企業(yè)網(wǎng)絡(luò)縱深防御講義

1、IT專家網(wǎng)技術(shù)沙龍 主題一如何構(gòu)建安全的企業(yè)內(nèi)部網(wǎng)絡(luò)主講人：殷杰前言 計算機(jī)網(wǎng)絡(luò)已經(jīng)深入我們的生活 計算機(jī)網(wǎng)絡(luò)安全問題日趨重視 如何應(yīng)對網(wǎng)絡(luò)安全隱患 如何打造安全的企業(yè)網(wǎng)絡(luò) 目錄 一、邊界網(wǎng)絡(luò)安全一、邊界網(wǎng)絡(luò)安全 二、內(nèi)部網(wǎng)絡(luò)安全 三、無線網(wǎng)絡(luò)安全 四、補(bǔ)丁和更新管理 五、網(wǎng)絡(luò)訪問隔離 六、用戶行為管理 七、其他和展望Step 1 邊界網(wǎng)絡(luò)安全 ISA 2004防火墻系統(tǒng)應(yīng)用層篩選內(nèi)部服務(wù)器的發(fā)布SSL通訊保護(hù)目前的網(wǎng)絡(luò)安全形勢管理員遇到的問題怎么樣防止員工訪問任意的網(wǎng)站？怎么樣防止員工訪問任意的網(wǎng)站？怎么樣怎么樣防止防止員工任意的下載軟件？員工任意的下載軟件？怎么樣防止員工使用任意的計算機(jī)上

2、網(wǎng)？怎么樣防止員工使用任意的計算機(jī)上網(wǎng)？怎么樣防止員工在任意的時間上網(wǎng)？怎么樣防止員工在任意的時間上網(wǎng)？怎么樣阻止怎么樣阻止P2P軟件？軟件？怎么樣控制用戶上網(wǎng)的帶寬使用？怎么樣控制用戶上網(wǎng)的帶寬使用？怎么樣防止用戶使用外部代理？怎么樣防止用戶使用外部代理？怎么樣阻止員工使用私自安裝的二級代理？怎么樣阻止員工使用私自安裝的二級代理？傳統(tǒng)防火墻的局限性對常見攻對常見攻擊行為的擊行為的防范防范難以管理難以管理傳統(tǒng)防火墻之包過濾?Source Address,Dest. Address,TTL, ChecksumSequence NumberSource Port,Destination Port,

3、ChecksumInternetExpected HTTP TrafficUnexpected HTTP TrafficAttacksNon-HTTP TrafficCorporate Network隨著網(wǎng)絡(luò)安全在企業(yè)IT部門中的地位越來越重要，微軟公司也重視到了這一點(diǎn)。經(jīng)過4年的努力，微軟在2004年發(fā)布了ISA Server 2004，新版本的ISA Server將給重視安全的企業(yè)帶來新的選擇。ISA Server 2004的優(yōu)勢ISA Server 2004 新特性更新的安全結(jié)構(gòu)ISA Server 2004 新特性新的管理工具和用戶界面ISA Server 2004 新特性依然強(qiáng)大的集

4、成性ISA Server 概覽根據(jù)內(nèi)容轉(zhuǎn)發(fā)根據(jù)內(nèi)容轉(zhuǎn)發(fā)n只將合法只將合法 HTTP 流量發(fā)送到流量發(fā)送到 Web 服務(wù)器服務(wù)器GET HTTP 流量流量異常異常 HTTP 流量流量Web 服務(wù)器攻擊服務(wù)器攻擊非非 HTTP 流量流量檢查包頭和應(yīng)用層內(nèi)容檢查包頭和應(yīng)用層內(nèi)容InternetWeb 服務(wù)器服務(wù)器HTTP 篩選器 提供了一種控制方法HTTP 篩選器可適用于： 內(nèi)部用戶訪問 Internet 網(wǎng)站的流量 Internet 用戶訪問被發(fā)布網(wǎng)站的流量HTTP 篩選器可以依據(jù)下列項(xiàng)目進(jìn)行 HTTP 協(xié)議的阻擋與過濾： 方法、擴(kuò)展名與URL 請求頭與請求正文 響應(yīng)頭與響應(yīng)正文每一條防火墻規(guī)則的

5、 HTTP 篩選器設(shè)定都是獨(dú)立的因此管理員可以為每一條規(guī)則進(jìn)行單獨(dú)的設(shè)定利用 HTTP 篩選器保護(hù)網(wǎng)站MSNBCSource Address,Dest. Address,TTL, ChecksumSequence NumberSource Port,Destination Port,ChecksumHTTP篩選器HTTP篩選器示例應(yīng)用程序名稱應(yīng)用程序名稱搜尋范圍搜尋范圍HTTP頭頭簽名簽名MSN Messenger請求頭請求頭User-Agent:MSN MessengerWindows Messenger請求頭請求頭User-Agent:MSMSGSAOL Messenger (and Ge

6、cko browsers)請求頭請求頭User-Agent:Gecko/Yahoo Messenger請求頭請求頭HKazaa請求頭請求頭P2P-AgentKazaa, Kazaaclient:Kazaa請求頭請求頭User-Agent:KazaaClient Kazaa請求頭請求頭X-Kazaa-Network:KaZaAGnutella請求頭請求頭User-Agent:GnutellaGnucleusEdonkey請求頭請求頭User-Agent:e2dkMorpheus請求頭請求頭ServerMorpheusISA Server Web 發(fā)布ISA Server 檢查檢查 HTTP 請求

7、請求 只轉(zhuǎn)發(fā)允許的請求只轉(zhuǎn)發(fā)允許的請求ISA Server 可以發(fā)布多臺服務(wù)器可以發(fā)布多臺服務(wù)器Web 服務(wù)器服務(wù)器傳入流量傳入流量Internet安全的 SSL 流量SSL隧道：無需進(jìn)行流量檢查即可保護(hù)內(nèi)容機(jī)密隧道：無需進(jìn)行流量檢查即可保護(hù)內(nèi)容機(jī)密SSL 橋接：橋接：1. Internet 上的客戶端對通信內(nèi)容進(jìn)行加密上的客戶端對通信內(nèi)容進(jìn)行加密2. ISA Server 對流量進(jìn)行解密并檢查對流量進(jìn)行解密并檢查3. ISA Server 將允許的流量發(fā)送到已發(fā)布的服務(wù)器，必要時對其將允許的流量發(fā)送到已發(fā)布的服務(wù)器，必要時對其進(jìn)行重新加密進(jìn)行重新加密保護(hù) SMTP 通信基于基于 SMTP 的

8、攻擊：的攻擊： 使用無效、過長或不尋常的使用無效、過長或不尋常的 SMTP 命令攻擊郵件服務(wù)器或命令攻擊郵件服務(wù)器或收集收件人信息收集收件人信息 通過包含惡意內(nèi)容（如蠕蟲）對收件人進(jìn)行攻擊通過包含惡意內(nèi)容（如蠕蟲）對收件人進(jìn)行攻擊ISA Server 通過以下方式保護(hù)郵件服務(wù)器：通過以下方式保護(hù)郵件服務(wù)器： 實(shí)施的實(shí)施的 SMTP 命令與標(biāo)準(zhǔn)一致命令與標(biāo)準(zhǔn)一致 攔截禁止的攔截禁止的 SMTP 命令命令 攔截附件類型、內(nèi)容、收件人或發(fā)件人受到禁止的郵件攔截附件類型、內(nèi)容、收件人或發(fā)件人受到禁止的郵件目錄 一、邊界網(wǎng)絡(luò)安全 二、內(nèi)部網(wǎng)絡(luò)安全二、內(nèi)部網(wǎng)絡(luò)安全 三、無線網(wǎng)絡(luò)安全 四、補(bǔ)丁和更新管理 五

9、、網(wǎng)絡(luò)訪問隔離 六、用戶行為管理 七、其他和展望Step 2 內(nèi)部網(wǎng)絡(luò)安全 資產(chǎn)管理的重要性和必要性使用SMS2003管理資產(chǎn)SMS 2003的軟件度量功能盜版軟件克星軟件限制策略安全的保護(hù)神Distributed Enterprise Management PointServer LocatorPointDistributionPointReportingPointClientAccessPointSiteServerSMS SiteDatabasePrimary Site(Child andParent Site)SecondarySite(Child Site)Primary (Cent

10、ral) Site(Parent Site)Primary or Secondary Site(Child Site)SQLSQLSQLSQL DistributionServerCollectionProgramPackageClientClientClient規(guī)劃工具軟件限制策略SRP-軟件限制策略默認(rèn)規(guī)則不受限的不允許的其他規(guī)則HASH規(guī)則路徑規(guī)則證書規(guī)則INTERNET規(guī)則目錄 一、邊界網(wǎng)絡(luò)安全 二、內(nèi)部網(wǎng)絡(luò)安全 三、無線網(wǎng)絡(luò)安全三、無線網(wǎng)絡(luò)安全 四、補(bǔ)丁和更新管理 五、網(wǎng)絡(luò)訪問隔離 六、用戶行為管理 七、其他和展望Step 3 無線網(wǎng)絡(luò)安全 WEP的弱點(diǎn)RADIUS協(xié)議和認(rèn)證使用IA

11、S為無線設(shè)備保駕護(hù)航安全的無線網(wǎng)絡(luò)常見的無線網(wǎng)絡(luò)風(fēng)險威脅Security threats include:Disclosure of confidential information Unauthorized access to dataImpersonation of an authorized clientInterruption of the wireless service Unauthorized access to the InternetAccidental threatsUnsecured home wireless setupsUnauthorized WLAN implem

12、entations了解無線網(wǎng)技術(shù)StandardDescription802.11A base specification that defines the transmission concepts for wireless LANs 802.11aTransmission speeds up to 54 megabits (Mbps) per second802.11b11 MbpsGood range but susceptible to radio signal interference802.11g54 Mbps Shorter ranges than 802.11b802.11iE

13、stablishes a standard authentication and encryption process for wireless networks 802.1X - a standard that defines a port-based access control mechanism of authenticating access to a network and, as an option, for managing keys used to protect traffic 無線網(wǎng)絡(luò)部署方案Wireless network implementation options

14、include:Wi-Fi Protected Access with Pre-Shared Keys (WPA-PSK)Wireless network security using Protected Extensible Authentication Protocol (PEAP) and passwords Wireless network security using Certificate Services 選擇合適的無線網(wǎng)絡(luò)解決方案Wireless Network SolutionTypicalEnvironmentAdditional Infrastructure Compon

15、ents RequiredCertificates Used for Client AuthenticationPasswords Usedfor Client AuthenticationTypical Data Encryption MethodWi-Fi Protected Access with Pre-Shared Keys (WPA-PSK) Small Office/Home Office (SOHO)NoneNOYES Uses WPA preshared key to authenticate to networkWPAPassword-based wireless netw

16、ork securitySmall to medium organizationInternet Authentication Service (IAS)Certificate required for the IAS serverNO However, a certificate is issued to validate the IAS serverYESWPA or Dynamic WEPCertificate-based wireless network securityMedium to large organizationInternet Authentication Servic

17、e (IAS)Certificate Services YESNO Certificates used but may be modified to require passwordsWPA or Dynamic WEP提供有效的驗(yàn)證和授權(quán)StandardDescriptionExtensible Authentication Protocol-Transport Layer Security (EAP-TLS)Uses public key certificates to authenticate clientsProtected Extensible Authentication Prot

18、ocol-Microsoft-Challenge Handshake Authentication Protocol v2 (PEAP-MS-CHAP v2)A two-stage authentication method using a combination of TLS and MS-CHAP v2 for password authenticationTunneled Transport Layer Security (TTLS)A two-stage authentication method similar to PEAPMicrosoft does not support th

19、is method保護(hù)數(shù)據(jù)傳輸安全Wireless data encryption standards in use today include: Wired Equivalent Privacy (WEP)Dynamic WEP, combined with 802.1X authentication, provides adequate data encryption and integrityCompatible with most hardware and software devices Wi-Fi Protected Access (WPA/WPA2)Changes the enc

20、ryption key with each frameUses a longer initialization vector Adds a signed message integrity check valueIncorporates a frame counter WPA2 provides data encryption via AES. WPA uses Temporal Key Integrity Protocol (TKIP)802.1X 的系統(tǒng)需求ComponentsRequirementsClient devicesWindows XP and Pocket PC 2003 p

21、rovide built-in supportMicrosoft provides an 802.1X client for Windows 2000 operating systems RADIUS/IAS and certificate serversWindows Server 2003 Certificate Services and Windows Server 2003 Internet Authentication Service (IAS) are recommendedWireless access pointsAt a minimum, should support 802

22、.1X authentication and 128-bit WEP for data encryption802.1X with PEAP 如何工作Wireless ClientRADIUS (IAS)1ClientConnectWireless Access Point2ClientAuthenticationServerAuthenticationMutual Key Determination453Key DistributionAuthorizationWLAN EncryptionInternal NetworkWLAN Network 的網(wǎng)絡(luò)服務(wù)Branch OfficeHead

23、quartersWLAN ClientsDomain Controller (DC)RADIUS (IAS)Certification Authority (CA)DHCP Services (DHCP)DNS Services (DNS)DHCPIAS/DNS/DCLANLANAccessPointsIAS/CA/DCIAS/DNS/DCPrimarySecondaryPrimarySecondaryWLAN ClientsAccessPoints目錄 一、邊界網(wǎng)絡(luò)安全 二、內(nèi)部網(wǎng)絡(luò)安全 三、無線網(wǎng)絡(luò)安全 四、補(bǔ)丁和更新管理四、補(bǔ)丁和更新管理 五、網(wǎng)絡(luò)訪問隔離 六、用戶行為管理 七、其他和展

24、望 Step 4 補(bǔ)丁和更新管理 1、補(bǔ)丁的重要性和產(chǎn)品生存周期2、與病毒賽跑及時安裝補(bǔ)丁是保護(hù)系統(tǒng)安全的 最基本方法3、微軟提供的軟件補(bǔ)丁更新方法4、使用WSUS進(jìn)行補(bǔ)丁管理5、使用SMS 2003進(jìn)行補(bǔ)丁管理和分發(fā)商業(yè)價值漏洞攻擊時間表實(shí)例：沖擊波我們已經(jīng)收到漏洞報告 /正在開發(fā)安全更新公告和安全更新都可以得到/沒有可以利用的蠕蟲向公眾發(fā)布代碼蠕蟲July 1July 16July 25Aug 11lRPC/DDOM中的漏洞被報告lMS 激活最高級別的應(yīng)急響應(yīng)過程lMS03-026 告訴用戶這個漏洞 (7/16/03)l繼續(xù)把服務(wù)擴(kuò)大到分析者、媒體、社會、合作伙伴以及政府機(jī)構(gòu)lX-focu

25、s發(fā)布漏洞利用工具lMS 加大力量來告知用戶l沖擊波被發(fā)現(xiàn)，不同的病毒共同攻擊 (比如：SoBig公告發(fā)布到病毒攻擊的天數(shù)更新管理解決方案支持的軟件及內(nèi)容支持的軟件及內(nèi)容 產(chǎn)品產(chǎn)品 MBSAMicrosoft UpdateWSUSSMS 2003支持的軟件支持的軟件Same as MU for security update detection. Windows, IE, Exchange and SQL configuration checksWindows 2000+, Exchange 2000+, SQL Server 2000+, Office XP+ wi

26、th expanding supportSame as MUSame as WSUS + NT 4.0 & Win98* + can update any other Windows based software支持內(nèi)容類型支持內(nèi)容類型Service Packs and Security UpdatesAll software updates, driver updates, service packs (SPs), and feature packs (FPs)Same as MU with only critical driver updatesAll updates, SPs,

27、& FPs + supports update & app installs for any Windows based software更新管理解決方案Administrator subscribes to update categoriesServer downloads updates from Microsoft UpdateClients register themselves with the serverAdministrator puts clients in different target groupsAdministrator approves updat

28、esAgents install administrator approved updatesMicrosoft UpdateWSUS ServerDesktop ClientsTarget Group 1Server ClientsTarget Group 2WSUS AdministratorWSUS概覽管理 WSUS管理更新目錄 一、邊界網(wǎng)絡(luò)安全 二、內(nèi)部網(wǎng)絡(luò)安全 三、無線網(wǎng)絡(luò)安全 四、補(bǔ)丁和更新管理 五、網(wǎng)絡(luò)訪問隔離五、網(wǎng)絡(luò)訪問隔離 六、用戶行為管理 七、其他和展望 Step 5 網(wǎng)絡(luò)訪問隔離 IPSEC策略介紹網(wǎng)絡(luò)訪問隔離（NAP）和IPSEC數(shù)據(jù)傳輸面臨的威脅竊聽 數(shù)據(jù)篡改 身份欺

29、騙拒絕服務(wù)攻擊中間人攻擊Sniffer 攻擊應(yīng)用層攻擊盜用口令攻擊加密術(shù)語加密 透過數(shù)學(xué)公式運(yùn)算，使文件或數(shù)據(jù)模糊化 用于秘密通訊或安全存放文件及數(shù)據(jù)解密 為加密的反運(yùn)算 將已模糊化的文件或數(shù)據(jù)還原密鑰 是加密 / 解密運(yùn)算過程中的一個參數(shù) 實(shí)際上是一組隨機(jī)的字符串加密方法對稱式加密非對稱式加密哈希加密IPSEC的特點(diǎn)IPSec 是工業(yè)標(biāo)準(zhǔn)的安全協(xié)議， 它工作在網(wǎng)絡(luò)層，可以用于身份驗(yàn)證，加密數(shù)據(jù)及對數(shù)據(jù)做認(rèn)證. 總之，IPSEC被用于保護(hù)網(wǎng)絡(luò)中傳輸數(shù)據(jù)的安全性.IPSEC的好處: 在通信前作雙向的身份驗(yàn)證 通過對數(shù)據(jù)包加密保證數(shù)據(jù)包中數(shù)據(jù)的機(jī)密性 通過阻止對數(shù)據(jù)包的修改保證數(shù)據(jù)的一致性和原始性

30、 防止重播攻擊IPSec 對使用者及應(yīng)用程序是透明性 可以使用活動目錄集中管理IPSEC策略IPSEC的功能可以使用ESP加密數(shù)據(jù)以及使用AH對數(shù)據(jù)作數(shù)字簽名路由器路由器Tunnel mode可以使用傳送模式來保護(hù)主機(jī)之間的安全可以使用隧道模式來保護(hù)兩個網(wǎng)絡(luò)的安全ESPAH路由器Transport modeIPSEC 協(xié)議組件 IKE（Internet Key Exchange） 協(xié)商 AH（Authentication Header） 數(shù)據(jù)完整性 ESP（Encapsulating Security Payload） 數(shù)據(jù)加密IPSEC處理過程 TCP 層IPSec驅(qū)動TCP 層IPSec

31、驅(qū)動加密的 IP 數(shù)據(jù)包3安全 互聯(lián)協(xié)商(ISAKMP)2IPSec 策略IPSec 策略1活動目錄創(chuàng)建 IPSec 安全策略IP 安全策略規(guī)則IP 篩選器列表IP 篩選器列表IP 篩選器列表IP 篩選器列表IP 篩選器列表篩選器操作IP 篩選器可以指派給域、站點(diǎn)和組織單位IPSEC策略和規(guī)則 IPSec 使用策略和規(guī)則保護(hù)網(wǎng)絡(luò)通信的安全 規(guī)則由下列組件組成: 篩選器 篩選器操作 身份驗(yàn)證方法 默認(rèn)策略包括: Client (僅響應(yīng)) 服務(wù)器 (要求安全性) 安全服務(wù)器 (需要安全性)默認(rèn)策略聯(lián)合沒有策略指派沒有策略指派客戶端客戶端（僅回應(yīng)）（僅回應(yīng)）服務(wù)器服務(wù)器（要求安全性）（要求安全性）安

32、全的服務(wù)器安全的服務(wù)器（需要安全性）（需要安全性）沒有策略指派沒有策略指派 沒有沒有 IPSec沒有沒有IPSec沒有沒有IPSec不會通信不會通信客戶端（僅響應(yīng)）客戶端（僅響應(yīng)）沒有 IPSec沒有沒有IPSecIPSecIPSec服務(wù)器服務(wù)器（要求安全性）（要求安全性）沒有 IPSecIPSecIPSecIPSec安全的服務(wù)器安全的服務(wù)器（需要安全性）（需要安全性）不會通信不會通信IPSecIPSecIPSec自定義策略 IPSEC規(guī)則 篩選器列表（IP Filter List） 篩選器操作（Filter Action） 允許、阻止、協(xié)商安全 隧道端點(diǎn)（Tunnel Point） 傳送模式

33、、隧道模式 網(wǎng)絡(luò)類型（Network Type） 局域網(wǎng)絡(luò)、遠(yuǎn)程訪問、所有網(wǎng)絡(luò) 身份驗(yàn)證方法（Authentication Methods） Kerberos V5、證書、預(yù)共享密鑰什么是網(wǎng)絡(luò)隔離？引入邏輯數(shù)據(jù)隔離防御層的好處包括： 額外的安全性 對可以訪問特定信息的人員進(jìn)行控制 對計算機(jī)管理進(jìn)行控制 抵御惡意軟件的攻擊 加密網(wǎng)絡(luò)數(shù)據(jù)的機(jī)制 網(wǎng)絡(luò)隔離：在直接 IP 互連的計算機(jī)之間，能夠允許或禁止特定類型的網(wǎng)絡(luò)訪問識別受信任的計算機(jī)受信任的計算機(jī)：受管理的設(shè)備（處于已知狀態(tài)并且滿足最低安全要求）不受信任的計算機(jī)：可能未滿足最低安全要求的設(shè)備（主要因?yàn)榇嗽O(shè)備未受到管理或集中控制）使用網(wǎng)絡(luò)隔離能達(dá)

34、到的目標(biāo)通過使用網(wǎng)絡(luò)隔離可以達(dá)到以下目標(biāo)：在網(wǎng)絡(luò)級別上將受信任的域成員計算機(jī)與不受信任的設(shè)備相隔離幫助確保設(shè)備滿足訪問受信任的資產(chǎn)所需的安全要求允許受信任的域成員將入站網(wǎng)絡(luò)訪問限制到特定的一組域成員計算機(jī)上將工作重點(diǎn)放在主動監(jiān)視和守規(guī)上，并確定它們的優(yōu)先次序?qū)踩ぷ鞯闹攸c(diǎn)放在要求從不受信任的設(shè)備進(jìn)行訪問的少量受信任的資產(chǎn)上重點(diǎn)關(guān)注并加快進(jìn)行補(bǔ)救和恢復(fù)工作使用隔離無法減輕的風(fēng)險無法通過網(wǎng)絡(luò)隔離直接減輕的風(fēng)險包括：受信任用戶泄露敏感數(shù)據(jù)對受信任用戶的憑據(jù)的危害 不受信任的計算機(jī)訪問其他不受信任的計算機(jī)受信任用戶誤用或?yàn)E用其受信任狀態(tài)不符合安全策略的受信任設(shè)備失守的受信任計算機(jī)訪問其他受信任的計算

35、機(jī)網(wǎng)絡(luò)隔離如何適應(yīng)網(wǎng)絡(luò)安全？策略、過程和意識物理安全應(yīng)用程序主機(jī)內(nèi)部網(wǎng)絡(luò)周邊數(shù)據(jù)邏輯數(shù)據(jù)隔離如何實(shí)現(xiàn)網(wǎng)絡(luò)隔離？網(wǎng)絡(luò)隔離解決方案的組成部分包括：滿足組織最低安全要求的計算機(jī) 受信任的主機(jī)使用 IPSec 以提供主機(jī)身份驗(yàn)證和數(shù)據(jù)加密主機(jī)身份驗(yàn)證在本地安全策略中驗(yàn)證安全組成員身份，在資源上驗(yàn)證訪問控制列表主機(jī)授權(quán)使用網(wǎng)絡(luò)訪問組和 IPSec 控制計算機(jī)訪問邏輯數(shù)據(jù)隔離計算機(jī)訪問權(quán)限 (IPSec)主機(jī)訪問權(quán)限IPSec 策略2共享和訪問權(quán)限13組策略Dept_Computers NAG第 1 步：用戶嘗試訪問服務(wù)器上的共享資源第 2 步：IKE 主要模式協(xié)商第 3 步：IPSec 安全方法協(xié)商使用

36、網(wǎng)絡(luò)訪問組控制主機(jī)訪問第 1 步：用戶嘗試訪問服務(wù)器上的共享資源第 2 步：IKE 主要模式協(xié)商第 3 步：IPSec 安全方法協(xié)商第 4 步：檢查用戶主機(jī)訪問權(quán)限第 5 步：檢查共享和訪問權(quán)限邏輯數(shù)據(jù)隔離計算機(jī)訪問權(quán)限 (IPSec)主機(jī)訪問權(quán)限IPSec 策略213組策略Dept_Computers NAG4Dept_Users NAG共享和訪問權(quán)限5目錄 一、邊界網(wǎng)絡(luò)安全 二、內(nèi)部網(wǎng)絡(luò)安全 三、無線網(wǎng)絡(luò)安全 四、補(bǔ)丁和更新管理 五、網(wǎng)絡(luò)訪問隔離 六、用戶行為管理六、用戶行為管理 七、其他和展望Step 6 用戶行為管理 組策略概況使用組策略對用戶環(huán)境進(jìn)行管理自定義安全模板管理用戶行為Group Policy通過使