Руководство по безопасности в Lotus Notes
[+]
Опубликован: 04.07.2008 | Доступ: свободный | Студентов: 636 / 33 | Оценка: 4.83 / 5.00 | Длительность: 42:11:00
Тема: Безопасность
Специальности: Администратор информационных систем, Специалист по безопасности
Теги: access management, CRL, ECL, ldap, LMS, NSF, OID, SOCKS, ssl, SSO, аутентификация, базы данных, безопасность, интернет, каталоги, клиенты, мандат, отличительное имя, прокси, прокси-серверы, протоколы, серверы, шифрование
Лекция 9:

Укрепление (hardening) сервера
A
|
версия для печати
< Лекция 8 || Лекция 9: 123456789101112 || Лекция 10 >
Установка и поддержка антивирусной защиты

Важно обеспечить чистоту конфигурации рабочей станции, чтобы никакой файл не был взломан во время его обычного режима использования и чтобы никакие вновь вводимые в систему файлы не причинили ей вреда.

Вот почему так важно иметь установленную антивирусную защиту, которая может выполнять периодическое сканирование файловой системы и памяти для обнаружения вирусов, "троянов" и "червей", возможно, обосновавшихся там. Так же как ИТ-системам требуются постоянное наблюдение и улучшения для поддержания их в соответствии с последними изменениями, так и антивирусные файлы не являются исключением. Чтобы этот инструмент безопасности был эффективным, в него должны входить самые последние антивирусные базы. Для поддержания этих баз файлы, содержащие их, следует обновлять еженедельно.

У большинства организаций есть лицензии на Norton Anti-Virus (NAV), McAffee's VirusScan или на другие антивирусные программы, которые охватывают все рабочие станции. Нет причин, почему бы не использовать их на всех машинах. Антивирусная защита – это первая линия обороны рабочих станций Windows.

Обновление при помощи центра обновлений Microsoft (Microsoft Update Center)

Microsoft попыталась сделать управление обновлениями на рабочих станциях Windows относительно легким. Установка текущих исправлений и пакетов обновлений посредством центра обновлений Microsoft состоит из нескольких нажатий на кнопки и зачастую перезагрузки (или иногда нескольких перезагрузок), так что на первый взгляд процесс кажется несколько нудным. Тем не менее система проработала достаточно долго и хорошо зарекомендовала себя, и, исходя из количества ее пользователей, мы должны заключить, что она действительно не сложна в использовании.

Следуйте нижеприведенным шагам для обновления конфигурации рабочей станции:

  1. Используя учетную запись "Администратор" или любую другую запись с аналогичными привилегиями, зайдите в центр обновлений Microsoft (http://windowsupdate.microsoft.com/) и кликните на ссылке "Product Updates".
  2. Сайт выделит подсветкой, есть ли в найденном какие-нибудь критические обновления ("CRITICAL UPDATES AND SERVICES PACKS"); их следует применить немедленно. Выберите подходящие обновления и нажмите на иконку "Загрузить" (Download).

Всегда есть риск того, что исправление или пакет обновлений может нежелательно повлиять на конфигурацию рабочей станции. Обратная сторона медали – неприменение критического патча с большой вероятностью оставит рабочую станцию открытой для взлома. Стоит помнить, что у патчей, вышедших достаточно давно, очень низкая вероятность оказаться неадекватными, так как с тех пор они уже были протестированы другими людьми.

Применение пакетов обновлений и текущих исправлений может показаться утомительной и неблагодарной работой, но причина того, что такое множество червей буйно расплодилось по Интернету, в том, что они в точности используют известные и опубликованные "дыры". В общем, применение патчей к ИТ-системам, и к рабочим станциям в частности, – очень важная линия обороны.

Советник по основным направлениям безопасности Microsoft (Microsoft Baseline Security Advisor, MBSA)

Советник по основным направлениям безопасности Microsoft определит патчи, которые необходимо применить. URL для MBSA следующий:

http://www.microsoft.com/technet/security/tools/mbsahome.

MBSA поставляется как стандартный набор инструментов для установки. Он был выпущен в апреле 2002 г. и заменил собою более ранний, основывающийся на Web инструмент, называемый Microsoft's Personal Security Advisor (MPSA), который был предназначен для рабочих станций. MBSA – очень хороший инструмент для оценки степени защищенности рабочих станций Windows NT 4.0, Windows 2000 или Windows XP (также его можно использовать для оценки уровня безопасности серверов, работающих под управлением тех же версий операционной системы Windows). Еще он очень полезен для оценки безопасности серверов MS IIS и MS SQL.

MBSA определит патчи (пакеты обновлений и текущие исправления), которые следует применять. Еще MBSA выдаст рекомендации по нескольким важным настройкам защиты. Он работает достаточно хорошо, и системные администраторы, вероятно, найдут его более чем полезным для обеспечения безопасности ИТ-систем, находящихся под их контролем и ответственностью.

Для установки пакета надо обязательно обладать доступом к учетной записи Администратор и не менее важно также входить в систему как администратор для сканирования рабочей станции или сервера на наличие проблем. Если инструмент используется для сканирования безопасности, он загрузит и запустит содержимое, полученное от Microsoft, которое по идее предоставит самые последние и самые лучшие советы и настройки конфигурации на основании информации, предоставленной MBSA.

При применении патчей хорошим стилем считается агрессивная стратегия. В конце концов, если поставщик рекомендует применить патчи, было бы совершенно глупо – или для этого понадобятся действительно веские причины – игнорировать этот совет. К слову, если продукт был взломан через какое-то уязвимое место, а патч, закрывающий это место, уже был выпущен ранее поставщиком, но не применен, очень трудно будет после этого идти с жалобой к поставщику.

Что же касается самих патчей, лучше всего опробовать их на нескольких системах до того, как ставить на все ИТ-системы. Были случаи, когда Microsoft выпускал патч, который не работал или вызывал другие проблемы. Тем не менее вы можете быть в более чем достаточной мере уверенными в любом патче, с момента выхода которого прошло несколько недель, поскольку к этому моменту многие люди уже загрузили его, посмотрели, не вызывает ли он каких проблем, и, если таковые обнаружились, сообщили о них.

Рекомендации MBSA могут быть несколько раздражающими при применении, но все они действительно стоят тех усилий. Обычно рекомендации MBSA точно такие же, какие предложили бы любые другие хорошо известные организации, занимающиеся безопасностью.

IIS Web-сервер Microsoft

Многие системы Windows NT 4.0, 2000 и XP сконфигурированы для работы с Web сервером, который называется "Информационный сервер Интернета Microsoft" (Internet Information Server, IIS). Он стал источником слишком большего числа взломов, самый известный из которых – червь "Code Red", который существует и по сей день, выискивая непропатченные или плохо настроенные серверы IIS. Ниже приводится то, что следует сделать для любой ИТ-системы, запускающей MS IIS Web-сервер.

  1. Остановите MS IIS Web-сервер, если он не нужен.

    Если конечным пользователям MS IIS Web-сервер не нужен или если конфигурация сервера организации не требует его, будет намного безопаснее не запускать этот сервер вообще. Логика – и совершенно справедливая – в том, что в первую очередь Web-сервер (такой, как IIS) невозможно взломать, если он не запущен. Точно так же, если он не работает, то в плане безопасности для системных администраторов одной головной болью меньше. В конце концов, можно вообще удалить подсистему IIS с рабочей станции или сервера, но, пожалуй, лучше все-таки будет только его остановить, потому что между различными компонентами версий операционной системы Windows существует слишком много взаимозависимостей, чтобы быть на 100 % уверенным в том, что удаление компонентов подсистемы позже не повлияет на что-нибудь еще.

  2. Обновляйте MS IIS Web-сервер.

    Обновления для MS IIS Web-сервера можно найти при помощи инструмента MBSA, который обсуждался ранее. Как уже упоминалось, он эволюционировал из более раннего, основанного на Web-интерфейсе инструмента (который больше уже недоступен). Причиной для такой эволюции стала невозможность отследить текущие исправления для MS IIS Web-сервера. Фирме Microsoft пришлось рекомендовать "инструмент для проверки текущих исправлений", особенно для IIS, который больше не требуется для Windows 2000 и Windows XP.

    • Посмотрите "Инструмент для проверки текущих исправлений системы безопасности в сетях Microsoft" (Microsoft Network Security Hot Fix Checker), Hfnetchk.exe, который находится по следующему URL:

      http://support.microsoft.com/default.aspx?scid=kb;EN-US;q303215

    • Загляните также в "Часто задаваемые вопросы об инструменте для проверки текущих исправлений системы безопасности в сетях Microsoft", Hfnetchk.exe, (Q305385) по адресу:

      http://support.microsoft.com/default.aspx?scid=kb;en-us;Q305385

    Упомянутые патчи все есть в "Бюллетене безопасности Microsoft", который находится на сайте Microsoft Technet Web по следующему URL:

    http://www.microsoft.com/technet/security/current.asp

    И наконец, Microsoft опубликовал инструмент для запирания MS IIS Web-сервера и закрытия многих общеизвестных "дыр". См. "Инструмент для Запирания IIS Microsoft", который находится по следующему URL:

    http://www.microsoft.com/technet/security/tools/tools/locktool.asp

Microsoft SQL-сервер

Некоторые системы Windows NT 4.0, 2000 и XP настроены с поддержкой сервера баз данных, способного обрабатывать запросы языка структурных запросов (Structure Query Language, SQL). Этот сервер баз данных называется MS SQL-сервером. Так же как и MS IIS, данный сервер стал источником нескольких "дыр". Самая известная – червь "Slammer".

Небольшими усилиями Microsoft SQL-сервер можно сделать безопасным. Если его не обезопасить, шансы на то, что он будет взломан, слишком велики. Для любой ИТ-системы с работающим на ней MS SQL-сервером рекомендации для защиты системы следующие:

  1. Остановите MS SQL-сервер, если он не нужен.

    Если конечным пользователям MS SQL-сервер не нужен или если конфигурация сервера организации не требует его, будет намного безопаснее не запускать этот сервер вообще. Опять же, логика в том, что в первую очередь сервер баз данных (такой, как MS SQL-сервер) невозможно взломать, если он не запущен. Точно так же, если он не работает, то в плане безопасности для системных администраторов одной головной болью меньше.

    Далее, если MS SQL-сервер все-таки нужен, лучше установить его на какой-нибудь другой машине. Приложения для работы с базами данных не обязательно запускать на той же машине, на которой находится и сервер баз данных.

    Хотя и можно вообще удалить подсистему MS SQL-сервера с рабочей станции или сервера, но, пожалуй, лучше все-таки будет только его остановить, потому что между различными компонентами версий операционной системы Windows существует слишком много взаимозависимостей, чтобы быть на 100 % уверенным в том, что удаление компонентов подсистемы позже не повлияет на что-нибудь еще.

    И последнее, если MS SQL-сервер уже намеренно установлен, его следует немедленно отключить до тех пор, пока к нему не будут применены все патчи и текущие исправления и пока не будет завершен процесс укрепления.

  2. Обновляйте MS SQL-сервер

    Обновления для MS SQL-сервера (пакеты обновлений и текущие исправления) можно найти при помощи инструмента MBSA, который обсуждался ранее. Все еще не установленные патчи должны быть применены как можно быстрее, и ни один MS SQL-сервер не следует открывать до тех пор, пока к нему не были применены все патчи. MBSA определит некоторые проблемы, которые в противном случае могли быть упущены и которые следует изучить незамедлительно.

    • См. "Инструмент для проверки текущих исправлений системы безопасности в сетях Microsoft", Hfnetchk.exe, (Q303215), уже упоминавшийся ранее.
    • Загляните также в "Часто задаваемые вопросы об инструменте для проверки текущих исправлений системы безопасности в сетях Microsoft", Hfnetchk.exe, (Q305385).

    Упомянутые патчи все есть в "Бюллетене безопасности Microsoft", который находится на сайте Microsoft Technet Web.

Дальше >>
< Лекция 8 || Лекция 9: 123456789101112 || Лекция 10 >

Вопросы и ответы

вопросов: 0