Implementazione del sistema operativo sicuro

5

Voglio distribuire le immagini del sistema operativo su molti clienti. So che le immagini devono contenere le ultime patch di sicurezza e gli aggiornamenti rapidi (supponendo che siano testati e approvati per l'ambiente di destinazione). Devono inoltre essere configurati per ricevere aggiornamenti regolari da un determinato punto di distribuzione. Inoltre, so (vedi questo Q & A ) che l'installazione PXE deve essere eseguita in un ambiente contenuto, quindi che un utente malintenzionato non può installare dispositivi e servizi non autorizzati.

Esistono altre precauzioni di sicurezza e / o best practice da seguire durante la preparazione e la distribuzione delle immagini del sistema operativo?

PS: Ecco alcune informazioni aggiuntive, nel caso in cui: il sistema operativo client sia Microsoft Windows 7 x64. Sto decidendo di utilizzare strumenti come Kit di installazione automatica di Windows , Microsoft Deployment Toolkit , Servizi di distribuzione Windows e System Center Configuration Manager per preparare, distribuire e gestire il sistema operativo sui client.

    
posta M.S. Dousti 30.03.2013 - 14:07
fonte

2 risposte

3

Ho realizzato questo utilizzando WDS e MDT. Il problema più grande, come hai detto, è che le scatole non sono sicure mentre vengono installati gli ultimi pochi aggiornamenti.

Mantenere il firewall di Windows abilitato e limitare esattamente chi e da quali computer è possibile accedere a queste macchine sensibili può essere facilmente ottenuto dalle regole ipsec e dall'appartenenza ristretta ai gruppi distribuita tramite criteri di gruppo. Abbiamo un'intera politica firewall separata per le nostre nuove unità organizzative.

Per ridurre al minimo il pericolo da un server dhcp / tftp falso, preferisco mantenere il server sulla stessa sottorete, non inoltrare trasmissioni e applicare solo il vlan alle porte associate al mio banco.

Uso il gestore patch del vento solare che usa il wsus sotto il cofano. Questo è impostato usando https per verificare che eventuali patch successive siano trasmesse in modo sicuro. Firmiamo anche tutte le patch che assembliamo in casa.

    
risposta data 30.03.2013 - 15:07
fonte
2

Strettamente dal punto di vista dell'organizzazione. Un'organizzazione che prende molto seriamente la tempra di O / S, farebbe qualcosa di simile a questo. I passaggi ad alto livello includono: -

  1. Classificare il sistema prima dell'installazione ( critico , sensibile , pubblico ). Questi livelli di sensibilità sono specifici dell'organizzazione e correlati agli schemi di classificazione dei dati dell'organizzazione. Come NIST hanno profilato il loro sistema in base al loro uso; I loro livelli sono divisi in

    • Funzionalità limitata di sicurezza specializzata

    The High Security, or Specialized Security – Limited Functionality, level is designed specifically for very hostile environments under significant risk of attack. This level guards information of the highest possible value, such as information that is required by some government systems.

    • Enterprise client

      Ulteriori informazioni su questo argomento possono essere lette dal link

    Remember that these are hardline details or procedures,and are expected for a certain O/S to meet the requirements of the profile mentioned above. In your case; these sensitivity can vary from some web-server you keep on DMZ to an internal server use ERP server, both would have different profiles and hardening requirements.

    Also a choice of general purpose server can be influenced by some international certification and accreditation. Like O/S Windows 2003 Server is a C2-level Secure Operating System, this is why you would see this O/S running on systems of DoD. C-2 is based upon orange standard made by DoD to meet required security requirements. More about this can be read from Details of Janus Group Security System

  2. Se eseguito tramite script di controllo automatico della conformità (unix o windows) eseguiti dagli amministratori della sicurezza del sistema per garantire che i requisiti dei criteri di gestione della protezione / configurazione dell'organizzazione siano mantenuti in ordine. Gli amministratori in caso di livelli NIST (già menzionati) possono distribuire modelli predefiniti per portare il loro profilo di sistema al livello di sicurezza desiderato.

    Based upon The National Checklist Program (NCP) * defined by the NIST SP 800-70 Rev. 2, is the U.S. government repository of publicly available security checklists (or benchmarks) that provide detailed low level guidance on setting the security configuration of operating systems and applications*. If you are interested in Checklist Details for CIS Windows Server 2008 Benchmark v1.1.0. The link i provide gives you the option to select checklist as per need (e.g from non-automated tests to automated using scap(Security Content Automation Protocol)).

Dal punto di vista pratico questi 2 punti sopra indicano la differenza di avere un o / s eseguito su iptables e l'uso di tcp-wrapper, su un server web che esegue un ambiente di sviluppo aperto come joomala per avere joomala di terze parti firewall in esecuzione (ad es. RSFirewall) o con mod-security configurato per rendere più rigido il server.

Lo scopo di qualsiasi esercizio di implementazione O / S sicuro dovrebbe essere limitare la superficie di attacco senza limitare o rompere l'applicazione o l'uso previsti. Solitamente dopo l'implementazione di o / s, gli amministratori di sistema seguono un elenco di controllo di un elenco di servizi o programmi che devono essere conservati sul server. Tale elenco deriva da proprietari di attività o processi. Questo passaggio cruciale non solo riduce il carico della gestione della configurazione, ma rende anche la gestione delle modifiche semplice e pratica.

    
risposta data 31.03.2013 - 17:44
fonte

Leggi altre domande sui tag