Windows NT 4.0 與 Windows 98 降低安全性威脅指南
第 2 章:Trey Research 安全性風險管理法則應用案例
發佈日期: 2004 年 9 月 13 日 | 更新日期: 2006 年 3 月 30 日
本章說明將有組織且可以重複實施的風險分析方式使用在資訊系統之基本原則。每個組織都應該建立全面的風險管理程序,評估在哪方面投入時間和精力保護系統安全,才能夠獲得最佳的安全性和投資報酬率 (ROI)。
提升企業網路上舊版應用程式和用戶端安全性的第一步,就是全面分析環境、應用程式、使用者及網路相關的威脅和風險。Microsoft 建議您使用定義完善的程序 (例如 Microsoft 安全性風險管理法則 (SRMD)) 為每個網路進行分析。SRMD 提供了結構化且可以重複進行的程序,來評估組織的資產、風險、攻擊者可能竊取或破壞資產的弱點,以及可以應用哪些對策降低或移轉風險。
SRMD 的詳細討論不在本指南的範圍內,但內容包括 SRMD 用以識別與量化資產價值以及資產所面臨之威脅的架構,能讓組織對適當且符合成本效益的安全性活動做出正確的決策。
**注意:**如需更多關於 SRMD 的資訊,請參閱本章結尾的<更多資訊>一節。
本頁內容
案例詳細資料
套用安全性風險管理法則
評估風險
做出風險決策
總結
案例詳細資料
Trey Research 是專業的污水分析、監視及處理公司。Trey 的總部在西雅圖,而在喬治亞州、佛羅里達州、亞利桑那州及賓夕法尼亞州都有辦事處。Trey 總共不到 500 位員工,其中有實地工作人員、實驗室技術人員、科學家以及一些管理人員。
Trey Research 的客戶包括需要專業評估服務 (例如測量地下水汞含量) 的當地政府和州政府,需要在建設前、建設中和建設後進行現場測試的建設公司,需要持續監視設備的工業和製造公司,以及需要緊急環境監視和清理的其他機構。Trey 收集的資料和對結果的分析,通常在財務或法律方面都是重要的。當 Trey 的工程師需要出庭擔任專家證人時,所收集的資料生命週期必須符合特定的證據鏈要求。
實地工作人員會保留測量的書面記錄,在回到辦公室時會手動將記錄輸入電腦。部分工程師會在現場使用 Microsoft® Windows® 98 筆記型電腦直接輸入資料,但這種分析系統僅用於 Trey 的少數大客戶。
過去三年來,Trey 每年以大約 20% 的速率不斷發展。這種發展速度最後使得公司的 CEO 僱用了 IT 主管,以建立和管理資訊系統現代化的計畫。2003 年後期 IT 主管上任的第一項工作就是執行風險分析,以深入瞭解公司電腦資產的價值及其所面臨的弱點。有了這項分析,Trey 對 IT 環境做了多項快速的變更。第一項重大變更是將網域結構升級為 Microsoft Active Directory® 目錄服務和 Microsoft Windows Server™ 2003。此升級立即增強了網域帳戶的安全性,並可將其他群組原則控制項套用於存放重要檔案的電腦 (例如主管及其員工使用的電腦)。此外,公司還加速了技術現代化計畫,讓新的分析和收集系統初始佈署 (以 Windows XP 和 Windows XP Tablet PC Edition 為基礎) 比原計畫更早開始。
但是,Trey 還選擇進一步投資強化其現有系統,以降低新系統完全部署前這段時間的資料遺失或危害風險。CEO 給了 IT 主管一個月的時間識別與排列風險等級,並降低最直接的安全性威脅,同時研究公司 Microsoft Windows NT® 4.0 系統的升級。雖然時間很短,但是 Trey 慎重處理安全性威脅,並積極地採取保護措施。
網路
本文件中所述的建議與設定,已經在模擬的 Trey 公司網路上進行過測試,網路設定如下圖所示:
.gif)
圖 2.1 Trey Research 網路的網路測試子集
Active Directory 設計
Trey Research 組織使用一個 Active Directory 網域。之所以選擇這樣的結構,是因為方便維護和控制。因為所有辦事處都透過私人租用線路連線到 Trey 的總部,因此無需為個別分公司建立子網域。
商業需求
Trey 有下列五個與公司系統和網路相關的主要商業需求:
保持系統的完整性,以防止外部攻擊者的危害。此需求需要強化網路以防止入侵、改善稽核和記錄,以及減少系統可能受到常見攻擊的弱點。
採取所有安全性措施後,保持正常的商業活動。因為大部分的分析工作都是時間緊迫的,因此不能對工作造成頻繁或持續的干擾。
必要時保持資訊的機密性。Trey 所管理的部分資訊是非常機密的,因此公司必須避免洩漏資訊導致的責任。
增強保護,以防範網路上的惡意程式碼。因為 Trey 有自由的使用原則,因此許多使用者都有自行下載與安裝軟體的習慣。在過去,這種情況會導致安全性和效能問題。強化工作的其中一個目標,是讓公司的系統盡量避免受到下載的 惡意程式碼攻擊。
提供自動化方法進行稽核和散佈安全性補充程式。
套用安全性風險管理法則
SRMD 的目標是提供量化風險的方法,然後降低組織控制範圍內的風險。因此,SRMD 將風險管理定義為一個持續進行的過程,其中有四個主要階段,如下圖所示:
評估風險。識別並按照優先順序排列組織的風險, 這些風險不一定與特定的 IT 系統或資產相關。
決策支援。根據定義的成本利益分析程序,確認和選擇控制解決方案。
實作控制。部署和操作全部的控制解決方案,降低組織的風險。
測量風險。判斷和報告已部署控制的效益,將風險管理到可接受的程度。
.gif)
圖 2.2 SRMD 過程
《Microsoft 安全性風險管理法則》(英文) (將於 2004 年內稍後發行) 詳細說明了 SRMD。Trey 的 IT 人員根據 SRMD 內容建立計畫,其中執行了下列作業:
評估風險,Trey 需要執行三個步驟以建立評估風險的計畫,收集有關實際風險程度和組織的弱點的資料,以及按照嚴重性和成本排列這些風險的優先順序。
使用風險評估根據存在的實際風險程度,決定要套用的特定控制。
實作選定的控制。本指南其餘章節專門討論可以套用哪些控制,以降低特定類型的風險。
評估套用的控制對風險和組織的環境之影響。
本章著重於前兩個步驟,並說明 Trey IT 人員如何調整 SRMD 以適合其環境,協助公司開始執行風險管理的 SRMD 導向程序。其餘章節會著重於第三個步驟,即套用實際控制。
評估風險
Trey 開始安全性強化程序必須採取的第一個重要步驟是,評估公司實際面臨的風險和威脅。此程序需要 Trey 將下列數個獨立的步驟連結在一起:
識別網路上各類電腦的角色和功能。
在不同角色中對應通訊。例如,應用程式伺服器需要與網域控制站和使用者工作站通訊。此對應應該精確地指出這些通訊所用的通訊協定、連接埠及流量模式。
識別可能會以各種角色利用電腦弱點的潛在威脅。
決定特定威脅可能會套用於指定角色的可能性。
識別角色
對於大多數網路而言,識別網路上的電腦角色是非常容易的。Trey IT 部門只要查詢公司系統實際目錄,就可以產生下表中的資料。下表列出了網路上使用的主要角色、這些角色使用的作業系統,以及這些角色的一般位置和硬體類型。所有上述資訊都與安全性威脅模型的程序相關。
表 2.1:Trey 電腦角色
| 角色 | 角色中使用的作業系統 | 位置 | 硬體類型 |
|---|---|---|---|
| 應用程式/Web 伺服器 | Windows NT 4.0 | 總部 | 傳統伺服器 |
| 動態主機設定通訊協定 (DHCP) 伺服器 | Windows Server 2003 | 總部和各地辦事處 | 傳統伺服器 |
| 網域名稱系統 (DNS) 伺服器 | Windows Server 2003 | 總部 | 傳統伺服器 |
| 網域控制站 | Windows Server 2003 | 總部和各地辦事處 | 傳統伺服器 |
| 管理階層行動電腦 | Windows 2000 和 Windows XP | 行動 | 行動電腦 |
| 管理階層/特殊用途工作站 | Windows XP | 總部 | 傳統桌上型電腦 |
| 辦事處工程系統 | Windows 98 | 行動 | 行動電腦 |
| 檔案/列印伺服器 | Windows NT 4.0 | 總部和各地辦事處 | 傳統伺服器 |
| 訊息伺服器 | Windows NT 4.0 | 總部 | 傳統伺服器 |
| 特殊用途控制系統 | Windows NT 4.0 和部分 Windows 98 | 各地辦事處 | 兼具傳統伺服器和桌上型電腦 |
| 使用者工作站 | Windows 98 和部分 | 總部和各地辦事處 | 傳統桌上型電腦 |
| Windows 網際網路名稱服務 (WINS) 伺服器 | Windows Server 2003 | 總部和各地辦事處 | 傳統伺服器 |
| 威脅 | 詳細資料/攻擊方法 | 影響和範圍 | 可能性 | 可用的補救措施 |
|---|---|---|---|---|
| 環境損害 | 火災、水災、惡劣天氣或其他外部環境因素。 | 高/整個網路 | 低 | 保險;災害復原和保護企業營運持續性的計畫。 |
| 基礎結構服務暫時中斷 | 廣域網路 (WAN)/網際網路連接、電源、冷卻或 Trey 未提供的其他重要基礎結構服務中斷。 | 中/整個網路 | 中 | 這些中斷往往是暫時的。 |
| 主要電腦實際損壞 | 意外或故意造成的損壞。 | 中/單一機器 | 低 | 備份以及對重要的電腦進行實體存取控制。 |
| 單一電腦遭到入侵 | 攻擊者對電腦進行實體存取和入侵。 | 高/單一機器 | 低 | 實體存取控制、強化啟動、本機管理帳戶使用增強式密碼,以及使用 Syskey 保護本機安全性帳戶管理員資料庫資料。 |
| 威脅 | 詳細資料/攻擊方法 | 影響和範圍 | 可能性 | 可用的補救措施 |
|---|---|---|---|---|
| 竄改或偽造網路流量 | 攻擊者傳送不正確的/錯誤的訊息給主機。 | 高/整個網路 | 低 | 網路輸入篩選。 |
| 竄改 DNS 服務 | 攻擊者偽造、污染或封鎖 DNS 流量。 | 高/整個網路 | 低 | 監視 DNS 服務品質以快速偵測服務問題。 |
| 竄改或偽造目標流量 | 攻擊者針對個別電腦或資產進行攻擊。 | 高/單一電腦 | 低 | 連接埠和封包篩選、網路分割和個人防火牆。 |
| 使用者帳戶鎖定 | 攻擊者超過密碼所允許的嘗試輸入次數,啟動了帳戶鎖定原則。 | 中/整個網路 | 低 | 將帳戶鎖定原則部署為無鎖定計數。 |
| 服務帳戶鎖定 | 攻擊者造成密碼重試計數超過限制,導致服務帳戶拒絕存取。 | 中/整個網路 | 低 | 將帳戶鎖定原則部署為無鎖定計數。 |
| 頻寬消耗攻擊 | 攻擊者刻意消耗頻寬,攻擊網路或裝置。 | 中/整個網路 | 低 | 對於週邊網路,進行篩選輸入並監視網際網路服務提供者 (ISP)。對於內部主機,進行傳輸控制通訊協定/網際網路通訊協定 (TCP/IP) 堆疊強化並篩選輸入。 |
| 竄改 DHCP/WINS 服務 | 攻擊者偽造、污染或封鎖用戶端和基礎結構伺服器之間的 DHCP 或 WINS 傳輸。 | 低/單一電腦 | 低 | 使用多部 DHCP 和 WINS 伺服器,提供重疊範圍。 |
| 威脅 | 詳細資料/攻擊方法 | 影響和範圍 | 可能性 | 可用的補救措施 |
|---|---|---|---|---|
| 病毒散播 | 病毒由內部使用者傳入 Trey 網路後散播。 | 高/整個網路 | 中 | 部署用戶端和伺服器防毒軟體、教育使用者、進行補充程式管理以及隔離舊電腦。 |
| 使用者執行惡意程式碼 | 使用者下載並執行了偽裝成無害資料的惡意程式碼。 | 高/單一電腦 | 中 | 強化 Microsoft Internet Explorer 以及教育使用者。 |
| 蠕蟲散播 | 蠕蟲從網際網路或透過感染的內部電腦傳入後散播。 | 高/整個網路 | 低 | 進行補充程式管理以減少弱點,以及隔離舊電腦。 |
| 威脅 | 詳細資料/攻擊方法 | 影響和範圍 | 可能性 | 可用的補救措施 |
|---|---|---|---|---|
| 網路竊聽 | 攻擊者暗中監視網路傳輸,以擷取密碼或其他重要資料。 | 高/整個網路 | 中 | 對網路進行實體存取控制、使用伺服器訊息區 (SMB) 簽章、使用 Windows NT LAN Manager 2 版 (NTLMv2) 而非 NTLM 或 LM 驗證。 |
| 竊取行動/筆記型電腦中的資料 | 攻擊者竊取電腦,並還原其中資料。 | 高/整個網路 | 中 | 無 |
| 洩露密碼資料 | 攻擊者從受攻擊的電腦或網路中竊取密碼雜湊。 | 高/整個網路 | 低 | 對網域控制站進行實體存取控制、使用 Syskey 以及 NTLMv2。 |
| 故意洩露資訊 | 授權使用者將資訊洩露給未經授權的對象。 | 高/單一電腦 | 低 | 無 |
| 威脅 | 詳細資料/攻擊方法 | 影響和範圍 | 可能性 | 可用的補救措施 |
|---|---|---|---|---|
| 網域系統管理員帳戶遭到入侵 | 攻擊者取得網域系統管理員帳戶的密碼。 | 高/整個網路 | 低 | 實體存取控制。 |
| 在個別電腦上本機系統管理員帳戶遭到入侵 | 攻擊者透過破解密碼或其他方式,找出本機系統管理員帳戶的密碼。 | 高/單一電腦 | 低 | 進行實體安全性控制和 NTLMv2 驗證。 |
| 在個別電腦上本機系統管理員帳戶密碼被重設 | 攻擊者能夠實際存取電腦,並重設電腦的本機系統管理員密碼。 | 高/單一電腦 | 低 | 實體安全性控制。 |
| 使用者帳戶遭到入侵 | 攻擊者取得一般使用者帳戶的存取權。 | 中/單一電腦 | 低 | 進行實體存取控制、SMB 簽章和 NTLMv2 驗證。 |