4 Microsoft Tech‧Ed 2005 Day3

今天是Tech Ed的最後一天

Security Session這邊早上直接讓Steve和Jesper包下來了



第一個演講是關於網路安全的迷思



Jesper舉了幾個機場和研究單位的例子

機場過海關的時候常常會檢查通行者的鞋子、行李之類的

然後，我們常常可以看到警衛人員要求仔細檢查某人的鞋子

檢查了老半天回來告訴他「These boots are ok」

是啊，這鞋子當然OK，因為壞人早就知道你們會檢查鞋子所以不會用這招啊



檢查的地方錯了



還有一種情況，警衛人員要求旅客打開行李檢查

他們取出書、餅乾、衣服、一把10公分長的水果刀，然後把這些東西放在一邊

最後拿出一台電子字典看看，嗯，這是電子字典，不是爆裂物

OK，一切沒事，於是又把10公分長的水果刀、衣服、餅乾、書依序放回去



發現了嗎？真正危險的武器，他們應該沒收的，卻放回去了

同樣的事情其實也發生在我們這些系統管理者身邊不是？



還有另外一個有趣的例子



假如你需要把公司的整套電腦系統偷回家

你並不需要偷偷摸摸的爬牆進去或是來個吊鋼絲倒掛空降

你只需要走進去，把機器拿著走出大門

大多數的時候警衛不會欄你，而是會問你需不需要幫忙



越聽越可怕，這就是所謂的迷思





你可以保證自家的網路完全安全嗎？

不，不可能，網路絕對不可能安全

網路是需要保護的，但是網路不可能絕對安全

要讓網路絕對安全的唯一方法是 - 把網路線拔了！



所以，能夠充分的保護好自家的網路，就是管理者能做到的極限了



那，系統管理者和網路安全管理者該是同一個人嗎？

嗯....大多數台灣的公司組織都是這樣

而且上頭主管往往認為系統管理者只有偶爾需要動動Config

大部分的時間裡Administrator都是閒閒的，所以應該要多給他們一些事情做



Steve提出了一個想法

系統管理者在做什麼？ANS:They keep stuffs working

安全管理者在做什麼？ANS:They stop stuffs working!

而我們卻要求這兩樣特質同時存在於一個人身上？

嗯....是個迷思，可是有多少老闆會認同這樣的想法呢？

你是不是跟我一樣，是個系統管理者，同時肩負著公司的網路安全

然後還順便肩負了系統開發以及其他打雜事項？



也許你需要用Excel印一些圓餅圖出來給老闆看

有一項統計指出，當人們看過越多你手上出來的統計圖表，他們就越覺得你有在做事

所以，多印些圓餅圖出來吧～

然後你會離一個技術人員的角色越來越遠，然後越來越像個行銷人員，Steve如是說　(╯▽╰)



Secure、Cheap、Usable，是三個在討論網路安全的時候會考慮的事項

當老闆要你三者兼顧的時候，或許你應該考慮換工作？

不可能！這三者不可能兼顧，能顧到兩項就已經很厲害了！

大多數的場合甚至是指能顧的到一樣而已





上面講了很多難聽的話，那重點是什麼？



你需要的安全性到底要到什麼程度呢？

You'll need to find it out, and that is a hard work you must do.

你需要High Security嗎？不，相信我，你不需要

你不會需要用到柏林圍牆那種程度的安全性來管理你的網路，那才叫High Security



You need proper security, not high security.

And what is proper security? You'll need to find it out.





許多的網路專家都這麼說，"You should enable password lockout"

而當有網路專家發現你沒有在系統中啟動Password Lockout的時候

他們會去告訴你的老闆說「這傢伙沒有啟動Password Lockout，他沒在做他該做的事」

於是老闆決定把你減薪或是炒魷魚



但是可曾有人想過，一旦啟動了Password Lockout

駭客可以利用這個特性，一口氣讓你的網路內所有使用者的密碼都被Lockout？



請問，誰會瘋掉？



放心，絕對不是老闆，They never worry about that,because that's something you should worry about!



根據一項Gaetner Group的統計，當使用者的Password被鎖定了的時候

進行"Password Reset"這個動作所需要的花費，平均是一次70美元，好貴！



那，為什麼你要啟用Password Lockout？因為要防止有人來Try密碼？

呃....不，駭客不Try你的密碼，駭客直接擷取你的Hash就夠了

Jesper在稍後的Session裡面實際展示了這個給大家看

他不需要知道Administrator的密碼，他只要有辦法取得Hash就足以取得整個網路的控制權了



所以，真正該做的事情是教會使用者如何起一個好的Password

這邊稍改一下用語，雖然在中文裡都叫密碼

不過在英文裡，與其叫他Pass"word"，不如改叫Pass"phrases"

"I take my dog with me to the Taipei 101~"用這個當密碼如何？

密碼長度，有，非常長的一個密碼

大小寫都有，數字和特殊符號也有，完全符合複雜性

這密碼比起"Pass_w0rd"或是"qwert"或是"fasdjkh;lq32479fh)"都來的好



好記、好敲，最重要的是，別人難以利用暴力字典法來破解





你有啟用Audit機制嗎？也許有

你啟用了「所有」的Audit機制嗎？唔....

有安全專家這麼說：你應該啟用越多的Audit機制越好做管控

不過呢，標準預設下，Win2K3每秒就已經做10次左右的Audit了

若是把Audit全開的話....每秒超過100000次的Audit記錄......

嗯，很精彩....當你真的需要看Audit資訊的時候，你找的到你要看的東西嗎？





大家都說Administrator要改名才好，這樣才不容易被Try帳號

其實不對喔，駭客根本不需要這麼做

Administrator有一個SID Number 500，不管怎麼修改帳號都改不到這個Number

駭客鎖定這個SID和Hash就好了，他根本不用管你的帳號密碼

你越愛藏，他越愛跟你玩，你不藏，他密碼Try個幾次就沒興趣了

同樣的，把Wireless AP的SSID隱藏起來也是沒有意義的事

因為只要有個Sniffer監看電波，一旦有人開始要連上Wireless，他就能找出你的SSID

最有趣的例子是，Toshiba有個Wireless應用程式

裡面有個選項可以幫你找出附近有沒有隱藏起來的Wireless AP　(╯▽╰)





USB隨身碟可怕嗎？為什麼要從軟體面防止使用者用他？

當使用者能把資料用USB帶著走的時候何不先想想「他本來就被授權可以看資料啊」

而且怕USB，難道不怕用數位相機拍畫面嗎？不怕他用紙抄寫嗎？

如果你真的怕使用者用USB裝置，最好的作法不是花錢去買Third Party的軟體

「而是拿膠水把你的USB孔全部糊起來」Jesper如是說



不過談到這個的時候，Steve很訝異大家對這個話題沒啥反應

Steve:"Why? You don't afraid of USB thumbs? Isn't that a big deal in Taiwan"

Jesper:"They are not afraid of it, theay made it....."

很搞笑，不過講的也確實不完全有錯啦　(╯▽╰)

可攜式外接儲存裝置在台灣算很流行

目前也只有少數公司用很嚴肅的角度來看待這個問題

與其說大家不介意，倒不如說大家還沒想到吧....





這堂課的重點在告訴大家，Security是需要一連串的嚴密思考的

Security需要從觀念裡下手，要求所有使用者 - 包含你的老闆都要參與

需要一步一步規劃與實行，不可能一蹴可及的

假如有個Registry叫做這樣"HKLM\SYSTEM\CurrentControlSet\Security\Enable_High_Security=1"

相信大家應該都會很興奮吧　XD

不過很可惜的並沒有這種Registry....

當然也沒有"HKUsers\.DEFAULT\Be_A_Smart_User=1"這種Registry



最難Config的從來都不是系統，而是人

Jesper:"Can you config people? No, we can't, we don't have a windows OS which could install on a human."

Steve :"A...actually we are making one....you can install it right here on your neck, and it's gonna get a little hurt...."

Jesper:"Yah, we are still doing test on it, we call it Winsows 2010 Human Being Edition"

Steve :"Yah, and you can apply Group Policies on your employee! How wonderful!"



夠了，這真的很搞笑　(╯▽╰)







不過接下來一點都不好笑

下面的第二個Session，Jesper實際現場操作給我們看

一個駭客是如何利用SQL Insertion來把整個網路系統全部佔領下來的



這個Session我沒辦法用文字描述



我只能說，看完以後真的很震撼

我非常嚴肅的認為回去公司該重新架構一次公司的網路環境了....



Ten moral things to keep your network unsafe

01.dont' patch everything

02.run unhardened application

03.one admin account, use it everywhere

04.open lots of holes in firewall

05.allow unristricted internal traffic

06.allow all outbound traffic

07.dont harden servers

08.reuse your passwords

09.use high-level service accounts in multiple places

10.assum everything is ok



唔....Think about it....





下午的課，不知道是不是我沒興趣的關係，感覺沒啥營養

一堂SQL Server 2005講新的Analyze的課

雖然也是請外國人來、而且是SQL Server中Analyze這個Module的Leader

但是整個演講就只是很普通的介紹產品

而且Demo的過程中還有出許多問題　OTZ



另一堂上Microsft Business Solution的，講的是CRM這塊

也是很單純的Demo這個軟體怎麼用而已....



最後一堂Exchange 2003 Best Practice to Deploy

嗯，講師盡力了，他講的並不算差

可是要在不到一小時的時間講這個議題，真的很難....

不過有從他身上學到點東西，所以還不錯啦





這次的Tech Ed 2005，我覺得最有價值的就是Steve和Jesper的演講

我相信有去聽的人都會同意我的說法(當然，聽不懂英文的話是另外一回事....)

其次最有價值的....大概就是喝不完的可口可樂吧(爆)

反正就可口可樂多到爆，免費讓你拿讓你喝....

在其次的收穫....唔....大概沒了吧....

啊，勉強算有啦，現場的兩個Tech Ed Girls很可愛(大爆)

根據網頁所說，原本好像有6個Tech Ed Girls吧

不過在Tech Ed開始前就先用投票篩選掉了一些，現場就只來了兩個

兩個女生真的都好可愛耶～我很久沒有看Show Girl看到讓我覺得很可愛的了　>////<

去資訊展看到的Show Girl都只會無腦的亂叫亂跳而已....　OTZ



看了一下網頁上的資料，耶？原來我昨天說那個台起來的樣子很萌的女生是輔大歷史系的

然後另外一個笑起來很甜的女生私服照和白石美帆的相似度超高～



喂，慢著，我怎麼跟會場那些豬哥老頭一樣光是盯著Show Girl？

我已經出現步入可悲中年的預兆了嗎？！不要啊！！！！　<(〒口〒)>