TechEd安全課程談了什麼

雖然沒有發表新的安全技術和產品，但今年微軟特地從美國請來兩位安全專家，精采的授課內容，讓我們對安全有更深一層的認識

10月5日至7日，臺灣微軟舉辦一年一度的TechEd。依照往例，背包裡裝滿一整袋的資料，其中最重要的資料就是大會手冊，因為這次行程沒有導遊，所以這三天都要靠這一本「旅遊手冊」。

TechEd 2004有10場資訊安全課程。Windows XP SP2開場

資訊安全的第一堂課是Steve Riley的「Windows XP SP2用戶端安全性深入探討」，說明Windows XP SP2有哪些新功能，能夠解決哪些安全問題。這個議題從SP2 RC1就一直被討論，現在才介紹似乎有點晚，倒不如介紹如何部署及解決相容性問題，會來的有價值，但也沒辦法，臺灣晚了半年才舉行TechEd 2004（美國TechEd 2004是在5月23至28日）。

微軟希望每個人都能升級到SP2，以增強電腦的安全性，我們建議個人使用者重新安裝Windows，並升級到SP2，但企業在軟硬體相容性未測試完成前，最好還是先等等。最熱門的場次：「駭客手法解析」

第二天的第一堂課是Jesper M. Johansson的「網路駭客手法解析：10個簡單步驟就能侵入你的網路」，也是安全課程唯一暴滿的場次。也許有人以為Johansson會教大家如何入侵，使用哪些工具，但他一開始就講得很清楚，入侵別人的網路是非法的行為，這一堂課是要說明駭客使用那些技巧侵入，並不會給你任何工具。當然，高竿的駭客是自己寫工具。

Johansson現場示範幾個簡單的攻擊手法，並提到一個有趣的比喻：「許多網路架構就像是一顆蛋，有著堅硬和易碎的外殼，內部則是軟綿綿（複雜）。」你可以試著思考看看，公司的網路架構是否也像一顆易碎的蛋。

這一堂課的重點是「10件攻擊者不希望你做的事」，分述如下：

1.更新每個修正檔
2.使用強化過的應用程式
3.使用最低的使用者權限
4.防火牆只開必須的埠
5.限制網際網路流量
6.限制對外流量
7.強化伺服器
8.使用安全的認證程序
9.微化管理者帳號
10.持續維護安全層級

第二堂課是「ISA Server 2004與微軟WSSRA網路安全解決方案架構規畫」。WSSRA（Windows Server System Reference Architecture）是微軟的系統架構指南，範圍涵蓋硬體、軟體、作業系統及所有微軟的伺服器程式。因為企業的網路問題是由許多環節所造成，並不是單一產品就可以解決，微軟建議企業遵循WSSRA的標準程序，再依照本身的需求去規畫安全的網路架構。但要注意的是，WSSRA目前只有英文版，有些部分還需要本土化。ISA Server 2004只是WSSRA裡面的一小塊，所以著墨的不多。

第三堂是Jesper M. Johansson的「網路威脅模式探討」，他以簡單易懂的方式介紹Threat Modeling。威脅模式與安全政策是相關的，良好的群組原則（Group Policy）可以增強安全性，定期的安全檢測（smoke-testing）也是必要的。文件、分割和限制是強化網路安全的三要素，Johansson建議企業做好文件管理，包括網路架構圖和資料流程圖（Data Flow Diagram），並定期的更新與維護；分割也就是將網路分割成可信賴區、不可信賴區及敏感區等，哪些是你信任的系統，需要哪些安全防護，他以「Fault Trees」為例，說明成功入侵SQL Server的機率，以及該採取哪些安全措施；限制包括關閉不必要的服務和網路埠、移除不需要的使用者、限制權限、限制傳輸（使用VPN加密），並使用多組複雜且不同密碼。

在企業內部，同一個MIS人員可能擁有多臺伺服器的管理者權限，當駭客破解其中一臺，就可以獲得其他主機的管理權限，他建議企業設定不同的管理帳號密碼與權限。

第2天的最後一堂課是「憑證、PKI與加密技術的實作與管理技巧」。聽完這堂課，不知該說它的內容是深還是淺，因為有些內容非常技術性，談到密碼學、SSL及VPN的理論，但提到PKI的部分，又是一些常見的內容和應用。PKI推展10多年來，很多人認為它是一個產品，其實它只是一個基礎架構，加上建置成本高、移動性差，讓企業對它的興趣仍有限。「人」和「實體」也是安全的重要因素

第3天的第一堂課是Steve Riley的「第八層防禦：認知與避免人員因素」，不知道是什麼原因，人數並不多，或許是因為塞車或睡過頭吧。Steve Riley認為除了OSI原本的7層，還有第0層的實體層（真實環境），以及第8層的「人」，他以社交工程為例，歹徒可以不透過網路，直接利用電話從人下手。我們往往只重視虛擬的網路安全，卻忽略了使用者和實體安全。

第二堂課是「ISA Server 2004新功能總覽」，就如同字面所述，很簡單的介紹ISA Server 2004的新功能。

下午的第一堂課終於換到不同的教室上課，雖然小了點，但椅子坐起來比較舒服。這一堂是Steve Riley的「DMZ之終結」，他花了一半的時間講解不當的認證和授權，將導致DMZ變得不安全，只是全場只有一張簡報，聽起來還蠻累人的，所幸筆者帶了錄音機。

上半場結束之後，他給了大家一個獎勵課程，講解「無線網路的安全技術」。WEP（Wired Equivalent Privacy）在驗證過程中，存在初始向量（Initialization Vector，IV）和忠誠檢查（Integrity Check，IC）的弱點，讓駭客可以輕易的進行攻擊，而且在網路上很容易找到攻擊程式。目前的安全解決方案是802.1x，但由於它未使用MIC（message integrity check），所以並未解決封包和disassociation spoofing的問題。

問題來了，Steve Riley給的獎勵竟然跟下一堂課的主題相同，而且簡報內容相似（相似度60%），不過，國內講師的簡報是中文，而且有穿插示範與設定。

筆者到其他TechEd場次去看了一下，發現Steve Riley每場都會講無線網路的安全技術，反倒是DMZ之終結只講幾場而已，也許因為沒有溝通好，才會造成這個烏龍。值得一提的是，我們發現Steve Riley可以一個人上完第3天的全部5堂課，果然是個安全專家。

最後一堂課是「資訊版權管理技術探討」。隨著Windows和Office 2003的問世，Windows版權管理服務（RMS）也漸趨完備，使用者可以管理文件的存取、用途及期限。但是，RMS無法禁止使用螢幕擷取工具，也無法阻止使用者利用類比方式來共用資訊，例如拍照。文⊙陳世煌