《fdcc管理方法及强势.pptx》由会员分享,可在线阅读,更多相关《fdcc管理方法及强势.pptx(29页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、向 Microsoft 咨询服务(MCS)部门提供了一份为期五年的合约标准桌面配置(SDC)SDC 进入为期 10 个月的试验性测试SDC 在两年内全面投入使用美国空军减少了 30%的现场支持人员,成本节约很大程度上归功于 SDC最后,美国空军更加快速地转向 Vista 和网络访问保护美国空军美国空军 SDC 简史简史第1页/共29页每季度集中购置硬件协作式决策:先对 XP 再对 Vista 运行标准设置检查(SSR)MCS 根据 SSR 决策构建单个映像;覆盖 70 多个模型MCS SMS 团队从映像构建文件获取脚本,用于构建 SMS 升级数据包培训会议来自司令部的持续反馈美国空军如何构建美
2、国空军如何构建 SDC第2页/共29页USAF 如何为如何为 SDC 做准备做准备打开桌面防火墙(入站)打开桌面防火墙(入站)获取最常见的例外情况并提前将它们填充到 GPO 中管理代理:SMS、Tivoli、Altiris、MOM、WSUS 等 解除本地用户权限解除本地用户权限在此之前,对帮助中心、本地支持人员和开发人员进行第 1、2、3 层应用程序兼容性工具方面的培训将安全设置推送到桌面将安全设置推送到桌面第3页/共29页SDC 成就了今天的美国空军成就了今天的美国空军已准备好在他们的机构中启用已准备好在他们的机构中启用 Vista已在数千个桌面上完成试验性测试已在数千个桌面上完成试验性测试
3、仅剩不足仅剩不足 200 个不安全的应用程序个不安全的应用程序强劲的早期采用者:强劲的早期采用者:Systems Center Configuration Mgr(SCCM)网络访问保护网络访问保护(NAP)Server 2008(Longhorn)通过标准化节约大量成本通过标准化节约大量成本对美国空军转向集中化提供强有力的帮助对美国空军转向集中化提供强有力的帮助更安全的机构更安全的机构第4页/共29页FDCC 简介简介在美国空军成功部署 SDC 后,美国行政管理和预算局向所有联邦机构发布了关于采用以下做法的备忘录:采用 Windows XP/Vista 的标准配置限制用户的登录权限根据美国空
4、军 SDC 实施 FDCC 中定义的安全标准第5页/共29页FDCC 益处益处政府开发人员有了明确的目标按季度修订对安全性和配置进行标准化削减成本简化部署注重审核引导供应商的开发决策提高安全性第6页/共29页定义和术语定义和术语映像映像 位复制或文件复制格式,它用主配置“擦除并加载”分区或磁盘,包括操作系统、应用程序、设置以及默认配置文件。配置配置 在指南中指定的和/或在脚本或组策略中设置以供实施的特定设置、注册表更改和文件权限虚拟虚拟 PC Microsoft 的虚拟化软件允许在 XP 或 Vista 桌面内部运行完整的“虚拟机”第7页/共29页FDCC 的发展史的发展史起源于美国空军的设置
5、在 435,000 个桌面上执行了测试从 Microsoft XP 和 Vista 安全指南、NSA 对于 IE7 的指示中得出设置代表 NIST、NSA、DISA 和 Microsoft 之间的共识美国空军安全与运营人员的决策介于以下二者之间:企业配置企业配置(EC)专用安全限制功能专用安全限制功能(SSLF)美国空军还纳入了许多其他设置第8页/共29页FDCC 的发展史的发展史NIST 审查美国空军的设置,并做出必要的调整:做更改以适应更广的范围规范化 XP 和 Vista 设置(一致性)加快安全内容身份验证计划(SCAP)以制定 FDCC请求并融入 NSA、DISA 和 USAF 的反馈
6、意见委派美国国土安全部处理威胁信息和修补信息第9页/共29页联邦桌面核心配置(FDCC)成果成果由由 NIST 提供提供第10页/共29页FDCC 如今的成果如今的成果虚拟虚拟 PC,用于应用程序兼容性和开发测试为什么不是映像?硬件和许可组策略对象组策略对象,用于实施以及域设置应用SCAP 文件文件,用于衡量合规性支持文档支持文档供将来维护:供将来维护:从 Microsoft 批量许可协议(MVLA)站点下载 FDCC ISOMicrosoft 安全更新(MSU)第11页/共29页联邦桌面核心配置(FDCC)配置详细信息配置详细信息第12页/共29页关键要点关键要点普通用户必须以用户用户非非超
7、级用户,非非管理员防火墙(入站)打开打开本地管理员不能不能 编辑防火墙设置文件和打印共享关闭关闭IE7 保护模式打开打开(仅适用于 Vista)密码长度设置为 12 个字符个字符“质询”设置FIPS 140-2 打开打开驱动程序签名打开打开(仅适用于 XP)第13页/共29页可能引发担忧的事项可能引发担忧的事项普通用户无法加载 ActiveX 控件但 Vista 有 ActiveX 安装服务第14页/共29页联邦桌面核心配置(FDCC)测试测试明确责任明确责任第15页/共29页检查和平衡检查和平衡基线基线安全安全扫描程序扫描程序A安全安全扫描程序扫描程序BSCAP 数据基线基线安全安全扫描程序
8、扫描程序A安全安全扫描程序扫描程序B第16页/共29页手动检查手动检查发现“假阳性”和“假阴性”NIST、DISA 和 NSA 参与有机会审查实际决策并根据需要重新考虑第17页/共29页将将 SCAP 扩展到现场扩展到现场机构最后的构建步骤:确认设置未经更改安全审核员可使用相同的 SCAP 数据来重复确认合规性独立于制造商的基线文件用于解释安全指南的单一参考点第18页/共29页联邦桌面核心配置(FDCC)为为 FDCC 做准备做准备第19页/共29页做好基础工作做好基础工作用户以普通用户身份登录以普通用户身份登录-因此:管理系统(例如:SMS、Tivoli、Altiris、远程桌面功能)将是成
9、功的关键必须有成熟的帮助中心/远程支持开发人员必须通过编码使软件以用户身份运行现在以用户身份登录,对问题应用程序进行标记捕获关于硬件和软件的数据SMS 查询、Tivoli 查询等应用程序兼容性工具包 Windows Vista 硬件评估(WVHA)收集关于防火墙例外情况的信息第20页/共29页第一步:第一步:测试和验证测试和验证构建构建/测试测试/验证机构应用程序将在验证机构应用程序将在 FDCC 上运上运行行FDCC 对下列各项进行了界定:预配置了 FDCC 设置的虚拟 PC组策略对象(GPO)指南文档验证工具:SCAP机构可使用测试评估虚拟测试评估虚拟 PC 进行早期的应用程序兼容性测试第
10、21页/共29页第二步:第二步:机构标准映像机构标准映像FDCC 配置将成为机构映像的基础配置将成为机构映像的基础Microsoft 批量许可站点:基础操作系统 ISO将机构自定义映像构建在结合 FDCC 设置的 ISO 基础之上测试将产生合理的机构标准记录来自 FDCC 的变化,并制定计划用于长期修正OMB 可致力于改善应用程序在 FAR 中编写以满足 FDCC第22页/共29页第三步:第三步:更新更新紧跟最新的紧跟最新的 FDCC 标准标准选项可包括利用 Windows Software Update Server(WSUS)的 Windows UpdateSystem Center Co
11、nfiguration Manager(SCCM)和每个机构选择的其他部署工具第23页/共29页第四步:第四步:监控监控为了向 OMB 和 NIST 证明合规性,必须使用 SCAP 基准文件第三方应用程序符合 SCCM 2007 预期配置监控(DCM)SCAP 的清单(2009 年中期)生成关于背离 FDCC 标准的系统的详细报告满足 NIST 要求仔细跟踪拥有本地管理员权限的用户第24页/共29页联邦桌面核心配置(FDCC)小结小结第25页/共29页需要记住的要点需要记住的要点并没有为美国政府开发“特殊”的 Windows 版本。Microsoft 咨询服务部门与美国空军合作创建一个特殊的受保护映像。美国空军和 FDCC 采用的安全设置基于已发布的 Microsoft 对于 Windows XP 和 Windows Vista 的安全指南。第26页/共29页发展方向发展方向Microsoft 正在推介联邦服务器核心配置(FSCC)。目的是将标准化桌面平台的优势也应用于服务器平台。FSCC 基于美国国防部内部完成的工作以及已发布的 Microsoft 安全指南。第27页/共29页标准安全配置的优点在各个机构间实现一致的功能改善安全状况降低支持成本灵活性简化网络管理快速吸收技术知识共享第28页/共29页感谢您的观看!第29页/共29页