Windows NT 4.0 與 Windows 98 降低安全性威脅指南

第 2 章:Trey Research 安全性風險管理法則應用案例

發佈日期: 2004 年 9 月 13 日 | 更新日期: 2006 年 3 月 30 日


本章說明將有組織且可以重複實施的風險分析方式使用在資訊系統之基本原則。每個組織都應該建立全面的風險管理程序,評估在哪方面投入時間和精力保護系統安全,才能夠獲得最佳的安全性和投資報酬率 (ROI)。

提升企業網路上舊版應用程式和用戶端安全性的第一步,就是全面分析環境、應用程式、使用者及網路相關的威脅和風險。Microsoft 建議您使用定義完善的程序 (例如 Microsoft 安全性風險管理法則 (SRMD)) 為每個網路進行分析。SRMD 提供了結構化且可以重複進行的程序,來評估組織的資產、風險、攻擊者可能竊取或破壞資產的弱點,以及可以應用哪些對策降低或移轉風險。

SRMD 的詳細討論不在本指南的範圍內,但內容包括 SRMD 用以識別與量化資產價值以及資產所面臨之威脅的架構,能讓組織對適當且符合成本效益的安全性活動做出正確的決策。

注意:如需更多關於 SRMD 的資訊,請參閱本章結尾的<更多資訊>一節。

本頁內容

案例詳細資料
套用安全性風險管理法則
評估風險
做出風險決策
總結

案例詳細資料

Trey Research 是專業的污水分析、監視及處理公司。Trey 的總部在西雅圖,而在喬治亞州、佛羅里達州、亞利桑那州及賓夕法尼亞州都有辦事處。Trey 總共不到 500 位員工,其中有實地工作人員、實驗室技術人員、科學家以及一些管理人員。

Trey Research 的客戶包括需要專業評估服務 (例如測量地下水汞含量) 的當地政府和州政府,需要在建設前、建設中和建設後進行現場測試的建設公司,需要持續監視設備的工業和製造公司,以及需要緊急環境監視和清理的其他機構。Trey 收集的資料和對結果的分析,通常在財務或法律方面都是重要的。當 Trey 的工程師需要出庭擔任專家證人時,所收集的資料生命週期必須符合特定的證據鏈要求。

實地工作人員會保留測量的書面記錄,在回到辦公室時會手動將記錄輸入電腦。部分工程師會在現場使用 Microsoft® Windows® 98 筆記型電腦直接輸入資料,但這種分析系統僅用於 Trey 的少數大客戶。

過去三年來,Trey 每年以大約 20% 的速率不斷發展。這種發展速度最後使得公司的 CEO 僱用了 IT 主管,以建立和管理資訊系統現代化的計畫。2003 年後期 IT 主管上任的第一項工作就是執行風險分析,以深入瞭解公司電腦資產的價值及其所面臨的弱點。有了這項分析,Trey 對 IT 環境做了多項快速的變更。第一項重大變更是將網域結構升級為 Microsoft Active Directory® 目錄服務和 Microsoft Windows Server™ 2003。此升級立即增強了網域帳戶的安全性,並可將其他群組原則控制項套用於存放重要檔案的電腦 (例如主管及其員工使用的電腦)。此外,公司還加速了技術現代化計畫,讓新的分析和收集系統初始佈署 (以 Windows XP 和 Windows XP Tablet PC Edition 為基礎) 比原計畫更早開始。

但是,Trey 還選擇進一步投資強化其現有系統,以降低新系統完全部署前這段時間的資料遺失或危害風險。CEO 給了 IT 主管一個月的時間識別與排列風險等級,並降低最直接的安全性威脅,同時研究公司 Microsoft Windows NT® 4.0 系統的升級。雖然時間很短,但是 Trey 慎重處理安全性威脅,並積極地採取保護措施。

網路

本文件中所述的建議與設定,已經在模擬的 Trey 公司網路上進行過測試,網路設定如下圖所示:

圖 2.1 Trey Research 網路的網路測試子集

圖 2.1 Trey Research 網路的網路測試子集

Active Directory 設計

Trey Research 組織使用一個 Active Directory 網域。之所以選擇這樣的結構,是因為方便維護和控制。因為所有辦事處都透過私人租用線路連線到 Trey 的總部,因此無需為個別分公司建立子網域。

商業需求

Trey 有下列五個與公司系統和網路相關的主要商業需求:

  • 保持系統的完整性,以防止外部攻擊者的危害。此需求需要強化網路以防止入侵、改善稽核和記錄,以及減少系統可能受到常見攻擊的弱點。

  • 採取所有安全性措施後,保持正常的商業活動。因為大部分的分析工作都是時間緊迫的,因此不能對工作造成頻繁或持續的干擾。

  • 必要時保持資訊的機密性。Trey 所管理的部分資訊是非常機密的,因此公司必須避免洩漏資訊導致的責任。

  • 增強保護,以防範網路上的惡意程式碼。因為 Trey 有自由的使用原則,因此許多使用者都有自行下載與安裝軟體的習慣。在過去,這種情況會導致安全性和效能問題。強化工作的其中一個目標,是讓公司的系統盡量避免受到下載的 惡意程式碼攻擊。

  • 提供自動化方法進行稽核和散佈安全性補充程式。


套用安全性風險管理法則

SRMD 的目標是提供量化風險的方法,然後降低組織控制範圍內的風險。因此,SRMD 將風險管理定義為一個持續進行的過程,其中有四個主要階段,如下圖所示:

  1. 評估風險。識別並按照優先順序排列組織的風險, 這些風險不一定與特定的 IT 系統或資產相關。

  2. 決策支援。根據定義的成本利益分析程序,確認和選擇控制解決方案。

  3. 實作控制。部署和操作全部的控制解決方案,降低組織的風險。

  4. 測量風險。判斷和報告已部署控制的效益,將風險管理到可接受的程度。

    圖 2.2 SRMD 過程

    圖 2.2 SRMD 過程

《Microsoft 安全性風險管理法則》(英文) (將於 2004 年內稍後發行) 詳細說明了 SRMD。Trey 的 IT 人員根據 SRMD 內容建立計畫,其中執行了下列作業:

  1. 評估風險,Trey 需要執行三個步驟以建立評估風險的計畫,收集有關實際風險程度和組織的弱點的資料,以及按照嚴重性和成本排列這些風險的優先順序。

  2. 使用風險評估根據存在的實際風險程度,決定要套用的特定控制。

  3. 實作選定的控制。本指南其餘章節專門討論可以套用哪些控制,以降低特定類型的風險。

  4. 評估套用的控制對風險和組織的環境之影響。

本章著重於前兩個步驟,並說明 Trey IT 人員如何調整 SRMD 以適合其環境,協助公司開始執行風險管理的 SRMD 導向程序。其餘章節會著重於第三個步驟,即套用實際控制。

評估風險

Trey 開始安全性強化程序必須採取的第一個重要步驟是,評估公司實際面臨的風險和威脅。此程序需要 Trey 將下列數個獨立的步驟連結在一起:

  1. 識別網路上各類電腦的角色和功能。

  2. 在不同角色中對應通訊。例如,應用程式伺服器需要與網域控制站和使用者工作站通訊。此對應應該精確地指出這些通訊所用的通訊協定、連接埠及流量模式。

  3. 識別可能會以各種角色利用電腦弱點的潛在威脅。

  4. 決定特定威脅可能會套用於指定角色的可能性。

識別角色

對於大多數網路而言,識別網路上的電腦角色是非常容易的。Trey IT 部門只要查詢公司系統實際目錄,就可以產生下表中的資料。下表列出了網路上使用的主要角色、這些角色使用的作業系統,以及這些角色的一般位置和硬體類型。所有上述資訊都與安全性威脅模型的程序相關。

表 2.1:Trey 電腦角色

角色

角色中使用的作業系統

位置

硬體類型

應用程式/Web 伺服器

Windows NT 4.0

總部

傳統伺服器

動態主機設定通訊協定 (DHCP) 伺服器

Windows Server 2003

總部和各地辦事處

傳統伺服器

網域名稱系統 (DNS) 伺服器

Windows Server 2003

總部

傳統伺服器

網域控制站

Windows Server 2003

總部和各地辦事處

傳統伺服器

管理階層行動電腦

Windows 2000 和 Windows XP

行動

行動電腦

管理階層/特殊用途工作站

Windows XP

總部

傳統桌上型電腦

辦事處工程系統

Windows 98

行動

行動電腦

檔案/列印伺服器

Windows NT 4.0

總部和各地辦事處

傳統伺服器

訊息伺服器

Windows NT 4.0

總部

傳統伺服器

特殊用途控制系統

Windows NT 4.0 和部分 Windows 98

各地辦事處

兼具傳統伺服器和桌上型電腦

使用者工作站

Windows 98 和部分

總部和各地辦事處

傳統桌上型電腦

Windows 網際網路名稱服務 (WINS) 伺服器

Windows Server 2003

總部和各地辦事處

傳統伺服器

對應通訊

識別電腦角色後,可以開始決定在不同角色中進行的網路通訊種類。這項決定可以讓您指定在整個網路和包含執行舊版 Windows 作業系統的電腦區段間,應該和不應該允許的傳輸類型。

建立網路模型

建立網路模型非常簡單, Trey 的工程師將現有的網路圖當作網路規劃圖的基礎。這一類圖應指出網路上每部電腦的實體位置、網址及作業系統類型, 甚至最好明白指出路由器和防火牆的位置,以及如何分割網路。

新增資料流量資訊

有了網路圖後,下一步是加上有關資料流量的資訊。這項作業通常使用 Yourdon-DeMarco 資料流量圖 (DFD) 分析方法進行,這個方法會以方向線段指出系統或物件間的資料傳送狀況, 線段上會標示出使用中的連接埠號碼或通訊協定。這樣便產生了能夠顯示每組角色間通訊流量的圖表。這張圖可以讓您輕而易舉地將防火牆和連接埠/封包篩選器設定為只允許指定的傳輸類型。另外,將來您還可以輕鬆地使用資料流量資料,為已部署 Windows 2000、Windows XP 及 Windows Server 2003 的組織建立網際網路通訊協定安全性 (IPsec) 篩選器規則。

識別和模型化威脅

威脅模型是為系統面臨的所有威脅 (不論來源為何) 建立詳細目錄,以增強分散式系統安全性的方式。這個方式的原理是盡可能識別並瞭解面臨的威脅,就更容易降低威脅或排除威脅。您可以依據降低威脅是否不可能、太難或代價太高,或者由於威脅不重要或可能性低而無需處理來做決定。建立威脅模型時,最基本的原則是列舉所有實際的威脅—包括所知已採取保護措施的威脅。有時,討論目前已經有辦法保護的攻擊,可能會讓您更瞭解類似的或略微相關的攻擊。

識別威脅

Trey IT 工程師製作了網路圖,指出網路中的角色和各種角色電腦間使用的通訊方法後,就開始識別並按照優先順序排列特定的威脅。這些威脅可以分為下列幾類:

  • 電腦的實體安全性或完整性所面臨的威脅。這些威脅包括火災、水災、斷電、意外或故意造成的實際破壞,以及未經授權進行存取造成的危害。

  • 個別電腦、基礎結構服務或網路本身的拒絕服務 (DoS) 攻擊。

  • 執行惡意程式碼,包括病毒、蠕蟲及特洛伊木馬程式。

  • 透過網路監視、入侵帳戶或其他方式未經授權洩漏重要資訊。

  • 對使用者或有特殊權限的帳戶喪失控制權造成的危害 (包括安全性不足的密碼、未完全控制特殊權限帳戶、未遵循安全性程序或未完全稽核所造成的危害)。

每一類威脅中都包含了多種個別威脅,其中部分已經受到控制,其他的則很難在 Trey 的環境中有效地降低。以下各章節說明了威脅類別和可以讓 Trey 降低這些威脅的措施。請注意,在許多情況下,列出的措施可能僅有部分有效。在此僅列出適用於 Windows NT 4.0 或 Windows 98 的部分,更新版本的 Windows 提供了更有效的措施。

實體安全性威脅

下表說明 Trey 在其網路上識別的主要實體安全性威脅。大部分威脅是由公司無法控制的因素引起的,也只能設定災害復原和保護營運持續性的原則加以降低,本指南並不包括這些內容。

注意:下表中的 [影響和範圍] 及 [可能性] 欄位代表 Trey IT 部門對每種特定威脅的性質、範圍及可能性的最佳評估, 這些欄的特定值在不同組織中可能有很大差異。

表 2.2:實體安全性威脅和補救措施

威脅

詳細資料/攻擊方法

影響和範圍

可能性

可用的補救措施

環境損害

火災、水災、惡劣天氣或其他外部環境因素。

高/整個網路

保險;災害復原和保護企業營運持續性的計畫。

基礎結構服務暫時中斷

廣域網路 (WAN)/網際網路連接、電源、冷卻或 Trey 未提供的其他重要基礎結構服務中斷。

中/整個網路

這些中斷往往是暫時的。

主要電腦實際損壞

意外或故意造成的損壞。

中/單一機器

備份以及對重要的電腦進行實體存取控制。

單一電腦遭到入侵

攻擊者對電腦進行實體存取和入侵。

高/單一機器

實體存取控制、強化啟動、本機管理帳戶使用增強式密碼,以及使用 Syskey 保護本機安全性帳戶管理員資料庫資料。

拒絕服務威脅

DoS 威脅是攻擊者故意以偽造的傳輸,對網路設備或電腦進行封鎖或使其過度負荷,導致對網路服務或電腦的存取中斷。這些威脅通常可以在網路週邊加以降低。下表說明 Trey 在其網路上識別為重大威脅的主要 DoS 威脅。

表 2.3:拒絕服務威脅和補救措施

威脅

詳細資料/攻擊方法

影響和範圍

可能性

可用的補救措施

竄改或偽造網路流量

攻擊者傳送不正確的/錯誤的訊息給主機。

高/整個網路

網路輸入篩選。

竄改 DNS 服務

攻擊者偽造、污染或封鎖 DNS 流量。

高/整個網路

監視 DNS 服務品質以快速偵測服務問題。

竄改或偽造目標流量

攻擊者針對個別電腦或資產進行攻擊。

高/單一電腦

連接埠和封包篩選、網路分割和個人防火牆。

使用者帳戶鎖定

攻擊者超過密碼所允許的嘗試輸入次數,啟動了帳戶鎖定原則。

中/整個網路

將帳戶鎖定原則部署為無鎖定計數。

服務帳戶鎖定

攻擊者造成密碼重試計數超過限制,導致服務帳戶拒絕存取。

中/整個網路

將帳戶鎖定原則部署為無鎖定計數。

頻寬消耗攻擊

攻擊者刻意消耗頻寬,攻擊網路或裝置。

中/整個網路

對於週邊網路,進行篩選輸入並監視網際網路服務提供者 (ISP)。對於內部主機,進行傳輸控制通訊協定/網際網路通訊協定 (TCP/IP) 堆疊強化並篩選輸入。

竄改 DHCP/WINS 服務

攻擊者偽造、污染或封鎖用戶端和基礎結構伺服器之間的 DHCP 或 WINS 傳輸。

低/單一電腦

使用多部 DHCP 和 WINS 伺服器,提供重疊範圍。

惡意程式碼威脅

下表說明 Trey 在其網路上識別的主要實際安全性威脅。與實體威脅一樣,其中大部分威脅是由公司無法控制的因素引起的,也只能設定災害復原和保護營運持續性的原則加以降低,本指南並不包括這些內容。

表 2.4:惡意程式碼威脅和補救措施

威脅

詳細資料/攻擊方法

影響和範圍

可能性

可用的補救措施

病毒散播

病毒由內部使用者傳入 Trey 網路後散播。

高/整個網路

部署用戶端和伺服器防毒軟體、教育使用者、進行補充程式管理以及隔離舊電腦。

使用者執行惡意程式碼

使用者下載並執行了偽裝成無害資料的惡意程式碼。

高/單一電腦

強化 Microsoft Internet Explorer 以及教育使用者。

蠕蟲散播

蠕蟲從網際網路或透過感染的內部電腦傳入後散播。

高/整個網路

進行補充程式管理以減少弱點,以及隔離舊電腦。

資訊洩露威脅

資訊洩露威脅包括意外洩露重要資料、授權使用者故意將資訊洩露給未經授權的對象,以及以洩露資料為目標的攻擊。

表 2.5:資訊洩露威脅和補救措施

威脅

詳細資料/攻擊方法

影響和範圍

可能性

可用的補救措施

網路竊聽

攻擊者暗中監視網路傳輸,以擷取密碼或其他重要資料。

高/整個網路

對網路進行實體存取控制、使用伺服器訊息區 (SMB) 簽章、使用 Windows NT LAN Manager 2 版 (NTLMv2) 而非 NTLM 或 LM 驗證。

竊取行動/筆記型電腦中的資料

攻擊者竊取電腦,並還原其中資料。

高/整個網路

洩露密碼資料

攻擊者從受攻擊的電腦或網路中竊取密碼雜湊。

高/整個網路

對網域控制站進行實體存取控制、使用 Syskey 以及 NTLMv2。

故意洩露資訊

授權使用者將資訊洩露給未經授權的對象。

高/單一電腦

帳戶入侵威脅

帳戶入侵威脅可以分為兩大類:攻擊者透過對電腦的實體存取權進行的攻擊 (在此情況下攻擊者可以移除本機系統管理員密碼、安裝鍵盤自動記錄器或以其他方式竄改電腦),以及網路攻擊。下表說明與 Trey 相關的最嚴重的帳戶入侵威脅。

表 2.6:帳戶入侵威脅和補救措施

威脅

詳細資料/攻擊方法

影響和範圍

可能性

可用的補救措施

網域系統管理員帳戶遭到入侵

攻擊者取得網域系統管理員帳戶的密碼。

高/整個網路

實體存取控制。

在個別電腦上本機系統管理員帳戶遭到入侵

攻擊者透過破解密碼或其他方式,找出本機系統管理員帳戶的密碼。

高/單一電腦

進行實體安全性控制和 NTLMv2 驗證。

在個別電腦上本機系統管理員帳戶密碼被重設

攻擊者能夠實際存取電腦,並重設電腦的本機系統管理員密碼。

高/單一電腦

實體安全性控制。

使用者帳戶遭到入侵

攻擊者取得一般使用者帳戶的存取權。

中/單一電腦

進行實體存取控制、SMB 簽章和 NTLMv2 驗證。


做出風險決策

Trey IT 人員辨識出組織所面臨最嚴重的風險 (列於上表並按照優先順序排列) 後,IT 人員根據個別威脅可能造成的影響和可能性,決定要採取的補救措施。對於執行 Windows 98 和 Windows NT 4.0 的電腦,某些最嚴重的威脅根本無法有效地降低,這也是 Trey 決定將其基礎結構系統移轉至 Windows Server 2003 的原因。組合使用各作業系統專屬的保護方法、網路設定及原則變更,可以降低其他風險。檢查每種潛在的風險並計算防禦風險所需的成本後,Trey 建立了盡可能降低嚴重風險的計畫。本指南其餘章節說明了 Trey 決定採取的特定措施。

總結

本章說明了將 SRMD 套用於一般客戶案例的相關注意事項。本範例提供的所有資訊都根據實際資料提供,但這些資訊只代表組織執行完整安全性風險評估所需的一小部分資訊。如果將整體風險分析表或所有安全性風險敘述都加入本章節,可能會導致讀者難以理解。因此,相關的範例都加以強調,以便快速參照與理解。

應用本章中的指南後,產生一份列出包括特定矯正步驟的風險清單。Trey 工程師產生清單後,就可以針對列出的弱點保護系統安全,識別降低風險所需的步驟。本指南其餘章節會詳細介紹這些步驟。

其他資訊

如需更多有關如何將 SRMD 套用於企業環境的資訊,請參閱下列資訊:


顯示: