Implementazione del sistema operativo sicuro

Ho realizzato questo utilizzando WDS e MDT. Il problema più grande, come hai detto, è che le scatole non sono sicure mentre vengono installati gli ultimi pochi aggiornamenti.

Mantenere il firewall di Windows abilitato e limitare esattamente chi e da quali computer è possibile accedere a queste macchine sensibili può essere facilmente ottenuto dalle regole ipsec e dall'appartenenza ristretta ai gruppi distribuita tramite criteri di gruppo. Abbiamo un'intera politica firewall separata per le nostre nuove unità organizzative.

Per ridurre al minimo il pericolo da un server dhcp / tftp falso, preferisco mantenere il server sulla stessa sottorete, non inoltrare trasmissioni e applicare solo il vlan alle porte associate al mio banco.

Uso il gestore patch del vento solare che usa il wsus sotto il cofano. Questo è impostato usando https per verificare che eventuali patch successive siano trasmesse in modo sicuro. Firmiamo anche tutte le patch che assembliamo in casa.

Strettamente dal punto di vista dell'organizzazione. Un'organizzazione che prende molto seriamente la tempra di O / S, farebbe qualcosa di simile a questo. I passaggi ad alto livello includono: -

1. Classificare il sistema prima dell'installazione ( critico , sensibile , pubblico ). Questi livelli di sensibilità sono specifici dell'organizzazione e correlati agli schemi di classificazione dei dati dell'organizzazione. Come NIST hanno profilato il loro sistema in base al loro uso; I loro livelli sono divisi in

   • Funzionalità limitata di sicurezza specializzata

   The High Security, or Specialized Security – Limited Functionality, level is designed specifically for very hostile environments under significant risk of attack. This level guards information of the highest possible value, such as information that is required by some government systems.

   • Enterprise client

     Ulteriori informazioni su questo argomento possono essere lette dal link

   Remember that these are hardline details or procedures,and are expected for a certain O/S to meet the requirements of the profile mentioned above. In your case; these sensitivity can vary from some web-server you keep on DMZ to an internal server use ERP server, both would have different profiles and hardening requirements.

   Also a choice of general purpose server can be influenced by some international certification and accreditation. Like O/S Windows 2003 Server is a C2-level Secure Operating System, this is why you would see this O/S running on systems of DoD. C-2 is based upon orange standard made by DoD to meet required security requirements. More about this can be read from Details of Janus Group Security System

2. Se eseguito tramite script di controllo automatico della conformità (unix o windows) eseguiti dagli amministratori della sicurezza del sistema per garantire che i requisiti dei criteri di gestione della protezione / configurazione dell'organizzazione siano mantenuti in ordine. Gli amministratori in caso di livelli NIST (già menzionati) possono distribuire modelli predefiniti per portare il loro profilo di sistema al livello di sicurezza desiderato.

   Based upon The National Checklist Program (NCP) * defined by the NIST SP 800-70 Rev. 2, is the U.S. government repository of publicly available security checklists (or benchmarks) that provide detailed low level guidance on setting the security configuration of operating systems and applications*. If you are interested in Checklist Details for CIS Windows Server 2008 Benchmark v1.1.0. The link i provide gives you the option to select checklist as per need (e.g from non-automated tests to automated using scap(Security Content Automation Protocol)).

Dal punto di vista pratico questi 2 punti sopra indicano la differenza di avere un o / s eseguito su iptables e l'uso di tcp-wrapper, su un server web che esegue un ambiente di sviluppo aperto come joomala per avere joomala di terze parti firewall in esecuzione (ad es. RSFirewall) o con mod-security configurato per rendere più rigido il server.

Lo scopo di qualsiasi esercizio di implementazione O / S sicuro dovrebbe essere limitare la superficie di attacco senza limitare o rompere l'applicazione o l'uso previsti. Solitamente dopo l'implementazione di o / s, gli amministratori di sistema seguono un elenco di controllo di un elenco di servizi o programmi che devono essere conservati sul server. Tale elenco deriva da proprietari di attività o processi. Questo passaggio cruciale non solo riduce il carico della gestione della configurazione, ma rende anche la gestione delle modifiche semplice e pratica.