早期的系統通常是攻擊者關註的目標,因為它們的存在意味著與內部應用程序的高度信任或交互,這可能是保留它們的原因。有了這個理論上的原因,如果檢測到漏洞,較早的系統就會引起攻擊者的註意,自然會成為進壹步探索的目標。保護舊系統時,您必須考慮它們在整個環境中的位置。通過關註整個網絡的設計和配置,您可以在其中創建邏輯點,以最大限度地減少到達早期系統的惡意通信的數量。這些措施是對將在後續章節中介紹的特定於系統的增強功能的補充。通常,外圍網絡是指公司網絡和互聯網交匯處的獨立網段。必須與未受保護的互聯網進行交互的服務和服務器位於外圍網絡中,也稱為DMZ、網絡隔離區和屏蔽子網。因此,如果攻擊者可以利用公共服務中的漏洞,攻擊者只需壹步就可以訪問可信內部網絡。更強有力地保護整個網絡的壹種方法是,以類似於外圍網絡的方式處理較舊的系統,即將較舊的系統放在自己的網段中,並將其與網絡中的其他主機隔離。這種方法有兩個優點:它降低了受損的早期系統影響網絡其他部分的風險,並支持對進出早期計算機的網絡通信進行更嚴格的篩選和阻止。註意:微軟建議妳不要把微軟?0?3 Windows NT?0?3 4.0還是微軟Windows?0?3 98系統直接暴露在互聯網上,甚至通過將其放置在外圍網絡上。這些系統的使用應限制在您的內部網絡中。網絡安全預防措施您應該像保護外圍環境壹樣保護環境中的舊系統。加強和保護網絡需要您權衡業務需求、預算限制和以下安全考慮事項,這些將在後面的部分詳細介紹:深度防禦、外圍控制、雙向威脅、相異服務、隔離、事故規劃和事件響應、備份時間同步審計和監控以及及時了解深度防禦。為了保護計算機系統免受當前的威脅,IT經理應該考慮采用深度防禦策略。縱深防禦策略的重點是消除增加風險的因素,增加控制以降低風險。無論您的軟件、硬件、流程和人員有多好,頑固的攻擊者都有可能找到突破單壹保護層的方法。縱深防禦安全模式通過在整個環境中使用多層安全保護措施來防禦入侵和安全威脅,從而保護重要資產。確保系統安全的多層方法增加了攻擊者滲透信息系統所需的工作量,從而降低了整體風險水平和危害的可能性。縱深防禦方法不僅依賴於強大的外圍防禦或增強的服務器,還依賴於幾種不同防禦方法的組合來應對可能的威脅。深度防禦不會降低對任何其他安全措施的要求,而是建立所有組件的綜合防禦能力。構建重疊的安全層有兩個主要優點:它使攻擊者更難得逞。您擁有的層數越多,攻擊者成功滲透的難度就越大,您就越有可能檢測到正在進行的攻擊。它可以幫助您減輕設備中新漏洞的影響。每壹層防禦不同類型的攻擊,或者提供相同範圍的防禦,而沒有與其他層相同的弱點。因此,許多新的攻擊可以通過尚未使用的防禦措施來阻止相關交易,從而為您提供處理重大缺陷的時間。您的業務流程需要調整,以適應多層防禦的變化(如果它們不允許多層防禦)。網絡分段外圍網絡的目的是創建壹條邊界線,允許內部網絡和外部網絡之間的通信分開。有了這個界限,您就可以分類、隔離和控制網絡流量。在理想條件下,理論上的外圍網絡不向核心系統傳輸通信,而只允許所需交互所需的絕對最小流量。每壹次跨越外圍的交易都會給防禦增加壹個潛在的漏洞,也給攻擊者提供了壹個實現控制的可用方法。啟用的每個新服務都會增加威脅面,並增加可能產生漏洞和門戶的代碼集。傳統的安全策略要求定義網絡中直接與互聯網通信的主機和不直接與互聯網通信的主機之間的邊界。但是,您可以通過將舊系統視為邊界的壹部分並嚴格控制“正常”網絡和包含舊系統的網段之間的內部通信來增強安全性。將舊系統歸入自己的網段有兩個重要的好處:它允許您將舊系統與外圍網絡中的計算機同等對待。因為早期版本的Windows並沒有包含更高版本的所有安全功能和能力,所以它們比更高版本的系統威脅更大,需要采取相應的保護措施。舊系統可以得到更好的控制。通過將這些系統放在它們自己的邊界中,它們可以與網絡外圍控制(像防火墻壹樣)分離,從而允許不同網絡之間傳輸的通信被仔細地監視和控制。雙向威脅許多攻擊之所以成功,是因為它們誘導目標系統在邊界之外進行聯系。這使得與惡意系統建立聯系成為可能,從而惡意系統可以返回到目標系統。其他常見情況包括蠕蟲和病毒;惡意軟件在成功滲入系統後,開始從壹個系統傳播到另壹個系統,利用信任關系,幹擾外部系統,試圖進壹步傳播。同樣,這些系統也可能連接到惡意系統,從而為進壹步的活動提供了途徑。該邊界不僅必須限制傳入受保護系統的通信,還必須限制傳出受保護系統的通信。這種設計使得在環境受到威脅時很難使用服務器。但這也讓攻擊者的工作變得更加困難,因為妳不能讓自己的系統違反他們自己的保護層。不相似服務的隔離為了提高性能,我們通常會嘗試在壹臺計算機上安裝多個服務,以確保充分利用昂貴的硬件。但是,不加選擇地這樣做將會使正確保護您的系統變得更加困難。仔細分析由您的系統托管和生成的服務和通信,並確保您的邊界措施足以將通信限制到所需服務和遠程系統的組合。反之亦然:將相似的系統和服務組合在壹起並仔細劃分網絡可以更容易地提供保護措施。事故規劃和事件響應要進行有效的安全規劃和實施,妳應該問自己:“如果這個措施失敗了,會發生什麽?”。了解錯誤、事故和其他不可預見事件的後果是很重要的。了解這壹點將使您能夠設計防禦措施來減輕那些結果,從而確保事故不會引起事件的連鎖反應,這將導致早期系統的充分利用。例如,每個組織都應該有壹個在病毒或蠕蟲爆發期間引入對策的預定計劃,以及壹個在懷疑有危害時引入對策的計劃。在大多數組織中,事件響應團隊需要包括IT人員、法律部門和業務管理人員;這些利益相關者都參與了對安全違規的壹致響應。Microsoft安全指南工具包(可從/security/guidance獲得)包含有關如何設置和執行您自己的事件響應計劃的信息。註意:Microsoft在白皮書“事件響應:管理Microsoft的安全性”(可從/technet/itsolutions獲得
/msit/security/msirsec.mspx)介紹其內部事件響應流程和方法。備份如果攻擊者成功進入妳的系統,如果妳能阻止他或她成功危及妳的關鍵資源和數據,他或她的成功只是暫時的。成功的備份和恢復過程有助於確保即使在最壞的情況下,您仍然擁有重建或恢復所需的數據。然而,確保您的數據得到備份只是第壹步。您需要能夠快速重建任何受損或受影響的系統,如果您需要對原始硬件執行取證分析(通常是為了記錄保險索賠或識別攻擊方法),您可能需要準備備用的硬件和軟件以及經過測試的設置流程。時間同步用來準確判斷攻擊的各種線索可能分散在多個網絡中,尤其是外圍網絡。沒有壹些方法去對比這樣的數據,妳就無法準確的識別出來,把它們放在壹起。妳所有的系統應該有相同的時鐘時間,這有助於這個過程。net time命令允許工作站和服務器與其域控制器同步時間。第三方網絡時間協議(NTP)的實現使您的服務器能夠與其他操作系統和網絡硬件保持時間同步,並在網絡內提供統壹的時間參考。審計和監控無論您的系統防禦有多強,您都必須定期進行審計和監控。了解常用的溝通方式以及攻擊和回應的形式是非常重要的。如果妳有這種認識,妳就會知道負面事件發生時的壹些癥狀,因為網絡傳播的節奏會發生變化。審計和監控的主要方面是身份驗證。壹系列突然失敗的身份驗證嘗試通常是您的系統受到強大字典攻擊的唯壹警告。強大的字典攻擊使用已知的單詞或字母數字字符串來破解簡單的密碼。同樣,異常的認證成功也可能說明妳的系統至少在壹定程度上已經被攻破,攻擊者試圖從最初的利用發展到對整個系統的訪問。在許多情況下,定期收集和歸檔事件日誌,結合自動和手動分析,可以區分失敗和成功的滲透嘗試之間的顯著差異。Microsoft Operations Manager (MOM)等自動化工具使監控和分析日誌信息變得更加容易。您無法及時了解所有情況,但您可以保持警惕,了解其他管理員檢測到的威脅種類。有幾個很好的安全資源提供了關於當前安全威脅和問題的最新消息。這些資源在本章末尾的“更多信息”壹節中列出。