PROJEKTOWANIE BEZPIECZEŃSTWA STRATEGIE KONSERWACYJNE, PRAKTYKI ADMINISTRACYJNE

Wykład 6 1

PROJEKTOWANIE BEZPIECZEŃSTWA STRATEGIE KONSERWACYJNE, PRAKTYKI ADMINISTRACYJNE 2

Strategie konserwacyjne i praktyki administracyjne Ulepszanie systemów i operacji + zapewnianie ochrony danych i stosowanie zasad bezpieczeństwa = solidny fundament bezpieczeństwa; nowe produkty = nowe luki; opracowanie nowych strategii konserwacyjnych i dobrych praktyk administracyjnych; Zarządzanie zmianami w zasadzie zabezpieczeń i aktualizacjami; dobre praktyki adm. wspierają proces poprawy bezpieczeństwa 3 http://technet.microsoft.com/library/cc700845.aspx

Strategie konserwacyjne dotyczące zarządzania zmianami Konserwacja zasady zabezpieczeń dodatkowe procesy zarządzania: określone dla komputerów autonomicznych; zdefiniowane bezpośrednio w lokalnych zasadach grupy dla wybranych komputerów i nienadpisywanie przez zasady domenowe; określone poza zasadami grupy. 4

Strategie konserwacyjne dotyczące zarządzania zmianami Konserwacja zasady zabezpieczeń poza domeną dwie metody: Metoda1: Standardowe ponowne uwzględnianie ustawień zabezpieczeń; Metoda2: Przeprowadzenie inspekcji mającej na celu stwierdzenie, czy zabezpieczenia są stosowane zgodnie z zasadą zabezpieczeń obowiązującą w organizacji. 5

Plan konserwacji zabezpieczeń Sprawdzenie czy zasady działają poprawnie; Bezpośrednie testowanie stosowania ustawień zabezpieczeń przez analizowanie różnych klas komputerów za pomocą przystawki Konfiguracja i analiza zabezpieczeń; Identyfikacja obowiązujących zabezpieczeń po zalogowaniu się określonego typu użytkownika; Okresowe sprawdzanie prawidłowej przynależności kont do jednostek organizacyjnych OU; Zadbanie o to, by praktyki dotyczące kontrolowania zmian uwzględniały ich wpływ na zabezpieczenia; 6

Aktualizowanie zabezpieczeń Bierne i czynne; Dodatki Service Pack; Różne typy aktualizacji (ręczna, WU, WSUS, inne non-ms, ); Skrypty aktualizacyjne; System zarządzania poprawkami; 7

Stosowanie aktualizacji czynnych Środowiska testowe vs. Produkcyjne; Instalacje SO uwzględniające SP i poprawki; Tworzenie skryptów; Procedury opisane na stronach MS: http://technet.microsoft.com/library/ee221103.aspx http://technet.microsoft.com/en-us/library/ff406131.aspx http://technet.microsoft.com/en-us/library/cc700814.aspx 8

Stosowanie aktualizacji biernych Szukanie luk i słabych punktów; Często luki są znane przed aktualizacjami; Okazjonalne uaktualnianie systemu w korporacjach!! Za wolne, by było skuteczne; 9

Strategie zarządzania poprawkami Monitorowanie Ocenianie Działanie 10

Monitorowanie Zdobywanie wiedzy! (biuletyny, fora); NTBugTraq (www.ntbugtraq.com) http://www.securityfocus.com/ http://www.infosecblog.org/category/microsoft/ Ocenianie statusu aktualizacji poprzez zastosowanie Microsoft Baseline Security Analyzer); Upewnianie się co do wiarygodności źródeł informacji; Powiadomienia biuletynowe z MS nie zawierają załączników; 11

Monitorowanie dobre praktyki! 1. Należy sprawdzić źródło informacji! 2. Łącza zamieszczone w dokumentach należy wklejać w oknie przeglądarki zamiast klikać bezpośrednio; 3. W razie wątpliwości potwierdzić istnienie biuletynu na stronach MS; 4. Czytać dołączoną dokumentację!!! 5. Śledzić fora i czytać dyskusje poświęcone lukom! 6. Starać się zrozumieć dany problem (lukę) i poszukiwać rozwiązań tymczasowych do czasu wyprodukowania łatki. 12

Monitorowanie dobre praktyki! 7. Należy uwzględnić aktualny wpływ luki na zabezpieczenie nie wszystkie luki są niebezpieczne dla naszego systemu! 8. Uwzględniać dodatkowe zalecenia MS w kontekście danej luki bezpieczeństwa. 13

Ocenianie Zainstalować poprawkę czy nie? Czy problem z zabezpieczeniami dotyczy zarządzanych Systemów? Czy rekomendowana modyfikacja lub poprawka spowoduje inne problemy? Jak szybko i gdzie trzeba zastosować poprawkę? 14

Ocenianie Zainstalować poprawkę czy nie? Czy problem z zabezpieczeniami dotyczy zarządzanych Systemów? Czy rekomendowana modyfikacja lub poprawka spowoduje inne problemy? Jak szybko i gdzie trzeba zastosować poprawkę? 15

Ocenianie Dodatkowe środki i rozwiązania doraźne (firewall, itp.) Ataki dnia zerowego. Testowanie łatki w środowisku nieprodukcyjnym nie zawsze możliwe! 16

Działanie Należy określić sposób i miejsca wprowadzania poprawek: Bezpośrednie wykonanie pliku.exe; Windows Update; WSUS (Windows Server Update Services); Użycie oprogramowania SMS (System Management Server); 17

Stosowanie poprawek Bezpośrednie; Zastosowanie usługi WU (automatyczne i ręczne); Serwer WSUS (bezpośredni i pośredni); Tylko aktualizacje MS! Hierarchia serwerów; Zabezpieczenia serwerów WSUS; 18

Zabezpieczanie WSUS Ograniczenie liczby administratorów; Wyeliminowanie z komputera z serwerem WSUS witryn WWW; Zastosowanie protokołu SSL; 19

Instalacja i konfiguracja WSUS http://computeradvisors.net/windowsserver-2008/installing-wsus-3-0-sp2-onwindows-server-2008-r2-%28part-1%29/ http://www.microsoft.com/download/en/d etails.aspx?id=5216 WSUS 3.0 SP2 http://www.microsoft.com/downloads/en/d etails.aspx?familyid=6ae0aa19-3e6c-474c- 9d57-05b2347456b1 Report Viewer 2008 No to spróbujmy 20

SMS ;) Zarządzanie poprawkami http://www.microsoft.com/download/en/detai ls.aspx?displaylang=en&id=12658 (płatny!!) Zautomatyzowane wdrażanie aktualizacji dla SSO i innych produktów MS (np. Office); Możliwa dystrybucja narzędzi np. MBSA. 21

Dobre praktyki! Pod uwagę należy wziąć ryzyko związane z zastosowaniem dodatków SP lub pojedynczej poprawki zabezpieczeń; Opracowanie metody kontrolowania zmian i korzystanie z niej; Czytanie całej dokumentacji; Stosowanej aktualizacji, gdy jest to niezbędne; Testowanie; Dysponowanie awaryjnym planem przywracania systemu na wypadek wadliwej poprawki; 22

Dobre praktyki! Zapewnienie spójności pomiędzy kontrolerami domeny po aktualizacji; Zapewnienie spójności pomiędzy kontrolerami domeny a serwerami członkowskimi po aktualizacji; Archiwizacja danych przed aktualizacją; Ostrzeganie personelu o możliwości niedostępności serwera; Dążenie do tego, aby proces aktualizacji miał charakter czynny! -> wyprzedzanie problemów. 23

Praktyki dotyczące zarządzania Bezpieczne zarządzanie siecią poprzez zastosowanie narzędzi i uprawnień administratorskich; Administratorzy są odpowiedzialni za zabezpieczenia sieci! Ograniczanie przywilejów; Podział uprawnień i odpowiedzialności; Realizowanie tylko niezbędnych zadań; Ochrona konta adm. przed wykorzystaniem w niewłaściwy sposób; 24

Ograniczanie przywilejów administratora Zasady zabezpieczeń dotyczą również administratorów; Nie wszyscy muszą robić wszystko; Można użyć grupy niestandardowe jako adm.; 25

Ochrona procesu administracyjnego Jest połączeniem operacji zabezpieczenia konta administracyjnego, narzędzi, stacji roboczych i komunikacji między komputerami służącymi do zarządzania i zarządzanymi; Połączenia IPSec; VPN; Chronione podsieci; Inne fizyczne zabezpieczenia; 26

Ochrona kont administracyjnych Konto administracyjne ofiarą włamania -> gorzej już być nie może ;)!!! Rozdzieliliśmy uprawnienia -> potencjalnie mniejsze straty; Hasła dłuższe i bardziej złożone; Weryfikowanie haseł przy pomocy programu łamiącego -> wymagana pisemna zgoda zarządu firmy; Karty inteligentne; 27

Narzędzia do zdalnej administracji Telnet SSH Podłączanie pulpitu zdalnego; Pomoc zdalna TeamViewer i inne. 28

Zabezpieczanie narzędzi do zdalnej adm. Przesyłane są jedynie dane związane z wciśniętymi klawiszami; Domyślnie 128bit klucz szyfrujący; Możliwe prostsze szyfrowania (np. 56 bitów); Możliwy dodatkowy poziom bezpieczeństwa w postaci IPSec; Możliwość ponowienia połączenia (nie jest konieczna praca ciągła -> długie zadania administracyjne). 29

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych PRZEPISY WYKONAWCZE 30

Rozporządzenie określa: 1) sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną; 2) podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych; 3) wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych. 31

Dokumentacja 1. Na dokumentację, o której mowa w 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej instrukcją". 2. Dokumentację, o której mowa w 1 pkt 1, prowadzi się w formie pisemnej. 3. Dokumentację, o której mowa w 1 pkt 1, wdraża administrator danych. 32

Polityka bezpieczeństwa zawiera: 1. wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; 2. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; 3. opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; 4. sposób przepływu danych pomiędzy poszczególnymi systemami; 5. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. 33

Instrukcja zarządzania systemem informatycznym 1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; 3. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; 4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; 34

Instrukcja zarządzania systemem informatycznym 5. sposób, miejsce i okres przechowywania: 1. elektronicznych nośników informacji zawierających dane osobowe, 2. kopii zapasowych, o których mowa w pkt 4, 6. sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia; 7. sposób realizacji wymogów, o których mowa w 7 ust. 1 pkt 4; 8. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. 35

Poziomy bezpieczeństwa 1. Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym: 1. podstawowy; 2. podwyższony; 3. wysoki. 2. Poziom co najmniej podstawowy stosuje się, gdy: 1. w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 ustawy, oraz 2. żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. 36

Poziomy bezpieczeństwa 3. Poziom co najmniej podwyższony stosuje się, gdy: 1. 1) w systemie informatycznym przetwarzane są dane osobowe, o których mowa w art. 27 ustawy, oraz 2. 2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. 4. Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. 5. Opis środków bezpieczeństwa stosowany na poziomach, o których mowa w ust. 1, określa załącznik do rozporządzenia. 37

DZIĘKUJĘ ZA UWAGĘ! 38

ZAKRES WIEDZY Klasyczne zasady zabezpieczeń Zasady powstałe na bazie zasad klasycznych Cykl Deminga Typy logowań do sieci Metody i typy uwierzytelniania Ataki SYN Metody wykrywania ataków na warstwę fizyczną STRIDE Poziomy funkcjonalności domen Autoryzacja Inspekcja Kerberos Dobre praktyki aktualizacji