Asp的安全管理(8)

來源:互聯網
上載者:User
安全 ASP 的安全組態工具

ASP 管理員應當對安全組態工具非常熟悉,因為要獲得系統中與安全相關的所有方面的資訊,這是必不可少的。
這些工具應當使您非常容易地回答以下問題:“我的電腦安全嗎?”,或者“我的網路安全嗎?”。這些工具應當允許對已定義的安全性原則所包含的所有方面進行配置和分析,例如:
帳號策略。 設定或更改存取原則,包括域或本地密碼原則、域或本地帳戶鎖定策略以及域 Kerberos 策略(在適用情況下)。
本地策略。 配置本地稽核原則、使用者權限分配和各式各樣的安全選項,例如對磁碟片、CD-ROM 等的控制。
受限制的組。 對內建的組以及要進行配置的任何其它特定組指定或更改群組成員(如 Administrators、Server Operators、Backup Operators、Power Users 等)。這不應作為一般的成員管理工具來使用 — 只用來控制特定組(具有指定給他們的敏感功能)的成員。
系統服務。 配置安裝在系統上不同服務(包括網路傳輸服務如 TCP/IP、NetBIOS、CIFS 檔案分享權限設定、列印等)的安全性。如果不使用,則會停止 TCP/IP 之外的服務。有關詳細資料,請參見 http://www.microsoft.com/technet/
檔案或檔案夾共用。 設定檔系統和重新導向器服務的設定。這包括訪問各種網路檔案分享權限設定時關閉匿名訪問以及啟用資料包簽名和安全性的選項。
系統註冊表。 設定或更改有關係統登錄機碼的安全性。
系統儲存。 設定或更改本地系統檔案卷和分類樹的安全性。
準備。 為客戶和 ASP 準備一個安全的環境,以便安全地建立使用者、檔案等。

這些工具還應當有助於監視安全性原則中已定義的所有方面,例如:
帳號策略 — 密碼、鎖定以及 Kerberos 設定。
本地策略 — 審核、使用者權限和安全選項。(“安全選項”主要包括與安全相關的註冊表值。)
事件記錄 — 系統、應用程式、安全和目錄服務日誌的設定。
受限制的組 — 有關群組成員的策略。
系統服務 — 系統服務的啟動模式和存取控制。
註冊表 — 登錄機碼的存取控制。
檔案系統 — 檔案夾和檔案的存取控制。
物理訪問系統 — 對裝置的訪問、卡式鑰匙的使用、閉環視頻等。

這些工具還應當可以分析組策略,一直下行至使用者級。可以使用其它工具來分析監視過程中收集到的全部資料。這些工具通常特別依賴於統計技術。
使用 Windows 2000 的 ASP 管理員可用“Windows 2000 安全組態工具集”的下列組件來配置上述部分或全部的安全方面。
“安全模板”嵌入式管理單元。“安全模板”嵌入式管理單元是獨立的 Microsoft 管理主控台 (MMC) 嵌入式管理單元,它可以建立基於文本的模板檔案,該檔案包含所有安全方面的安全設定。
“安全配置和分析”嵌入式管理單元。“安全配置和分析”嵌入式管理單元是獨立的 MMC 嵌入式管理單元,它可以配置或分析 Windows 2000 作業系統的安全性。其操作基於使用“安全模板”嵌入式管理單元建立的安全模板的內容。
Secedit.exe。Secedit.exe 是“安全配置和分析”嵌入式管理單元的命令列版本。它可以使安全配置和分析在沒有圖形化使用者介面 (GUI) 的情況下執行。
對組策略的安全設定擴充。“安全組態工具集”還包括一個對組策略編輯器的擴充嵌入式管理單元,用來配置本地安全性原則以及域或組織單元 (OU) 的安全性原則。本地安全性原則只包括上述“帳號策略”和“本地策略”的安全範圍。為域或 OU 定義的安全性原則可包括所有的安全性範圍。
ASP 安全任務和方法介紹

建立網路安全時,會用到許多策略、任務和方法。下面是對它們的簡要介紹。
安全通訊和概念
介紹和解釋在 ASP 的策略規劃中針對風險的安全性原則
提供安全概念和詞彙的背景材料,使讀者熟悉安全規劃
確定 ASP 網路的安全風險。在安全規劃中將其列出並加以解釋
執行所有必要的安全措施(不要忘記物理方法)
嚴密監視安全性
審核、評估、改進和培訓所有的步驟和策略

定義存取控制
確定 ASP 的組織目前如何使用組和建立組名稱的規範,以及如何使用群組類型
介紹用於對 ASP 範圍內資源進行廣泛安全訪問的頂層安全性群組。它們可能是客戶萬用群組
介紹存取控制策略,特別是關於如何以一致的方式使用安全性群組
確定建立新群組的步驟以及由誰負責管理群組成員
確定代表管理員控制特定任務的條件,介紹什麼是客戶管理員的任務以及什麼是 ASP 管理員的任務
規定 ASP 策略以保護系統管理員帳戶和管理主控台
審核、評估、改進和培訓所有步驟及策略

遠程客戶或使用者訪問
描述支援客戶或使用者遠端存取的 ASP 策略
建立一個規劃來傳遞遠端存取步驟,包括串連方法
建立通過專用連線串連到客戶網路的策略
審核、評估、改進和培訓所有步驟及策略

身分識別驗證訪問
確保對網路資源的所有訪問都需要使用域帳戶進行身分識別驗證
確定使用者群(ASP 內部和客戶使用者)的哪一部分需要對互動式或遠端存取登入使用有效身分識別驗證
如果需要有效身分識別驗證,則確定部署公開金鑰安全以及(或)進行智慧卡登入的規劃
定義使用者帳戶的密碼長度、更改間隔以及複雜性要求
確定一個 ASP 策略來消除在任何網路上純文字密碼的傳輸,並制定出支援一次性登入或保護密碼傳輸的策略
審核、評估、改進和培訓所有步驟及策略

程式碼簽署和軟體簽名
規定下載的代碼所需要的安全層級
部署內部的 ASP 步驟,對所有公開分發的內部開發軟體實施程式碼簽署
審核、評估、改進和培訓所有步驟及策略

部署“安全應用程式”策略
建立測試規劃和單獨的測試環境 來確認 ASP 應用程式是否在適當配置的安全系統下正常運行
確定還需要什麼樣的附加應用程式來加強安全功能以達到 ASP 的安全目標
進行適當的更改管理,包括在發布之前對更改的認可和安全驗證
審核、評估、改進和培訓所有步驟及策略

啟用資料保護
確定對敏感或保密客戶和內部資訊進行識別和管理的 ASP 策略,並確定保護這些敏感性資料的條件
確定存放敏感客戶(或內部)資料的 ASP 伺服器,這些資料可能需要附加的資料保護以防止竊取
建立一個使用 IPSec 的部署規劃,以保護遠端存取資料或訪問敏感的 ASP 資料服務器
審核、評估、改進和培訓所有步驟及策略

加密檔案系統
介紹“資料恢複策略”,包括“修復代理”的角色
介紹用來實施資料恢複過程並驗證該過程有效步驟
審核、評估、改進和培訓所有步驟及策略

建立信任關係
介紹 ASP 域、域分類樹和目錄林並明確規定它們之間的信任關係
確定對信任的客戶和廠商以及其它外部域的策略(信任其它域意味著也信任由該域的所有者確定的安全性原則)
審核、評估、改進和培訓所有步驟及策略

設定統一的安全性原則
使用安全模板的方法來介紹對不同的電腦類實施的安全層級
確定域範圍內的帳號策略並將這些策略和指導方針傳遞給客戶和使用者群
確定對網路上不同類系統(例如案頭、檔案和列印伺服器、以及電子郵件伺服器)的本地安全性原則要求。確定對應於每個類別的組策略安全設定
確定這樣的應用程式伺服器,在其中可用特定的安全模板來管理安全設定以及在整個組策略中考慮對它們的管理



相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。