最新如何建構安全的網路環境PPT课件.ppt
《最新如何建構安全的網路環境PPT课件.ppt》由会员分享,可在线阅读,更多相关《最新如何建構安全的網路環境PPT课件.ppt(63页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、如何建構安全的網路環境如何建構安全的網路環境如何建構安全的如何建構安全的 Microsoft Windows 2000 網路環境網路環境 蕭文龍蕭文龍臺灣微軟顧問臺灣微軟顧問臺灣微軟顧問臺灣微軟顧問(零宇學苑零宇學苑)鍾希桓鍾希桓臺灣微軟臺灣微軟臺灣微軟臺灣微軟技術專員技術專員各種網路環境下應有的安全考量各種網路環境下應有的安全考量環境三環境三:跨國集團的網路環境跨國集團的網路環境總部InternetIntranet/Extranet/ECIntranet/Extranet/ECThe Infrastructure Pieces使用者帳戶的管理使用者帳戶的管理使用者帳戶的管理使用者帳戶的管理認
2、證服務認證服務認證服務認證服務Public Key InfrastructurePublic Key Infrastructure原則管理原則管理原則管理原則管理信任管理信任管理信任管理信任管理授權服務授權服務授權服務授權服務稽核服務稽核服務稽核服務稽核服務Cryptographic ServicesCryptographic Services資料保護服務資料保護服務資料保護服務資料保護服務整合服務整合服務整合服務整合服務網路安全的元件網路安全的元件Policyu 身份認證服務身份認證服務u 非戰區的設置非戰區的設置(DMZ)u 資料保密資料保密(Data Privacy)u 安全監測安全監測
3、u 經由原則管理經由原則管理綜綜 合合 解解 決決 方方 案案情境情境情境情境可能的風險可能的風險可能的風險可能的風險解決方案解決方案解決方案解決方案移移 動動 使使 用用 者者 加密檔案系統加密檔案系統(EFS)PPTP,IPSEC,L2TP 遺失遺失/被偷被偷 Laptop撥接攻擊撥接攻擊E-commerce偽造偽造 ID/假冒身份假冒身份資料資料/金錢金錢 被偷被偷任意更改交易任意更改交易 Public Key Infrastructure(PKI)與與 CA 整合整合 SSL/TLS家家 庭庭 辦辦 公公 室室 PPTP,IPSEC,L2TP NTLMv2,Kerberos,PKI S
4、SL/TLS,S/MIME線上線上 Internet 攻擊攻擊撥接攻擊撥接攻擊偽造偽造 ID/假冒身份假冒身份LAN/WANLAN/WAN 偽造偽造偽造偽造 ID/ID/假冒身份假冒身份假冒身份假冒身份 密碼密碼密碼密碼 分享分享分享分享/猜測猜測猜測猜測 新增新增新增新增/搬移搬移搬移搬移/修改修改修改修改 KerberosKerberos,NTLMv2,NTLMv2 Smart Cards,Biometrics Smart Cards,Biometrics 群組原則群組原則群組原則群組原則,委任管理委任管理委任管理委任管理ApplicationsApplications 偽造偽造偽造偽造
5、ID/ID/假冒身份假冒身份假冒身份假冒身份 通行密碼通行密碼通行密碼通行密碼 Path of least resistance codingPath of least resistance coding 惡意的程式碼惡意的程式碼惡意的程式碼惡意的程式碼 Code(Code(特洛依木馬特洛依木馬特洛依木馬特洛依木馬)KerberosKerberos,NTLMv2,Smart Cards,NTLMv2,Smart Cards 稽核稽核稽核稽核 SSPI,SSPI,CryptoAPICryptoAPI 原則與程式碼簽署原則與程式碼簽署原則與程式碼簽署原則與程式碼簽署 Code SigningCod
6、e SigningPublic Key Infrastructure(PKI)與與 CA 整合整合IPSEC,L2TP,SSL/TSL,S/MIMEExtranets偽造偽造 ID/假冒身份假冒身份資料被偷資料被偷線上線上 Internet 攻擊攻擊 與與 Active Directory 整合整合 委任管理委任管理 改善稽核改善稽核 安全性範本安全性範本管管 理理 面面太多地方有安全需求太多地方有安全需求員工角色的變化員工角色的變化不知道誰做了什麼事不知道誰做了什麼事時常變化的組態時常變化的組態如何如何運用運用Windows 2000 的安全機制的安全機制uu各種網路環境下應有的安全考量各種
7、網路環境下應有的安全考量各種網路環境下應有的安全考量各種網路環境下應有的安全考量 uu身份認證機制身份認證機制身份認證機制身份認證機制(Kerberos)Kerberos)uu檔案存取限制與保護檔案存取限制與保護檔案存取限制與保護檔案存取限制與保護身份認證服務身份認證服務uu利用利用利用利用 usernameCusernameC 來登入來登入來登入來登入uu利用利用利用利用 Kerberos Kerberos 來做網域的身份認證來做網域的身份認證來做網域的身份認證來做網域的身份認證uuSmart card Smart card 登入登入登入登入Smart Card 佈署佈署uu實作實作實作實作
8、 Smart Card Logon Smart Card LogonuuConfigure CertificatesConfigure Certificates註冊代理程式註冊代理程式註冊代理程式註冊代理程式 (Enrollment Agent)Enrollment Agent)憑證憑證憑證憑證,智慧卡使用者智慧卡使用者智慧卡使用者智慧卡使用者(Smartcard User)Smartcard User)uu設定憑證範本設定憑證範本設定憑證範本設定憑證範本uu安裝安裝安裝安裝 Smart Card Reader Smart Card Reader uu利用利用利用利用 Web-based We
9、b-based 為使用者申請為使用者申請為使用者申請為使用者申請uu測試測試測試測試1 挿入卡片後會觸發挿入卡片後會觸發Winlogon 程式並顯程式並顯示示 GINA2 使用者使用者輸入輸入 PIN5 Kerberos PKINIT 延伸套件送出憑延伸套件送出憑證給證給 KDC 要求登入要求登入7 KDC 送回一個利用雙層加密的送回一個利用雙層加密的 TGT(encrypted with a session key which is in turn encrypted using users public key)8 Smart card 利用利用private key 解密解密 TGT 然
10、然後後 LSA 允許允許 使用者登入使用者登入6 KDC 核對憑證核對憑證並且查詢並且查詢 AD 內內之原則之原則ReaderReader3 GINA 把把 PIN code 傳傳給給 LSASC4 LSA 存取存取 smart card 並並 取出憑證取出憑證LSALSAK Ke er rb be er ro os sK Ke er rb be er ro os sKDCKDCSmart Card Logon原理原理Smart Card Logon(Enrollment)多種身份認證機制多種身份認證機制uu彈性的身份認證架構支援網路上多種彈性的身份認證架構支援網路上多種彈性的身份認證架構支援
11、網路上多種彈性的身份認證架構支援網路上多種“核對身份核對身份核對身份核對身份”的機制的機制的機制的機制ActiveActiveDirectoryDirectoryWindows 2000Windows 2000 Server Server 應用程式應用程式應用程式應用程式 電腦電腦電腦電腦裝置裝置裝置裝置 檣案檣案檣案檣案人員人員人員人員CredentialsCredentialsAuthenticateAuthenticateInternetInternetSmart CardSmart CardX.509/SSLX.509/SSLPasswordPasswordBiometricsBiom
12、etrics如何運用如何運用Windows 2000 的安全機制的安全機制uu各種網路環境下應有的安全考量各種網路環境下應有的安全考量各種網路環境下應有的安全考量各種網路環境下應有的安全考量 uu身份認證機制身份認證機制身份認證機制身份認證機制(Kerberos)Kerberos)uu檔案存取限制與保護檔案存取限制與保護檔案存取限制與保護檔案存取限制與保護授權授權授權授權(ACL)ACL)檔案加密檔案加密檔案加密檔案加密(EFS)EFS)檔案傳輸檔案傳輸檔案傳輸檔案傳輸(VPN,IPSec)VPN,IPSec)物件存取的授權物件存取的授權uu所有的所有的所有的所有的物件存取物件存取物件存取物件
13、存取都透過安全系統來檢查都透過安全系統來檢查都透過安全系統來檢查都透過安全系統來檢查uu任何系統內物件皆可被保護任何系統內物件皆可被保護任何系統內物件皆可被保護任何系統內物件皆可被保護檔案檔案檔案檔案,目錄目錄目錄目錄,登入值登入值登入值登入值 (registry keys)(registry keys)核心物件核心物件核心物件核心物件 (Kernel objects)(Kernel objects)同步物件同步物件同步物件同步物件公用物件公用物件公用物件公用物件(e.g.,printers,etc.)(e.g.,printers,etc.)程式管線程式管線程式管線程式管線 (Pipes)(P
14、ipes),記憶體記憶體記憶體記憶體,通訊通訊通訊通訊,etc.,etc.Active Directory Active Directory 物件物件物件物件 (e.g.,domains,users)(e.g.,domains,users)一致性的授權模式一致性的授權模式uu由一致性的授權模式與由一致性的授權模式與由一致性的授權模式與由一致性的授權模式與 Kerberos Kerberos 標準整合來決定資標準整合來決定資標準整合來決定資標準整合來決定資源的存取源的存取源的存取源的存取電腦電腦電腦電腦裝置裝置裝置裝置 檔案檔案檔案檔案ACLACLACLAccessAccessRequestRe
15、quest授權授權授權授權資料保護資料保護uu保護硬碟內的資料保護硬碟內的資料保護硬碟內的資料保護硬碟內的資料加密檔案系統加密檔案系統加密檔案系統加密檔案系統加密郵件加密郵件加密郵件加密郵件uu保護正在傳輸中的資料保護正在傳輸中的資料保護正在傳輸中的資料保護正在傳輸中的資料IP SecurityIP SecuritySSPI based encryptionSSPI based encryptionSession keys in NTLM,Kerberos,TLS/SSLSession keys in NTLM,Kerberos,TLS/SSL加密檔案系統加密檔案系統 Encrypting F
16、ile System(EFS)Encrypting File System(EFS)uu可由被授權的代理做資料修復可由被授權的代理做資料修復可由被授權的代理做資料修復可由被授權的代理做資料修復Integrated key managementIntegrated key managementuu彈性的修復原則彈性的修復原則彈性的修復原則彈性的修復原則Enterprise,domain,Enterprise,domain,或或或或 per machineper machineuu加密資料的備份與還原加密資料的備份與還原加密資料的備份與還原加密資料的備份與還原與與與與 Windows 2000Wi
17、ndows 2000 backup backup 整合整合整合整合RNGRNGData recoveryData recoveryfield generationfield generation(e.g.,RSA)(e.g.,RSA)DRFDRF加密資料修復代理的加密資料修復代理的加密資料修復代理的加密資料修復代理的publicpublic key keyin recovery policyin recovery policy隨機產生隨機產生隨機產生隨機產生file encryption keyfile encryption key檔案加密檔案加密檔案加密檔案加密檔案加密檔案加密 (e.g.,
18、DES)(e.g.,DES)Data decryptionData decryptionfield generationfield generation(e.g.,RSA)(e.g.,RSA)DDFDDFUsersUserspublicpublic key key內含採購內含採購內含採購內含採購機密資料機密資料機密資料機密資料.*#$fjdaj#$fjdaju539!3tu539!3tt389E*&t389E*&*#$fjdaj#$fjdaju539!3tu539!3tt389E*&t389E*&DDFDDF檔案解密檔案解密檔案解密檔案解密(e.g.,DES)(e.g.,DES)內含採購內含採
19、購內含採購內含採購機密資料機密資料機密資料機密資料.檔案解密檔案解密DDF contains file DDF contains file encryption key encryption key encrypted under encrypted under users users public keypublic keyDDF extractionDDF extraction(e.g.,RSA)(e.g.,RSA)File encryptionFile encryptionkeykey利用利用利用利用private keyprivate key 來將來將來將來將DDF DDF 解密以得到
20、解密以得到解密以得到解密以得到file encryption keyfile encryption keyUsers Users privateprivatekeykeyuu EFS uu 利用利用Windows 2000 Resource Kit內內 之之efsinfo來檢視加密檔案來檢視加密檔案uu檔案傳輸的安全檔案傳輸的安全檔案傳輸的安全檔案傳輸的安全遠端存取公司網路遠端存取公司網路遠端存取公司網路遠端存取公司網路兩地之間的網路連接兩地之間的網路連接兩地之間的網路連接兩地之間的網路連接uu安全的電子郵件安全的電子郵件安全的電子郵件安全的電子郵件uu安全的安全的安全的安全的 Web Web
21、 伺服器伺服器伺服器伺服器如何運用如何運用如何運用如何運用Windows 2000 Windows 2000 的安全機制的安全機制的安全機制的安全機制檔案存取限制與保護檔案存取限制與保護InternetInternetCorporate Corporate NetworkNetworkInternetInternetServiceServiceProviderProviderRouter or Router or Tunnel ServerTunnel ServerLaptop or Laptop or Home PCHome PCIP TunnelIP TunnelHostAModemsMo
22、demsHostBHostC遠端存取公司的網路遠端存取公司的網路Windows 2000 IPSecuuUser User 利用遠端存取公司網路利用遠端存取公司網路利用遠端存取公司網路利用遠端存取公司網路從家裡或筆記型電腦撥接從家裡或筆記型電腦撥接從家裡或筆記型電腦撥接從家裡或筆記型電腦撥接利用現有的網路連接到利用現有的網路連接到利用現有的網路連接到利用現有的網路連接到 InternetInternetCorporate Net Corporate Net in DCin DCRouter CRouter CRouter DRouter DCorporate Net Corporate Net
23、 in LAin LAHostAHostBIP TunnelIP Tunnel兩地之間的網路連接兩地之間的網路連接Windows 2000 IPSecuuLAN ToLAN To LAN LAN 經由經由經由經由 GatewayGatewayAcross Internet or private network with Across Internet or private network with Windows 2000 Windows 2000 routers using Windows 2000 Windows 2000 routers using IP tunnelsIP tunnel
24、sIPSec Tunnel ModeIPSec Tunnel ModeL2TP/IPSec integrated tunnelingL2TP/IPSec integrated tunnelingInternetInternetIPSEC 協定協定uu兩種協定的組合兩種協定的組合兩種協定的組合兩種協定的組合Encapsulated SecurityEncapsulated Security Payload(ESP)Payload(ESP)Authentication Header(AH)Authentication Header(AH)uu可以使用數位憑證為鑰匙的身可以使用數位憑證為鑰匙的身可以
25、使用數位憑證為鑰匙的身可以使用數位憑證為鑰匙的身分認證架構分認證架構分認證架構分認證架構uu兩種模式兩種模式兩種模式兩種模式傳輸傳輸傳輸傳輸 自發送者包裝自發送者包裝自發送者包裝自發送者包裝 IP IP 封包封包封包封包(End-to-End)End-to-End)隧道隧道隧道隧道 自隧道的發送端自隧道的發送端自隧道的發送端自隧道的發送端包裝包裝包裝包裝 IP IP 封包封包封包封包InternetInternetReaderReaderSCSCCertCertOutlook 2000Outlook 2000Active DirectoryOutlook ExpressRetrieve use
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 最新 如何 安全 網路環境 PPT 课件
限制150内