Przedmowa... xv Podziękowania... xv Wprowadzenie... xvi. Stosowanie podstawowych zasad zabezpieczeń

Transkrypt

1 Spis treści Przedmowa... xv Podziękowania... xv Wprowadzenie... xvi Część I. Stosowanie podstawowych zasad zabezpieczeń 1. Podstawowe zasady zabezpieczeń... 3 Omówienie zarządzania ryzykiem... 4 Jak zarządzać ryzykiem... 4 Strategie zarządzania ryzykiem... 6 Zrozumieć bezpieczeństwo... 8 Przydzielanie najniższych niezbędnych uprawnień... 8 Pogłębiona obrona... 8 Zmniejszanie powierzchni ataku... 9 Unikanie tworzenia założeń... 9 Ochrona, wykrywanie, reagowanie... 9 Zabezpieczanie z założenia, domyślnie i we wdrożeniu... 9 Dziesięć niezmiennych praw bezpieczeństwa Dziesięć niezmiennych praw zarządzania bezpieczeństwem Poznać wroga Znać siebie Dokładna ocena własnych umiejętności Przygotowanie szczegółowej dokumentacji własnej sieci Ocena stopnia wsparcia ze strony własnej organizacji Identyfikacja napastnika Napastnicy zewnętrzni Napastnicy wewnętrzni Co motywuje napastników? Nobilitacja, akceptacja i ego Korzyści finansowe Wyzwanie Przekonania Zemsta Szpiegostwo Wojna informacyjna Dlaczego ochrona sieci jest zadaniem trudnym Napastnicy posiadają nieograniczone zasoby Wystarczy, że napastnik opanuje jeden rodzaj ataku Obrońcy nie mogą przejąć inicjatywy Obrońcy muszą dbać o cele biznesowe Obrońcy muszą wygrywać każdą potyczkę... 26

2 Część II. Zabezpieczanie Active Directory 3. Zabezpieczanie kont i haseł użytkowników Zabezpieczanie kont Istota identyfikatorów zabezpieczeń Istota żetonów dostępu Konfigurowanie opcji zabezpieczeń kont Zabezpieczanie kont administracyjnych Implementowanie zabezpieczeń haseł Przyznawanie uprawnień przy użyciu grup Prawa i uprawnienia użytkowników Typy i zakres działania grup Implementowanie zabezpieczeń opartych na rolach Podsumowanie Informacje dodatkowe Konfigurowanie uwierzytelniania w systemach Microsoft Windows Przechowywanie i przesyłanie poświadczeń Przechowywanie danych poufnych w Windows Podsumowanie Informacje dodatkowe Zabezpieczanie obiektów i atrybutów Active Directory Istota schematu Active Directory Atrybuty Klasy Konfigurowanie DACL w celu zabezpieczenia obiektów Active Directory Czym są DACL? Sposób działania DACL Zabezpieczanie obiektów i atrybutów Active Directory Konfigurowanie domyślnych list DACL dla obiektów i atrybutów Zabezpieczanie obiektów po ich utworzeniu Konfigurowanie list DACL przy użyciu wiersza polecenia Podsumowanie Informacje dodatkowe Wdrażanie zabezpieczeń przy użyciu zasad grupy Istota zasad grupy Zasady grupy dotyczące komputera Zasady grupy dotyczące użytkownika Korzystanie z obiektów zasad grupy Przetwarzanie obiektów zasad grupy Wstępne stosowanie zasad grupy Odświeżanie zasad grupy Przetwarzanie na żądanie Modyfikowanie stosowania zasad grupy Blokowanie dziedziczenia

3 Wyłączenie zastępowania zasad Filtrowanie obiektów zasad grupy Tryb przetwarzania sprzężenia zwrotnego Zarządzanie zasadami grupy Domyślne uprawnienia zasad grupy Delegowanie zarządzania zasadami grupy Podsumowanie Informacje dodatkowe Projektowanie lasów i domen Active Directory dla potrzeb bezpieczeństwa Autonomia i izolacja w Active Directory Projektowanie lasów dla potrzeb bezpieczeństwa Active Directory Granice administracji przedsiębiorstwa i rozdzielanie nadzoru Domyślne uprawnienia i kontrola schematu Granice działania wykazów globalnych Wymagania zaufania między domenami Izolacja kontrolerów domeny Ochrona głównej domeny lasu Projektowanie domen pod kątem zabezpieczeń Active Directory Projektowanie usługi DNS dla potrzeb bezpieczeństwa Active Directory Prosta przestrzeń nazw Delegowana przestrzeń nazw Wewnętrzna przestrzeń nazw Segmentowa przestrzeń nazw Projektowanie delegowania nadzoru Podsumowanie Informacje dodatkowe Część III. Zabezpieczanie rdzenia systemu operacyjnego 8. Zabezpieczanie dostępu do danych Zabezpieczanie uprawnień plików i folderów Działanie list kontroli dostępu Przypisywanie DACL w trakcie tworzenia Zachowanie DACL w trakcie kopiowania lub przenoszenia plików i folderów Narzędzia wiersza polecenia Zabezpieczanie dostępu do plików i folderów za pomocą uprawnień udziałów Korzystanie z systemu szyfrowania plików (EFS) Jak działa EFS Narzędzia EFS wiersza poleceń Dodatkowe funkcje EFS w systemach Windows Server 2003 i Windows XP Wprowadzenie do projektowania zasad agentów odzyskiwania danych Zabezpieczanie uprawnień do rejestru Konfigurowanie uprawnień rejestru Podsumowanie Informacje dodatkowe

4 9. Zabezpieczanie usług Zarządzanie uprawnieniami usług Konfigurowanie początkowego zachowania usługi Zatrzymywanie, uruchamianie, wstrzymywanie i wznawianie usług Konfigurowanie kontekstu zabezpieczeń usług Konfigurowanie list kontroli dostępu dla usługi Domyślne usługi w systemach Windows Server 2003, Windows 2000 i Windows XP Podsumowanie Informacje dodatkowe Implementacja zabezpieczeń TCP/IP Zabezpieczenia TCP/IP Protokoły warstwy internetowej Protokoły warstwy transportowej Typowe zagrożenia dotyczące TCP/IP Skanowanie portów Konfigurowanie zabezpieczeń TCP/IP w systemach Windows Korzystanie z IPSec Zabezpieczanie przesyłania danych za pomocą protokołów IPSec Wybieranie trybów pracy IPSec Wybieranie metody uwierzytelniania IPSec Tworzenie zasad IPSec Jak działa IPSec? Monitorowanie IPSec Podsumowanie Informacje dodatkowe Tworzenie i konfigurowanie szablonów zabezpieczeń Korzystanie z ustawień szablonów zabezpieczeń Zasady konta Zasady lokalne Dziennik zdarzeń Grupy z ograniczeniami Usługi systemowe Rejestr System plików Zasady sieci bezprzewodowych Zasady kluczy publicznych Zasady ograniczeń oprogramowania Zasady zabezpieczeń IP Działanie szablonów zabezpieczeń Stosowanie szablonów zabezpieczeń dla komputera lokalnego Stosowanie szablonów zabezpieczeń przy użyciu zasad grupy Domyślne szablony zabezpieczeń Tworzenie niestandardowych szablonów zabezpieczeń Dodawanie wpisów rejestru do opcji zabezpieczeń

5 Dodawanie usług, wartości rejestrów i plików do szablonów zabezpieczeń Podsumowanie Informacje dodatkowe Zarządzanie bezpieczeństwem i prywatnością w programie Microsoft Internet Explorer Ustawienia zabezpieczeń w Internet Explorer Ustawienia dotyczące prywatności Blokowanie wyskakujących okien (pop-up) Strefy zabezpieczeń Globalne ustawienia zabezpieczeń Zaawansowane ustawienia konfiguracji zabezpieczeń w systemie Windows Server Konfigurowanie ustawień prywatności i zabezpieczeń w programie Internet Explorer Podsumowanie Informacje dodatkowe Ustawienia zabezpieczeń w Microsoft Office XP i Office System Konfigurowanie zabezpieczeń ActiveX i makr Zabezpieczanie dokumentów w Microsoft Office Ochrona przed odczytywaniem dokumentów przez inne osoby Ochrona metadanych w dokumentach Ochrona zawartości dokumentów Konfigurowanie zabezpieczeń w programach Outlook 2002 i Outlook Podsumowanie Informacje dodatkowe Inspekcja zdarzeń zabezpieczeń w Microsoft Windows Wybieranie zdarzeń do inspekcji Zarządzanie Podglądem zdarzeń Określanie lokalizacji pliku dziennika Określanie maksymalnego rozmiaru pliku dziennika Konfigurowanie zastępowania wpisów Konfigurowanie zasad inspekcji Prowadzenie inspekcji zdarzeń logowania na kontach Prowadzenie inspekcji zdarzeń zarządzania kontami Prowadzenie inspekcji dostępu do usług katalogowych Prowadzenie inspekcji zdarzeń logowania Prowadzenie inspekcji dostępu do obiektów Prowadzenie inspekcji zmian zasad Prowadzenie inspekcji użycia uprawnień Prowadzenie inspekcji śledzenia procesów Prowadzenie inspekcji zdarzeń systemowych Włączanie zasad prowadzenia inspekcji Monitorowanie rejestrowanych zdarzeń Korzystanie z narzędzia Event Viewer

6 Korzystanie z niestandardowych skryptów Korzystanie z narzędzia Event Comb Podsumowanie Informacje dodatkowe Zabezpieczanie komputerów przenośnych Zagrożenia dla komputerów przenośnych Ryzyko kradzieży lub zgubienia Trudność wprowadzania uaktualnień Podłączanie do niezaufanych sieci Podsłuch łączności bezprzewodowej Implementacja dodatkowych zabezpieczeń komputerów przenośnych Ochrona sprzętu Ochrona uruchamiania Ochrona danych Szkolenie użytkowników Zabezpieczanie sieci bezprzewodowych w systemie Windows XP Korzystanie z usługi Wireless Zero Configuration Konfigurowanie zabezpieczeń dla łączności bezprzewodowej Podsumowanie Informacje dodatkowe Część IV. Zabezpieczanie standardowych usług 16. Implementacja zabezpieczeń kontrolerów domeny Zagrożenia dotyczące kontrolerów domeny Modyfikacja obiektów Active Directory Atak na hasła Atak typu odmowa usługi (Denial-of-service DoS) Atak blokujący replikację Wykorzystanie znanych słabości Zabezpieczanie kontrolerów domeny Zapewnienie bezpieczeństwa fizycznego Zwiększenie zabezpieczeń przechowywanych haseł Eliminacja zbędnych usług Przypisywanie ustawień zabezpieczeń poprzez zasady grupy Ochrona przed awariami Implementacja klucza systemowego Zabezpieczenie wbudowanych kont i grup Prowadzenie inspekcji Zabezpieczanie komunikacji Active Directory Ograniczanie listy użytkowników, którzy mogą się logować na konsoli kontrolera domeny Podsumowanie Informacje dodatkowe Implementacja zabezpieczeń serwerów DNS

7 Zagrożenia dotyczące serwerów DNS Modyfikacja rekordów DNS Transfer danych stref DNS do nieautoryzowanych serwerów Upublicznienie wewnętrznego schematu adresów IP Odmowa usługi serwera DNS Atak blokujący replikację Zabezpieczanie serwerów DNS Implementacja stref DNS zintegrowanych z Active Directory Stosowanie oddzielnych serwerów DNS dla sieci wewnętrznej i zewnętrznej Ograniczanie transferów stref Implementacja zabezpieczeń IPSec dla łączności pomiędzy klientami i serwerami DNS Ograniczanie ruchu DNS poprzez zaporę ogniową Ograniczanie zarządzania DNS Ochrona bufora DNS Podsumowanie Informacje dodatkowe Implementacja zabezpieczeń usług terminalowych Zagrożenia charakterystyczne dla Usług terminalowych Przyznawanie użytkownikom nadmiernych uprawnień Omijanie zabezpieczeń zapory ogniowej Wymaganie uprawnienia do logowania lokalnego Udostępnienie pełnego pulpitu Windows Zabezpieczanie Usług terminalowych Wybór właściwego trybu połączeń z Usługami terminalowymi Ograniczenie listy kont użytkowników i grup, które mogą się łączyć z serwerem terminali Ograniczenie listy uruchamianych aplikacji Implementacja silnego szyfrowania Wzmocnienie konfiguracji zabezpieczeń na serwerze terminali Implementacja silnego uwierzytelniania na serwerze terminali systemu Windows Server Podsumowanie Informacje dodatkowe Implementacja zabezpieczeń serwerów DHCP Zagrożenia dotyczące serwerów DHCP Nieautoryzowane serwery DHCP Zastępowanie poprawnych rekordów zasobów DNS Tworzenie rekordów DNS z niewłaściwie zdefiniowanym właścicielem Nieautoryzowani klienci DHCP Zabezpieczanie serwerów DHCP Utrzymanie domyślnego zachowania systemu przy rejestrowaniu nazw Korzystanie z grupy DNSUpdateProxy Przeglądanie bazy danych DHCP w poszukiwaniu wpisów BAD_ADDRESS Monitorowanie członkostwa grupy DHCP Administrators

8 Inspekcja DHCP Podsumowanie Informacje dodatkowe Implementacja zabezpieczeń serwerów WINS Zagrożenia dotyczące serwerów WINS Zablokowanie replikacji pomiędzy serwerami WINS Rejestracja fałszywych rekordów NetBIOS Nieprawidłowa rejestracja rekordów WINS Modyfikacja ustawień WINS Atak typu odmowa usługi (DoS) Zabezpieczanie serwerów WINS Monitorowanie członkostwa grup administracyjnych Sprawdzanie poprawności replikacji WINS Implementacja statycznych wpisów WINS dla krytycznych aplikacji NetBIOS Wyeliminowanie aplikacji NetBIOS i rezygnacja z mechanizmu WINS Prowadzenie szczegółowego rejestrowania aktywności WINS w dzienniku zdarzeń Podsumowanie Informacje dodatkowe Zabezpieczanie usług routingu i dostępu zdalnego Składniki sieciowe zapewniające dostęp zdalny Protokoły uwierzytelniające Protokoły VPN Oprogramowanie klienckie Oprogramowanie i usługi serwerowe Kwarantanna Zagrożenia dla usług dostępu zdalnego Przechwytywanie uwierzytelnień Przechwytywanie danych Ominięcie zapory ogniowej Niestandardowe stosowanie zasad zabezpieczeń Rozszerzenie granic sieci do lokalizacji użytkowników zdalnych Odmowa usługi wywołana próbami logowania Skradzione komputery przenośne Zabezpieczanie serwerów dostępu zdalnego Implementacja uwierzytelniania i rozliczania RADIUS Zabezpieczanie ruchu uwierzytelniania RADIUS pomiędzy serwerami dostępu zdalnego i serwerem RADIUS Konfigurowanie zasad dostępu zdalnego Wystawianie wymaganych certyfikatów dla L2TP/IPSec Ograniczanie liczby serwerów, na których może być uruchomiona usługa RRAS Implementacja mechanizmu blokady konta dla kont dostępu zdalnego Implementacja kwarantanny Zabezpieczanie klientów dostępu zdalnego Konfiguracja pakietów CMAK

9 Implementacja silnego uwierzytelniania Rozpowszechnienie wymaganych certyfikatów Podsumowanie Informacje dodatkowe Implementacja zabezpieczeń usług certyfikatów Zagrożenia dla usług certyfikatów Odtajnienie pary kluczy urzędu certyfikacji Atak na serwery przechowujące listy odwołań certyfikatów i certyfikaty CA Próby modyfikacji konfiguracji urzędu certyfikacji Próby modyfikacji uprawnień do szablonu certyfikatów Atak wyłączający sprawdzanie CRL Dołączenie niezufanych urzędów certyfikacji do magazynu głównego zaufanego urzędu Wystawianie oszukańczych certyfikatów Publikowanie fałszywych certyfikatów w Active Directory Zinfiltrowanie CA przez pojedynczego administratora Nieautoryzowane przywracanie prywatnego klucza użytkownika z bazy danych CA Zabezpieczanie usług certyfikatów Implementacja fizycznych środków ochronnych Implementacja logicznych środków ochronnych Modyfikacja punktów publikacji CRL i certyfikatu CA Włączanie sprawdzania CRL we wszystkich aplikacjach Kontrola uprawnień dostępu do szablonu certyfikatów Implementacja separacji ról Podsumowanie Informacje dodatkowe Implementacja zabezpieczeń w Microsoft IIS Implementacja zabezpieczeń Windows Minimalizacja liczby usług Definiowanie kont użytkowników Zabezpieczanie systemu plików Stosowanie specjalnych ustawień rejestru Konfigurowanie zabezpieczeń IIS wspólnych dla systemów Windows 2000 i Windows Server Uwierzytelnianie Uprawnienia witryny Kanały komunikacyjne Korzystanie z narzędzi zabezpieczających IIS Narzędzie IIS Lockdown Filtr URLScan Konfigurowanie dodatkowych zabezpieczeń IIS Redukcja wymaganych przywilejów Automatyczne monitorowanie stanu serwera Izolowanie aplikacji

10 Zaawansowane zabezpieczenia Http.sys Wsparcie dla zabezpieczeń ASP.NET Ochrona ustawień domyślnych Ochrona przed pospolitymi atakami Konfigurowanie usługi FTP Podsumowanie Informacje dodatkowe Projektowanie infrastruktury uwierzytelniania 802.1x Jak działa uwierzytelnianie standardu 802.1x Zagrożenia dotyczące środowisk sieciowych Typy uwierzytelniania 802.1x Uwierzytelnianie EAP-TLS Uwierzytelnianie PEAP Zabezpieczanie łączności Zabezpieczanie łączności bezprzewodowej Zabezpieczanie łączności kablowej Planowanie struktury certyfikatów na potrzeby uwierzytelniania 802.1x Certyfikaty komputerów dla serwerów RADIUS Certyfikaty użytkowników dla klientów Certyfikaty komputerów dla klientów Rozpowszechnianie certyfikatów dla użytkowników i komputerów Serwer RADIUS Komputery klienckie Użytkownicy Implementacja uwierzytelniania 802.1x Konfigurowanie serwera RADIUS Konfigurowanie punktu dostępowego lub switcha Konfigurowanie switcha Podłączanie do sieci bezprzewodowej Podłączanie do sieci kablowej Podsumowanie Informacje dodatkowe Część V. Zarządzanie aktualizacjami zabezpieczeń 25. Zarządzanie poprawkami Rodzaje poprawek Tworzenie poprawek Sześciostopniowe zarządzanie poprawkami Krok 1: Powiadomienie Krok 2: Analiza zasobów Krok 3: Uzyskanie poprawki Krok 4: Testowanie Krok 5: Rozpowszechnienie Krok 6: Sprawdzenie poprawności Podsumowanie

11 Informacje dodatkowe Narzędzia do zarządzania poprawkami Security Patch Bulletin Catalog Windows Update Aktualizacje automatyczne Microsoft Software Update Services Działanie mechanizmu SUS Konfigurowanie serwera SUS Konfigurowanie klientów SUS Office Update Windows Update Services Nowe funkcje w Windows Update Service Usprawnienia dotyczące pasma sieciowego Migracja z Software Update Services Microsoft Baseline Security Analyzer Skanowanie w trybie graficznym Skanowanie systemu przy użyciu trybu wiersza polecenia SMS 2.0 Software Update Services Feature Pack Microsoft Systems Management Server Funkcje administracyjne Funkcje dla końcowego użytkownika Podsumowanie Informacje dodatkowe Część VI. Planowanie i realizacja oceny zabezpieczeń oraz reakcji na incydenty 27. Ocena bezpieczeństwa sieci Rodzaje ocen zabezpieczeń Skanowanie w poszukiwaniu podatności Testy penetracji Audyt bezpieczeństwa IT Wykonywanie oceny zabezpieczeń Planowanie oszacowania zabezpieczeń Wykonywanie oszacowania zabezpieczeń Rozwiązanie problemów wykrytych w wyniku przeprowadzonej oceny Przeprowadzanie testów penetracji Faza 1: Gromadzenie informacji Faza 2: Rozpoznawanie słabości Faza 3: Infiltracja aplikacji lub sieci będącej celem ataku Podsumowanie Informacje dodatkowe Korzystanie z narzędzi oceny zabezpieczeń Definiowanie bazowego poziomu zabezpieczeń

12 Instalowanie oprogramowania Security Configuration Wizard Funkcje programu Security Configuration Wizard Możliwości programu Security Configuration Wizard Szacowanie konfiguracji zabezpieczeń Konsola Security Configuration and Analysis Narzędzie Secedit.exe Dokonywanie oceny zabezpieczeń Microsoft Baseline Security Analyzer Narzędzia innych firm Skanowanie portów Podsumowanie Informacje dodatkowe Planowanie reakcji na incydenty Tworzenie zespołu reakcji na incydenty Uzyskanie wsparcia zarządu Identyfikacja kluczowych członków zespołu Wybieranie lidera zespołu Definiowanie zasad reakcji na incydenty Klasyfikacja typów incydentów Tworzenie zarysu wstępnego zapobiegania i reakcji na zagrożenie Konstruowanie zasad wspierających reakcję na incydenty Tworzenie planu wymiany informacji Wewnętrzna wymiana informacji przed wystąpieniem incydentu Wymiana informacji w czasie trwania incydentu Kontaktowanie się z napastnikiem Współpraca z prasą Podsumowanie Informacje dodatkowe Reagowanie na incydenty zabezpieczeń Typowe wskaźniki incydentów zabezpieczeń Nietypowa aktywność protokołów TCP lub UDP Pewne typy zdarzeń występujące w dzienniku systemowym Niedostępność zasobów sieciowych Nadmierne obciążenie procesora Niestabilne działanie usług Nieregularna aktywność systemu plików Zmiany uprawnień Analizowanie incydentu związanego z zabezpieczeniami Ustalanie przyczyn Zablokowanie możliwości dalszego rozwoju ataku Unikanie eskalacji i następnych incydentów Przywracanie działania Włączanie uzyskanej wiedzy do zasad zabezpieczeń Śledzenie napastnika Prowadzenie dochodzenia związanego z incydentem zabezpieczeń

13 Indeks 661 Uwzględnianie środków prawnych Gromadzenie dowodów Prowadzenie monitorowania sieci Implementacja środków przeciwdziałania Ocena zasięgu ataku Obliczanie strat Przywracanie funkcjonowania usług po incydencie zabezpieczeń Dalsze postępowanie po zakończeniu incydentu Podsumowanie Informacje dodatkowe