Этот учебный курс посвящен проектированию защиты сетей на основе Microsoft Windows Server 2003. Книга содержит подробное руководство по анализу факторов, влияющих на проект защиты сети (бизнес-требований, технических ограничений и др.), исчерпывающий анализ принципов и правил проектирования эффективной защиты для сети, отвечающей требованиям конкретной организации. Освоив теоретические материалы и выполнив практические задания, вы получите знания и навыки, необходимые проектировщику защиты сетей на основе не только Windows, но и других платформ. Книга адресована всем, кто хочет освоить методологию проектирования защиты сетей на основе Microsoft Windows Server 2003 и других ОС. Настоящий учебный курс поможет вам самостоятельно подготовиться к сдаче экзамена по программе сертификации Microsoft (сертификат Microsoft Certified System Engineer) 70-298: Designing Security for a Microsoft Windows Server 2003 Network. Книга состоит из 13 глав и предметного указателя, содержит множество иллюстраций и примеров из практики. На прилагаемом компакт-диске находится электронная версия книги, вопросы пробного экзамена, словарь терминов и другие справочные материалы.

Оглавление

Об авторе

Благодарности
Об этой книге

РАЗДЕЛ I Анализ влияния технических ограничений

и бизнестребований на проект защиты

Глава 1. Создание концептуального плана защиты

сетевой инфраструктуры

Занятие 1. Анализ бизнестребований к защите информации

Анализ бизнестребований

Влияние общих бизнесфакторов на проект защиты

Снижение затрат на защиту

Правовые требования к информационной безопасности

Оценка влияния проекта защиты на конечных пользователей

Меры по снижению риска в проектах защиты

Снижение влияния несовместимости систем на их защиту

Угрозы из-за проблем с сопровождением системы безопасности

Анализ существующих политик и мер безопасности

Классификация информации в целях защиты

Почему необходимо защищать информацию

Принципы классификации информации

Анализ уязвимости данных на разных этапах их обработки

Анализ рисков для администрирования ИТ инфраструктуры

Лабораторная работа Анализ бизнестребований

к информационной безопасности

Упражнение 1. Анализ бизнестребований

Упражнение 2. Анализ политики безопасности

Упражнение 3. Классификация документов

Упражнение 4. Выявление несовместимых политик

безопасности

Упражнение 5. Выбор способа защиты корпоративного

Webсайта .

Занятие 2. Разработка концептуального плана защиты

Компоненты концептуального плана защиты

Создание концептуального плана защиты

Принципы проектирования защиты информации

Моделирование угроз

Процедура моделирования угроз

Планирование действий при нарушении безопасности

Изоляция сегментов сети

Советы по проектированию

Укрепление защиты внутренней сети сегментированием

Планирование процедуры восстановления

Лабораторная работа Разработка концептуального плана защиты

Упражнение 1. Выявление угроз

Упражнение 2. Проектирование сегментированной сети

Упражнение 3. Проектирование восстановления

Упражнение 4. Сопоставление элементов проекта защиты

концептуальному плану

Упражнение 5. Выбор устройств для изоляции сегментов сети

Занятие 3. Анализ технических ограничений

Интеграция унаследованной инфраструктуры

Унаследованные системы

Правила интеграции

Определение технических ограничений

Анализ ограничений по совместимости

Лабораторная работаАнализ технических ограничений

проекта защиты

Упражнение 1. Анализ ограничений унаследованной

инфраструктуры

Упражнение 2. Планирование обновления клиентских ОС

Практикум

Анализ потенциальных проблем с безопасностью

Упражнение 1. Выявление проблем с безопасностью 45

Резюме главы

Рекомендации по подготовке к экзамену

Основные положения

Основные термины

Вопросы и ответы

РАЗДЕЛ II Проектирование защиты сетевой инфраструктуры

Глава 2. Проектирование логической защитной инфраструктуры

Занятие 1. Построение логической инфраструктуры защиты

с применением служб сертификации

Основы информационной безопасности

Реализация основ информационной безопасности

в проекте защиты

Включение служб сертификации в логическую инфраструктуру

защиты

Компоненты инфраструктуры открытых ключей

Цифровые сертификаты

Центры сертификации

Иерархия центров сертификации

Список отозванных сертификатов

Политика применения сертификатов

Лабораторная работаПрименение сертификатов

для аутенти фикации и авторизации

Упражнение 1. Исследование возможностей применения сертификатов

для аутентификации и авторизации

Упражнение 2. Сопоставление технологий Windows Server 2003

и основных принципов информационной безопасности

Занятие 2. Проектирование иерархии ЦС

Как работает иерархия ЦС

Защита инфраструктуры иерархии ЦС

Установка изолированного корневого ЦС

Типы иерархии ЦС

Географическая иерархия

Организационная иерархия

Доверенная иерархия

Проектирование иерархии ЦС

Проектирование географической иерархии

Проектирование организационной иерархии

Проектирование доверенной иерархии

Цепочки сертификатов

Как работает цепочка сертификатов

Цепочки сертификатов в Интернете

Решение проблемы отвергаемых сертификатов

Квалифицированное подчинение

Типы ограничений

Примеры квалифицированного подчинения

Защита ЦС

Лабораторная работаПроектирование иерархии ЦС

Упражнение 1. Проектирование иерархии ЦС

Упражнение 2. Проектирование перекрестной сертификации

между Tailspin Toys и Wingtip Toys

Занятие 3. Проектирование процедур запроса сертификатов

Подача заявок на сертификаты

Подача заявки на сертификат для ЦС

Ручная подача заявки на сертификат для конечного пользователя

Автоматическая подача заявки на сертификат для конечного пользователя

Проектирование процедуры подачи заявок

Ограничения процедур подачи заявок

Проектирование политики подачи заявок и распространения

сертификатов

Настройка подачи заявок и распространения сертификатов

на изолированном корневом ЦС

Лабораторная работаПроектирование политики подачи заявок

на сертификаты

Упражнение 1. Проектирование политики подачи заявок

Упражнение 2. Проектирование применения ЦР

Упражнение 3. Настройка автоматического запроса

сертификатов

Занятие 4. Проектирование обновления, отзыва и аудита сертификатов

Обновление, отзыв и аудит сертификатов

Обновление

Отзыв

Аудит

Проектирование процедур обновления

Обновление

Срок действия

Отзыв сертификатов

Как работает отзыв сертификатов

Принцип работы разностных CRL

Разностные CRL

Как работают разностные CRL

Проектирование процедур отзыва

Проектирование политики отзыва

Проектирование аудита

Лабораторная работаПроектирование размещения CRL и интервала

публикации

Занятие 5. Проектирование защиты ЦС

Административные роли ЦС и ОС

Административные роли ЦС

Роли ОС, связанные со службами сертификации

Применение административных ролей ЦС

Реализация разделения ролей ЦС

Проектирование дополнительной защиты серверов ЦС

Вопросы к размышлению

Рекомендации

Лабораторная работаПроектирование административных ролей ЦС

Практикум

Проектирование логической инфраструктуры

Упражнение 1. Создание схемы иерархии ЦС

Упражнение 2. Проектирование подачи заявок и отзыва

сертификатов

Упражнение 3. Проектирование защиты ЦС

Резюме главы

Рекомендации по подготовке к экзамену

Основные положения

Основные термины

Вопросы и ответы

Глава 3. Проектирование физической защиты

для инфраструктуры сети

Занятие 1. Проектирование защиты границ сети

Проектирование защиты границ сети

Общие категории данных

Определение потребности в ресурсах

Классификация данных

Поддержка логической инфраструктуры доступа

Проектирование защиты сети путем разбиения ее на сегменты

Выбор средств защиты границ

Рекомендации по брандмауэрам

Рекомендации по маршрутизаторам с фильтрацией пакетов

Рекомендации по проксисерверам

Рекомендации по IDS и IPS

Рекомендации по VPN

Рекомендации по фильтрации пакетов при помощи IPSec

Рекомендации по ICF

Рекомендации по фильтрации TCP/IP

Рекомендации по IPSec в транспортном режиме

Рекомендации по удаленному доступу и RADIUSсерверам

Рекомендации по механизму Network Access Quarantine

Выбор и применение средств защиты границ

Проектирование репликации Active Directory через брандмауэры

Рекомендации по проектированию

Протоколы и порты, используемые Active Directory

Защита трафика Active Directory

Лабораторная работаПроектирование защиты границ сети

Упражнение 1. Проектирование сети центра обработки данных

Упражнение 2. Ограничение портов для репликации

Active Directory

Занятие 2. Защита DNS

Роль DNS в сети с Active Directory

Стандартные атаки DNS

Методы защиты развертывания DNS

Разделение пространства имен DNS

Альтернативный метод

Защита репликации DNSзон

Лабораторная работаЗащита DNS

Упражнение 1. Настройка защищенной динамической

регистрации

Упражнение 2. Защита репликации зоны

Упражнение 3. Применение dnscmd для защиты DNS145

Занятие 3. Проектирование защиты передачи данных внутри сети

Выбор методов защиты данных при передаче

Элементы политики IPSec

Создание IPфильтров

Проектирование IPфильтров

Создание согласуемых политик IPSec

Защита компьютера в режиме запуска IPSec

Проектирование защиты при помощи режима запуска IPSec

Проектирование согласуемых политик IPSec

Выбор и настройка согласуемых политик

Рекомендации по аутентификации компьютеров

Рекомендации по протоколам

Рекомендации по протоколам из семейства IPSec

Рекомендации по выбору туннельного режима

Рекомендации по выбору типа соединения

Рекомендации по шифрованию

Рекомендации по защите целостности данных

Рекомендации по выбору размера группы ДиффиХеллмана

Частота смены ключей и повторной аутентификации

Общие правила проектирования политик IPSec

Лабораторная работаПроектирование политики IPSec

Упражнение 1. Выбор политики

Упражнение 2. Проектирование политики IPSec для Wingtip Toys

Упражнение 3. Создание политики IPSec с помощью мастеров

Практикум

Проектирование физической защиты для сетевой инфраструктуры

Упражнение 1. Групповая политика и защита важных серверов

Упражнение 2. Выбор режима запуска IPSec

Упражнение 3. Применение протокола Remote Desktop

Упражнение 4. Создание постоянной политики

Упражнение 5. Анализ преимущества постоянных политик

Резюме главы

Рекомендации по подготовке к экзамену

Основные положения

Основные термины

Вопросы и ответы

РАЗДЕЛ II.I Проектирование защиты управления и поддержки сети

Глава 4. Проектирование безопасного управления сетью

Занятие 1. Управление административными рисками

Управление административными рисками

Общие уязвимости в управлении сетью

Изоляция и автономия

Применение изоляции и автономии к административным ролям

Примеры применения автономии и изоляции

Границы безопасности

Примеры границ безопасности

Примеры того, что не является границами безопасности

Граница политики безопасности

Примеры границ политики безопасности

Как установить административные границы безопасности

Сведение к минимуму возможности атаки

Защищенные методы установки

Защита автоматического развертывания

Отключение ненужных служб

Лабораторная работаДокументирование безопасной установки

Занятие 2. Проектирование безопасного администрирования

Обеспечение безопасности администрирования

Ограничение членства в привилегированных группах

Защита административных систем

Защита карманных компьютеров, используемых

для администрирования

Защита административных каналов связи

Проектирование распределения обязанностей

Разделение зависимых функций для усиления защиты

Разделение административных обязанностей

Защита учетных записей администраторов служб

Делегирование полномочий

Проектирование защиты администрирования

Зачем нужно безопасное администрирование?

Проектирование защищенных методов администрирования

Правила проектирования безопасных методов администрирования

Защита административных средств

Защита удаленного администрирования

Лабораторная работаБезопасная работа с административными

инструментами

Занятие 3. Защита служб аварийного управления

Службы аварийного управления

Задачи служб EMS

Когда применяют EMS

Управление по вспомогательному каналу

Инфраструктура вспомогательных каналов

Терминальные концентраторы

Вспомогательные процессоры

Компоненты служб EMS

Защита служб EMS

Лабораторная работаЗащита EMS

Практикум

Проектирование безопасного управления сетью

Общие сведения

Бизнестребования

Проблемы

Упражнение 1. Администрирование пользователей и компьютеров

Упражнение 2. Определение уровня административных полномочий

Упражнение 3. Контроль администраторов

Резюме главы

Рекомендации по подготовке к экзамену

Основные положения

Основные термины

Вопросы и ответы

Глава 5. Проектирование инфраструктуры обновления

системы безопасности

Занятие 1. Введение

Проектирование инфраструктуры обновления

системы безопасности

Необходимые изменения

Методы обновления

Выбор оптимальной комбинации методов обновления

Поиск актуальной информации об уязвимостях

Проектирование инфраструктуры обновления системы безопасности

Службы SUS

Возможности SUS

Ограничения SUS

Требования для развертывания SUS

Клиенты SUS

Иерархия SUS

Защита сервера SUS

Применение SUS при проектировании инфраструктуры

обновлений

Лабораторная работаАнализ ограничений проекта

инфраструктуры SUS

Занятие 2. Проектирование клиентской части инфраструктуры

обновления системы безопасности

Способы настройки клиентов SUS

Настройка при помощи групповой политики

Настройки SUS, специфичные для пользователя

Настройка при помощи системного реестра

Управление SUS через групповую политику

Лабораторная работаПроектирование GPO

Занятие 3. Мониторинг и оптимизация обновления

системы безопасности

Задачи проектов установки исправлений

Аудит установки исправлений

Возможности MBSA

Функции MBSA

Поддерживаемые операционные системы и приложения

Применение MBSA

Требования MBSA

Работа с MBSA

Аудит установки исправлений

Проверка исправлений с помощью SUS и клиентских журналов

Тестирование исправлений

Назначение тестирования

Проведение тестирования

Мониторинг и оптимизация установки исправлений

Лабораторная работаАнализ возможностей применения MBSA

Практикум

Проектирование инфраструктуры обновления

системы безопасности

Общая информация

Сведения о сети

Результаты опроса служащих

Требования

Упражнение 1. Выбор конфигурации SUS

Упражнение 2. Проектирование GPO

Упражнение 3. Установка исправлений в изолированной сети

Резюме главы

Рекомендации по подготовке к экзамену

Основные положения

Основные термины

Вопросы и ответы

РАЗДЕЛ IV. Проектирование защиты базовых сетевых функций

Глава 6. Разработка стратегии аутентификации

Занятие 1. Проектирование модели доверия для леса и домена

Проектирование модели доверия для леса или домена

Определение требований к доступу через границы

Терминология отношений доверия

Виды доверия

Типы отношений доверия

Режимы работы леса

Ограничение доверия

Автоматическое ограничение доверия

Фильтрация SID

Избирательная проверка подлинности

Ограничение доверия

Препятствия поддержке доверия в сети

Требования к доступу и типы доверия

Правила проектирования модели доверия

Лабораторная работаПроектирование моделей доверия

для леса и домена

Упражнение 1. Изменение режима леса

Упражнение 2. Создание доверия между лесами

Упражнение 3. Выбор типа доверия

Упражнение 4. Выбор метода ограничения доступа

Занятие 2. Проектирование проверки подлинности

в гетерогенной сети

Этапы проектирования проверки подлинности

в гетерогенной сети

Доступные протоколы проверки подлинности

Kerberos

Проверка подлинности и получение TGT

Получение сеансовых билетов

LAN Manager

NTLM и NTLMv2

Сертификаты

Протоколы аутентификации, поддерживаемые разными ОС

Внедрение более строгой проверки подлинности

NTLMv2

Kerberos

Сертификаты

Правила проектирования проверки подлинности в гетерогенной сети

Лабораторная работаПроектирование проверки подлинности

в гетерогенной сети

Упражнение 1. Укрепление защиты проверки подлинности

Упражнение 2. Снижение затрат при проектировании защиты

Занятие 3. Определение требований к учетным записям и паролям

Определение требований к учетным записям и паролям

Качества стойких паролей и строгих политик

Критерии стойких паролей

Критерии надежной политики паролей

Политики паролей в сетях Windows Server 2003

Инструменты для реализации политик паролей и их ограничения

Инструментарий для управления политиками

Требования к учетным записям пользователей

Параметры безопасности

Ограничения средств управления политиками

Определение отношения к безопасности и степени секретности

информации в организации

Реализация дополнительных политик паролей

Правила проектирования надежной политики паролей

Проектирование политики блокировки учетных записей

Правила проектирования политики блокировки учетных записей

Параметры политики блокировки учетных записей

Проектирование политики

Альтернативные методы проверки подлинности

Лабораторная работаПроектирование надежной политики паролей

и учетных записей

Практикум

Разработка стратегии проверки подлинности

Сведения о компании

Инфраструктура

Материалы интервью

Приложения

Бизнестребования

Технические требования

Упражнение 1. Создание политики учетных записей

Упражнение 2. Организация единого входа для Windowsклиентов

Резюме главы

Рекомендации по подготовке к экзамену

Основные положения

Основные термины

Вопросы и ответы

Глава 7. Проектирование защиты межсетевого взаимодействия

Занятие 1. Выбор протокола для доступа через VPN

Введение в VPN

Типы VPN, поддерживаемые Windows Server 2003

VPN для удаленного доступа

Межсетевая VPN

Протоколы VPN в Windows Server 2003

PPTP

L2TP/IPSec

Туннельный режим IPSec

Критерии сравнения VPNпротоколов

Шифрование

NAT

Правила выбора VPNпротокола

Лабораторная работаВыбор VPNпротокола

Занятие 2. Проектирование VPN

Настройка клиента и сервера VPN

Настройка аутентификации, авторизации и учета

Аутентификация

Шифрование

Блокировка учетных записей удаленного доступа

Авторизация

Размещение БД учетных записей

Сетевая инфраструктура VPN

Избыточность

NAT