IO 功能: 安全性與網路 - 合理化至動態層級
本頁內容
.gif){kind=icon}
簡介
需求: 整合式用戶端與伺服器邊緣的威脅管理和安全防護功能
需求: 監視桌上型電腦、應用程式及伺服器基礎結構的啟用模型服務層級
需求: 適用於未修補或受感染電腦的隔離解決方案
簡介
安全性與網路是第三個核心基礎結構最佳化功能。下表說明在安全性與網路中移至動態層級的高層級挑戰、適用解決方案,以及優點。
挑戰 |
解決方案 |
優點 |
|---|---|---|
業務挑戰 桌上型電腦或伺服器中沒有企業防火牆安全性原則 沒有企業外部網路安全性原則 IT 挑戰 伺服器事件管理被動、缺乏完整的企業觀點 桌上型電腦或伺服器沒有即時的安全性事件監視功能 |
專案 實作整合式用戶端與伺服器邊緣的威脅管理和和安全防護功能。 部署桌上型電腦、應用程式及伺服器基礎結構的啟用模型服務層級監視功能 實作適用於未修補或受感染電腦的隔離解決方案 |
業務效益 從桌上型電腦到防火牆及外部網路,以明確的原則與控制達到主動式的安全性 徹底遵循法規 以穩定和安全的環境提高使用者生產力 迅速並主動回應安全性問題 透過安全性原則反映業務表示方式 IT 優勢 以桌上型電腦類似的功能完整監視與報告伺服器基礎結構 以符合成本效益的方式,控制及掌握每一部電腦,協助 IT 先主動解決問題,不會讓問題影響使用者 |
基礎結構最佳化模型中的動態層級,所探討的是網路及安全性元件的主要需求,包括:
整合式用戶端與伺服器邊緣的威脅管理和安全防護功能
監視桌上型電腦、應用程式及伺服器基礎結構的啟用模型服務層級
適用於未修補或受感染電腦的隔離解決方案
需求: 整合式用戶端與伺服器邊緣的威脅管理和安全防護功能
對象
如果您的用戶端及伺服器邊緣沒有整合式的威脅管理和安全防護功能,請閱讀本章節。
概觀
組織的網路正面臨越來越集中目標的連續複雜攻擊。保護網路資源及提供合法活動流暢的存取,需要一個複雜且多功能的邊緣閘道解決方案。為了維持核心基礎結構最佳化模型的安全遠端存取需求之一致性,保護 IT 環境不受網際網路威脅已成為必要課題。
階段 1: 評估
「評估」階段應判斷適合貴組織需求的伺服器與用戶端邊緣安全性,並識別目前已有的程序。不同公司或組織的安全性需求可能非常不同,必須視其規模、產業或領域,或地方法律及法規而定。收集正式的組織風險與需求清單,可讓您評估安全性技術,以及如何使用這些技術來提升貴組織的效率。
階段 2: 識別
在「識別」階段,您會檢視貴組織中目前採用的安全性與遠端存取技術和程序,並判斷貴組織的安全性需求為何。在這個階段,除了正在使用或可供使用的技術元件外,您還要收集目前非強制或已強制的安全性原則。視您所在的地區或產業之法律或法規而定,您也可能需收集其他外部法規遵循需求。建議貴組織在規劃適用於未修補或受感染電腦的自動化隔離解決方案的動態層級需求時,同時考慮伺服器和用戶端邊緣威脅模型以及對應技術。
階段 3: 評估與規劃
「評估與規劃」階段期間,貴組織的目標應該是判斷邊緣安全性策略,以及評估可用於降低網際網路威脅的技術。評估技術時,您應該考量安全性最佳化以存取組織的檔案資源和分公司,以及您的 Web 和 LOB 應用程式的存取方式。貴組織可以使用工具以提供 Web 應用程式和網路資源進階的虛擬私人網路 (VPN) 安全性及防火牆,以及更嚴格的存取控制和網路資源與 LOB 應用程式的進階授權。
Internet Security and Acceleration (ISA) Server 2006
Microsoft Internet Security and Acceleration (ISA) Server 2006 是一個安全性閘道,可協助保護您的應用程式及資源防範網際網路威脅。ISA Server 可協助貴組織確保應用程式與資料存取的安全。另外,也可以協助保護應用程式基礎結構的安全,作法為使用狀態封包檢查、應用程式層級篩選和全面性的發佈工具,保護所有網路層級的 LOB 應用程式、服務和資料。使用 ISA Server,您就可以透過一致的防火牆和虛擬私人網路 (VPN) 架構,簡化您的網路。ISA Server 可協助保護您的 IT 環境,並降低安全性風險和成本,同時減輕惡意軟體和攻擊者對貴組織造成的威脅。
Intelligent Application Gateway (IAG) 2007
Microsoft Intelligent Application Gateway (IAG) 2007 具備應用程式最佳化工具,提供安全通訊端層 (SSL) 虛擬私人網路 (VPN)、Web 應用程式防火牆,以及端點安全性管理,可使用各種 LOB 應用程式的存取控制、授權及內容檢查。這些技術在搭配使用時,能讓行動和遠端工作者以簡單彈性的安全方式存取各種裝置和位置,包括 Kiosk、桌上型電腦和行動裝置。IAG 也能讓 IT 系統管理員透過依據裝置、使用者、應用程式或其他業務準則自訂的遠端存取原則,強制遵循應用程式和資訊使用準則。主要的優點包括:
SSL VPN 型存取、整合式應用程式保護,以及端點安全性管理的獨特組合。
有助於隔絕惡意流量並讓機密資訊通過的強大 Web 應用程式防火牆。
透過周全易用的平台,降低管理安全存取和保護企業資產的複雜度。
與核心 Microsoft 應用程式基礎結構、協力廠商企業系統和自訂內部工具之間的互通。
階段 4: 部署
在「部署」階段實作經過評估及核准的邊緣安全性解決方案。必須對任何引進環境中的其他控制機制執行可用性和演習測試。
詳細資訊
如需 ISA Server 產品及實作的詳細資訊,請造訪 Microsoft TechNet 的 ISA Server TechCenter,網址:https://www.microsoft.com/technet/isa/default.mspx (英文)。
主題檢查點
|
需求 |
|---|---|
評估伺服器邊緣安全性威脅與評估威脅減輕解決方案。 |
|
|
實作技術解決方案,以保護用戶端與伺服器邊緣防範網際網路威脅。 |
.gif)
需求: 監視桌上型電腦、應用程式及伺服器基礎結構的啟用模型服務層級
對象
如果您的桌上型電腦、應用程式及伺服器基礎結構沒有啟用模型服務層級監視功能,請閱讀本章節。
概觀
在《核心基礎結構最佳化實作人員資源指南: 標準化至合理化層級》指南中,以探討過採用最佳作法服務層級管理在合理化層級的許多要求。為服務層級管理引入的程序說明如何透過服務等級協定 (SLA) 定義與衡量服務。啟用模型的服務層級監視要求具備在系統層級中表達服務模型的方法,以將這些概念納入動態層級,並針對定義的 SLA 報告實際的服務層級 (跨越多個元件)。技術與業界標準最近的發展 (例如新的服務模型語言,即 SML) 允許組織實作實際的啟用模型服務監視與管理。
階段 1: 評估
以 ITIL/COBIT 為基礎的程序管理的合理化層級要求貴組織實作服務層級管理程序,並因此定義服務類別目錄。服務類別目錄會列出目前所提供的服務、摘要服務特性、描述服務的使用者,以及詳細說明負責持續維護的人員。「評估」階段將確保服務類別目錄的完成與更新。
階段 2: 識別
「識別」階段會宣告服務類別目錄中的哪些服務具備模型,並為每一個服務指派優先順序。在「評估與規劃」階段考量技術選項和規劃實作時,會使用宣告的服務清單。這項需求著重於 IT 服務的子集,包括桌上型電腦或用戶端服務、應用程式服務,以及伺服器基礎結構。
階段 3: 評估與規劃
「評估與規劃」階段的目標在於識別所需的技術,以啟用桌上型電腦、應用程式及伺服器基礎結構的模型服務層級監視功能。這代表選取的技術具備系統化定義貴組織服務類別目錄的能力,以及監視已定義服務的可用性與事件。
System Center Operations Manager 2007
Operations Manager 2007 (英文) 提供服務導向的監視方法,可讓您監視端對端資訊技術服務、大規模監視大型環境與組織,並使用 Microsoft 應用程式與作業系統知識解決作業上的問題。Operations Manager 2007 是為了符合核心基礎結構最佳化模型中的此項需求所建議的解決方案,並可提供功能建立和監視端對端服務模型。
桌上型電腦服務監視
Operations Manager 2007 中的桌上型電腦服務監視使用兩種機制監視桌上型電腦的情況: 無代理程式例外監控以及客戶經驗改進計劃資料收集。
無代理程式例外監控 (AEM)
AEM 可讓您監控作業系統是否發生當機及應用程式是否發生錯誤。錯誤報告用戶端設定了群組原則,將錯誤報告重新導向至 Operations Manager 2007 管理伺服器,而不直接向 Microsoft 報告。Operations Manager 2007 會執行管理伺服器的錯誤報告,以提供詳細的檢視及報告,彙總貴組織中所有錯誤資料。檢視與報告提供有關錯誤的資訊,並提供可用的解決方案,協助解決問題。
您可以判斷作業系統或應用程式發生錯誤的頻率,以及受影響的電腦和使用者數目。這項判斷可讓您致力於能對組織產生最大效益的作業上。
當錯誤報告以匿名方式和 Microsoft 進行同步處理時,基於 Microsoft 錯誤報告服務的隱私權聲明,會提供每一個錯誤可使用的解決方案回應。您也可以使用 AEM,針對您在內部開發應用程式時所發生的情形提供解決方案。
客戶經驗改進計劃 (CEIP)
當您選擇參與 CEIP 時,要使用群組原則設定用戶端,以便將 CEIP 報告重新導向至 Operations Manager 2007 管理伺服器,而不是直接向 Microsoft 報告。管理伺服器設定為將這些報告轉送給 Microsoft。
自貴組織轉送給 Microsoft 的 CEIP 報告會結合其他組織和個別客戶的 CEIP 報告,以協助 Microsoft 解決問題並改善客戶最常使用的 Microsoft 產品及功能。如需 CEIP 的詳細資訊,請參閱 https://go.microsoft.com/fwlink/?linkid=75040。
Windows 型工作站作業系統與應用程式的管理套件
下列是 Windows 型工作站作業系統與應用程式的管理套件,隨附於 Operations Manager 2007 中:
Windows Vista®
Windows XP
Windows 2000
Microsoft Information Worker
分散式應用程式服務監視
Operations Manager 2007 中的分散式應用程式服務會監視您所定義的分散式應用程式的健全狀況。它會建立必要的監視、規則、檢視和報告,以監視您的分散式應用程式和內含的個別元件。在 Operations Manager 2007 中建立分散式應用程式時,首先要建立服務以定義高層級的分散式應用程式監視物件。接著,您要定義屬於所要監視之分散式應用程式的個別元件。
基礎結構監視
Operations Manager 2007 持續提供全面性伺服器基礎結構狀況監視,並加入 Operations Manager 2005 之後的新功能,以監視支援 SNMP 的裝置,例如路由器、列印伺服器,以及執行非 Windows 系統的電腦 (即使裝置或作業系統沒有管理套件)。若要監視這些裝置或其他作業系統,您可以建立使用 SNMP 的監視和規則。SNMP 型的監視與規則可以收集 SNMP 事件或陷阱的資料,並產生警示或變更受監視物件的健全狀況。
階段 4: 部署
「部署」階段也是實作從前三個階段所衍生出的規劃。如果貴組織已選取 System Center Operations Manager 2007 作為定義與監視您的 IT 服務的技術,詳細的部署指引請參閱 Microsoft TechNet 上的 System Center Operations Manager 2007 線上文件庫 (英文)。
詳細資訊
如需使用者佈建的詳細資訊,請造訪 Microsoft TechNet 並搜尋「服務監視」和 "Operations Manager"。
主題檢查點
|
需求 |
|---|---|
|
|
|
|
|
實作自動化解決方案,以定義和監視服務層級。 |
如果您已經完成上列步驟,則貴組織就已達到「監視桌上型電腦、應用程式及伺服器基礎結構的啟用模型服務層級」的最低要求。
移至下一個自我評估問題。
需求: 適用於未修補或受感染電腦的隔離解決方案
對象
如果您沒有未修補或受感染電腦的隔離解決方案,請閱讀本章節。
概觀
在現今充滿安全意識的環境裡,進一步保護網路和敏感性資料的方法是非常複雜的工作。光是周邊防禦和防毒套件,已不足以保護網路資產和機密資訊了。現在安全性組織和專業人員終於瞭解,惡意或意外的內部網路風險,很可能比外部威脅更加可怕。若要移至動態層級,您需要具備機制以隔離未受管理的電腦存取整個公司網路。
網際網路普遍的可用性已導致許多組織的運作方式改變。為了維持競爭優勢,組織越來越需要員工從遠端連線至企業網路,例如從家中、分公司、旅館、網路咖啡,或客戶的所在地。
階段 1: 評估
「評估」階段要再次清查您的設定管理程序中所追蹤的用戶端安全性設定,以開始隔離解決方案專案。到了動態層級,我們假設貴組織已具備了最佳作法修補程式管理和防毒控制的標準化層級需求,以及屬於合理化層級需求組合的建構管理。「評估」階段會檢查用戶端組態項目,並確保是最新的項目。
階段 2: 識別
在「識別」階段,我們會判斷哪些設定應予以控制並加入成為基本需求,以評估連線至網路資源的用戶端電腦是否會造成威脅。一般而言,基本需求包括安裝所有必要的軟體更新和防毒程式,以及具備最新的簽章。在「識別」階段,您也要考慮修補程式管理、設定掃描、防毒更新作法,以及如何以最方便的方式將這些資料納入實作的隔離解決方案需求中。
階段 3: 評估與規劃
在「評估與規劃」階段,我們要判斷可用的技術,以啟用所要的功能並執行「識別」階段中所定義之不遵循設定的偵測與鎖定常式。動態層級要求至少遠端連線至網路資源必須透過隔離解決方案加以控制。這些遠端連線通常會和虛擬私人網路 (VPN) 技術一起實作。本節主要是參考 Microsoft TechNet 上的以 Microsoft 虛擬私人網路實作隔離服務規劃指南。另外也會介紹隨附於 Windows Vista 和 Windows Server 2008 中用於企業內部隔離服務的網路存取保護。
虛擬私人網路 (VPN)
VPN 連線可讓員工及合作夥伴以安全的方式,連線至公開網路上的企業區域網路 (LAN)。使用 VPN 技術的遠端存取是觸發許多新商機的關鍵,例如遠端管理和高度安全性的應用程式。
雖然 VPN 透過 VPN 通道加密資料以提供安全的存取,但無法防止惡意軟體的入侵,例如遠端存取電腦所啟始的病毒或蠕蟲。病毒或蠕蟲攻擊可能是連線至 LAN 的受感染電腦所造成。具備 Windows Server 2003 中的網路存取隔離控制功能的 VPN 隔離,可以提供解決這些問題的機制。VPN 隔離可確保使用 VPN 通訊協定連接至網路的電腦都必須接受連線前及連線後的檢查,並進行隔離,直到電腦符合必要的安全性原則為止。
VPN 隔離解決方案將所有符合特定遠端存取原則的連線電腦放在隔離的網路中,並確認這些電腦遵循組織的安全性原則。遠端存取 VPN 伺服器會提高隔離限制,且只有在遠端存取電腦通過所有連線檢查時才允許存取企業網路資源。
VPN 會對照組織標準檢查並驗證遠端存取電腦的設定,延遲私人網路的完整連線以隔離工作。如果連線的電腦不遵循組織的原則,則隔離程序會先安裝 Service Pack、安全性更新以及病毒定義檔,才會允許電腦連線至其他網路資源。
VPN 隔離需求
實作 VPN 隔離需要下列元件:
與隔離相容的遠端存取用戶端
與隔離相容的遠端存取伺服器
與隔離相容的遠端存取撥號使用者服務 (RADIUS) 伺服器 (選用)
隔離資源
帳戶資料庫
隔離遠端存取原則
虛擬私人網路隔離連線程序
下圖概述使用位於隔離子網路上的資源伺服器進行 VPN 隔離的方法。
.gif)
圖 9. VPN 隔離程序路徑
當使用者嘗試連線至遠端網路時,VPN 隔離會實作經過修改的程序。程序包括下列步驟:
電腦會執行連線前健全狀況原則驗證檢查,以確保電腦符合特定電腦健全狀況需求。其中可能包括 Hotfix、安全性更新,以及病毒簽章。連線前指令碼會在本機儲存這些檢查的結果。組織也可以執行連線後安全性檢查。
順利完成連線前檢查之後,電腦就會使用 VPN 連線至遠端存取伺服器。
遠端存取伺服器會使用 RADIUS 伺服器,針對儲存在 Active Directory® 目錄服務中的使用者名稱與密碼驗證使用者認證。在此程序中 RADIUS 是一項選擇性元件。
如果 Active Directory 驗證使用者,則遠端存取伺服器會使用 VPN 隔離遠端存取原則,將用戶端放進隔離中。遠端存取用戶端電腦限制為只能存取遠端存取原則所指定的隔離資源。有兩種方法可以在遠端存取用戶端電腦上強制隔離: 使用特定逾時期間,用戶端電腦才不會無限期地處於隔離狀態,或使用 IP 篩選器限制 IP 流量只能通過指定的網路資源。
連線後指令碼會通知遠端存取伺服器,說明用戶端遵循指定的需求。如果連線不符合指定之逾時期間的需求,則指令碼會通知使用者並捨棄連線。
遠端存取伺服器會以移除 IP 篩選器的方式將用戶端電腦從隔離中移除,並授與遠端存取原則指定的適當網路資源存取權。
網路存取保護
網路存取保護 (NAP) 是建置在 Windows Vista 與 Windows Server 2008 作業系統中的原則強制平台,允許您強制遵循系統健全狀況需求,更有效的保護網路資產。
電腦健全狀況需求
在確保連線至您的網路並進行通訊的電腦都遵循系統健全狀況需求,是個很大的挑戰。例如,遵循的電腦已安裝正確的安全性軟體 (例如防毒保護)、最新的作業系統更新,以及正確的設定 (例如啟用主機型防火牆)。但是,可攜帶使用的膝上型電腦可以漫遊至各網際網路作用點及其他私人網路,以及使用家用電腦進行遠端存取連線,使得這項挑戰變得更為困難。如果連線的電腦不遵循原則,就會使您的網路容易受到惡意軟體的攻擊,例如網路層級的病毒和蠕蟲。若要提供保護防範不遵循原則的電腦,您需要執行下列步驟:
集中設定各項原則,以指定系統健全狀況的需求。
先確認系統的健全狀況,再允許私人網路或私人網路資源的無限存取權。
將不遵循原則的電腦的網路存取權限制在內含資源的有限網路,將不遵循原則的電腦變成遵循的狀態。
NAP 提供元件和基礎結構,可協助您驗證及強制遵循網路存取與通訊的系統健全狀況原則。
健全狀況原則驗證
當使用者嘗試連接您的網路時,網路存取保護會針對您所定義的健全狀況原則驗證電腦的健全狀況。您可以選擇當電腦不遵循原則時應該執行的步驟。在只能監視的環境中,所有授權的電腦即使不遵循健全狀況原則,均會被授與網路的存取權,但是會記錄每一部電腦的遵循狀態。在有限的存取環境中,遵循健全狀況原則的電腦可無限制的存取網路,但不遵循健全狀況原則的電腦或與網路存取保護不相容的電腦,則只能存取受限制的網路。在這兩種環境下,與網路存取保護相容的電腦可以變成自動遵循原則,而您可以定義驗證程序例外。網路存取保護也包括移轉工具,以方便您定義最適合您網路需求的例外。
健全狀況原則遵循
您可以選擇透過管理軟體,例如 Microsoft Systems Management Server,將遺漏的需求自動更新至不遵循原則的電腦,以確保遵循健全狀況原則。在只有監視的環境中,即使電腦在更新必要的軟體或設定變更之前,也具備網路存取權。在有限的存取環境中,不遵循健全狀況原則的電腦在完成軟體與設定更新之前,具備的存取權限有限。同樣的,在這兩種環境下,與網路存取保護相容的電腦可以自動變成遵循原則,而且您可以定義原則例外。
有限網路存取
您可以限制不遵循健全狀況原則需求的電腦存取權,以保護網路資產。您可以定義不遵循原則的電腦所具備的存取權層級。網路存取限制可以以特定時間為基礎,或網路存取是否限制為只存取有限網路、單一資源或不可存取內部資源。如果您未設定健全狀況更新資源,則連線期間將維持有限存取。如果您設定健全狀況更新資源,則有限的存取將維持到電腦遵循原則為止。您可以在網路中使用監視及健全狀況原則遵循,並為這兩個方法設定例外。
階段 4: 部署
動態層級只要求遠端存取使用者實作 VPN 隔離解決方案。如果貴組織使用 Windows Server 2008 基礎結構,則建議採用網路存取保護解決方案。Windows Server 2003 中的網路存取隔離控制 (英文) 指南提供隔離解決方案的其他規劃與部署指引。
若要部署網路存取隔離控制,則基本步驟 (按順序) 如下:
建立隔離資源。
建立指令碼或程式,以驗證用戶端設定。
將 Rqs.exe 安裝在遠端存取伺服器上。
使用 Windows Server 2003 連線管理員系統管理組件 (CMAK) 建立新的隔離連線管理員 (CM) 設定檔。
發佈 CM 設定檔,以安裝在遠端存取用戶端電腦上。
設定隔離遠端存取原則。
建立隔離資源
若要允許您的遠端存取用戶端存取處於隔離模式中的名稱伺服器、Web 伺服器或檔案伺服器資源,您必須指定遠端存取用戶端可用的伺服器及其資源。
建立指令碼或程式,以驗證用戶端設定
您所建立的隔離指令碼或程式可以是可執行檔 (*.exe) 或甚至只是命令檔 (*.cmd 或 *.bat)。在指令碼中,執行測試以確保遠端存取用戶端遵循網路原則。
將 Rqs.exe 安裝在遠端存取伺服器
遠端存取隔離代理程式服務 (Rqs.exe) 元件會接聽與隔離相容的遠端存取用戶端,指示其指令碼已順利執行。
使用 Windows Server 2003 CMAK 建立新的隔離 CM 設定檔
隔離 CM 設定檔只是撥號或 VPN 存取的一般遠端存取 CM 設定檔,並具有下列額外項目:
您必須加入連線後動作以執行所建立的指令碼或程式,以檢查是否遵循網路原則,並將指令碼或程式包括在設定檔中。這是在 CMAK 精靈的 [自訂動作] 頁面上完成的。
您必須將通知元件加入至設定檔。這是在 CMAK 精靈的 [其他檔案] 頁面上完成的。
如需使用 CMAK 中的自訂動作的詳細資訊,請參閱 Windows Server 2003 說明與支援中,標題為「採用自訂動作」的主題。
發佈 CM 設定檔,以安裝在遠端存取用戶端電腦上
建立了隔離 CM 設定檔後,必須發佈並安裝在您的遠端存取用戶端電腦上。設定檔本身是一個可執行檔,必須在遠端存取用戶端上執行以安裝設定檔,並設定隔離網路連線。
設定隔離遠端存取原則
如果路由與遠端存取設定了 Windows 驗證提供者,請在遠端存取伺服器上使用路由及遠端存取嵌入式管理單元設定隔離遠端存取原則。如果路由及遠端存取設定了 RADIUS 驗證提供者,請在 IAS 伺服器上使用網際網路驗證服務嵌入式管理單元設定隔離遠端存取原則。
總結
使用網路存取隔離控制的 VPN 隔離以受管理的方法避免完全存取您的內部網路,直到已確認遠端存取用戶端電腦的設定遵循網路原則為止。網路存取隔離控制使用內含內嵌式隔離指令碼及通知程式元件的 CM 設定檔、在 Windows Server 2003 遠端存取伺服器上執行的接聽程式元件,以及隔離遠端存取原則。若要部署網路存取隔離控制,您必須指定並設定隔離資源、建立隔離指令碼、在遠端存取伺服器上安裝接聽程式元件、建立及發佈隔離 CM 設定檔,以及設定隔離遠端存取原則。
詳細資訊
如需使用者佈建的詳細資訊,請造訪 Microsoft TechNet 並搜尋「VPN 隔離」和 "NAP"。
主題檢查點
|
需求 |
|---|---|
|
評估技術,以啟用遠端與企業內部使用者的網路隔離。 |
|
實作適用於遠端使用者的 VPN 隔離解決方案。 |
如果您已經完成上列步驟,則貴組織就已達到基礎結構最佳化模型中,「未修補或受感染電腦的整合式隔離解決方案」功能的最低需求。
移至下一個自我評估問題。