Bezpieczeństwo w firmie dobre praktyki korzystania z rozwiąza

Bezpieczeństwo w firmie dobre praktyki korzystania z rozwiąza zańmicrosoft Gerard Frankowski, Zespół Bezpieczeństwa PCSS 1 Poznań, 24.0.06.2008.2008

Agenda (1) 11:00 Powitanie, wprowadzenie dla uczestników, informacje organizacyjne 11:15 Bezpieczeństwo w firmie -dobre praktyki korzystania z rozwiązań Microsoft (1) 12:00 Przerwa 12:10 Bezpieczeństwo w firmie -dobre praktyki korzystania z rozwiązań Microsoft (2) 12:50 Przerwa 2

Agenda (2) 13:00 Wprowadzenie do tematyki VSTS 2008 13:10 Visual Studio i Team Foundation Server- omówienie funkcjonalności 13:30 VSTS: zarządzanie projektami oraz kodami źródłowymi 14:15 Przerwa 14:30 Budowanie i testowanie aplikacji ASP.NET 3.5 przy użyciu VSTS 15:15 Podsumowanie, dyskusja, zaproszenie na kolejne szkolenia 15:30 3 Zakończenie

Informacje organizacyjne Ankieta Krótka i anonimowa Pomoc na przyszłość Lista obecności Proszę zaznaczyć, czy chcecie Państwo otrzymywać informacje o kolejnych szkoleniach Prezentacja - dostępna na stronach WWW: http://mic.psnc.pl psnc.plpl http://szkolenia.man.poznan.pl poznan.plpl http://security.psnc.pl psnc.plpl Webcast Dostępny na stronie WWW MIC za jakiś czas 4

Kim jesteśmy i co robimy? 5

PCSS Poznańskie Centrum Superkomputerowo- Sieciowe Operator sieci PIONIER oraz POZMAN Uczestnik projektów naukowo-badawczych Główne obszary zainteresowań: Gridy,, sieci nowej generacji, portale Bezpieczeństwo sieci i systemów http://www.pcss.pl pcss.plpl 6

Zespół Bezpieczeństwa PCSS Dedykowany zespół istnieje od 1996r. Podstawowy zakres prac Zespołu Zabezpieczanie infrastruktury PCSS Zadania bezpieczeństwa w projektach naukowo badawczych Szkolenia i transfer wiedzy Badania własne Audyty i doradztwo w zakresie bezpieczeństwa IT Niektóre badania z ostatnich lat Raport o bezpieczeństwie bankowości elektronicznej (2006) Bezpieczeństwo serwerów WWW Apache i MS IIS (2007) Bezpieczeństwo sklepów internetowych (2008) http://security security.psnc.plpl 7

Centrum Innowacji Microsoft Pierwsze w Polsce MIC Centrum bezpieczeństwa i usług outsourcingowych Partnerzy: Microsoft Corporation Poznańskie Centrum Superkomputerowo-Sieciowe Sieciowe Politechnika Poznańska Otwarcie: 1.06.2006r. http://mic mic.psnc.plpl 8

Cele i zadania MIC Wybrane cele MIC: Edukacja poprzez zdalne udostępnianie aplikacji MS Szybszy rozwój lokalnych firm (MŚP) poprzez doradztwo w zakresie podnoszenia poziomu bezpieczeństwa teleinformatycznego, audyty oraz szkolenia Poprawa dostępu i jakości usług medycznych w Wielkopolsce Łatwy i bezpieczny dostęp do e-usług e w urzędach Główne zadania MIC w roku 2008: Usługi hostingowe dla edukacji, instytucji charytatywnych i użytkowników indywidualnych Szkolenia w zakresie bezpieczeństwa IT Rozwój systemu telekonsultacji medycznych Telesfor Badania nad technologią Silverlight 2.0 9

Szkolenia bezpieczeństwa MIC 2007r. 4 szkolenia 2008r. prawdopodobnie także 4 10.04.08: format OpenXML 24.06.08: Bezpieczeństwo w firmach Możliwe tematy na II półrocze: Omijanie firewalli w Windows Walka ze spamem: : MS Exchange IMF Spektakularne błędy bezpieczeństwa Patrz również: http://mic mic.psnc.pl/tasks/lect.html http://szkolenia.man man.poznan.pl/kdm 10

Bezpieczeństwo w firmach Dobre praktyki korzystania z rozwiązań Microsoft

Plan wykładu Bezpieczeństwo teleinformatyczne Ochrona Stacji roboczej Systemu operacyjnego Aplikacji Serwerów Co jeszcze trzeba wiedzieć o bezpieczeństwie? Skąd czerpać wiedzę? Podsumowanie, pytania, dyskusja 12

Wprowadzenie

Cel prezentacji Przedstawienie problemu bezpieczeństwa od strony administratora sieci i częściowo użytkownika Niewielkie sieci: MŚP (także firmy jednoosobowe), instytucje,... Możliwości podwyższenia poziomu bezpieczeństwa przy użyciu rozwiązań firmy Microsoft Wskazanie źródeł dodatkowej wiedzy Przybliżenie pozostałych istotnych aspektów bezpieczeństwa IT 14

Bezpieczeństwo IT w roku 2008 (1) European Network and Information Security Agency (ENISA): Cyberprzestępstwa zagrożeniem gospodarki UE 6 mln zarażonych komputerów w krajach UE Straty dla gospodarki: 65 mld euro rocznie ENISA ostrzega także... przed drukarkami http://www www.enisa.europa.eu/doc/pdf/enisa_ /ENISA_secur e_printing.pdfpdf 15

Bezpieczeństwo IT w roku 2008 (2) SanDisk: uwaga na pamięci przenośne! Dane firmowe na osobistych pendrive: 77% czy 35% ankietowanych? Dane klientów i pracowników, informacje finansowe, plany biznesowe i marketingowe, kody,... 12% badanych znalazło pendrive a! 55% z nich obejrzało dane Wnioski ogólne: Zróżnicowany poziom świadomości Konieczna lepsza edukacja Brak istnienia/znajomości polityki bezpieczeństwa 16

Bezpieczeństwo IT w roku 2008 (3) OECD: Malicious Software(Malware Malware): A security threat to the Internet Economy USA: 59 mln zarażonych komputerów (ok. 25%) Na przestrzeni ostatnich 20 lat, ze sporadycznych ataków malware przerodził się w globalny, warty wiele milionów dolarów przemysł. Cyberprzestępcy stają się coraz bogatsi, w związku z czym mają więcej finansowej władzy, aby tworzyć większe silniki destrukcji http://www www.oecd.org/dataoecd/53/34/40724457. /53/34/40724457.pdf 17

Bezpieczeństwo i jego ekonomia Czynniki wpływające na pogorszenie poziomu bezpieczeństwa Skomplikowane oprogramowanie Nieodpowiednia konfiguracja Niedostateczna wiedza i świadomość Cenne łupy Czy potrzebujemy 100% ochrony? Koszt ataku a możliwe zyski Podnosząc poprzeczkę napastnikowi utrudniamy lub uniemożliwiamy atak 18

19 Aspekty bezpieczeństwa Aspekty bezpieczeństwa Aspekty bezpieczeństwa Analiza Analiza ciągłości ci dzia działania ania Bezpiecze Bezpieczeństwo stwo prawne prawne Bezpiecze Bezpieczeństwo stwo osobowe osobowe Bezpiecze Bezpieczeństwo stwo stacji stacji roboczych roboczych Bezpiecze Bezpieczeństwo stwo serwer serwerów Bezpiecze Bezpieczeństwo stwo dost dostępu pu zdalnego zdalnego Bezpiecze Bezpieczeństwo stwo sieci sieci Bezpiecze Bezpieczeństwo stwo fizyczne fizyczne Bezpiecze Bezpieczeństwo stwo Koszty Koszty Op Opłacalno acalność ść

Bezpieczeństwo stacji roboczej Poruszymy następujące aspekty: System operacyjny Aktualizacje, konfiguracja, hardening Oprogramowanie Aktualizacje, konfiguracja Lokalny filtr pakietów Oprogramowanie AV, antispyware,, itd. Polityki kontroli dostępu Narzędzia Możliwość automatycznego uruchamiania na wielu komputerach 20

Bezpieczeństwo serwerów i sieci Poruszymy następujące aspekty: Serwery -pewne aspekty podobne, jak w przypadku stacji roboczej Windows 2003 Server Configuration Wizard Bezpieczna konfiguracja wybranych rozwiązań serwerowych IIS / ASP.NET Prezentacja: domyślne zabezpieczenia aplikacji webowej,, sposób na szybką poprawę poziomu bezpieczeństwa SQL Server 2005 Narzędzia 21

Disclaimer :-) Szkolenie Centrum Innowacji Microsoft Przedstawiamy określony obszar rozwiązań Istnieją rozwiązania alternatywne Dziś nie tworzymy kompletnego obrazu podejścia do bezpieczeństwa Na części obszarów brak rozwiązań Microsoft Zapraszamy na inne szkolenia MIC/KDM! Dlaczego mówimy więcej o Windows XP Dlaczego nie przybliżamy dziś domeny Windows ani Active Directory 22

Bezpieczeństwo stacji roboczej

System operacyjny Aktualizacje Większe sieci: WSUS Średnie sieci: wymuszanie ustawień przez domenę Pojedynczy komputer: Start ( Ustawienia) Panel Sterowania Aktualizacje Automatyczne Terminy wydania Drugi wtorek miesiąca Nagłe przypadki 24

Wyłączamy zbędne usługi (1) 25

Wyłączamy zbędne usługi (2) Przykłady usług do wyłączenia Rejestr zdalny Telnet Posłaniec Clipbook Pomoc zdalna Pomoc TCP/IP NetBIOS Mogą ą istnieć sytuacje, w których niektóre powyższe usługi są potrzebne! Każdą usługę, szczególnie w sieci i na systemach serwerowych,, trzeba uważnie przeanalizować Zysk: Bezpieczeństwo + wydajność 26

Lokalny filtr pakietów Dlaczego nie wystarczy firewall korporacyjny? XP: Zapora nie obsługuje ruchu wychodzącego (Vista:: już tak) Dedykowane oprogramowanie 27

Windows Defender Bezpłatne narzędzie dostarczane przez MS http://www www.microsoft.com/poland/athome/securi ty/spyware spyware/software/default.mspx Windows XP, Windows Server 2003 Funkcja ochrony w czasie rzeczywistym Antispyware Blokada okien pop-up Ochrona przed spowolnieniem działania Bezpłatne wsparcie techniczne 28

Windows Defender (2) 29

Windows Live OneCare Narzędzie zabezpieczające komputery PC Program antywirusowy Firewall Antiphishing Backup i przywracanie plików Dostrajanie wydajnościowe systemu Przewidziane do pojedynczych komputerów osobistych i mniejszych sieci (nie serwerów) 90-dniowa wersja free trial Wymaga deinstalacji posiadanego firewalla i AV Roczna 3-stanowiskowa 3 licencja 49,95 USD http://onecare onecare.live.com 30

Live OneCare Safety Scanner (1) Wymaga instalacji formantu ActiveX Windows Live OneCare Safety Scanner Component 31

Live OneCare Safety Scanner (2) Pełne skanowanie komputera może trwać kilka godzin! Możliwość natychmiastowego wprowadzenia proponowanych zmian 32

Microsoft Forefront Kompleksowa linia produktów bezpieczeństwa dla firm Microsoft Forefront Client Security Microsoft Forefront Security for Exchange Server Microsoft Forefront Security for SharePoint Microsoft Forefront Security for Office Communications Server Microsoft Internet Security and Acceleration (ISA) Server 2006 Intelligent Application Gateway (IAG) 2007 http://www www.microsoft.com/poland/forefront 33

Porady na temat kont Wyłączenie konta Gościa Konta nie powinno się kasować! Zmiana nazwy konta administracyjnego Zły pomysł: Admin, root,, Administrator,, test, **** Sposób logowania użytkowników HKEY_LOCAL_MACHINE\SOFTWARE SOFTWARE\Microsoft\Windows NT\CurrentVersion CurrentVersion\Winlogon\LogonType = (DWORD)0 Ukrywanie nazwy ostatniego użytkownika MACHINE\Software Software\Microsoft\Windows\CurrentVersion\Policies\Syste m\dontdisplaylastusername = (DWORD)1 Codzienna praca na koncie o zwykłych uprawnieniach 34

Realizacja polityki kont (1) Definiowanie szablonu zabezpieczeń Start Uruchom mmc Przystawka Szablony Zabezpieczeń(przystawkę przystawkę należy dodać) Szablon predefiniowany, modyfikowany lub tworzony od zera 35

Realizacja polityki kont (2) Zasady haseł Zasady blokady konta 36

Realizacja polityki kont (3) Zasady lokalne Opcje zabezpieczeń 37

Domyślne szablony zabezpieczeń C:\Windows Windows\Security\Templates\*. *.inf Setup security.inf inf tworzony podczas instalacji szablon z zabezpieczeniami domyślnymi DC security.inf inf zabezpieczenia kontrolera domeny Compatws.inf szablon tzw. zgodny, polecany dla stacji roboczych i serwerów w firmach Secure*. *.inf szablony o podwyższonym poziomie bezpieczeństwa, które nie powinny negatywnie wpłynąć na uruchamiane aplikacje Hisec*. *.inf szablony wysoce bezpieczne Ciekawostka: szablony przygotowane przez NSA http://www www.nsa.gov/snac/dowlnoads_win2003. _win2003.cfm 38

Aplikowanie szablonów (1) Do zasad lokalnych Logowanie na konto administratora mmc Przystawka Konfiguracja i analiza zabezpieczeń Otwieranie bazy danych + <Nowa_Nazwa> 39

Aplikowanie szablonów (2) Do zasad lokalnych c.d. Import wybranego szablonu, np. MIC.inf Konfiguruj komputer 40

Aplikowanie szablonów (3) Dla domeny / jednostki organizacyjnej Definicja szablonu na kontrolerze domeny Przystawka Użytkownicy i komputery usługi Active Directory Właściwości Zasady grupy Nowy (Edytuj) dla wybranej domeny / jednostki Przystawka Zasady Grupy 41

Więcej narzędzi Narzędzia Sysinternals Mark Russinovich & Bryce Cogswell Lipiec 2006 przejęcie przez Microsoft http://technet.microsoft microsoft.com/en-us/sysinternalssysinternals Narzędzia: Bezpieczeństwo Sieć Zarządzanie plikami i dyskami Informacja o systemie Zarządzanie procesami Microsoft Baseline Security Analyzer Microsoft Security Assessment Tool 42

Rootkit Revealer Wykrywa rootkity user-mode i kernel-mode Analizuje Rejestr systemu i system plików 43

Automatyzacja pracy RR Harmonogram zadań + linia komend rootkitrevealer[-a a [-c][ [-m][ [-r][ outputfile] -a: automatyczne skanowanie i wyjście po zakończeniu -c: wyjście skierowane do pliku ew formacie CSV -m: pokazanie metadanych NTFS -r: pominięcie skanowania Rejestru Windows Plik wynikowy musi znaleźć się na skanowanym hoście Lokalizacja zdalna Współpraca z narzędziem Sysinternals PsExec psexec \\remote_server-c rootkitrevealer.exe exe -a a c:\tmp tmp\rr.log 44

Autoruns Analizuje system pod kątem programów uruchamianych automatycznie po starcie systemu 45

Automatyzacja pracy Autoruns Harmonogram zadań + linia komend autorunsc.exe exe: : przykładowe opcje -a: pokaż wszystkie wyniki -c: wyjście w formacie CSV -d: pokaż uruchamiane biblioteki DLL -s: pokaż uruchamiane usługi Windows -t: wyświetl zdefiniowane zadania Harmonogramu -x: wyjście w formacie XML user <name>: pokaż wyniki dla konta użytkownika <name< name> Przykład: autorunsc -t-x x c:\tmp tmp\show_ show_tasks.xml Lokalizacja zdalna współpraca z PsExec 46

Process Explorer Lepszy menedżer zadań 47

Microsoft Baseline Security Analyzer 48

MSBA dla administratora Automatyzacja Linia poleceń + Harmonogram zadań Możliwość wykonania na zdalnym hoście <Install_dir>\mbsacli.exe /? Ciekawsze opcje /target domain\\computer /target <IP_address address> /n <opcje> wyłącza podane <opcje> /u, /p specyfikacja odpowiednio nazwy użytkownika i hasła /ld generowanie szczegółowego raportu 49

Microsoft Security Assessment Tool 50

MSAT raport ogólny BRP: Business Risk Profile 0-100 im mniej, tym lepiej DiDI: Defence-in in-depth: 0-100 im więcej, tym lepiej Obszary oceny: Infrastruktura Aplikacje Operacje Ludzie 51

Grafika: http://technet.microsoft microsoft.comcom 52 MSAT raport szczegółowy

Co jeszcze? Ustalenie hierarchii grup użytkowników Wdrożenie PKI Szyfrowanie ruchu sieciowego Konfiguracja protokołu IPSec Wykorzystanie systemu plików EFS Szyfrowanie dysków lub katalogów z dokumentami Zabezpieczenie sieci bezprzewodowej Sprawdzanie integralności systemu plików 53

Konfiguracja aplikacji Aktualizujemy także aplikacje! Usługa Windows Update: : MS Office: XP, 2003, 2007 i inne produkty MS (np. Media Player) Wbudowane mechanizmy aktualizacji aplikacji MS Internet Explorer Narzędzia Opcje Internetowe Zabezpieczenia Narzędzia Opcje internetowe Zaawansowane 54

Konfiguracja MSIE Istotne ustawienia Wydzielenie stref zaufania w Internecie Włączenie filtru witryn wyłudzających informacje WWW, którym ufamy Wyłączenie obsługi SSL 2.0 Informowanie o niezgodności certyfikatów W większych sieciach ustawienia powinny być wymuszone centralnie 55

Ciekawostka z życia wzięta Zabezpieczenia stacji roboczej Brak możliwości instalacji oprogramowania przez użytkowników wymuszony przez domenę Większość użytkowników ma dostęp tylko do konta ze standardowymi uprawnieniami Dążenie do poprawienia wydajności Partycja D:\ FAT z plikiem wymiany Wynik: Użytkownicy instalują niedozwolone i potencjalnie niebezpieczne oprogramowanie na dysku D:\ 56

Przerwa

Bezpieczeństwo serwerów Przykłady

Windows 2003 Server Security Configuration Wizard for Windows Server 2003 http://www.microsoft.com/windowsserver2003/technologi es/security/configwiz Dostępny z Service Pack 1 Narzędzie redukujące wektor ataku Wyłączenie usług Zamknięcie portów Dostęp do pozostałych portów na podstawie adresu IP Wyłączenie rozszerzeń IIS (jeśli uruchomiono serwer WWW) Definicja polityki logowania informacji Zabezpieczenie protokołów SMB, LDAP, LanMan 59

Security Configuration Wizard Konfiguracja oparta na rolach Role definiowane w plikach XML Grafiki: http://technet.microsoft microsoft.comcom 60

Serwer WWW Hosting strony WWW własnej firmy Udostępnianie usług hostingowych Aplikacje intranetowe Ataki z wewnątrz sieci Narzędzia Dinis Cruz, OWASP ANSA Asp.Net Security Analyser V0_31b http://<web_app>/ansa_v0_31b/default.aspx ANBS Asp.Net Baseline Security v. 0.55 http://<web_app>/anbs_v0_55/anbsfiles/default.aspx http://owasp.org 61

62

63

64

Pierwsza pomoc (1) Restrykcje dostępu do usługi WMI Aplet Zarządzanie Komputerem 65

66

Pierwsza pomoc (2) Odpowiednia konfiguracja C:\WINDOWS WINDOWS\Microsoft.NET\Framework\<version>\CONFI G\Web. Web.config <location allowoverride="false false"> <system.web web> <securitypolicy>... </securitypolicy securitypolicy> <trust level="medium" originurl="" /> </system.web web> </location location> 67

Pierwsza pomoc (3) Garść innych porad dla Web.config config: <system.web web> <trace enabled=" ="false false" localonly=" ="true true" " /> <httpcookies httponlycookies=" ="true"/> <customerrors mode=" ="RemoteOnly RemoteOnly" " /> <authentication mode=" ="Forms"> <forms name="{abcd1234...}" slidingexpiration=" ="false" requiressl=" ="true" " /> </authentication authentication> </system.web web> Machine.config config: <system.web web> <deployment retail=" ="true" /> </system.web web> 68

Bezpieczeństwo serwera WWW Pokaz

Co dalej? Ochrona serwera (system, firewall,,...) Każda aplikacja w osobnej puli Konfiguracja uprawnień w systemie operacyjnym Przydziały dla pul aplikacji (procesor, pamięć) Maksymalne ograniczenie możliwości uruchamiania programów użytkownika Kontrola kodu hostowanych stron WWW 70

Serwer baz danych MS SQL Server 2005 Ataki z zewnątrz i z wewnątrz sieci Odpowiednia gradacja uprawnień Minimum privileges principle Narzędzia, materiały Narzędzia konfiguracyjne SQL Server 2005 SQL Server Best Practices Analyser http://www www.microsoft.com/poland/technet/ /technet/article/art0056_01.mspx http://blogs blogs.msdn.com/sqlrem Skrypty Gustawo Duarte http://duartes duartes.org/gustavo/articles/lock-down-sql-server Server-2005. 2005.aspx 71

SQL Server Best Practices Analyzer 72

SQL Server BPA -raport Narzędzie dostępne także z linii komend <install_dir>\sqlbpacmd2005. SqlBPACmd2005.exe /? 73

Narzędzie Surface Area Configuration Start Programy MS SQL Server 2005 Configuration Tools Surface Area Configuration 74

SQL Server Configuration Manager Start Programy MS SQL Server 2005 Configuration Tools SQL Server Configuration Manager Start Uruchom sqlservermanager.msc msc 75

Procedury składowane Procedury składowane Zwykłe: sp_xxx Rozszerzone: xp_xxx Domyślnie dostępne dla zwykłego użytkownika np.: xp_regread (odczyt kluczy z rejestru Windows) xp_revokelogin / xp_grantlogin (nadawanie i odbieranie uprawnień logowania) Procedury nie zwrócą sensownych wyników przy założeniu dobrej konfiguracji systemu Blokada użycia procedury składowane: REVOKE EXECUTE ON <name< name> > FROM public 76

Ciekawostka: procedury składowane Enumerowanie kont użytkowników przy pomocy procedury xp_revokelogin Istniejąca nazwa konta Nieistniejąca nazwa konta 77

Co dalej? Ochrona serwera (system, firewall,,...) Unikanie Mixed Mode Authentication Restrykcje dostępowe do baz master, msdb (USE master) REVOKE VIEW ANY DATABASE FROM public (USE msdb) ) REVOKE CONNECT TO guest Logowanie zdarzeń Osobna grupa użytkowników-administratorów SQL Wykorzystanie schematów i ról Zastrzeżenie dostępu do metadanych 78

Dalsza nauka co, jak i gdzie?

Znaczenie edukacji Przykład audyt bezpieczeństwa w spółce z o.o. Struktura krytyczności luk Sieć lokalna oparta na domenie Windows + stacje robocze szkolenia dla działu IT Pozostałe obszary (np. urządzenia sieciowe) brak szkoleń dla pracowników 80

Łatwiejszy dostęp do oprogramowania Program Empower http://www www.microsoft.com/poland/partner/ /partner/isv/info/empo wer.mspx Microsoft Action Pack Subscription Microsoft Certified / Gold Certified Partner SPLA(Service Service Providers License Agreement) Więcej informacji: Prezentacja Bartłomieja Zassa (MS Polska) na seminarium Startup IT w dn. 26.04.2008 http://startup startup-it.pl/prezentacja/ /prezentacja/zass_1.pdf Kontakt z przedstawicielami firmy Microsoft 81

Inne aspekty bezpieczeństwa Tworzenie bezpiecznego kodu Bezpieczeństwo fizyczne Ochrona przed atakami DoS Konfiguracja sieci Backup danych Ochrona przed atakami socjotechnicznymi Outsourcing usług Spam (zapraszamy na kolejne szkolenie!) Polityki bezpieczeństwa, procedury... 82

Jak zgromadzić niezbędną wiedzę? Centrum bezpieczeństwa Microsoft: http://www www.microsoft.com/security Portale poświęcone bezpieczeństwu IT http://securityfocus securityfocus.com-ogólny http://secunia secunia.com- wyszukiwanie podatności http://blogs blogs.technet..technet.com/msrc/default.aspx- blog MSRC Portale poświęcone oprogramowaniu MS http://codeguru codeguru.pl (.NET, C#) http://wss wss.pl (Windows Server System) Linki z treści prezentacji Google is your friend ;-) 83

Gdzie można się szkolić? Kursy i szkolenia komercyjne Certyfikowane ośrodki Microsoft MS-280X Microsoft Security Guidance Trainings MS-2810 Fundamentals of Network Security MS-2811 2811-1313 Applying Microsoft Security Guidance I-IIIIII MS-2821 Designing and Managing a Windows Public Key Infrastructure MS-2823 Implementing and Administering Security in a Microsoft Windows Server 2003 Network MS-2830 Designing Security for Microsoft Networks MS-2840 Implementing Security for Applications Bezpłatne: np. MIC / KDM PCSS 84

Do poduszki z MS Press... Bezpieczny kod tworzenie i zastosowanie M.Howard Howard,, D. LeBlanc,, 2002 Ocena bezpieczeństwa sieciowego K.Lam, B. LeBlanc,, B. Smith,, 2005 Microsoft Security Development Lifecycle M. Howard,, S. Lipner,, 2006 Hunting Security Bugs T. Gallagher,, 2006 Writing Secure Code for Windows Vista M. Howard,, D. LeBlanc,, 2007 85

Podsumowanie

Podsumowanie Bezpieczeństwo to proces wieloaspektowy, skomplikowany i wymagający wiedzy Dziś mogliśmy jedynie przekazać ogólne wskazówki i pokazać kilka przykładów Zaprezentowane narzędzia i źródła wiedzy wskażą dalszą drogę postępowania Pamiętajmy, że: Nie wszystkim użytkownikom można zaufać Sieć jest tak silna, jak jej najsłabsze ogniwo Kluczowa jest zasada minimalnych przywilejów 87

Podsumowanie ogólne wskazówki Defense in Depth Zasada minimalnych przywilejów Silne hasła Odporne na ataki słownikowe Unikanie multiplikowania haseł Odporne na ataki brute force (co najmniej 8-98 9 znaków) Metoda mnemoniczna http://www www.microsoft.com/protect/yourself/password/che cker.mspx Rozliczalność Niezależne audyty bezpieczeństwa 88

Informacje kontaktowe Autor prezentacji: gerard.frankowski frankowski@man.poznan.plpl Centrum Innowacji Microsoft http://mic mic.psnc.plpl mic@man man.poznan.plpl PCSS http://www www.pcss.plpl Zespół Bezpieczeństwa PCSS http://security security.psnc.plpl security@man man.poznan.plpl 89

Pytania i dyskusja Dziękuję za uwagę! 90