Управление исправлениями
advertisement
Практические действия по защите Windows 2000 Server и Active Directory Дмитрий Вишняков Безопасность как бизнес-процесс Обеспечение безопасности Контроль и реагирование Политика безопасности Модернизация Управление и тестирование •Исследования •Дизайн и внедрение •Интеграция •Тестирование •Сертификация •Анализ уязвимостей •Обнаружение «вредного»кода и вторжений •Аудит и мониторинг Приобретение Защита Операции и поддержка Обнаружение Конфиденциальность Технология •Реакция •Сортировка •Редизайн •Повторная сертификация Корректировка Целостность Процедуры Доступность Страховка Управление рисками Анализ угроз Обучение и тренировка Политика безопасности Политика безопасности Руководство к действию «Security Operations Guide for Microsoft Windows 2000 Server» – Определение и анализ рисков – Управление системой безопасности средствами групповых политик – Защита серверов – Управление исправлениями – Аудит и обнаружение вторжений – Служба реагирования Электронная версия книги и файлы доступны в TechNet – http://www.microsoft.com/rus/windows2000/library/security/w2k_secref. asp Групповая политика Документ-шаблон определенного формата, содержащий параметры, которые должны быть внесены в реестр компьютера – Политики для пользователя – Политики для машины Задачи, решаемые с помощью ГП – Установление параметров безопасности – Установление настроек рабочих станций и серверов – Инсталляция приложений на рабочие станции Уровни применения ГП – Сайт, Домен, Организационное подразделение Применение и наследование Политика домена Политики родительских ОП Политика своего ОП Локальная политика Шаблоны политик Параметры безопасности – Account Policy – Audit Policy – User Rights – Security Options – Event Log – Restricted Groups – System Services – Registry – File System Basicwks.inf Basicsv.inf Basicdc.inf Securedc.inf Securews.inf Hisecdc.inf Hisecws.inf Необходимые условия для нормальной работы ГП Серверы DNS – На контроллерах домена Утилита dcdiag /v Утилита netdiag /v Перезапуск сервиса Net Logon – %SystemRoot%\System32\Config\netlogon.dns – На серверах Утилита nslookup Репликация Active Directory – Утилиты repadmin, replmon Необходимые условия для нормальной работы ГП Синхронизация времени – Необходима для работы Kerberos – Служба W32Time SNTP (RFC 1769) – Все серверы и рабочие станции домена синхронизируют свое время с контроллерами – Контроллеры домена синхронизируют свое время с PDC Emulator-ом своего домена – PDC Emulator-ы всех доменов синхронизируют свое время с PDC Emulator-ом корневого домена – PDC Emulator корневого домена нужно синхронизировать с внешним сервером SNTP Контроль и отладка ГП Успешное применение политик – Event ID: 1704, SourceID: SceCli Local Security Policy MMC – Effective Settings Инструмент Secedit Утилита Gpresult Утилита GpoTool Company Domain Computers Infrastructure Servers Domain Controllers Application Servers Infrastructure Policy Domain Policy DC Policy Baseline Policy Member Servers Users File & Print Servers IIS Servers File & Print Policy IIS Policy Политики Домена Политика паролей Параметр По умолчанию Рекомендация Помнить 1 пароль Помнить 24 пароля Maximum password age 42 дня 42 дня Minimum password age 0 дней 2 дня 0 символов 8 символов Disabled Enabled Enforce password history Minimum password length Password must meet complexity requirements Политики Домена Политика блокировки учетной записи Параметр Account Lockout Duration Account Lockout Threshold Reset Account Lockout after По умолчанию Рекомендация Not Defined 30 минут 0 5 попыток Not Defined 30 минут “Baseline Policy” Усиленная политика – расширение шаблона hisecws.inf – Дополнительные настройки в реестре – Конфигурация сервисов – Усиленные ограничения на файлы – Расширенная конфигурация аудита Применяется ко всем серверам из ОП “Member Servers” “Baseline Policy” - аудит Ограничения для журналов – 10 Мб – Не переписывать события Аудит успешных и неуспешных событий – Регистрация пользователя, управление учетными записями, доступ к объектам, изменение политик, системные события Аудит неуспешных событий – Доступ к службе каталогов и использование привилегий “Baseline Policy” Системные параметры – Очищать файл подкачки при выключении системы – Цифровая подпись коммуникаций между клиентами и серверами – При невозможности записать сообщения в журнал безопасности немедленно завершить работу Запрет на анонимные подключения Отключена аутентификация LM и NTLM – Разрешен только NTLM v 2 Отключено кэширование регистрации пользователей Защита стека TCP/IP Параметры реестра для TCP/IP (Q315669) – – – – – – – – – – – – EnableICMPRedirect – 0 EnableSecurityFilters – 1 SynAttackProtect – 2 EnableDeadGWDetect – 0 EnablePMTUDiscovery – 0 KeepAliveTime – 300,000 DisableIPSourceRouting – 2 TcpMaxConnectResponseRetransmissions – 2 TcpMaxDataRetransmissions – 3 NoNameReleaseOnDemand – 1 PerformRouterDiscovery - 0 TcpMaxPortsExhausted – 5 Другие параметры Параметры реестра для Windows Sockets (Afd.sys) (Q142641) – – – – EnableDynamicBacklog - 1 MinimumBacklog - 20 MaximumBacklog - 20000 DynamicBacklogGrowthDelta – 10 Отключено создание “Lmhash” – Service Pack 2 Отключена авто-генерация имен файлов в формате 8.3 Отключен Autorun Необходимые сервисы (automatic) DHCP Client Distributed Link Tracking DNS Client Event Log Logical Disk Manager Netlogon Plug and Play Protected Storage RPC Remote Registry Security Accounts Manager Server System Event Notification TCP/IP NetBIOS Helper Windows Time Workstation Необходимые сервисы (manual) COM+ Event Services Logical Disk Manager Administrative Service Network Connections Performance Logs and Alerts Windows Management Instrumentation Driver Базовая политика для контроллеров домена Основана на базовой политике для серверов Добавлены сервисы – – – – – – Distributed File System DNS Server File Replication Kerberos Key Distribution Center NTLM Security Support Provider RPC Locator – – – – Simple Mail Transport Protocol (SMTP) Intersite Messaging IIS Admin Service Distributed Link Tracking Server Service Отключены сервисы – утилита DCDiag выдаст сообщение об ошибке Политики для серверных ролей Представляют собой инкрементальные дополнения к политике “baseline policy” Выделенные роли серверов – Сервер приложений Политика изначально соответствует базовой политике для серверов Для конкретного приложения нужно индивидуально вносить изменения – Сервер файлов и печати Включен сервис Spooler Отключен параметр “Digitally sign client communication” – Сервер инфраструктуры Включены сервисы DHCPServer, DNS, NTLMSSP, WINS – Сервер IIS Сервер IIS Включены сервисы – IISAdmin – W3SVC Инструмент IISLockdown – – – – – – Блокировка файлов Отключение служб и компонент URL Scan Удаление ненужных ISAPI script mappings Удаление ненужных папок Модификация списков контроля доступа Дополнительные операции – Отключение учетной записи ‘IUSR_computername’ – Установка фильтров IPSecurity Управление исправлениями Анализ системы и обнаружение неустановленных исправлений Продолжение процесса Нет Да Нет Выполнение отката Сервер работает нормально? Требуются новые исправления? Да Планирование установки исправления и процедуры отката Мониторинг производственных серверов Проблема решена? Нет Установка исправления Тестирование Сообщение в Microsoft Да Инструменты Hfnetchk – Утилита командной строки, проверяющая установленные исправления – Информация из файла MSSecure.xml – Скрипты Hfnetchk.cmd и Movelog.vbs Microsoft Baseline Security Analyzer – Графический инструмент для анализа конфигурации параметров безопасности серверов и рабочих станций Доставка и установка исправлений Windows Update Software Update Services (SUS) SMS Value Pack Анализ по спискам серверов AD.txt IIS.txt Active Directory Servers IIS Servers HFNETCHK, Patch Mgmt Script, and Server List Text files AD01 FP01 AD02 FP02 AD03 FP03 File and Print Servers File&Print.txt IIS01 Infra01 Infra02 IIS02 Infra03 Infrastructure Servers Infrastructure.txt IIS03 App01 App02 App03 Application Servers Application.txt Servers.txt Аудит Регистрация успешных и неуспешных действий – – – – – – – Регистрация в системе Управление учетной записью Доступ к службе каталогов Доступ к объекту Использование привилегий Изменение политики Исполнение процессов и системные события Включается в локальной (групповой) политике аудита Журнал безопасности Защита журналов Параметры хранения, перезаписи и сопровождения журналов в Групповых политиках – Очень важна настройка поведения системы при переполнении журнала безопасности Запрет доступа к журналам для гостевых пользователей Аудит как успешных так и неуспешных системных событий – Для обнаружения попыток физической модификации журналов Строгие ограничения для пользователей, имеющих права работать с журналами 10 законов безопасности компьютеров 10. Если “плохой парень” может запускать свои программы на Вашем компьютере – это больше не Ваш компьютер. 9. Если “плохой парень” может изменить настройки операционной системы на Вашем компьютере – это больше не Ваш компьютер. 8. Если “плохой парень” имеет неограниченный физический доступ к Вашему компьютеру – это больше не Ваш компьютер. 7. Если Вы разрешаете “плохому парню” загружать исполняемые файлы на Ваш Веб-сайт – это больше не Ваш Веб-сайт. 6. Слабые пароли сводят на нет сильную систему защиты. 10 законов безопасности компьютеров 5. Машина защищена ровно настолько, насколько Вы уверены в своем администраторе. 4. Зашифрованные данные защищены ровно настолько, насколько защищен ключ шифрования. 3. Устаревший антивирусный сканер не намного лучше, чем отсутствие сканера вообще. 2. Абсолютной анонимности практически не бывает, ни в реальной жизни, ни в Интернете. 1. Технологии – не панацея.
