Laboratorium nr 3 - powtórka, zaliczenie

Audyt zasobów sprzętowych i systemowych
(za pomocą dostępnych apletów Windows oraz
narzędzi specjalnych)
SYSTEM OPERACYJNY I JEGO OTOCZENIE
•
System operacyjny/wersja, uaktualnienia, klucz
produktu
•
Stan jego aktualizacji (harmonogram)
•
Stan sieci przewodowych/bezprzewodowych
•
Grupa robocza, Domena
•
Listę aktywnych usług/procesów
•
Nazwa komputera w sieci oraz nazwa w DNS-ie
SPECYFIKACJA SPRZĘTOWA
•
Producent systemu BIOS
•
Producent płyty głównej
•
Model płyty głównej
•
Kontroler dysku
•
Karta sieciowa / Adres fizyczny/ MAC
•
Kontrolery USB
•
Model procesora i jego prędkość
taktowania
•
Dysk twardy – wielkość oraz producent
OPROGRAMOWANIE NARZĘDZIOWE
•
Wersje takich narzędzi jak: przeglądarka
internetowa, klient poczty, pakiet biurowy
•
Wersja Windows media player
•
Inne niezbędne narzędzia
Informacje te są niezbędne do
odtworzenia stanu komputera po awarii, czy włamaniu
Audyt bezpieczeństwa systemu oraz systemy
dbające o bezpieczeństwo systemu
AUDYT BEZPIECZEŃSTWA SYSTEMU
SYSTEM DBAJĄCE O BEZPIECZEŃSTWO
Jak sprawdzać, weryfikować stan bezpieczeństwa systemu?
Systemy wykrywania i usuwania wrogiego oprogramowania
(wirusy, robaki, programy szpiegujące itp.)
Za pomocą pakietu MBSA
Microsoft Baseline Security Analyzer (MBSA)
•
umożliwia ocenę stanu wybranych aplikacji pod względem błędów
konfiguracyjnych wpływających na bezpieczeństwo całego
systemu.
•
Program pozwala na ocenę stanu aktualizacji oprogramowania
(aktualizacje (tzw. „łaty”) systemu operacyjnego, zainstalowanych
aplikacji np. MSOffice). Możliwa jest np. ocena bezpieczeństwa
aplikacji Microsoft SQL Server czy Microsoft Internet
Information Services (IIS).
•
MBSA 2.1 jest zintegrowany z usługą Windows Server Update
Services umożliwiającą porównanie stanu systemu z najbardziej
aktualnymi danymi katalogu aktualizacji.
•
Wynik działania programu może być zapisany w formie raportu w
celu dalszej analizy stanu zabezpieczeń systemu.
Analiza wpisów w dziennikach systemu
Windows (ustalanie zdarzeń oraz podgląd tych zdarzeń, działanie usług)
Linux (katalog /var/log, logwatch – narzędzie podsumowujące wpisy w
dziennikach systemowych, działanie usług)
Microsoft Security Essentials (MSE)
•
•
•
•
służy do zabezpieczania systemu Windows przed
działaniem wrogiego oprogramowania takiego, jak wirusy,
rootkity, trojany, spyware itd..
Program oferuje przyjazny i prosty w użyciu interfejs
graficzny,
Trzy tryby skanowania (pełne, skrócone i użytkownika, w
którym możemy wybrać dyski, a nawet poszczególne
foldery),
harmonogram skanowania, aktualizacje baz sygnatur
(automatyczne lub definiowane przez użytkownika)
Inne
•
•
•
•
•
•
Symantec
Kaspersky
ESET NOD32
AVAST
ARCAVIR
MKS-VIR
Przeprowadzanie audytów pozwala na ustalenie/weryfikację
stanu bezpieczeństwa teleinformatycznego w organizacji
Zabezpieczanie systemu Windows
ZASADY ZABEZPIECZEŃ LOKALNYCH
INSPEKCJA
Zasady lokalne /zasady inspekcji
•
•
•
•
•
•
•
•
Zasady konta (zasady haseł, zasady blokady
konta) .
Zapora systemu Windows (zaawansowana)
Zasady menedżera listy sieci
Zasady kluczy publicznych
Zasady ograniczeń oprogramowania
Zasady sterowania aplikacjami
Zasady zabezpieczeń IP
Konfiguracja zaawansowanych zasad inspekcji
•
•
Czy moje hasło jest bezpieczne?
Czy można moje hasło złamać?
Sprawdzanie siły hasła
hasła jednorazowe,
hasła generowane za pomocą generatorów
Wprowadzenie polityki zasad bezpieczeństwa (lokalnych lub
w domenie) pozwala na uniknięcie wielu zagrożeń
Przeprowadzanie inspekcji pozwala ustalić, czy wprowadzone
zasady działają i czy występują naruszenia tych zasad
Bezpieczne korzystania z sieci
internet/intranet
Z punktu widzenia klienta
Z punktu widzenia sieci
Opcje internetowe
•Zakładka Zabezpieczenia
(strefy: Internet, Lokalny
intranet, Zaufane witryny)
•Prywatność (włącz blokowanie
wyskakujących okienek,
zawansowane)
•Zawartość (kontrola
rodzicielska, klasyfikator
treści, Certyfikaty SSL)
•Używanie klientów poczty, baz
danych z odpowiednimi
bezpiecznymi połączeniami
• Minimalizacja domen
kolizyjnych / stosowanie
przełączników
• Separacja ruchu poprzez
vlan (wirtualne sieci)
• Stosowanie szyfrowanych
transmisji np. IpSeC
• Zabezpieczanie urządzeń
sieciowych -> kto ma
dostęp fizyczny, kto ma
dostęp administracyjny
do urządzeń
Podejrzany komputer
Objawy: Karta sieciowa wykazuje duży ruch
Co robić!!!
monitorowanie połączeń za pomocą
netstat
Blokowanie takich połączeń na poziomie
zapory systemowej lub zapory sieciowej
Odłączenie komputera od sieci
Sprawdzanie systemu różnymi narzędziami
antywirusowymi etc.
Wiarygodność plików, dokumentów
Skąd wiemy, że plik/dokument który
pobraliśmy/otrzymaliśmy nie uległ zmianie?
• Podmiana w zasobach udostępnianych
– Stosowanie md5sum oraz innych narzędzi do
kontroli wersji dokumentów/plików
Stosowanie skrótów cyfrowych zabezpiecza nas przed
prostą podmianą pliku/dokumentu
Szyfrowanie plików
systemów plików
• Szyfrowanie dysków funkcją
BitLocker
• Szyfrowanie folderów/plików za
pomocą EFS – wbudowany mechanizm
• TrueCrypt dla Windows – tworzenie
zaszyfrowanych woluminów
Szyfrowanie plików, systemów plików zapobiega
nieautoryzowanym dostępom do pliku/folderu
Bezpieczna poczta
•
•
•
•
Reguły filtrów
Dobry filtr antyspamowy!!!
Dobry antywirus!!!
Prawidłowe posługiwanie się klientem
poczty z punktu widzenia różnych
zagrożeń: podejrzane załączniki,
odnośniki oraz treść
Skanowanie sieci lub
wybranego komputera/usługi
• Użycie narzędzia zenmap (interfejs GUI
(frontend) dla nmap
• Celem tego narzędzia może być
rozwiązywanie własnych problemów
sieciowych (problemy usług)
• Innym celem może być przygotowanie
informacji o sieci/komputerze/usłudze na
którą przygotowujemy atak
System detekcji
intruzów oraz prewencji
• Snort /analiza pakietów sieciowych/
• Fail2ban /analiza logów systemowych/
• Zasady zabezpieczeń
lokalnych/domenowych
• Inne rozwiązania sprzętowe –zamykające
porty intruzom w wewnętrznej sieci
Podsłuch w sieci –
narzędzie wireshark
• Możliwości podsłuchu zależne są od
zabezpieczeń sieci oraz rodzaju urządzeń
znajdujących się wewnątrz sieci
• Administrator -> zawsze może wykonać
analizę ruchu sieciowego
• Unikanie autoryzacji przeprowadzanej za
pomocą otwartego tekstu w warunkach
słabo zabezpieczonej sieci