提供 Microsoft 網路週邊設備安全性

IT 經驗分享

Published: 2006 年 1 月 28 日 | 更新日期 : 2006 年 12 月 28 日

MS_ITShowcase_logo_190x89


企業案例:透過部署 Microsoft® Windows Server™ 2003、Active Directory® 目錄服務、公開金鑰基礎結構 (PKI)、憑證授權單位 (CA)、Microsoft Internet Security and Acceleration (ISA) Server 2004 以及含智慧型郵件篩選器之 Microsoft Exchange Server 2003,以改善增強安全性及妥善管理之基礎結構的操作效率和產能。

本頁內容

執行摘要
產品和技術
遠端使用者存取的安全性
存取
傳訊
外部網路
Microsoft IT 的全球環境

執行摘要

網路週邊設備安全性的有效策略目標是封鎖攻擊,拒絕讓入侵者和惡意軟體輕易存取網路,以維護使用者的產能。為了達到這個目標,Microsoft 採用下列方法:

  • 只將存取權開放給有效使用者,加強公司網路的安全性。

  • 將網路系統置於防火牆背後,防止它們直接面對網際網路攻擊。

  • 減少郵件管理、處理、存放以及面對惡意程式和來路不明商業電子郵件 (又稱為垃圾郵件) 的曝光率。

  • 以 Microsoft 資訊技術 (Microsoft IT) 進行全面性管理,保留對合作夥伴存取的完全控制權。

  • 關係和客戶管理,並限制廠商存取與 Microsoft 有商業往來的外部網路資源。

產品和技術

  • Active Directory 與群組原則

  • Internet Authentication Service (IAS)

  • Microsoft Connection Manager Administration Kit (CMAK)

  • 含智慧型郵件篩選器和 Sybari Antigen 的 Exchange Server 2003 SP2

  • ISA Server 2004

  • Microsoft Windows® XP Professional Service Pack 2 (SP2)

  • PKI 和 CA,包括網際網路通訊協定安全性 (IPsec) 通訊協定 (封裝安全裝載 [ESP]、網際網路金鑰交換 [IKE])

  • Windows Server 2003

遠端使用者存取的安全性

狀況

由於 Microsoft 有 70,000 名員工和廠商在存取公司網路,因此每月大約會產生 4,200 萬個遠端連線。遠端存取可能對網路造成額外風險,因此沒有受到管理的裝置 (意指不受 Microsoft IT 控制的裝置),可能會連累網路的整體安全性。

解決方案

Microsoft IT 要求使用登入憑證 (智慧卡) 和個人識別碼 (PIN),來進行雙重要素使用者驗證,以利用現有 PKI 的優點,只容許符合更嚴格之安全需求的裝置進行遠端存取。此外,Microsoft IT 也使用連線管理員、一組自訂指令碼、以及 Windows Server 2003 作業系統附隨的工具,加強電腦設定的安全性。您可以部署遠端存取用戶端和連線管理員程式系列 (其中包括 CMAK、連線點服務 (CPS) 和連線管理員用戶端),根據需要來建立自訂使用者設定。這項設定可含通訊錄,讓使用者尋找最方便的撥號存取號碼。

規劃與部署

Microsoft IT 將幾種新技術以及現有的技術,組合成一個安全遠端使用者 (Secure Remote User,SRU) 方案。SRU 是借助兩種元素來減少遠端連線所造成的整體風險:智慧卡和電腦設定檢查。

智慧卡是利用現有 Microsoft Windows 2000 Server 和 Windows Server 2003 基礎結構技術的優點,包括憑證服務、PKI 安全性、密碼編譯服務提供者 (CSP) 以及可延伸的驗證通訊協定/傳輸層安全性 (EAP/TLS)。

為了對抗惡意軟體的威脅,Microsoft IT 實施下列各項措施:

  • 在智慧卡提供 CSP 的 Microsoft 標準和自訂實作,以進行驗證。

  • 在安裝時,提供 Windows XP Professional 連線管理員自訂化的設定檔和設定。

  • 提供 CMAK 等工具,以建立自訂的連線管理員設定檔。

  • 提供路由及遠端存取伺服器設定來管理智慧卡,並且提供遠端存取原則以確保下列項目:

    • 隨時更新防毒軟體和簽名檔。

    • 網際網路連線防火牆保持在開啟狀態。

    • 網際網路連線共用保持在關閉狀態。

    • 對目前公司標準作業系統進行必要的更新。

    • 自訂 IPsec 原則。

心得與最佳作法

  • 要求使用連線管理員,連線管理員會部署自訂設定檔和指令檔,根據 Windows Server 2003 群組原則,對所有的遠端連線執行系統檢查。

  • 強制使用經過核准且含最新的重大更新的最新 Microsoft Windows 版本。啟用 Windows 防火牆、停用網際網路連線共用,以及更新防毒軟體和簽名檔。

存取

狀況

Microsoft IT 在全球使用 5,000 個以上的無線存取點,負責為 30,000 名以上的員工提供無線連線。這類大型無線環境的管理與安全性設計,對 Microsoft IT 可說是一項重大的挑戰。

解決方案

為了保護網路資產,Microsoft IT 透過電腦和使用者帳戶憑證,對使用者進行唯一驗證,以及對無線網路和工作階段進行加密。

規劃與部署

Microsoft IT 部署了內建於 Windows XP Professional 和 Windows Server 2003 作業系統的電子電機工程師協會 (IEEE) 802.1X 無線安全通訊協定。802.1X 通訊協定會封鎖使用者的活動,直到使用者經過順利驗證為止。接著應用程式會根據使用者、電腦帳戶或網域的驗證,控制用戶端的網路存取 (主要是借助 Active Directory)。用戶端使用者和用戶端電腦會向 IAS 交涉驗證,這是 Microsoft 對遠端驗證撥入使用者服務 (RADIUS) 標準的實作。IAS Proxy 會透過受控制的邏輯連接埠,向 Active Directory 和 CA 驗證要求。驗證使用者之後,應用程式便會透過一個不受控制的邏輯連接埠,傳送所有進一步的通訊 (如 [圖 1] 所示),直到需要再次驗證為止。

[圖 1]

[圖 1] Microsoft 無線網路的驗證架構

802.1X 無線區域網路 (WLAN) 是採用動態有線等位私密 (WEP) 金鑰。如果是在存取點或預設時間間隔之間漫遊,金鑰便會隨著每一個新的線連工作階段而改變。在設計 WLAN 時,Microsoft IT 仔細地考慮了必要的支援基礎結構,例如,IAS 伺服器、憑證服務和 Active Directory。Microsoft 中的存取點是專供多部 IAS 伺服器使用,即使其中一部伺服器離線了,存取點仍可以和替代的 IAS 伺服器通訊。

心得與最佳作法

  • 在工作階段期間,定時重新驗證使用者和裝置。

  • 定期掃描,看看有沒有未受 IT 群組管理的禁止存取點,如果有,則加以移除。

傳訊

狀況

電子郵件進入點的攻擊次數飆升。這些攻擊正威脅著傳訊資源和企業網路。此外,伺服器必須開放讓網際網路和公司網路使用,才能存取行動電子郵件,而這也會帶來風險。

解決方案

Microsoft IT 採用多層式策略以及深層防禦的概念,以盡量降低接受內送電子郵件數量的方式,來管理垃圾郵件、病毒以及直接網際網路攻擊所造成的威脅。 這套策略包括在所有裝置上使用反間諜軟體解決方案和防毒軟體,以及將外部式網際網路系統置於防火牆背後。

規劃與部署

Microsoft IT 管理病毒風險的方法,並不止於使用篩選軟體。多層式防禦會在所有的桌上型電腦、伺服器、電子郵件閘道、網際網路閘道以及個人數位助理 (PDA) 上部署防毒軟體。Microsoft IT 會將 Computer Associates eTrust 部署在所有的桌上型電腦和全面管理的伺服器上,但是執行 Sybari Antigen 的閘道除外。桌上型電腦和伺服器設定管理程序除了網域登入指令碼之外,也負責管理強制安裝和組態設定。至於是否要在 PDA 安裝 eTrust 就不強制規定了,因為這些裝置並不是受管理的裝置。

自動更新病毒簽名檔,是由系統管理員透過 eTrust 設定加以設定。在緊急情況下,如果病毒簽名檔必須在定期更新 (每隔八小時) 之前更新,Microsoft IT 就會透過網域登入指令碼強制更新。

無論伺服器的功能為何,Microsoft 至少會使用作用中的掃描來掃描系統檔案和共用目錄 (檔案伺服器),不管系統檔案和共用目錄在哪裡都一樣,這是 Microsoft 的最低標準設定。

郵件病毒牆

由於進入網路接觸病毒軟體最可能的點就是電子郵件,因此 Microsoft Exchange 電子郵件基礎結構還多了額外的保護層,如 [圖 2] 所示。

[圖 2]

[圖 2] 分層電子郵件保護架構

Microsoft 有六部主機擔任內送簡易郵件傳送通訊協定 (SMTP) 轉送伺服器,它們會檢查所有內送的電子郵件,只要發現符合篩選規則的郵件,就立即刪除。這些規則都是反作用規則,主要用途是根據寄件者或收件者來刪除電子郵件。這些主機一天大約會篩選和刪除 680 萬封電子郵件。

下一層負責篩選垃圾郵件。這項功能連同 Exchange 智慧型郵件篩選器軟體,與寄件者和收件者篩選功能是位於同一部 SMTP 轉送伺服器上。這一層每天可防止 240 萬封左右的電子郵件進入下一層,而下一層會進行更密集的資源防毒篩選。

下一個防禦層是由六部獨立的伺服器所組成,負責篩選和處理內送和外寄電子郵件。這些伺服器是執行 Windows Server 2003 和 Sybari Antigen VirusWall 篩選軟體的專用電腦。執行 VirusWall 的伺服器是作為 SMTP 轉送伺服器使用,它們含有病毒掃描功能,可以掃描每一封轉送的郵件。該軟體會在使用者轉送郵件之前,從郵件抓出所有發現的病毒。它每天可以掃描大約 300 萬封內送電子郵件,平均每天可以抓出 50,000 隻病毒。這些伺服器也執行 Sybari Antigen 軟體,容許 Microsoft IT 篩選和抓出附加在內送電子郵件的定義檔案類型。

最後一層防毒防禦,是使用者的電子郵件用戶端。標準公司員工電腦必須執行含有更新簽名檔的 eTrust。如果有不明程式企圖存取連絡人清單,Microsoft Outlook® 也會通知使用者。

為了防止 Microsoft Office 文件可能內含的有害巨集病毒入侵,Microsoft Office XP 和 Office Professional Edition 2003 安裝程序會將 Microsoft Outlook、Microsoft Word、Microsoft Excel® 和 Microsoft PowerPoint® 的巨集安全性等級預設為「高」。只要是未經簽署的巨集,一律自動停用。

心得與最佳作法

  • 使用 Exchange Server 2003 SP2 所提供的 Exchange 智慧型郵件篩選器防垃圾郵件解決方案。

  • 如果是防毒解決方案,請在桌上型電腦和受管理的伺服器上使用 Computer Associates eTrust,在傳訊閘道上則使用 Sybari Antigen。

  • 部署 ISA Server 2004 以連接網際網路和公司網路,以強固的防火牆安全性設定、網路隔離、應用程式篩選和通訊協定篩選,來保護傳訊伺服器。

外部網路

狀況

Microsoft IT 會維護大約連接 30,000 個企業夥伴的外部網路環境。除了大量不同架構所帶來的風險之外,廠商網路也是有機可乘的地方,因為它們並不符合 Microsoft IT 安全性標準。

解決方案

Microsoft IT 在廠商網路使用稽核、淘汰、移轉和補救服務的方式,納入 Microsoft IT 所管理的連線和帳戶,以達到符合原則與準則的目的。

規劃與部署

外部網路也可以具備內部網路的特性。外部網路負責連繫公司和特定的人員或群組,例如,客戶與合作夥伴。Microsoft IT 根據它的實作方式,建議您採用下列幾種最佳作法:

  • 隔離外部網路資源與內部網路資源,只接受必要的服務;並且特別注意外部網路的週邊防火牆解決方案。

  • 對外部網路應用程式使用應用程式檢測程序,檢測應用程式是否有已知的弱點,並且遵守公司標準。例如,要求進行資料驗證,不容許匿名驗證,並且利用安全通訊端層 (SSL),將來自網際網路的連線加密。

  • 使用與您在內部網路同一類型 (如果所用的並非更強固的類型的話) 的伺服器設定管理系統。我們建議系統管理員使用智慧卡存取。同時,也請您務必鎖定伺服器,並且維護目前的更新。

心得

  • 將廠商連線移到外部網路,或者移轉到網際網路。這樣,外部網路就可掌控大部份的企業夥伴應用程式。

  • 要求外部網路網域控制站的系統管理員使用智慧卡,以及使用選定的高安全性伺服器,限制共用網域服務帳戶和網域系統管理員權限。

  • 消除共用的合作夥伴帳戶、30 天後刪除不用的新帳戶、停用非作用的帳戶,以及合併本機系統管理員帳戶。

  • 要求合作夥伴在週邊存取控制點 (透過 ISA Server 2004 實作) 進行驗證。

Microsoft IT 的全球環境

Microsoft 是一個龐大、複雜且經常變動的企業,因此 Microsoft IT 小組肩負著獨特的使命,不僅運作世界級的公用程式維持企業生產力,首要職責更是擔任 Microsoft IT 的第一個與最佳的客戶。這項任務包括將所有企業軟體的測試版部署至整個公司,在其開發初期階段進行測試;提供寶貴的意見給生產小組,協助為客戶、用戶和合作夥伴提供可以預測且值得信賴的服務。您可以從下列資料瞭解這些作業的環境 (此為估計數字):

  • 將近 95,000 名 IT 使用者

  • 超過 300,000 台電腦和裝置

  • 分處世界各地的 7 個網站執行 Microsoft Exchange Server

  • 110 台伺服器執行 Exchange Server

  • 38 部信箱伺服器

  • 每日超過 300 萬封的內部電子郵件訊息

  • 每日超過 880 萬封的外部電子郵件訊息

  • 每日封鎖超過 680 萬封電子郵件訊息

  • 每月超過 4200 萬個遠端連線

如需詳細資訊

如需 Microsoft 產品或服務的詳細資訊,請洽 Microsoft Sales Information Center,電話 (800) 426-9400。加拿大地區請洽 Microsoft Canada information Centre,電話 (800) 563-9048。美國 50 州及加拿大以外的地區,請連絡當地的 Microsoft 分公司。若要利用全球資訊網存取資料,請至:

http://www.microsoft.com/technet/itshowcase (英文)

下載

IT 經驗分享 (英文)
606 KB
Microsoft Word 檔

顯示: