Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych) SYSTEM OPERACYJNY I JEGO OTOCZENIE System operacyjny/wersja, uaktualnienia, klucz produktu Stan jego aktualizacji (harmonogram) Stan sieci przewodowych/bezprzewodowych Grupa robocza, Domena Listę aktywnych usług/procesów Nazwa komputera w sieci oraz nazwa w DNS-ie OPROGRAMOWANIE NARZĘDZIOWE Wersje takich narzędzi jak: przeglądarka internetowa, klient poczty, pakiet biurowy Wersja Windows media player Inne niezbędne narzędzia SPECYFIKACJA SPRZĘTOWA Producent systemu BIOS Producent płyty głównej Model płyty głównej Kontroler dysku Karta sieciowa / Adres fizyczny/ MAC Kontrolery USB Model procesora i jego prędkość taktowania Dysk twardy wielkość oraz producent Informacje te są niezbędne do odtworzenia stanu komputera po awarii, czy włamaniu
Audyt bezpieczeństwa systemu oraz systemy dbające o bezpieczeństwo systemu AUDYT BEZPIECZEŃSTWA SYSTEMU Jak sprawdzać, weryfikować stan bezpieczeństwa systemu? Za pomocą pakietu MBSA Microsoft Baseline Security Analyzer (MBSA) umożliwia ocenę stanu wybranych aplikacji pod względem błędów konfiguracyjnych wpływających na bezpieczeństwo całego systemu. Program pozwala na ocenę stanu aktualizacji oprogramowania (aktualizacje (tzw. łaty ) systemu operacyjnego, zainstalowanych aplikacji np. MSOffice). Możliwa jest np. ocena bezpieczeństwa aplikacji Microsoft SQL Server czy Microsoft Internet Information Services (IIS). MBSA 2.1 jest zintegrowany z usługą Windows Server Update Services umożliwiającą porównanie stanu systemu z najbardziej aktualnymi danymi katalogu aktualizacji. Wynik działania programu może być zapisany w formie raportu w celu dalszej analizy stanu zabezpieczeń systemu. Analiza wpisów w dziennikach systemu Windows (ustalanie zdarzeń oraz podgląd tych zdarzeń, działanie usług) Linux (katalog /var/log, logwatch narzędzie podsumowujące wpisy w dziennikach systemowych, działanie usług) SYSTEM DBAJĄCE O BEZPIECZEŃSTWO Systemy wykrywania i usuwania wrogiego oprogramowania (wirusy, robaki, programy szpiegujące itp.) Microsoft Security Essentials (MSE) służy do zabezpieczania systemu Windows przed działaniem wrogiego oprogramowania takiego, jak wirusy, rootkity, trojany, spyware itd.. Program oferuje przyjazny i prosty w użyciu interfejs graficzny, Trzy tryby skanowania (pełne, skrócone i użytkownika, w którym możemy wybrać dyski, a nawet poszczególne foldery), harmonogram skanowania, aktualizacje baz sygnatur (automatyczne lub definiowane przez użytkownika) Inne Symantec Kaspersky ESET NOD32 AVAST ARCAVIR MKS-VIR Przeprowadzanie audytów pozwala na ustalenie/weryfikację stanu bezpieczeństwa teleinformatycznego w organizacji
Zabezpieczanie systemu Windows ZASADY ZABEZPIECZEŃ LOKALNYCH Zasady konta (zasady haseł, zasady blokady konta). Zapora systemu Windows (zaawansowana) Zasady menedżera listy sieci Zasady kluczy publicznych Zasady ograniczeń oprogramowania Zasady sterowania aplikacjami Zasady zabezpieczeń IP Konfiguracja zaawansowanych zasad inspekcji INSPEKCJA Zasady lokalne /zasady inspekcji Czy moje hasło jest bezpieczne? Czy można moje hasło złamać? Sprawdzanie siły hasła hasła jednorazowe, hasła generowane za pomocą generatorów Wprowadzenie polityki zasad bezpieczeństwa (lokalnych lub w domenie) pozwala na uniknięcie wielu zagrożeń Przeprowadzanie inspekcji pozwala ustalić, czy wprowadzone zasady działają i czy występują naruszenia tych zasad
Bezpieczne korzystania z sieci internet/intranet Z punktu widzenia klienta Opcje internetowe Zakładka Zabezpieczenia (strefy: Internet, Lokalny intranet, Zaufane witryny) Prywatność (włącz blokowanie wyskakujących okienek, zawansowane) Zawartość (kontrola rodzicielska, klasyfikator treści, Certyfikaty SSL) Używanie klientów poczty, baz danych z odpowiednimi bezpiecznymi połączeniami Z punktu widzenia sieci Minimalizacja domen kolizyjnych / stosowanie przełączników Separacja ruchu poprzez vlan (wirtualne sieci) Stosowanie szyfrowanych transmisji np. IpSeC Zabezpieczanie urządzeń sieciowych -> kto ma dostęp fizyczny, kto ma dostęp administracyjny do urządzeń
Podejrzany komputer Objawy: Karta sieciowa wykazuje duży ruch Co robić!!! monitorowanie połączeń za pomocą netstat Blokowanie takich połączeń na poziomie zapory systemowej lub zapory sieciowej Odłączenie komputera od sieci Sprawdzanie systemu różnymi narzędziami antywirusowymi etc.
Wiarygodność plików, dokumentów Skąd wiemy, że plik/dokument który pobraliśmy/otrzymaliśmy nie uległ zmianie? Podmiana w zasobach udostępnianych Stosowanie md5sum oraz innych narzędzi do kontroli wersji dokumentów/plików Stosowanie skrótów cyfrowych zabezpiecza nas przed prostą podmianą pliku/dokumentu
Szyfrowanie plików systemów plików Szyfrowanie dysków funkcją BitLocker Szyfrowanie folderów/plików za pomocą EFS wbudowany mechanizm TrueCrypt dla Windows tworzenie zaszyfrowanych woluminów Szyfrowanie plików, systemów plików zapobiega nieautoryzowanym dostępom do pliku/folderu
Bezpieczna poczta Reguły filtrów Dobry filtr antyspamowy!!! Dobry antywirus!!! Prawidłowe posługiwanie się klientem poczty z punktu widzenia różnych zagrożeń: podejrzane załączniki, odnośniki oraz treść
Skanowanie sieci lub wybranego komputera/usługi Użycie narzędzia zenmap (interfejs GUI (frontend) dla nmap Celem tego narzędzia może być rozwiązywanie własnych problemów sieciowych (problemy usług) Innym celem może być przygotowanie informacji o sieci/komputerze/usłudze na którą przygotowujemy atak
System detekcji intruzów oraz prewencji Snort /analiza pakietów sieciowych/ Fail2ban /analiza logów systemowych/ Zasady zabezpieczeń lokalnych/domenowych Inne rozwiązania sprzętowe zamykające porty intruzom w wewnętrznej sieci
Podsłuch w sieci narzędzie wireshark Możliwości podsłuchu zależne są od zabezpieczeń sieci oraz rodzaju urządzeń znajdujących się wewnątrz sieci Administrator -> zawsze może wykonać analizę ruchu sieciowego Unikanie autoryzacji przeprowadzanej za pomocą otwartego tekstu w warunkach słabo zabezpieczonej sieci