Bezpieczeństwo w firmie dobre praktyki korzystania z rozwiąza

Transkrypt

1 Bezpieczeństwo w firmie dobre praktyki korzystania z rozwiąza zańmicrosoft Gerard Frankowski, Zespół Bezpieczeństwa PCSS 1 Poznań,

2 Agenda (1) 11:00 Powitanie, wprowadzenie dla uczestników, informacje organizacyjne 11:15 Bezpieczeństwo w firmie -dobre praktyki korzystania z rozwiązań Microsoft (1) 12:00 Przerwa 12:10 Bezpieczeństwo w firmie -dobre praktyki korzystania z rozwiązań Microsoft (2) 12:50 Przerwa 2

3 Agenda (2) 13:00 Wprowadzenie do tematyki VSTS :10 Visual Studio i Team Foundation Server- omówienie funkcjonalności 13:30 VSTS: zarządzanie projektami oraz kodami źródłowymi 14:15 Przerwa 14:30 Budowanie i testowanie aplikacji ASP.NET 3.5 przy użyciu VSTS 15:15 Podsumowanie, dyskusja, zaproszenie na kolejne szkolenia 15:30 3 Zakończenie

4 Informacje organizacyjne Ankieta Krótka i anonimowa Pomoc na przyszłość Lista obecności Proszę zaznaczyć, czy chcecie Państwo otrzymywać informacje o kolejnych szkoleniach Prezentacja - dostępna na stronach WWW: psnc.plpl poznan.plpl psnc.plpl Webcast Dostępny na stronie WWW MIC za jakiś czas 4

5 Kim jesteśmy i co robimy? 5

6 PCSS Poznańskie Centrum Superkomputerowo- Sieciowe Operator sieci PIONIER oraz POZMAN Uczestnik projektów naukowo-badawczych Główne obszary zainteresowań: Gridy,, sieci nowej generacji, portale Bezpieczeństwo sieci i systemów pcss.plpl 6

7 Zespół Bezpieczeństwa PCSS Dedykowany zespół istnieje od 1996r. Podstawowy zakres prac Zespołu Zabezpieczanie infrastruktury PCSS Zadania bezpieczeństwa w projektach naukowo badawczych Szkolenia i transfer wiedzy Badania własne Audyty i doradztwo w zakresie bezpieczeństwa IT Niektóre badania z ostatnich lat Raport o bezpieczeństwie bankowości elektronicznej (2006) Bezpieczeństwo serwerów WWW Apache i MS IIS (2007) Bezpieczeństwo sklepów internetowych (2008) security.psnc.plpl 7

8 Centrum Innowacji Microsoft Pierwsze w Polsce MIC Centrum bezpieczeństwa i usług outsourcingowych Partnerzy: Microsoft Corporation Poznańskie Centrum Superkomputerowo-Sieciowe Sieciowe Politechnika Poznańska Otwarcie: r. mic.psnc.plpl 8

9 Cele i zadania MIC Wybrane cele MIC: Edukacja poprzez zdalne udostępnianie aplikacji MS Szybszy rozwój lokalnych firm (MŚP) poprzez doradztwo w zakresie podnoszenia poziomu bezpieczeństwa teleinformatycznego, audyty oraz szkolenia Poprawa dostępu i jakości usług medycznych w Wielkopolsce Łatwy i bezpieczny dostęp do e-usług e w urzędach Główne zadania MIC w roku 2008: Usługi hostingowe dla edukacji, instytucji charytatywnych i użytkowników indywidualnych Szkolenia w zakresie bezpieczeństwa IT Rozwój systemu telekonsultacji medycznych Telesfor Badania nad technologią Silverlight 2.0 9

10 Szkolenia bezpieczeństwa MIC 2007r. 4 szkolenia 2008r. prawdopodobnie także : format OpenXML : Bezpieczeństwo w firmach Możliwe tematy na II półrocze: Omijanie firewalli w Windows Walka ze spamem: : MS Exchange IMF Spektakularne błędy bezpieczeństwa Patrz również: mic.psnc.pl/tasks/lect.html man.poznan.pl/kdm 10

11 Bezpieczeństwo w firmach Dobre praktyki korzystania z rozwiązań Microsoft

12 Plan wykładu Bezpieczeństwo teleinformatyczne Ochrona Stacji roboczej Systemu operacyjnego Aplikacji Serwerów Co jeszcze trzeba wiedzieć o bezpieczeństwie? Skąd czerpać wiedzę? Podsumowanie, pytania, dyskusja 12

13 Wprowadzenie

14 Cel prezentacji Przedstawienie problemu bezpieczeństwa od strony administratora sieci i częściowo użytkownika Niewielkie sieci: MŚP (także firmy jednoosobowe), instytucje,... Możliwości podwyższenia poziomu bezpieczeństwa przy użyciu rozwiązań firmy Microsoft Wskazanie źródeł dodatkowej wiedzy Przybliżenie pozostałych istotnych aspektów bezpieczeństwa IT 14

15 Bezpieczeństwo IT w roku 2008 (1) European Network and Information Security Agency (ENISA): Cyberprzestępstwa zagrożeniem gospodarki UE 6 mln zarażonych komputerów w krajach UE Straty dla gospodarki: 65 mld euro rocznie ENISA ostrzega także... przed drukarkami /ENISA_secur e_printing.pdfpdf 15

16 Bezpieczeństwo IT w roku 2008 (2) SanDisk: uwaga na pamięci przenośne! Dane firmowe na osobistych pendrive: 77% czy 35% ankietowanych? Dane klientów i pracowników, informacje finansowe, plany biznesowe i marketingowe, kody,... 12% badanych znalazło pendrive a! 55% z nich obejrzało dane Wnioski ogólne: Zróżnicowany poziom świadomości Konieczna lepsza edukacja Brak istnienia/znajomości polityki bezpieczeństwa 16

17 Bezpieczeństwo IT w roku 2008 (3) OECD: Malicious Software(Malware Malware): A security threat to the Internet Economy USA: 59 mln zarażonych komputerów (ok. 25%) Na przestrzeni ostatnich 20 lat, ze sporadycznych ataków malware przerodził się w globalny, warty wiele milionów dolarów przemysł. Cyberprzestępcy stają się coraz bogatsi, w związku z czym mają więcej finansowej władzy, aby tworzyć większe silniki destrukcji /53/34/ pdf 17

18 Bezpieczeństwo i jego ekonomia Czynniki wpływające na pogorszenie poziomu bezpieczeństwa Skomplikowane oprogramowanie Nieodpowiednia konfiguracja Niedostateczna wiedza i świadomość Cenne łupy Czy potrzebujemy 100% ochrony? Koszt ataku a możliwe zyski Podnosząc poprzeczkę napastnikowi utrudniamy lub uniemożliwiamy atak 18

19 19 Aspekty bezpieczeństwa Aspekty bezpieczeństwa Aspekty bezpieczeństwa Analiza Analiza ciągłości ci dzia działania ania Bezpiecze Bezpieczeństwo stwo prawne prawne Bezpiecze Bezpieczeństwo stwo osobowe osobowe Bezpiecze Bezpieczeństwo stwo stacji stacji roboczych roboczych Bezpiecze Bezpieczeństwo stwo serwer serwerów Bezpiecze Bezpieczeństwo stwo dost dostępu pu zdalnego zdalnego Bezpiecze Bezpieczeństwo stwo sieci sieci Bezpiecze Bezpieczeństwo stwo fizyczne fizyczne Bezpiecze Bezpieczeństwo stwo Koszty Koszty Op Opłacalno acalność ść

20 Bezpieczeństwo stacji roboczej Poruszymy następujące aspekty: System operacyjny Aktualizacje, konfiguracja, hardening Oprogramowanie Aktualizacje, konfiguracja Lokalny filtr pakietów Oprogramowanie AV, antispyware,, itd. Polityki kontroli dostępu Narzędzia Możliwość automatycznego uruchamiania na wielu komputerach 20

21 Bezpieczeństwo serwerów i sieci Poruszymy następujące aspekty: Serwery -pewne aspekty podobne, jak w przypadku stacji roboczej Windows 2003 Server Configuration Wizard Bezpieczna konfiguracja wybranych rozwiązań serwerowych IIS / ASP.NET Prezentacja: domyślne zabezpieczenia aplikacji webowej,, sposób na szybką poprawę poziomu bezpieczeństwa SQL Server 2005 Narzędzia 21

22 Disclaimer :-) Szkolenie Centrum Innowacji Microsoft Przedstawiamy określony obszar rozwiązań Istnieją rozwiązania alternatywne Dziś nie tworzymy kompletnego obrazu podejścia do bezpieczeństwa Na części obszarów brak rozwiązań Microsoft Zapraszamy na inne szkolenia MIC/KDM! Dlaczego mówimy więcej o Windows XP Dlaczego nie przybliżamy dziś domeny Windows ani Active Directory 22

23 Bezpieczeństwo stacji roboczej

24 System operacyjny Aktualizacje Większe sieci: WSUS Średnie sieci: wymuszanie ustawień przez domenę Pojedynczy komputer: Start ( Ustawienia) Panel Sterowania Aktualizacje Automatyczne Terminy wydania Drugi wtorek miesiąca Nagłe przypadki 24

25 Wyłączamy zbędne usługi (1) 25

26 Wyłączamy zbędne usługi (2) Przykłady usług do wyłączenia Rejestr zdalny Telnet Posłaniec Clipbook Pomoc zdalna Pomoc TCP/IP NetBIOS Mogą ą istnieć sytuacje, w których niektóre powyższe usługi są potrzebne! Każdą usługę, szczególnie w sieci i na systemach serwerowych,, trzeba uważnie przeanalizować Zysk: Bezpieczeństwo + wydajność 26

27 Lokalny filtr pakietów Dlaczego nie wystarczy firewall korporacyjny? XP: Zapora nie obsługuje ruchu wychodzącego (Vista:: już tak) Dedykowane oprogramowanie 27

28 Windows Defender Bezpłatne narzędzie dostarczane przez MS ty/spyware spyware/software/default.mspx Windows XP, Windows Server 2003 Funkcja ochrony w czasie rzeczywistym Antispyware Blokada okien pop-up Ochrona przed spowolnieniem działania Bezpłatne wsparcie techniczne 28

29 Windows Defender (2) 29

30 Windows Live OneCare Narzędzie zabezpieczające komputery PC Program antywirusowy Firewall Antiphishing Backup i przywracanie plików Dostrajanie wydajnościowe systemu Przewidziane do pojedynczych komputerów osobistych i mniejszych sieci (nie serwerów) 90-dniowa wersja free trial Wymaga deinstalacji posiadanego firewalla i AV Roczna 3-stanowiskowa 3 licencja 49,95 USD onecare.live.com 30

31 Live OneCare Safety Scanner (1) Wymaga instalacji formantu ActiveX Windows Live OneCare Safety Scanner Component 31

32 Live OneCare Safety Scanner (2) Pełne skanowanie komputera może trwać kilka godzin! Możliwość natychmiastowego wprowadzenia proponowanych zmian 32

33 Microsoft Forefront Kompleksowa linia produktów bezpieczeństwa dla firm Microsoft Forefront Client Security Microsoft Forefront Security for Exchange Server Microsoft Forefront Security for SharePoint Microsoft Forefront Security for Office Communications Server Microsoft Internet Security and Acceleration (ISA) Server 2006 Intelligent Application Gateway (IAG)

34 Porady na temat kont Wyłączenie konta Gościa Konta nie powinno się kasować! Zmiana nazwy konta administracyjnego Zły pomysł: Admin, root,, Administrator,, test, **** Sposób logowania użytkowników HKEY_LOCAL_MACHINE\SOFTWARE SOFTWARE\Microsoft\Windows NT\CurrentVersion CurrentVersion\Winlogon\LogonType = (DWORD)0 Ukrywanie nazwy ostatniego użytkownika MACHINE\Software Software\Microsoft\Windows\CurrentVersion\Policies\Syste m\dontdisplaylastusername = (DWORD)1 Codzienna praca na koncie o zwykłych uprawnieniach 34

35 Realizacja polityki kont (1) Definiowanie szablonu zabezpieczeń Start Uruchom mmc Przystawka Szablony Zabezpieczeń(przystawkę przystawkę należy dodać) Szablon predefiniowany, modyfikowany lub tworzony od zera 35

36 Realizacja polityki kont (2) Zasady haseł Zasady blokady konta 36

37 Realizacja polityki kont (3) Zasady lokalne Opcje zabezpieczeń 37

38 Domyślne szablony zabezpieczeń C:\Windows Windows\Security\Templates\*. *.inf Setup security.inf inf tworzony podczas instalacji szablon z zabezpieczeniami domyślnymi DC security.inf inf zabezpieczenia kontrolera domeny Compatws.inf szablon tzw. zgodny, polecany dla stacji roboczych i serwerów w firmach Secure*. *.inf szablony o podwyższonym poziomie bezpieczeństwa, które nie powinny negatywnie wpłynąć na uruchamiane aplikacje Hisec*. *.inf szablony wysoce bezpieczne Ciekawostka: szablony przygotowane przez NSA _win2003.cfm 38

39 Aplikowanie szablonów (1) Do zasad lokalnych Logowanie na konto administratora mmc Przystawka Konfiguracja i analiza zabezpieczeń Otwieranie bazy danych + <Nowa_Nazwa> 39

40 Aplikowanie szablonów (2) Do zasad lokalnych c.d. Import wybranego szablonu, np. MIC.inf Konfiguruj komputer 40

41 Aplikowanie szablonów (3) Dla domeny / jednostki organizacyjnej Definicja szablonu na kontrolerze domeny Przystawka Użytkownicy i komputery usługi Active Directory Właściwości Zasady grupy Nowy (Edytuj) dla wybranej domeny / jednostki Przystawka Zasady Grupy 41

42 Więcej narzędzi Narzędzia Sysinternals Mark Russinovich & Bryce Cogswell Lipiec 2006 przejęcie przez Microsoft microsoft.com/en-us/sysinternalssysinternals Narzędzia: Bezpieczeństwo Sieć Zarządzanie plikami i dyskami Informacja o systemie Zarządzanie procesami Microsoft Baseline Security Analyzer Microsoft Security Assessment Tool 42

43 Rootkit Revealer Wykrywa rootkity user-mode i kernel-mode Analizuje Rejestr systemu i system plików 43

44 Automatyzacja pracy RR Harmonogram zadań + linia komend rootkitrevealer[-a a [-c][ [-m][ [-r][ outputfile] -a: automatyczne skanowanie i wyjście po zakończeniu -c: wyjście skierowane do pliku ew formacie CSV -m: pokazanie metadanych NTFS -r: pominięcie skanowania Rejestru Windows Plik wynikowy musi znaleźć się na skanowanym hoście Lokalizacja zdalna Współpraca z narzędziem Sysinternals PsExec psexec \\remote_server-c rootkitrevealer.exe exe -a a c:\tmp tmp\rr.log 44

45 Autoruns Analizuje system pod kątem programów uruchamianych automatycznie po starcie systemu 45

46 Automatyzacja pracy Autoruns Harmonogram zadań + linia komend autorunsc.exe exe: : przykładowe opcje -a: pokaż wszystkie wyniki -c: wyjście w formacie CSV -d: pokaż uruchamiane biblioteki DLL -s: pokaż uruchamiane usługi Windows -t: wyświetl zdefiniowane zadania Harmonogramu -x: wyjście w formacie XML user <name>: pokaż wyniki dla konta użytkownika <name< name> Przykład: autorunsc -t-x x c:\tmp tmp\show_ show_tasks.xml Lokalizacja zdalna współpraca z PsExec 46

47 Process Explorer Lepszy menedżer zadań 47

48 Microsoft Baseline Security Analyzer 48

49 MSBA dla administratora Automatyzacja Linia poleceń + Harmonogram zadań Możliwość wykonania na zdalnym hoście <Install_dir>\mbsacli.exe /? Ciekawsze opcje /target domain\\computer /target <IP_address address> /n <opcje> wyłącza podane <opcje> /u, /p specyfikacja odpowiednio nazwy użytkownika i hasła /ld generowanie szczegółowego raportu 49

50 Microsoft Security Assessment Tool 50

51 MSAT raport ogólny BRP: Business Risk Profile im mniej, tym lepiej DiDI: Defence-in in-depth: im więcej, tym lepiej Obszary oceny: Infrastruktura Aplikacje Operacje Ludzie 51

52 Grafika: microsoft.comcom 52 MSAT raport szczegółowy

53 Co jeszcze? Ustalenie hierarchii grup użytkowników Wdrożenie PKI Szyfrowanie ruchu sieciowego Konfiguracja protokołu IPSec Wykorzystanie systemu plików EFS Szyfrowanie dysków lub katalogów z dokumentami Zabezpieczenie sieci bezprzewodowej Sprawdzanie integralności systemu plików 53

54 Konfiguracja aplikacji Aktualizujemy także aplikacje! Usługa Windows Update: : MS Office: XP, 2003, 2007 i inne produkty MS (np. Media Player) Wbudowane mechanizmy aktualizacji aplikacji MS Internet Explorer Narzędzia Opcje Internetowe Zabezpieczenia Narzędzia Opcje internetowe Zaawansowane 54

55 Konfiguracja MSIE Istotne ustawienia Wydzielenie stref zaufania w Internecie Włączenie filtru witryn wyłudzających informacje WWW, którym ufamy Wyłączenie obsługi SSL 2.0 Informowanie o niezgodności certyfikatów W większych sieciach ustawienia powinny być wymuszone centralnie 55

56 Ciekawostka z życia wzięta Zabezpieczenia stacji roboczej Brak możliwości instalacji oprogramowania przez użytkowników wymuszony przez domenę Większość użytkowników ma dostęp tylko do konta ze standardowymi uprawnieniami Dążenie do poprawienia wydajności Partycja D:\ FAT z plikiem wymiany Wynik: Użytkownicy instalują niedozwolone i potencjalnie niebezpieczne oprogramowanie na dysku D:\ 56

57 Przerwa

58 Bezpieczeństwo serwerów Przykłady

59 Windows 2003 Server Security Configuration Wizard for Windows Server es/security/configwiz Dostępny z Service Pack 1 Narzędzie redukujące wektor ataku Wyłączenie usług Zamknięcie portów Dostęp do pozostałych portów na podstawie adresu IP Wyłączenie rozszerzeń IIS (jeśli uruchomiono serwer WWW) Definicja polityki logowania informacji Zabezpieczenie protokołów SMB, LDAP, LanMan 59

60 Security Configuration Wizard Konfiguracja oparta na rolach Role definiowane w plikach XML Grafiki: microsoft.comcom 60

61 Serwer WWW Hosting strony WWW własnej firmy Udostępnianie usług hostingowych Aplikacje intranetowe Ataki z wewnątrz sieci Narzędzia Dinis Cruz, OWASP ANSA Asp.Net Security Analyser V0_31b ANBS Asp.Net Baseline Security v

62 62

63 63

64 64

65 Pierwsza pomoc (1) Restrykcje dostępu do usługi WMI Aplet Zarządzanie Komputerem 65

66 66

67 Pierwsza pomoc (2) Odpowiednia konfiguracja C:\WINDOWS WINDOWS\Microsoft.NET\Framework\<version>\CONFI G\Web. Web.config <location allowoverride="false false"> <system.web web> <securitypolicy>... </securitypolicy securitypolicy> <trust level="medium" originurl="" /> </system.web web> </location location> 67

68 Pierwsza pomoc (3) Garść innych porad dla Web.config config: <system.web web> <trace enabled=" ="false false" localonly=" ="true true" " /> <httpcookies httponlycookies=" ="true"/> <customerrors mode=" ="RemoteOnly RemoteOnly" " /> <authentication mode=" ="Forms"> <forms name="{abcd }" slidingexpiration=" ="false" requiressl=" ="true" " /> </authentication authentication> </system.web web> Machine.config config: <system.web web> <deployment retail=" ="true" /> </system.web web> 68

69 Bezpieczeństwo serwera WWW Pokaz

70 Co dalej? Ochrona serwera (system, firewall,,...) Każda aplikacja w osobnej puli Konfiguracja uprawnień w systemie operacyjnym Przydziały dla pul aplikacji (procesor, pamięć) Maksymalne ograniczenie możliwości uruchamiania programów użytkownika Kontrola kodu hostowanych stron WWW 70

71 Serwer baz danych MS SQL Server 2005 Ataki z zewnątrz i z wewnątrz sieci Odpowiednia gradacja uprawnień Minimum privileges principle Narzędzia, materiały Narzędzia konfiguracyjne SQL Server 2005 SQL Server Best Practices Analyser /technet/article/art0056_01.mspx blogs.msdn.com/sqlrem Skrypty Gustawo Duarte duartes.org/gustavo/articles/lock-down-sql-server Server aspx 71

72 SQL Server Best Practices Analyzer 72

73 SQL Server BPA -raport Narzędzie dostępne także z linii komend <install_dir>\sqlbpacmd2005. SqlBPACmd2005.exe /? 73

74 Narzędzie Surface Area Configuration Start Programy MS SQL Server 2005 Configuration Tools Surface Area Configuration 74

75 SQL Server Configuration Manager Start Programy MS SQL Server 2005 Configuration Tools SQL Server Configuration Manager Start Uruchom sqlservermanager.msc msc 75

76 Procedury składowane Procedury składowane Zwykłe: sp_xxx Rozszerzone: xp_xxx Domyślnie dostępne dla zwykłego użytkownika np.: xp_regread (odczyt kluczy z rejestru Windows) xp_revokelogin / xp_grantlogin (nadawanie i odbieranie uprawnień logowania) Procedury nie zwrócą sensownych wyników przy założeniu dobrej konfiguracji systemu Blokada użycia procedury składowane: REVOKE EXECUTE ON <name< name> > FROM public 76

77 Ciekawostka: procedury składowane Enumerowanie kont użytkowników przy pomocy procedury xp_revokelogin Istniejąca nazwa konta Nieistniejąca nazwa konta 77

78 Co dalej? Ochrona serwera (system, firewall,,...) Unikanie Mixed Mode Authentication Restrykcje dostępowe do baz master, msdb (USE master) REVOKE VIEW ANY DATABASE FROM public (USE msdb) ) REVOKE CONNECT TO guest Logowanie zdarzeń Osobna grupa użytkowników-administratorów SQL Wykorzystanie schematów i ról Zastrzeżenie dostępu do metadanych 78

79 Dalsza nauka co, jak i gdzie?

80 Znaczenie edukacji Przykład audyt bezpieczeństwa w spółce z o.o. Struktura krytyczności luk Sieć lokalna oparta na domenie Windows + stacje robocze szkolenia dla działu IT Pozostałe obszary (np. urządzenia sieciowe) brak szkoleń dla pracowników 80

81 Łatwiejszy dostęp do oprogramowania Program Empower /partner/isv/info/empo wer.mspx Microsoft Action Pack Subscription Microsoft Certified / Gold Certified Partner SPLA(Service Service Providers License Agreement) Więcej informacji: Prezentacja Bartłomieja Zassa (MS Polska) na seminarium Startup IT w dn startup-it.pl/prezentacja/ /prezentacja/zass_1.pdf Kontakt z przedstawicielami firmy Microsoft 81

82 Inne aspekty bezpieczeństwa Tworzenie bezpiecznego kodu Bezpieczeństwo fizyczne Ochrona przed atakami DoS Konfiguracja sieci Backup danych Ochrona przed atakami socjotechnicznymi Outsourcing usług Spam (zapraszamy na kolejne szkolenie!) Polityki bezpieczeństwa, procedury... 82

83 Jak zgromadzić niezbędną wiedzę? Centrum bezpieczeństwa Microsoft: Portale poświęcone bezpieczeństwu IT securityfocus.com-ogólny secunia.com- wyszukiwanie podatności blogs.technet..technet.com/msrc/default.aspx- blog MSRC Portale poświęcone oprogramowaniu MS codeguru.pl (.NET, C#) wss.pl (Windows Server System) Linki z treści prezentacji Google is your friend ;-) 83

84 Gdzie można się szkolić? Kursy i szkolenia komercyjne Certyfikowane ośrodki Microsoft MS-280X Microsoft Security Guidance Trainings MS-2810 Fundamentals of Network Security MS Applying Microsoft Security Guidance I-IIIIII MS-2821 Designing and Managing a Windows Public Key Infrastructure MS-2823 Implementing and Administering Security in a Microsoft Windows Server 2003 Network MS-2830 Designing Security for Microsoft Networks MS-2840 Implementing Security for Applications Bezpłatne: np. MIC / KDM PCSS 84

85 Do poduszki z MS Press... Bezpieczny kod tworzenie i zastosowanie M.Howard Howard,, D. LeBlanc,, 2002 Ocena bezpieczeństwa sieciowego K.Lam, B. LeBlanc,, B. Smith,, 2005 Microsoft Security Development Lifecycle M. Howard,, S. Lipner,, 2006 Hunting Security Bugs T. Gallagher,, 2006 Writing Secure Code for Windows Vista M. Howard,, D. LeBlanc,,

86 Podsumowanie

87 Podsumowanie Bezpieczeństwo to proces wieloaspektowy, skomplikowany i wymagający wiedzy Dziś mogliśmy jedynie przekazać ogólne wskazówki i pokazać kilka przykładów Zaprezentowane narzędzia i źródła wiedzy wskażą dalszą drogę postępowania Pamiętajmy, że: Nie wszystkim użytkownikom można zaufać Sieć jest tak silna, jak jej najsłabsze ogniwo Kluczowa jest zasada minimalnych przywilejów 87

88 Podsumowanie ogólne wskazówki Defense in Depth Zasada minimalnych przywilejów Silne hasła Odporne na ataki słownikowe Unikanie multiplikowania haseł Odporne na ataki brute force (co najmniej znaków) Metoda mnemoniczna cker.mspx Rozliczalność Niezależne audyty bezpieczeństwa 88

89 Informacje kontaktowe Autor prezentacji: gerard.frankowski Centrum Innowacji Microsoft mic.psnc.plpl man.poznan.plpl PCSS Zespół Bezpieczeństwa PCSS security.psnc.plpl man.poznan.plpl 89

90 Pytania i dyskusja Dziękuję za uwagę! 90