客户和内部信息进行识别和管理的 ASP 策略,并确定保护这些敏感数据的条件
确定存放敏感客户(或内部)数据的 ASP 服务器,这些数据可能需要附加的数据保护以防止窃取
建立一个使用 IPSec 的部署规划,以保护远程访问数据或访问敏感的 ASP 数据服务器
审核、评估、改进和培训所有步骤及策略

加密文件系统
介绍“数据恢复策略”,包括“恢复代理”的角色
介绍用来实施数据恢复过程并验证该过程有效的步骤
审核、评估、改进和培训所有步骤及策略

建立信任关系
介绍 ASP 域、域目录树和目录林并明确规定它们之间的信任关系
确定对信任的客户和厂商以及其它外部域的策略(信任其它域意味着也信任由该域的所有者确定的安全策略)
审核、评估、改进和培训所有步骤及策略

设置统一的安全策略
使用安全模板的方法来介绍对不同的计算机类实施的安全级别
确定域范围内的帐号策略并将这些策略和指导方针传递给客户和用户群
确定对网络上不同类系统(例如桌面、文件和打印服务器、以及电子邮件服务器)的本地安全策略要求。确定对应于每个类别的组策略安全设置
确定这样的应用程序服务器,在其中可用特定的安全模板来管理安全设置以及在整个组策略中考虑对它们的管理

时间: 2024-08-03 18:59:30

Asp的安全管理(8)的相关文章

Asp的安全管理(3)

安全 <img src=/uploadpic/2007-2/20072522292777.GIF>型 在 MOF 模型的所有层面中都嵌入了安全管理.每个层面必须遵守设立的安全策略,包括 ASP 内部安全策略以及在 SLA 中与客户约定的安全策略.对于每个层面,安全性必须涉及: 机密性 完整性 可用性 安全性的维护对 ASP 而言是一笔巨大的开销,但是若没有好的安全性,将会付出更大的代价,因为这样将使客户失去信心.安全管理的目的是确保业务的连续性以及将破坏 ASP 安全的损害减至最小. 有关 M

Asp的安全管理(1)

安全 Microsoft 企业服务白皮书 发布日期:2000 年 9 月 1.0 版 摘要 本白皮书系有关 Microsoft 企业服务 (ES) 框架的系列文章之一.要了解该系列出版物的完整清单,请访问 ES Web 站点:http://www.microsoft.com/enterpriseservices/. 该白皮书介绍应用程序服务提供方 (ASP) 环境中安全管理的功能和关键问题.凡是阅读本白皮书的人,均应首先阅读"Microsoft Operations Framework Exec

Asp的安全管理(4)

安全 有关本章中论及的所有主题的详细信息,请参见 ITIL Library 的"Security Management"部分: http://www.itil.co.uk/ 或 ITIL Security Management 一书 (ISBN 0 11 330014 X). 与其它 MOF 层面的关系安全管理功能与涉及安全问题的其它 MOF 层面关系密切.这些问题包括数据的机密性.完整性和可用性,以及硬件和软件组件.文档和步骤的安全性.主要的联系描述如下. MOF 优化阶段 可用性管

Asp的安全管理(5)

安全 ASP 的安全策略ASP 为什么需要安全策略? 在 ASP 的安全管理过程中,必须有一个通道来及时地传递任何一个给定点的现有状态.安全策略充当了这一角色.它们是对 ASP 一贯使用的当前安全要求和指导方针以及步骤的书面表示.一致的策略将使 ASP 内部清楚在安全方面必须做什么.如果 ASP 要看到在安全状态上的迅速改进,则建立安全策略是评估之后的逻辑步骤,并且应当启动而作为安全规划的一个辅助因素. 当安全管理的规划展开时,环境中的特定因素将会改变.出现变化时,策略将被检查并修改,以确保它们

Asp的安全管理(7)

安全 ASP 的最佳安全做法 引言安全管理的主要目标是保证 SLA 中规定的 ASP 和客户之间的机密性.完整性和可用性的级别.最佳做法可向 ASP 展示如何确保实现安全目标. Active Directory 的主要安全优势使用 Active Directory 服务,ASP 可更好地为内部用户和外部客户提供适当的安全性.从根本上说,Active Directory 是 ASP 安全策略和帐户信息的中心位置. ASP 可用 Active Directory 安全功能来自定义 ASP 的安全策略

Asp的安全管理(9)

安全 案例研究:遭受攻击 引言一个很大的虚构银行企业分了好多个部门,其中两个分别为外部银行业务部门和内部支持部门.所有本地办公室都属于外部银行业务部门.所有的支持活动(例如市场.销售和 IT)都属于内部支持部门.为了使该企业赢利,这两个部门需要在工作中紧密合作. 不久前,IT 部门与某个 ASP 达成了一项协议,帮助它们引进新的银行解决方案.除了取钱和存钱外,客户应该可通过 Internet 执行所有的银行交易.而实际建立的解决方案甚至更加完善.因为要执行第一个解决方案,就必须访问所有客户帐户,

Asp的安全管理(10)

安全 小结 保护客户和 ASP 的数据不受到恶意攻击(有意的或无意的)的损害是"安全管理"的全部内容.对安全管理是什么以及 ASP 及其客户可以采取的方法有一个清晰的了解非常关键,其中包括什么是安全策略以及需要达到什么样的安全级别.需要确定 SLA 本身以及它提供的安全级别,并需要采取相应的安全措施.安全措施包括人员.过程和技术.过程涉及到沟通.升级以及围绕安全管理的过程和步骤.人员需要进行培训,并能够理解和执行所有的安全措施以及与之伴随的不断变化的技术. 要对所有的方面进行综合考虑以

Asp的安全管理(6)

安全 ASP 安全方面的沟通与培训 引言没有适当的沟通,安全方法和安全过程无疑将会失败.安全沟通指的是与客户.与 ASP 的内部人员.与供应商以及与其他第三方(如与 Forum for Incident Response and Security Teams(事件响应和安全小组论坛),FIRST)的沟通.在安全方法和策略的设计中以及执行过程中,沟通都是很重要的. 与客户进行安全方面的沟通就安全方面采取的措施进行沟通是必不可少的.正如已经谈到的,CRM 和"服务等级管理"过程是沟通的关键

Asp的安全管理(11)

安全 附录 B:访问策略最佳方案 ASP 的组策略对象 (GPO) 的最佳配置方案在基于 Windows 2000 Active Directory 的 ASP 企业环境中工作时,认真设计策略非常重要,它可以最大程度地减少冗余和重新定义,并最大程度地增加可管理性.遗憾的是,这两个目标可能发生矛盾.要减少冗余和重新定义,ASP 应当设法定义非常详尽的 GPO.而增加可管理性,ASP 的 GPO 数目应当少.减少与各种范畴相关的 GPO 数对性能也很关键.要达到平衡,需花费一定的时间来设计 ASP