Что такое findslide.org?

FindSlide.org - это сайт презентаций, докладов, шаблонов в формате PowerPoint.


Для правообладателей

Обратная связь

Email: Нажмите что бы посмотреть 

Яндекс.Метрика

Презентация на тему Реализация требуемой политики безопасности серверов и рабочих мест

Содержание

СодержаниеПоддержка заданных конфигураций – System Center Desired ConfigurationПринудительное исполнение политик здоровья – Network Access Protection
Реализация требуемой политики безопасности серверов и рабочих мест Бешков АндрейMicrosoft СодержаниеПоддержка заданных конфигураций – System Center Desired ConfigurationПринудительное исполнение политик здоровья – Network Access Protection Поддержка заданных конфигураций System Center Desired Configuration Цена соответствия стандартамИТ департаменты ежегодно тратят от 5000 до 20000 человеко часов Соответствие стандартамПроцент организаций США не соответствующих отраслевым стандартамИсточник: “The Global State of Что такое Desired Configuration Management?DCM позволит:Определять стандарты корпоративных конфигурацияСоздавать отчеты и отслеживать Основные сценарии применения Отчеты о соответствии стандартамОпределять политики конфигураций и собирать отчеты Основные сценарии примененияПоиск серверов с отклонениями от заданой конфигурацииПриблизительно ½ незапланированных простое DCM термины и концепцииКонфигурационная единица - Configuration Item (CI) Конфигурациоонные единицы могут Задачи администратора DCMСоздание библиотеки конфигурацийСоздание новых конфигурационных единиц и состояний через консоль Библиотека конфигурационных единиц  Источники знаний:Microsoft и другие производители ПОИнтеграторыКонсалтиновые компанииРазработчики приложенийИТ персонал Потоки данныхКонфигу-рационныепакетыКонсоль АдминистратораConfigMgrСервер Configuration ManagerWindowsServer®2003CIБизнес Приложения CIантивирусыCIБД Configuration ManagerКлиент Configuration ManagerУправляемый клиентWMIXMLRegistryIISMSI1ИмпортированныеКонфигурационныеединицыКонфигураци-онныеединицы3Конфигураци-онные Управление на основе моделей Создание конфигурационных единиц вручную с помощью Configuration ManagerКонфигурационные единицы с нуляОСПриложенияОбщиеКонфигурационные состоянияСоздание Создание конфигурационных единиц Родительские/дочерние конфигурационные единицыMicrosoft®SQL Server™  2005Родительская Импортировано из Майкрософт Silect Software’s DCM StudioРаботает в связке с SCCM для управления жизненым циклом Язык моделирования сервисовService Modeling Language (SML) – язык моделирования построеный на основе DCM 2007 улучшения по сравнению с DCM для SMS 2003Улучшилась интеграция компонентов В ближайшем будущемКонфигурационные пакеты от MicrosoftMicrosoft® Exchange Server 2003 и Exchange Server Дополнительная информация DCMОфициальная документация http://www.microsoft.com/systemcenter/configmgr/evaluation/configmgmt.mspxDCM BLOG  http://blogs.msdn.com/saikodi/DCM Technet http://technet.microsoft.com/en-us/library/bb693504.aspxDCM Technet Forumhttp://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=1817&SiteID=17Веб-трансляцииhttp://msevents.microsoft.com/cui/WebCastEventDetails.aspx?EventID=1032345476&EventCategory=4&culture=en-US&CountryCode=US Принудительное исполнение политик здоровья - Network Access Protection Канонический подход к безопасностиЗащитим периметр (межсетевой экран, VPN)Вынесем сервера в демилитаризованную зону И надеемся что все пойдет хорошо........ Реальное положение дел20% инцидентов безопасности происходит по вине внешних злоумышленников80% с участием Проблемы с внутренними пользователямИзлишние полномочияРедкие обновления (мобильные пользователи)Недостаточная грамотность в вопросах безопасностиНеподконтрольность Пожар потушили! Кто виноват?   Нет виновных??!!!!Трудно отслеживать исполнение политик и регламентов........и реагировать вовремя!!!!! 1Защита сети с помощью NAP1Windowsклиент22DHCP, VPN или коммутатор/маршрутизатор передает данные о состоянии ДемонстрацияNetwork Access Protection Архитектура нашего примера NAP Что такое NPS?Network Policy Server новая версия Internet Authentication Services (IAS) NPS Преимущества NPSNPS в соединении с AD и Windows Vista и позволяет предоставлять Методы использования NPSАутентификация доступа в сеть802.1xVPNIPSecNAPОпределение и принудительное исполнение политикУчет доступа в Дополнительная информация NAPОфициальная документация http://www.microsoft.com/nap NAP BLOG http://blogs.technet.com/nap/NAP Technet Forum	http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=576&SiteID=17Channel 9 Interviewhttp://channel9.msdn.com/Showpost.aspx?postid=347154 Вопросы?Бешков АндрейMicrosoftabeshkov@microsoft.comhttp://blogs.technet.com/abeshkov/ © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and
Слайды презентации

Слайд 2 Содержание
Поддержка заданных конфигураций – System Center Desired Configuration

Принудительное

СодержаниеПоддержка заданных конфигураций – System Center Desired ConfigurationПринудительное исполнение политик здоровья – Network Access Protection

исполнение политик здоровья – Network Access Protection


Слайд 3 Поддержка заданных конфигураций System Center Desired Configuration

Поддержка заданных конфигураций System Center Desired Configuration

Слайд 4 Цена соответствия стандартам
ИТ департаменты ежегодно тратят от 5000

Цена соответствия стандартамИТ департаменты ежегодно тратят от 5000 до 20000 человеко

до 20000 человеко часов для поддержания соответствия организации требованиям

стандарта Sarbanes-Oxley
Survey on Sarbanes-Oxley Compliance Practices Within IT Organizations and Businesses by French Caldwell, Christine Adams, and John Bace (Gartner, Сентябрь 2006)

Корпоративные стандарты очень непросто

Слайд 5 Соответствие стандартам
Процент организаций США не соответствующих отраслевым стандартам
Источник:

Соответствие стандартамПроцент организаций США не соответствующих отраслевым стандартамИсточник: “The Global State

“The Global State of Information Security 2006” CIO and

PricewaterhouseCoopers Сентябрь 15, 2006

Слайд 6 Что такое Desired Configuration Management?
DCM позволит:
Определять стандарты корпоративных

Что такое Desired Configuration Management?DCM позволит:Определять стандарты корпоративных конфигурацияСоздавать отчеты и

конфигурация
Создавать отчеты и отслеживать соответствие стандартам систем Windows®
Комбинировать данные

от DCM с другими полезными функциями Configuration Manager для автоматического приведения клиентов в должное состояние


Слайд 7 Основные сценарии применения
Отчеты о соответствии стандартам
Определять политики

Основные сценарии применения Отчеты о соответствии стандартамОпределять политики конфигураций и собирать

конфигураций и собирать отчеты о соответствии этим политикам
Проверка до

и после внесения изменений в системы
Проверка готовности системы к оказанию сервиса
Проверка аккуратности внесенных и эффективности запланированных изменений

Слайд 8 Основные сценарии применения
Поиск серверов с отклонениями от заданой

Основные сценарии примененияПоиск серверов с отклонениями от заданой конфигурацииПриблизительно ½ незапланированных

конфигурации
Приблизительно ½ незапланированных простое происходит из-за проблем с конфигурацией!
Уменьшить

количество действий необходимое службе Helpdesk для первичного поиска неисправности и уменьшение время затраченого на разрешению проблемы
Helpdesk тратит больше всех людских ресурсов в ИТ

Слайд 9 DCM термины и концепции
Конфигурационная единица - Configuration Item

DCM термины и концепцииКонфигурационная единица - Configuration Item (CI) Конфигурациоонные единицы

(CI)
Конфигурациоонные единицы могут обнаруживаться, добавляться или удаляться из

систем управляемых Configuration Manager
Конфигурационные единицы могут представлять:
ОС
Приложения
Общие
Обновления ПО
Конфигурационное состояние - Configuration Baseline
Специальная единица - набор конфигурационных единиц с атрибутами:
Требуется
Опциональный
Запрещен
Can be assigned to collections for compliance monitoring

Слайд 10 Задачи администратора DCM
Создание библиотеки конфигураций
Создание новых конфигурационных единиц

Задачи администратора DCMСоздание библиотеки конфигурацийСоздание новых конфигурационных единиц и состояний через

и состояний через консоль администратора
Создание пакетов конфигурационных состояний
Импорт эталонных

конфигурационных пакетов от Microsoft или партнеров
Привязывать конфигурационные состояния к группам систем
Настраивать частоту проверки систем на соответствие
Работать с отчетами о соответствии
Создавать коллекции систем с помощью запросов и сообщений DCM о соответствии стандартам. Работать с набором ПО в системах средствами System Center

Слайд 11 Библиотека конфигурационных единиц Источники знаний:
Microsoft и другие производители ПО
Интеграторы
Консалтиновые

Библиотека конфигурационных единиц Источники знаний:Microsoft и другие производители ПОИнтеграторыКонсалтиновые компанииРазработчики приложенийИТ персонал

компании
Разработчики приложений
ИТ персонал


Слайд 12 Потоки данных
Конфигу-
рационные
пакеты

Консоль
Администратора
ConfigMgr
Сервер Configuration Manager
Windows
Server®
2003
CI
Бизнес
Приложения CI
антивирусы
CI
БД Configuration

Потоки данныхКонфигу-рационныепакетыКонсоль АдминистратораConfigMgrСервер Configuration ManagerWindowsServer®2003CIБизнес Приложения CIантивирусыCIБД Configuration ManagerКлиент Configuration ManagerУправляемый

Manager
Клиент
Configuration Manager
Управляемый клиент
WMI
XML
Registry
IIS
MSI
1
Импортированные
Конфигурационные
единицы
Конфигураци-
онные
единицы
3
Конфигураци-
онные
состояния
Конфигурационные
Состояния присва-
иваются группам клиентов


4

DCM находит
конфигураци-
онные единицы
и проверяет их
на соответсвие
правилам

Данные о соответствии отправляются в БД Configuration Manager

Script

SQL

Software
Updates

File

Active
Directory

Таблицы
соответст-
вия


Слайд 13 Управление на основе моделей

Управление на основе моделей

Слайд 14 Создание конфигурационных единиц вручную с помощью Configuration Manager
Конфигурационные единицы

Создание конфигурационных единиц вручную с помощью Configuration ManagerКонфигурационные единицы с нуляОСПриложенияОбщиеКонфигурационные

с нуля
ОС
Приложения
Общие
Конфигурационные состояния
Создание дочерних конфигурационных единиц
Наследование от родительской единицы

(или нижних единиц иерархии)
Добавление новых правил к унаследованым объектам и настройкам
Копирование

Слайд 15 Создание конфигурационных единиц Родительские/дочерние конфигурационные единицы
Microsoft®
SQL Server™ 2005
Родительская

Создание конфигурационных единиц Родительские/дочерние конфигурационные единицыMicrosoft®SQL Server™ 2005Родительская Импортировано из Майкрософт

Импортировано из Майкрософт
Определяет основные
настройки/объекты

Банк
Woodgrove
SQL

Server 2005

Best Practices for
Microsoft
SQL Server 2005

Дочерняя
Наследует определение от родителя
Добавляет правила к родительским настройкам и объектам

SQL Server for
HR IT

SQL Server for
Sales IT

Добавочные слои наследования.

SQL Server for
Sales Reporting
Application

Копия
Нет связи с оригиналом
Можно редактировать все атрибуты

Копия
Microsoft
SQL Server 2005

Копия
Нет связи с оригиналом


Слайд 16 Silect Software’s DCM Studio
Работает в связке с SCCM

Silect Software’s DCM StudioРаботает в связке с SCCM для управления жизненым

для управления жизненым циклом конфигурационных состояний
Создание конфигурационных состояний :
Обследование

работающей системы (“золотой мастер” )
Обследование одного или нескольких MSI файлов
Редактирование конфигурационных состояний (включая редактировани XML)
Новые виды отчетов

www.Silect.com


Слайд 17 Язык моделирования сервисов
Service Modeling Language (SML) – язык

Язык моделирования сервисовService Modeling Language (SML) – язык моделирования построеный на

моделирования построеный на основе XML стандартов. Он предоствляет большой

набор конструкций для моделирования сложных ИТ систем, включая:
Структура системы: объекты и отношения между ними
Требуемые конфигурации
Административные политики
Управляющая информация такая как события, счетчики, правила для определения статуса здоровья систем, и.т.д
Для работы с SML вам потребуется Microsoft® .Net framework 2.x

Слайд 18 DCM 2007 улучшения по сравнению с DCM для

DCM 2007 улучшения по сравнению с DCM для SMS 2003Улучшилась интеграция

SMS 2003
Улучшилась интеграция компонентов системы отчечающих за создании правил,

планирование и тестирование
Увеличилась скорость работы
Упростилось масштабирование системы
Работа с моделями и стандартами (SML)
Управление типами и повторное использование
Контроль версий
Наследование конфигурационных единиц
Композиция конфигурационных единиц в конфигурационные состояния
Экосистема для накопления знаний. Готовые конфигурационные пакеты на порталах Microsoft и партнеров
Инструмент конвертирования данных из DCM 2003 в DCM 2007

Слайд 19 В ближайшем будущем
Конфигурационные пакеты от Microsoft
Microsoft® Exchange Server

В ближайшем будущемКонфигурационные пакеты от MicrosoftMicrosoft® Exchange Server 2003 и Exchange

2003 и Exchange Server 2007
Microsoft® SQL Server™ 2000 и

SQL Server 2005
Windows Server® 2003 Active Directory/DNS/ WINS/DHCP
Microsoft® Office SharePoint® Portal Server 2003 и SharePoint® Server 2007
Конфигурационные пакеты от продуктовых групп
Роли серверов для Microsoft® System Center Configuration Manager
Microsoft® System Center Operations Manager 2007
Microsoft® System Center Virtual Machine Manager 2007
SharePoint Server 2007

Слайд 20 Дополнительная информация DCM
Официальная документация http://www.microsoft.com/systemcenter/configmgr/evaluation/configmgmt.mspx

DCM BLOG http://blogs.msdn.com/saikodi/

DCM Technet
http://technet.microsoft.com/en-us/library/bb693504.aspx


DCM

Дополнительная информация DCMОфициальная документация http://www.microsoft.com/systemcenter/configmgr/evaluation/configmgmt.mspxDCM BLOG http://blogs.msdn.com/saikodi/DCM Technet http://technet.microsoft.com/en-us/library/bb693504.aspxDCM Technet Forumhttp://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=1817&SiteID=17Веб-трансляцииhttp://msevents.microsoft.com/cui/WebCastEventDetails.aspx?EventID=1032345476&EventCategory=4&culture=en-US&CountryCode=US

Technet Forum
http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=1817&SiteID=17

Веб-трансляции
http://msevents.microsoft.com/cui/WebCastEventDetails.aspx?EventID=1032345476&EventCategory=4&culture=en-US&CountryCode=US


Слайд 21 Принудительное исполнение политик здоровья - Network Access Protection

Принудительное исполнение политик здоровья - Network Access Protection

Слайд 22 Канонический подход к безопасности
Защитим периметр (межсетевой экран, VPN)
Вынесем

Канонический подход к безопасностиЗащитим периметр (межсетевой экран, VPN)Вынесем сервера в демилитаризованную

сервера в демилитаризованную зону (DMZ)
Построим систему управления конфигурациями и

изменениями (развертывание и обновления систем, антивирусы)
Внедрим систему обнаружения вторжений (IDS)

Слайд 23
И надеемся что все пойдет хорошо........

И надеемся что все пойдет хорошо........

Слайд 24 Реальное положение дел
20% инцидентов безопасности происходит по вине

Реальное положение дел20% инцидентов безопасности происходит по вине внешних злоумышленников80% с

внешних злоумышленников

80% с участием внутренних сотрудников


Источник: Исследование Национального центра

оценки угроз США (National Threats Assessment Center, NTAC) и координационного центра CERT при Университете Карнеги-Меллона. 2004 г.

Слайд 25 Проблемы с внутренними пользователям
Излишние полномочия
Редкие обновления (мобильные пользователи)
Недостаточная

Проблемы с внутренними пользователямИзлишние полномочияРедкие обновления (мобильные пользователи)Недостаточная грамотность в вопросах

грамотность в вопросах безопасности
Неподконтрольность гостевых и домашних рабочих мест


Слайд 26 Пожар потушили! Кто виноват?
Нет виновных??!!!!
Трудно отслеживать исполнение

Пожар потушили! Кто виноват?  Нет виновных??!!!!Трудно отслеживать исполнение политик и регламентов........и реагировать вовремя!!!!!

политик и регламентов....
....и реагировать вовремя!!!!!


Слайд 27 1
Защита сети с помощью NAP
1
Windows
клиент
2
2
DHCP, VPN или коммутатор/маршрутизатор

1Защита сети с помощью NAP1Windowsклиент22DHCP, VPN или коммутатор/маршрутизатор передает данные о

передает данные о состоянии здоровья Network Policy серверу (RADIUS)
3
3
Network

Policy Server (NPS) проверяет параметры здоровья на соответвие политике здоровья определенной департаментом ИТ

4

Если здоровье не соответствует политикам, помещаем клиента в карантинную сеть и даем доступ к серверу восстановления где он сможет скачать обновления, настройки, сигнатуры антивируса. (Повторяем шаги 1 - 4)

Не соответствует

5

Если здоровье клиента соответствует политикам, даем ему доступ в корпоративную сеть

Соответствует политике

NPS

DHCP, VPN
маршрутизато, коммутатор

4

5

Клиент запрашивает доступ в сеть и передает данные о состоянии здоровья


Слайд 28 Демонстрация
Network Access Protection

ДемонстрацияNetwork Access Protection

Слайд 29 Архитектура нашего примера NAP

Архитектура нашего примера NAP

Слайд 30 Что такое NPS?
Network Policy Server новая версия Internet

Что такое NPS?Network Policy Server новая версия Internet Authentication Services (IAS)

Authentication Services (IAS)
NPS это реализация RADIUS сервера от

Microsoft с поддержкой основных RFC RADIUS и EAP
NPS работает только на платформе Windows Server 2008

Слайд 31 Преимущества NPS
NPS в соединении с AD и Windows

Преимущества NPSNPS в соединении с AD и Windows Vista и позволяет

Vista и позволяет предоставлять удобный доступ к сетям и

сервисам (single sign-on)
NPS объединяет в одной точке отчетность и управление доступом для всех способов (802.1x, VPN, DHCP…)
Определение и принудительное исполнение политик здоровья клиентов


Слайд 32 Методы использования NPS
Аутентификация доступа в сеть
802.1x
VPN
IPSec
NAP
Определение и принудительное

Методы использования NPSАутентификация доступа в сеть802.1xVPNIPSecNAPОпределение и принудительное исполнение политикУчет доступа

исполнение политик
Учет доступа в сеть
Хранение настроек устройств используемых для

доступа в сеть
Прозрачное перенаправление запросов аутентификации в AD

Слайд 33 Дополнительная информация NAP
Официальная документация http://www.microsoft.com/nap

NAP BLOG http://blogs.technet.com/nap/

NAP Technet Forum
http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=576&SiteID=17

Channel

Дополнительная информация NAPОфициальная документация http://www.microsoft.com/nap NAP BLOG http://blogs.technet.com/nap/NAP Technet Forum	http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=576&SiteID=17Channel 9 Interviewhttp://channel9.msdn.com/Showpost.aspx?postid=347154

9 Interview
http://channel9.msdn.com/Showpost.aspx?postid=347154



Слайд 34 Вопросы?
Бешков Андрей
Microsoft
abeshkov@microsoft.com
http://blogs.technet.com/abeshkov/

Вопросы?Бешков АндрейMicrosoftabeshkov@microsoft.comhttp://blogs.technet.com/abeshkov/

  • Имя файла: realizatsiya-trebuemoy-politiki-bezopasnosti-serverov-i-rabochih-mest.pptx
  • Количество просмотров: 116
  • Количество скачиваний: 0