关于微软内部的信息安全简介
本页内容
 | 摘要 |
| 网络外围 |
| 网络内部 |
| 关键资产 |
| 监视和审核 |
摘要
微软的企业规模庞大,结构复杂,并且不断发生着变化。微软 IT 部门的独特使命就是在早期 beta 阶段部署企业软件的同时,运行一个在全球拥有 90,000 名用户、300,000 台设备和 400 个站点的环境。微软环境在安全方面,不断面临大量潜在的安全漏洞,需要他们去了解、整理和解决。
易受攻击或遭到破坏的企业级 IT 环境很容易就会在生产效率方面,造成上百万美元的损失,另外还会引发诉讼费,导致数据被盗用,散失信赖度。
微软 IT 部门通过风险评估、策略制定、控件实施、审核和测量,将各个网络的内在风险控制在一个可接受的水平上。仅由约 110 名全职员工组成的微软公司安全小组,通过识别富成本效益的安全控制,并将风险缓解措施划分为四个优先级别(将在下面几章中详细介绍),实现了全面的深层安全防御。
有关详细信息,请参阅 IT Showcase 白皮书“微软 IT 安全概述”:http://www.microsoft.com/technet/itsolutions/msit/security/mssecbp.mspx .
网络外围
网络外围安全策略的目标是阻止攻击,拒绝入侵者和恶意代码轻松地访问网络。
收益
| • | 通过限制有效用户访问公司网络,提高安全性,并确保移动用户的高效率。 |
| • | 通过将各个系统置于防火墙之后,避免直接面对 Internet 攻击所带来的风险,同时又不中断连接到 ISA Server 2004 的用户生产力。 |
| • | 通过每天扫描约 1,000 万封传入的电子邮件,并删除约 50,000 个病毒和 850 万垃圾电子邮件,减少了邮件管理、处理和存储,以及遭遇恶意软件和垃圾邮件的情况。 |
| • | 保持对合作伙伴访问的完全控制,使微软 IT 部门可以管理所有连结和帐户,限制那些需要与微软开展业务的合作伙伴,访问 Extranet 资源。 |
远程用户
背景
在全世界,有超过 65,000 名微软工作人员访问公司,每周建立的远程连接数量高达 250,000 个。由于远程访问越来越容易受到入侵,未受控的设备——不受微软 IT 部门控制的设备——会危及整个网络的安全。
解决方案
微软 IT 部门通过要求提供智能卡和 PIN 并利用现有的公钥基础结构 (PKI),实现了双因素身份验证,并且仅允许符合安全要求的设备,执行远程访问。
经验教训与最佳实践
| • | 要求使用连接管理器,它具有自定义的配置文件和脚本,可通过所有远程连接的组策略执行系统检查。 |
| • | 强制结合最新的关键更新,使用 Microsoft Windows® 版本。启用 Windows 防火墙,禁用 Internet 连接共享,并更新防病毒软件及签名文件。 |
无线访问
背景
较高的全球公司无线连接要求,在 4,000 多个无线访问点上,分布有超过 30,000 名员工。
解决方案
微软 IT 部门通过计算机和用户帐户证书,采用了独特的用户身份验证和无线网络及会话加密,从而保护网络资产。
经验教训与最佳实践
| • | 在会话期间,定期重新验证拥护和设备的身份。 |
| • | 定期扫描并删除不受 IT 部门管理的受禁访问点。 |
消息传递
背景
电子邮件攻击日益猖獗,威胁到了消息传递资源和企业网络。与此同时,移动电子邮件访问要求服务器访问 Internet 和公司网络。
背景
通过一种分层方法和深层防御策略,最小化允许传入的电子邮件,在所有设备上运行防病毒软件,并将面向 Internet 的系统放置在防火墙后方,从而管理垃圾邮件、病毒风险和直接的 Internet 攻击带来的威胁。
经验教训与最佳实践
| • | 采用 Microsoft Exchange Server 2003 所提供的防垃圾邮件解决方案。对于防病毒解决方案,在台式计算机和受控的服务器上,使用 Computer Associates eTrust,并在消息传递网关上,使用 Sybari Antigen。 |
| • | 部署 ISA Server 2004 以实现到 Internet 和公司网络的连接,从而为消息传递服务器,提供强化的防火墙安全设置、网络隔离、应用程序筛选以及协议筛选。 |
Extranet
背景
微软 IT 部门维护着连接到 30,000 家商业合作伙伴的多个 Extranet 环境。微软 IT 部门不仅面临数量庞大的供应商网络及各种各样体系结构的挑战,而且因为某些网络不符合微软 IT 部门的安全标准、帐户管理和设备安全要求,而造成安全漏洞。
解决方案
在供应商网络上,对服务进行审核、淘汰、迁移和修补(包括由微软 IT 部门管理的连接和帐户),从而遵守有关策略和原则。
经验教训与最佳实践
| • | 将供应商连接移至 Extranet,或者迁移到 Internet。Extranet 现在承载着大多数商业合作伙伴应用程序。 |
| • | 要求 Extranet 域控制器和选定的高安全性服务器的管理员提供智能卡,限制共享域服务帐户和域管理员权限。 |
| • | 清除共享的合作伙伴帐户,删除在 30 天内未使用过的新帐户,禁用非活动帐户,并整合本地管理员帐户。 |
| • | 要求合作伙伴在外围访问控制点上,对自身执行身份验证(通过 ISA Server 2004 实现)。 |
网络内部
对于网络外围以内的安全而言,目标就是有效地管理客户端和服务器配置、用户帐户和策略。
收益
| • | 确保对公司网络中的用户和计算机,执行严格的身份验证和授权。 |
| • | 在不对操作造成负面影响的情况下,将管理员帐户的数量降到最低。 |
帐户
背景
每台服务器上都存在多个本地管理员帐户,存在具有较高权限的帐户,应用程序服务可访问网络资源,而且仍使用域级帐户,并造成了安全漏洞。这些安全漏洞会造成许多其它帐户、密码和服务器暴露的风险。
解决方案
通过整合多个帐户,让应用程序服务改用操作系统帐户(Microsoft Windows 2000 或更新的版本),并根据需要建立双因素身份验证,改善管理员帐户模型。
经验教训与最佳实践
| • | 仅对每台服务器和每个域,分配一个管理员帐户。要求所有本地帐户均采用唯一的密码,并要求域级管理员帐户采用智能卡。 |
| • | 在每台计算机上,对服务(无法使用系统帐户,或将应用程序配置为在多台服务器上使用服务)分配唯一的帐户和密码。 |
密码
背景
入侵者利用弱密码及空白密码,对网络资源进行未经授权的访问。
解决方案
运用一个自动化流程,识别出弱密码,并将其重置为强密码。
经验教训与最佳实践
| • | 微软 IT 部门最初采用的方法既不快捷又没有效率(花了 36 小时,但仍仅仅解决了大约 50% 的问题),最后被一个内部开发的扫描器工具所替代。 |
| • | 所采用的服务器配置强制选择并使用强密码。 |
| • | Microsoft Windows XP 通过在本地管理员密码为空时,不允许远程连接,从而支持安全机制。 |
| • | 最初对域帐户强制强密码的自定义密码筛选器,现在成为了 Windows 2000 Server、Windows Server 2003 和 Windows XP Professional 操作系统安全机制的一部分。 |
分段
背景
用于产品测试、调试或专用实验室且不隶属于微软 IT 部门的监视和软件更新机制的非受控设备,会对受控的计算机群带来风险。
解决方案
通过 Internet 协议安全 (IPsec) 的逻辑分段将网络中的设备大致分为两类:受控或非受控。
经验教训与最佳实践
| • | 第一个部署阶段主要关注在配置约 150,000 台受控的台式计算机和服务器期间,出现的有关 IPSec 的种种问题。 |
| • | 第二个阶段通过更改 IPsec 策略,进行实际的分段,从而阻止从非受控设备传入的连接,并且首选采用 Kerberos 身份验证,但也接受证书。 |
关键资产
微软 IT 部门可确保关键数字资产的安全,并定期检查它们的存储位置,以便发现安全漏洞。
收益
| • | 管理并控制具有高价值的数字资产,从而提高了数据的安全性,并降低了因执行恢复操作或散失生产力而导致的成本开支。 |
| • | 通过遵守应用程序安全标准和相关的法规要求,提高了客户的信心,并降低了法律风险。 |
源代码
背景
微软在管理源代码方面,所面临的挑战包括不一致的流程、数量过多的基础结构以及未经授权的用户可能危及数据的完整性和机密性。
解决方案
实施一个采用专业管理方式的、一致的集中式企业级服务,通过遵循安全原则的方式,管理源代码。
经验教训与最佳实践
| • | 创建一个单独的网络林,采用 IPsec 进行身份验证和授权。这个林根据认知需要,限制对存储源代码的服务器的访问。 |
| • | 在高度安全的数据中心里,定位 Source Depot 服务器,强制安全审核、入侵检测、修补程序管理和防病毒流程。 |
域控制器
背景
许多服务器上存在着混合的基础结构、用户和工具服务。
解决方案
定期审查支持域控制器的服务器,确认正确的最低服务配置。
经验教训与最佳实践
| • | 仅允许域控制器运行基础结构服务(域控制器、全局目录服务器、域名系统 [DNS]、动态主机配置协议 [DHCP]、SMS) 和监视功能(Microsoft Operations Manager [MOM)。 |
| • | 禁止域控制器配置运行 Internet Information Services (IIS) 或者用户在其中放置文件。 |
应用程序
背景
与大多数全球性企业一样,微软依赖数量庞大的(超过 1,000 个)业务线 (LOB) 应用程序,在复杂的操作和法律环境中,处理有关业务的敏感数据和机密的员工信息。
解决方案
微软 IT 部门开展了应用程序安全保障计划 (ASAP),清查、评估和解决 LOB 安全漏洞。ASAP 提供了指导原则,并推动了对于标准和规范的满足。
经验教训与最佳实践
| • | 在最初的设计阶段,应用基本的安全原则,创建安全性得到增强的可靠应用程序。执行应用程序的预生产安全设计审查,包括第三方应用程序的渗透测试。 |
| • | 针对内部应用程序开发和最佳实践分享,开展教育培训计划,从而建立安全意识和高优先级。 |
监视和审核
微软 IT 部门的目标之一就是不断满足规范标准,并提高监视和审核工具的效率。
收益
| • | 通过满足规范标准,可推动安全策略、服务和计划的成功。这有助于预测和防范攻击,而不仅仅是应对这些攻击。 |
| • | 采用多个检测层可大幅提高识别、跟踪和阻止网络入侵的能力。 |
入侵检测
背景
微软公司频繁地遭受各种网络攻击,每月遇到的入侵尝试、探测和扫描攻击超过了 100,000 次。
解决方案
微软 IT 部门实施了一种多层策略:一个用于监视入侵尝试的外部入侵检测系统 (IDS)(Network IDS 或 NIDS)和一个用于检测漏洞的内部入侵检测系统(Host IDS 或 HIDS)。微软 IT 部门的解决方案采用了第三方工具(如:Internet Security Systems 公司的 RealSecure)以及内部开发的工具、代理流量监视和防病毒软件。
经验教训与最佳实践
| • | 集中控制检测传感器,近乎实时地监视所有攻击,收集证据并确认方式,以监视具体的威胁媒介。 |
| • | 根据风险评估和资产价值,部署各个监视系统。 |
安全问题管理
背景
微软 IT 部门不断面临着一个挑战,即推动标准规范的满足,并管理所有微软环境的修补,包括网络设备、主机、应用程序、信任和帐户。
解决方案
实施一个有系统的安全问题管理流程,促使各个环境能够承担可接受的风险级别。
经验教训与最佳实践
| • | 在新环境加入网络之前,与环境所有者共同制定风险承受限制。 |
| • | 执行定期的主动安全扫描和审核。 |
| • | 将成功指标作为合规性报告,分发给微软 IT 管理和环境所有者。 |
安全修补程序管理
背景
定期发布更新,修复操作系统和用户应用程序中的漏洞。统一且及时的更新安装对于维护安全合规性,具有关键的意义。
解决方案
将 SMS 2003 用作首要的工具,跟踪并实施合规性。
经验教训与最佳实践
| • | 提醒用户在合规截止日期前,运行 Windows Update,并在设备上以不提示用户的方式,安装更新。 |
| • | 在不进行手动干预的情况下,实施安全更新,并使用登录脚本,快速部署紧急的更新。 |
| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |