本地安全策略8452905843.ppt

议题Windows2003监视和优化Windows系统性能

Windows2003安全策略

威胁和漏洞微软深度防御理念策略、规程操作系统强化、修补程序管理、身份验证、主机入侵检测防火墙、VPN隔离警卫、锁、跟踪设备网段、IPSec、网络入侵检测应用程序强化、防病毒ACL、加密风险管理、用户教育物理安全性网络周边内部网络主机应用程序数据

本地安全策略帐户策略本地策略软件限制策略IP安全策略

安全模板兼容(compatws.inf)默认安全设置(Setupsecurity.inf)域控制器默认安全设置(DCsecurity.inf)安全(Secure*.inf)高级安全(hisec*.inf)系统根目录安全(Rootsec.inf)无终端服务器用户SID(Notssid.inf)

安全配置和分析安全配置数据库安全模板结果分析

使用IPSEC加强系统安全性

网络的世界Internet的美妙之处在于你和每个人都互相连接Internet的可怕之处在于每个人都能和你互相连接

1导入为什么TCP/IP是不安全的？风险＝漏洞＋威胁漏洞：硬件漏洞，操作系统漏洞，应用程序漏洞，管理漏洞，威胁1）窃听2）数据篡改3）身份欺骗（IP地址欺骗）4）盗用口令攻击（Password-BasedAttacks）5）拒绝服务攻击（Denial-of-ServiceAttack）6）中间人攻击（Man-in-the-MiddleAttack）7）盗取密钥攻击（Compromised-KeyAttack）8）Sniffer攻击（SnifferAttack）9）应用层攻击（Application-LayerAttack）

2IPSec概述什么是IPSecIPSec(Internet协议安全)是一个工业标准网络安全协议，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性IPSec的作用1）保护IP数据包安全；2）为抵御网络攻击提供防护措施。IPSec的优点过滤每一个访问计算机的数据包，并可根据数据报的源IP地址、协议和端口进行过滤对应用程序完全透明，应用程序无需任何调整三种身份验证对数据包进行加密，以防止数据包在网络传输中被截取使用HASH算法保障数据包在传输过程中保持完整性确保每个IP数据包的唯一性

3IPSec的初步实现基本组件筛选器：过滤规则筛选器操作：允许，阻止，协商安全身份验证方法KerberosV5协议：适用于由Windows2000或者WindowsServer?2003域或者受信任的ActiveDirectory域进行身份验证的计算机证书：需要证书授权中心预共享密钥：预共享的密钥以明文方式存储，因此安全性较差

4IPSec的工作原理模式传输模式transportationmode：是在计算机之间使用IPSec来实现安全；是一种端对端endtoend的保护；是IPSec的缺省模式隧道模式tunnelmode：是在网络之间使用IPSec实现安全；是一种点到点pointtopoint的保护；隧道是对数据包重新封装的过程，它将原始数据包封装在新的数据包内部，从而改变数据包的寻址路径；通过新增IP包头的方法，将目的地址改变为隧道终点，对和隧道终点之间的传输设置加密等操作；通常，隧道终点即为安全性网关，也就是说此网关和目的主机之间的通信是安全的；其思想是先将数据包通过IPSec策略传送到安全性网关，再由安全性网关正常传送到目的主机。

4IPSec的工作原理IP地址TCP/UDP端口数据包内容传输模式：当ESP在一台主机（客户机或服务器）上实现时使用，传送模式使用原始明文IP头，并且只加密数据，包括它的TCP和UDP头。隧道模式：当ESP在关联到多台主机的网络访问介入装置实现时使用，隧道模式处理整个IP数据包--包括全部TCP/IP或UDP/IP头和数据，它用自己的地址做为源地址加入到新的IP头。当隧道模式用在用户终端设置时，它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。新IP地址新TCP/UDP端口原IP地址原TCP/UDP端口数据包内容

4IPSec的工作原理IPSec协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议AuthenticationHeader（AH）封装安全载荷协议EncapsulatingSecurityPayload（ESP）密钥管理协议InternetKeyExchange（IKE）IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制