Глава 3. Использование стандартных безопасных системных образов для ноутбуков, рабочих станций и серверов

При поставке оборудования от производителей и поставщиков настройки по умолчанию для устройств, операционных систем и приложений, как правило, ориентированы на легкость внедрения, но не на безопасность. Конечно, возможно и обратное, когда в процессе внедрения системы приходится разрешать некоторые функции в ущерб безопасности. Тем не менее здесь необходим осознанный, квалифицированный подход, так как основные элементы управления, открытые службы и порты, аккаунты и пароли по умолчанию, устаревшие (уязвимые) протоколы, предустановленное ненужное ПО – все это потенциально может быть использовано для несанкционированного проникновения.

Вместо того, чтобы с нуля разрабатывать базовые настройки безопасности для каждой программно-аппаратной системы, предприятие должно использовать публично распространяемые, проверенные, сопровождаемые настройки безопасности, а также руководства по обеспечению безопасности и/или чек-листы.

Необходимую информацию содержат следующие порталы:

The NIST National Checklist Program [2];

Информационный портал по безопасности [3];

Информационно-аналитический портал [4];

Инвентаризация ПО Microsoft SAM [5];

Поставщики услуг и техники [6].


Далее предприятию необходимо расширять или корректировать публичные исходные настройки безопасности для удовлетворения местных политик и требований, а также обосновывать и документировать принимаемые отклонения, чтобы облегчить последующие осмотры или служебные проверки.

Для большого комплексного предприятия создание единой базовой конфигурации безопасности (например, один установочный образ для всех рабочих станций по всему предприятию) иногда неприемлемо или невозможно. Вполне вероятно, что необходимо поддерживать различные стандартные образы на основе соответствующих конфигураций систем и необходимых функций для первоначального старта (например, рабочая станция бухгалтера с приложением 1С или станция разработчика ПО и тому подобные). Число вариаций лучше свести к минимуму, чтобы ясно понимать свойства безопасности и управлять ими. Однако необходимо быть готовым управлять несколькими базовыми линейками образов.

ПО управления настройками можно использовать для сопоставления параметров ОС, как и для сопоставления параметров приложений, контролируемых машин при поиске отклонений от стандартной конфигурации образа.

Типичные инструменты отслеживания настроек используют некоторый комплекс: проверка через агента, установленного на каждой управляемой системе, или проверка систем без участия агентов, с удаленным входом на каждую управляемую машину. Кроме того, иногда используется гибридный подход, в процессе которого инициируется удаленный сеанс и временный или динамический агент устанавливается на целевой системе для сканирования, а затем агент удаляется.

Старайтесь аккуратно и строго управлять конфигурациями. Создайте исходный безопасный образ и используйте его для создания всех новых систем, которые появляются в IT-среде предприятия. Всякую востребованную систему, которая «сломана», можно повторно восстановить с помощью такого образа. Периодические обновления и/или исключения из этого образа важно интегрировать в процессы управления изменениями на предприятии. Образы необходимо создать для базовых вариантов рабочих станций, серверов и, возможно, для некоторых виртуальных машин предприятия.

Типовые образы компонуются как сконфигурированные версии базовой операционной системы и приложений. Конфигурирование обычно включает в себя: блокирование или удаление избыточных учетных записей, удаление или отключение ненужных служб, установку необходимых обновлений, закрытие открытых и неиспользуемых сетевых портов, удаление неисполняемых скриптов, а также включение файрволов и систем обнаружения вторжений. Типовые образы должны пересматриваться и обновляться на регулярной основе, чтобы поддержать необходимый уровень безопасности в противодействии «свежим» уязвимостям и модифицированным хакерским атакам.

Хранить мастер-образы рекомендуем на надежно защищенных серверах, оснащенных инструментами проверки целостности файлов, руководствуясь принципом постоянного контроля и управления изменениями, чтобы гарантировать возможность только авторизованных изменений. В качестве альтернативы мастер-образы могут быть сохранены на автономных машинах, отключенных от производственной сети. Иногда образы могут быть скопированы на безопасные, надежные носители для их перемещения между серверами и станциями производственной сети. В общем случае мастер-образ является частным случаем «резервной копии», так называемого бэкапа, о котором немного позже.

Загрузка...