Spis treści
Transkrypt
Spis treści
Spis treści Przedmowa..................................................................................................................................................... xv Podziękowania .............................................................................................................................................. xv Wprowadzenie ............................................................................................................................................. xvi Część I. Stosowanie podstawowych zasad zabezpieczeń 1. Podstawowe zasady zabezpieczeń ............................................................................... 3 Omówienie zarządzania ryzykiem .......................................................................................................... 4 Jak zarządzać ryzykiem ........................................................................................................................ 4 Strategie zarządzania ryzykiem ........................................................................................................ 6 Zrozumieć bezpieczeństwo ....................................................................................................................... 8 Przydzielanie najniższych niezbędnych uprawnień ................................................................. 8 Pogłębiona obrona ............................................................................................................................... 8 Zmniejszanie powierzchni ataku ..................................................................................................... 9 Unikanie tworzenia założeń............................................................................................................... 9 Ochrona, wykrywanie, reagowanie ................................................................................................. 9 Zabezpieczanie z założenia, domyślnie i we wdrożeniu ....................................................... 9 Dziesięć niezmiennych praw bezpieczeństwa ........................................................................ 10 Dziesięć niezmiennych praw zarządzania bezpieczeństwem ........................................... 12 2. Poznać wroga ................................................................................................................ 15 Znać siebie ..................................................................................................................................................... 15 Dokładna ocena własnych umiejętności ................................................................................... 16 Przygotowanie szczegółowej dokumentacji własnej sieci ................................................. 16 Ocena stopnia wsparcia ze strony własnej organizacji ....................................................... 16 Identyfikacja napastnika .......................................................................................................................... 17 Napastnicy zewnętrzni ...................................................................................................................... 18 Napastnicy wewnętrzni .................................................................................................................... 19 Co motywuje napastników? ................................................................................................................... 20 Nobilitacja, akceptacja i ego .......................................................................................................... 20 Korzyści finansowe ............................................................................................................................. 21 Wyzwanie ............................................................................................................................................... 23 Przekonania ........................................................................................................................................... 23 Zemsta ..................................................................................................................................................... 23 Szpiegostwo .......................................................................................................................................... 23 Wojna informacyjna ........................................................................................................................... 24 Dlaczego ochrona sieci jest zadaniem trudnym ............................................................................ 24 Napastnicy posiadają nieograniczone zasoby........................................................................ 25 Wystarczy, że napastnik opanuje jeden rodzaj ataku .......................................................... 25 Obrońcy nie mogą przejąć inicjatywy ........................................................................................ 25 Obrońcy muszą dbać o cele biznesowe .................................................................................... 26 Obrońcy muszą wygrywać każdą potyczkę ............................................................................. 26 Część II. Zabezpieczanie Active Directory 3. Zabezpieczanie kont i haseł użytkowników .............................................................. 29 Zabezpieczanie kont.................................................................................................................................. 29 Istota identyfikatorów zabezpieczeń .......................................................................................... 30 Istota żetonów dostępu ................................................................................................................... 39 Konfigurowanie opcji zabezpieczeń kont ................................................................................. 40 Zabezpieczanie kont administracyjnych ................................................................................... 43 Implementowanie zabezpieczeń haseł ...................................................................................... 45 Przyznawanie uprawnień przy użyciu grup...................................................................................... 51 Prawa i uprawnienia użytkowników ............................................................................................ 51 Typy i zakres działania grup ........................................................................................................... 57 Implementowanie zabezpieczeń opartych na rolach .......................................................... 61 Podsumowanie ............................................................................................................................................ 63 Informacje dodatkowe ............................................................................................................................. 64 4. Konfigurowanie uwierzytelniania w systemach Microsoft Windows .................... 65 Przechowywanie i przesyłanie poświadczeń ................................................................................... 65 Przechowywanie danych poufnych w Windows .................................................................... 79 Podsumowanie ............................................................................................................................................ 81 Informacje dodatkowe ............................................................................................................................. 81 5. Zabezpieczanie obiektów i atrybutów Active Directory.......................................... 83 Istota schematu Active Directory ................................................................................................. 83 Atrybuty .................................................................................................................................................. 84 Klasy ......................................................................................................................................................... 84 Konfigurowanie DACL w celu zabezpieczenia obiektów Active Directory ......................... 86 Czym są DACL? .................................................................................................................................... 87 Sposób działania DACL .................................................................................................................... 89 Zabezpieczanie obiektów i atrybutów Active Directory ............................................................. 90 Konfigurowanie domyślnych list DACL dla obiektów i atrybutów ................................. 90 Zabezpieczanie obiektów po ich utworzeniu.......................................................................... 91 Konfigurowanie list DACL przy użyciu wiersza polecenia .................................................. 93 Podsumowanie ............................................................................................................................................ 95 Informacje dodatkowe ............................................................................................................................. 95 6. Wdrażanie zabezpieczeń przy użyciu zasad grupy................................................... 97 Istota zasad grupy ...................................................................................................................................... 97 Zasady grupy dotyczące komputera .......................................................................................... 98 Zasady grupy dotyczące użytkownika ..................................................................................... 101 Korzystanie z obiektów zasad grupy ........................................................................................ 102 Przetwarzanie obiektów zasad grupy............................................................................................... 104 Wstępne stosowanie zasad grupy ............................................................................................. 105 Odświeżanie zasad grupy .............................................................................................................. 105 Przetwarzanie na żądanie .............................................................................................................. 106 Modyfikowanie stosowania zasad grupy........................................................................................ 106 Blokowanie dziedziczenia .............................................................................................................. 107 Wyłączenie zastępowania zasad ................................................................................................ 107 Filtrowanie obiektów zasad grupy ............................................................................................. 107 Tryb przetwarzania sprzężenia zwrotnego ............................................................................. 108 Zarządzanie zasadami grupy ............................................................................................................... 109 Domyślne uprawnienia zasad grupy......................................................................................... 109 Delegowanie zarządzania zasadami grupy ............................................................................ 110 Podsumowanie .......................................................................................................................................... 111 Informacje dodatkowe ........................................................................................................................... 111 7. Projektowanie lasów i domen Active Directory dla potrzeb bezpieczeństwa .... 113 Autonomia i izolacja w Active Directory ......................................................................................... 113 Projektowanie lasów dla potrzeb bezpieczeństwa Active Directory ................................... 114 Granice administracji przedsiębiorstwa i rozdzielanie nadzoru .................................... 115 Domyślne uprawnienia i kontrola schematu ......................................................................... 115 Granice działania wykazów globalnych ................................................................................... 116 Wymagania zaufania między domenami................................................................................ 116 Izolacja kontrolerów domeny ...................................................................................................... 118 Ochrona głównej domeny lasu ................................................................................................... 118 Projektowanie domen pod kątem zabezpieczeń Active Directory ...................................... 120 Projektowanie usługi DNS dla potrzeb bezpieczeństwa Active Directory........................ 121 Prosta przestrzeń nazw................................................................................................................... 122 Delegowana przestrzeń nazw ...................................................................................................... 123 Wewnętrzna przestrzeń nazw ...................................................................................................... 123 Segmentowa przestrzeń nazw..................................................................................................... 123 Projektowanie delegowania nadzoru ............................................................................................... 123 Podsumowanie .......................................................................................................................................... 126 Informacje dodatkowe ........................................................................................................................... 128 Część III. Zabezpieczanie rdzenia systemu operacyjnego 8. Zabezpieczanie dostępu do danych ......................................................................... 131 Zabezpieczanie uprawnień plików i folderów .............................................................................. 131 Działanie list kontroli dostępu..................................................................................................... 136 Przypisywanie DACL w trakcie tworzenia ............................................................................... 137 Zachowanie DACL w trakcie kopiowania lub przenoszenia plików i folderów ....... 137 Narzędzia wiersza polecenia ........................................................................................................ 139 Zabezpieczanie dostępu do plików i folderów za pomocą uprawnień udziałów .. 144 Korzystanie z systemu szyfrowania plików (EFS) ......................................................................... 145 Jak działa EFS ...................................................................................................................................... 145 Narzędzia EFS wiersza poleceń .................................................................................................. 147 Dodatkowe funkcje EFS w systemach Windows Server 2003 i Windows XP ........... 150 Wprowadzenie do projektowania zasad agentów odzyskiwania danych ................. 153 Zabezpieczanie uprawnień do rejestru............................................................................................ 154 Konfigurowanie uprawnień rejestru .......................................................................................... 156 Podsumowanie .......................................................................................................................................... 157 Informacje dodatkowe ........................................................................................................................... 157 9. Zabezpieczanie usług ................................................................................................. 159 Zarządzanie uprawnieniami usług ..................................................................................................... 159 Konfigurowanie początkowego zachowania usługi ........................................................... 160 Zatrzymywanie, uruchamianie, wstrzymywanie i wznawianie usług ........................... 162 Konfigurowanie kontekstu zabezpieczeń usług .................................................................. 163 Konfigurowanie list kontroli dostępu dla usługi.................................................................. 165 Domyślne usługi w systemach Windows Server 2003, Windows 2000 i Windows XP .... 167 Podsumowanie .......................................................................................................................................... 186 Informacje dodatkowe ........................................................................................................................... 187 10. Implementacja zabezpieczeń TCP/IP ....................................................................... 189 Zabezpieczenia TCP/IP ........................................................................................................................... 189 Protokoły warstwy internetowej ................................................................................................. 190 Protokoły warstwy transportowej .............................................................................................. 193 Typowe zagrożenia dotyczące TCP/IP ..................................................................................... 195 Skanowanie portów ......................................................................................................................... 195 Konfigurowanie zabezpieczeń TCP/IP w systemach Windows ...................................... 199 Korzystanie z IPSec .................................................................................................................................. 209 Zabezpieczanie przesyłania danych za pomocą protokołów IPSec ............................ 209 Wybieranie trybów pracy IPSec .................................................................................................. 212 Wybieranie metody uwierzytelniania IPSec ........................................................................... 213 Tworzenie zasad IPSec .................................................................................................................... 214 Jak działa IPSec? ................................................................................................................................ 218 Monitorowanie IPSec ...................................................................................................................... 221 Podsumowanie .......................................................................................................................................... 224 Informacje dodatkowe ........................................................................................................................... 225 11. Tworzenie i konfigurowanie szablonów zabezpieczeń.......................................... 227 Korzystanie z ustawień szablonów zabezpieczeń ....................................................................... 227 Zasady konta....................................................................................................................................... 228 Zasady lokalne ................................................................................................................................... 231 Dziennik zdarzeń ............................................................................................................................... 250 Grupy z ograniczeniami ................................................................................................................. 252 Usługi systemowe ............................................................................................................................. 252 Rejestr .................................................................................................................................................... 252 System plików .................................................................................................................................... 252 Zasady sieci bezprzewodowych .................................................................................................. 252 Zasady kluczy publicznych ............................................................................................................ 253 Zasady ograniczeń oprogramowania ....................................................................................... 254 Zasady zabezpieczeń IP.................................................................................................................. 257 Działanie szablonów zabezpieczeń ................................................................................................... 257 Stosowanie szablonów zabezpieczeń dla komputera lokalnego ................................. 257 Stosowanie szablonów zabezpieczeń przy użyciu zasad grupy .................................... 261 Domyślne szablony zabezpieczeń ..................................................................................................... 261 Tworzenie niestandardowych szablonów zabezpieczeń .......................................................... 263 Dodawanie wpisów rejestru do opcji zabezpieczeń .......................................................... 263 Dodawanie usług, wartości rejestrów i plików do szablonów zabezpieczeń........... 266 Podsumowanie .......................................................................................................................................... 266 Informacje dodatkowe ........................................................................................................................... 267 12. Zarządzanie bezpieczeństwem i prywatnością w programie Microsoft Internet Explorer ........................................................................................................................ 269 Ustawienia zabezpieczeń w Internet Explorer .............................................................................. 269 Ustawienia dotyczące prywatności............................................................................................ 270 Blokowanie wyskakujących okien (pop-up) ........................................................................... 273 Strefy zabezpieczeń ......................................................................................................................... 274 Globalne ustawienia zabezpieczeń............................................................................................ 290 Zaawansowane ustawienia konfiguracji zabezpieczeń w systemie Windows Server 2003 ................................................................................................................................... 291 Konfigurowanie ustawień prywatności i zabezpieczeń w programie Internet Explorer ........................................................................................................................................... 293 Podsumowanie .......................................................................................................................................... 293 Informacje dodatkowe ........................................................................................................................... 294 13. Ustawienia zabezpieczeń w Microsoft Office XP i Office System 2003............... 295 Konfigurowanie zabezpieczeń ActiveX i makr.............................................................................. 295 Zabezpieczanie dokumentów w Microsoft Office ...................................................................... 298 Ochrona przed odczytywaniem dokumentów przez inne osoby ................................. 299 Ochrona metadanych w dokumentach ................................................................................... 299 Ochrona zawartości dokumentów ............................................................................................. 300 Konfigurowanie zabezpieczeń w programach Outlook 2002 i Outlook 2003 ........ 300 Podsumowanie .......................................................................................................................................... 302 Informacje dodatkowe ........................................................................................................................... 302 14. Inspekcja zdarzeń zabezpieczeń w Microsoft Windows ........................................ 305 Wybieranie zdarzeń do inspekcji ....................................................................................................... 306 Zarządzanie Podglądem zdarzeń ....................................................................................................... 307 Określanie lokalizacji pliku dziennika ....................................................................................... 308 Określanie maksymalnego rozmiaru pliku dziennika ........................................................ 308 Konfigurowanie zastępowania wpisów.................................................................................... 309 Konfigurowanie zasad inspekcji ......................................................................................................... 310 Prowadzenie inspekcji zdarzeń logowania na kontach .................................................... 311 Prowadzenie inspekcji zdarzeń zarządzania kontami........................................................ 314 Prowadzenie inspekcji dostępu do usług katalogowych ................................................. 317 Prowadzenie inspekcji zdarzeń logowania............................................................................. 318 Prowadzenie inspekcji dostępu do obiektów ....................................................................... 320 Prowadzenie inspekcji zmian zasad .......................................................................................... 323 Prowadzenie inspekcji użycia uprawnień................................................................................ 324 Prowadzenie inspekcji śledzenia procesów ........................................................................... 325 Prowadzenie inspekcji zdarzeń systemowych ...................................................................... 326 Włączanie zasad prowadzenia inspekcji ................................................................................. 326 Monitorowanie rejestrowanych zdarzeń......................................................................................... 328 Korzystanie z narzędzia Event Viewer ...................................................................................... 328 Korzystanie z niestandardowych skryptów ............................................................................ 329 Korzystanie z narzędzia Event Comb........................................................................................ 330 Podsumowanie .......................................................................................................................................... 333 Informacje dodatkowe ........................................................................................................................... 333 15. Zabezpieczanie komputerów przenośnych ............................................................. 335 Zagrożenia dla komputerów przenośnych .................................................................................... 335 Ryzyko kradzieży lub zgubienia .................................................................................................. 336 Trudność wprowadzania uaktualnień....................................................................................... 337 Podłączanie do niezaufanych sieci ............................................................................................ 338 Podsłuch łączności bezprzewodowej ....................................................................................... 338 Implementacja dodatkowych zabezpieczeń komputerów przenośnych .......................... 339 Ochrona sprzętu ................................................................................................................................ 339 Ochrona uruchamiania ................................................................................................................... 341 Ochrona danych ................................................................................................................................ 342 Szkolenie użytkowników ................................................................................................................ 344 Zabezpieczanie sieci bezprzewodowych w systemie Windows XP ..................................... 345 Korzystanie z usługi Wireless Zero Configuration .............................................................. 345 Konfigurowanie zabezpieczeń dla łączności bezprzewodowej 802.11 ...................... 346 Podsumowanie .......................................................................................................................................... 349 Informacje dodatkowe ........................................................................................................................... 350 Część IV. Zabezpieczanie standardowych usług 16. Implementacja zabezpieczeń kontrolerów domeny .............................................. 353 Zagrożenia dotyczące kontrolerów domeny ................................................................................ 353 Modyfikacja obiektów Active Directory .................................................................................. 354 Atak na hasła ...................................................................................................................................... 354 Atak typu odmowa usługi (Denial-of-service – DoS) ........................................................ 354 Atak blokujący replikację ............................................................................................................... 354 Wykorzystanie znanych słabości ................................................................................................ 355 Zabezpieczanie kontrolerów domeny.............................................................................................. 355 Zapewnienie bezpieczeństwa fizycznego ............................................................................... 355 Zwiększenie zabezpieczeń przechowywanych haseł ......................................................... 356 Eliminacja zbędnych usług ............................................................................................................ 357 Przypisywanie ustawień zabezpieczeń poprzez zasady grupy ...................................... 362 Ochrona przed awariami ............................................................................................................... 363 Implementacja klucza systemowego ........................................................................................ 364 Zabezpieczenie wbudowanych kont i grup ........................................................................... 364 Prowadzenie inspekcji..................................................................................................................... 366 Zabezpieczanie komunikacji Active Directory ...................................................................... 366 Ograniczanie listy użytkowników, którzy mogą się logować na konsoli kontrolera domeny ......................................................................................................................................................... 369 Podsumowanie .......................................................................................................................................... 369 Informacje dodatkowe ........................................................................................................................... 372 17. Implementacja zabezpieczeń serwerów DNS.......................................................... 375 Zagrożenia dotyczące serwerów DNS ............................................................................................. 376 Modyfikacja rekordów DNS ......................................................................................................... 377 Transfer danych stref DNS do nieautoryzowanych serwerów ....................................... 377 Upublicznienie wewnętrznego schematu adresów IP ....................................................... 377 Odmowa usługi serwera DNS...................................................................................................... 378 Atak blokujący replikację ............................................................................................................... 378 Zabezpieczanie serwerów DNS........................................................................................................... 378 Implementacja stref DNS zintegrowanych z Active Directory ....................................... 378 Stosowanie oddzielnych serwerów DNS dla sieci wewnętrznej i zewnętrznej ....... 381 Ograniczanie transferów stref ..................................................................................................... 382 Implementacja zabezpieczeń IPSec dla łączności pomiędzy klientami i serwerami DNS .................................................................................................................................................. 383 Ograniczanie ruchu DNS poprzez zaporę ogniową ........................................................... 384 Ograniczanie zarządzania DNS ................................................................................................... 385 Ochrona bufora DNS ....................................................................................................................... 385 Podsumowanie .......................................................................................................................................... 385 Informacje dodatkowe ........................................................................................................................... 386 18. Implementacja zabezpieczeń usług terminalowych............................................... 389 Zagrożenia charakterystyczne dla Usług terminalowych......................................................... 390 Przyznawanie użytkownikom nadmiernych uprawnień .................................................... 390 Omijanie zabezpieczeń zapory ogniowej ............................................................................... 390 Wymaganie uprawnienia do logowania lokalnego ............................................................ 391 Udostępnienie pełnego pulpitu Windows ............................................................................. 391 Zabezpieczanie Usług terminalowych ............................................................................................. 391 Wybór właściwego trybu połączeń z Usługami terminalowymi ................................... 392 Ograniczenie listy kont użytkowników i grup, które mogą się łączyć z serwerem terminali.......................................................................................................................................... 393 Ograniczenie listy uruchamianych aplikacji ........................................................................... 394 Implementacja silnego szyfrowania .......................................................................................... 396 Wzmocnienie konfiguracji zabezpieczeń na serwerze terminali................................... 398 Implementacja silnego uwierzytelniania na serwerze terminali systemu Windows Server 2003 ................................................................................................................................... 398 Podsumowanie .......................................................................................................................................... 401 Informacje dodatkowe ........................................................................................................................... 402 19. Implementacja zabezpieczeń serwerów DHCP ....................................................... 403 Zagrożenia dotyczące serwerów DHCP........................................................................................... 404 Nieautoryzowane serwery DHCP ............................................................................................... 404 Zastępowanie poprawnych rekordów zasobów DNS........................................................ 405 Tworzenie rekordów DNS z niewłaściwie zdefiniowanym właścicielem .................... 405 Nieautoryzowani klienci DHCP ................................................................................................... 406 Zabezpieczanie serwerów DHCP ........................................................................................................ 406 Utrzymanie domyślnego zachowania systemu przy rejestrowaniu nazw ................. 406 Korzystanie z grupy DNSUpdateProxy .................................................................................... 407 Przeglądanie bazy danych DHCP w poszukiwaniu wpisów BAD_ADDRESS ............ 408 Monitorowanie członkostwa grupy DHCP Administrators ............................................. 409 Inspekcja DHCP ................................................................................................................................. 409 Podsumowanie .......................................................................................................................................... 409 Informacje dodatkowe ........................................................................................................................... 411 20. Implementacja zabezpieczeń serwerów WINS ....................................................... 413 Zagrożenia dotyczące serwerów WINS ........................................................................................... 414 Zablokowanie replikacji pomiędzy serwerami WINS ......................................................... 415 Rejestracja fałszywych rekordów NetBIOS ............................................................................. 415 Nieprawidłowa rejestracja rekordów WINS ........................................................................... 415 Modyfikacja ustawień WINS......................................................................................................... 415 Atak typu odmowa usługi (DoS) ................................................................................................ 415 Zabezpieczanie serwerów WINS ........................................................................................................ 416 Monitorowanie członkostwa grup administracyjnych ...................................................... 416 Sprawdzanie poprawności replikacji WINS ............................................................................ 416 Implementacja statycznych wpisów WINS dla krytycznych aplikacji NetBIOS ....... 417 Wyeliminowanie aplikacji NetBIOS i rezygnacja z mechanizmu WINS ...................... 417 Prowadzenie szczegółowego rejestrowania aktywności WINS w dzienniku zdarzeń .................................................................................................................. 417 Podsumowanie .......................................................................................................................................... 418 Informacje dodatkowe ........................................................................................................................... 420 21. Zabezpieczanie usług routingu i dostępu zdalnego .............................................. 421 Składniki sieciowe zapewniające dostęp zdalny .......................................................................... 421 Protokoły uwierzytelniające.......................................................................................................... 422 Protokoły VPN.................................................................................................................................... 423 Oprogramowanie klienckie ........................................................................................................... 424 Oprogramowanie i usługi serwerowe ...................................................................................... 424 Kwarantanna ....................................................................................................................................... 425 Zagrożenia dla usług dostępu zdalnego ........................................................................................ 426 Przechwytywanie uwierzytelnień ................................................................................................ 426 Przechwytywanie danych ............................................................................................................... 426 Ominięcie zapory ogniowej .......................................................................................................... 427 Niestandardowe stosowanie zasad zabezpieczeń .............................................................. 427 Rozszerzenie granic sieci do lokalizacji użytkowników zdalnych ................................. 427 Odmowa usługi wywołana próbami logowania .................................................................. 428 Skradzione komputery przenośne ............................................................................................. 428 Zabezpieczanie serwerów dostępu zdalnego ............................................................................... 429 Implementacja uwierzytelniania i rozliczania RADIUS ...................................................... 429 Zabezpieczanie ruchu uwierzytelniania RADIUS pomiędzy serwerami dostępu zdalnego i serwerem RADIUS................................................................................................ 430 Konfigurowanie zasad dostępu zdalnego .............................................................................. 430 Wystawianie wymaganych certyfikatów dla L2TP/IPSec .................................................. 432 Ograniczanie liczby serwerów, na których może być uruchomiona usługa RRAS.. 434 Implementacja mechanizmu blokady konta dla kont dostępu zdalnego................. 435 Implementacja kwarantanny ........................................................................................................ 436 Zabezpieczanie klientów dostępu zdalnego ................................................................................. 441 Konfiguracja pakietów CMAK ...................................................................................................... 441 Implementacja silnego uwierzytelniania ................................................................................. 441 Rozpowszechnienie wymaganych certyfikatów ................................................................... 441 Podsumowanie .......................................................................................................................................... 442 Informacje dodatkowe ........................................................................................................................... 443 22. Implementacja zabezpieczeń usług certyfikatów................................................... 445 Zagrożenia dla usług certyfikatów .................................................................................................... 445 Odtajnienie pary kluczy urzędu certyfikacji ........................................................................... 446 Atak na serwery przechowujące listy odwołań certyfikatów i certyfikaty CA .......... 446 Próby modyfikacji konfiguracji urzędu certyfikacji ............................................................. 446 Próby modyfikacji uprawnień do szablonu certyfikatów ................................................. 446 Atak wyłączający sprawdzanie CRL ........................................................................................... 447 Dołączenie niezufanych urzędów certyfikacji do magazynu głównego zaufanego urzędu ............................................................................................................................................. 447 Wystawianie oszukańczych certyfikatów ................................................................................ 447 Publikowanie fałszywych certyfikatów w Active Directory .............................................. 448 Zinfiltrowanie CA przez pojedynczego administratora..................................................... 448 Nieautoryzowane przywracanie prywatnego klucza użytkownika z bazy danych CA ....................................................................................................................... 448 Zabezpieczanie usług certyfikatów ................................................................................................... 449 Implementacja fizycznych środków ochronnych ................................................................. 449 Implementacja logicznych środków ochronnych ................................................................ 449 Modyfikacja punktów publikacji CRL i certyfikatu CA ....................................................... 453 Włączanie sprawdzania CRL we wszystkich aplikacjach ................................................... 453 Kontrola uprawnień dostępu do szablonu certyfikatów .................................................. 454 Implementacja separacji ról ......................................................................................................... 454 Podsumowanie .......................................................................................................................................... 454 Informacje dodatkowe ........................................................................................................................... 455 23. Implementacja zabezpieczeń w Microsoft IIS ......................................................... 457 Implementacja zabezpieczeń Windows .......................................................................................... 458 Minimalizacja liczby usług ............................................................................................................ 458 Definiowanie kont użytkowników .............................................................................................. 459 Zabezpieczanie systemu plików ................................................................................................. 460 Stosowanie specjalnych ustawień rejestru ............................................................................. 462 Konfigurowanie zabezpieczeń IIS wspólnych dla systemów Windows 2000 i Windows Server 2003 ................................................................................................................................................. 462 Uwierzytelnianie ................................................................................................................................ 463 Uprawnienia witryny WWW.......................................................................................................... 468 Kanały komunikacyjne .................................................................................................................... 469 Korzystanie z narzędzi zabezpieczających IIS 5.0........................................................................ 472 Narzędzie IIS Lockdown ................................................................................................................. 472 Filtr URLScan ....................................................................................................................................... 477 Konfigurowanie dodatkowych zabezpieczeń IIS 6.0 .................................................................. 482 Redukcja wymaganych przywilejów.......................................................................................... 483 Automatyczne monitorowanie stanu serwera ...................................................................... 484 Izolowanie aplikacji .......................................................................................................................... 485 Zaawansowane zabezpieczenia Http.sys ................................................................................ 486 Wsparcie dla zabezpieczeń ASP.NET ........................................................................................ 486 Ochrona ustawień domyślnych ................................................................................................... 488 Ochrona przed pospolitymi atakami ........................................................................................ 489 Konfigurowanie usługi FTP ................................................................................................................... 490 Podsumowanie .......................................................................................................................................... 491 Informacje dodatkowe ........................................................................................................................... 492 24. Projektowanie infrastruktury uwierzytelniania 802.1x ......................................... 495 Jak działa uwierzytelnianie standardu 802.1x ............................................................................... 495 Zagrożenia dotyczące środowisk sieciowych................................................................................ 497 Typy uwierzytelniania 802.1x ............................................................................................................... 500 Uwierzytelnianie EAP-TLS .............................................................................................................. 501 Uwierzytelnianie PEAP .................................................................................................................... 501 Zabezpieczanie łączności ...................................................................................................................... 501 Zabezpieczanie łączności bezprzewodowej .......................................................................... 502 Zabezpieczanie łączności kablowej ........................................................................................... 504 Planowanie struktury certyfikatów na potrzeby uwierzytelniania 802.1x ......................... 505 Certyfikaty komputerów dla serwerów RADIUS .................................................................. 505 Certyfikaty użytkowników dla klientów ................................................................................... 505 Certyfikaty komputerów dla klientów ...................................................................................... 506 Rozpowszechnianie certyfikatów dla użytkowników i komputerów ................................... 506 Serwer RADIUS................................................................................................................................... 506 Komputery klienckie ........................................................................................................................ 507 Użytkownicy ........................................................................................................................................ 508 Implementacja uwierzytelniania 802.1x .......................................................................................... 509 Konfigurowanie serwera RADIUS ............................................................................................... 509 Konfigurowanie punktu dostępowego lub switcha ........................................................... 515 Konfigurowanie switcha ................................................................................................................. 516 Podłączanie do sieci bezprzewodowej .................................................................................... 517 Podłączanie do sieci kablowej ..................................................................................................... 519 Podsumowanie .......................................................................................................................................... 521 Informacje dodatkowe ........................................................................................................................... 522 Część V . Zarządzanie aktualizacjami zabezpieczeń 25. Zarządzanie poprawkami ........................................................................................... 527 Rodzaje poprawek .................................................................................................................................... 528 Tworzenie poprawek ............................................................................................................................... 529 Sześciostopniowe zarządzanie poprawkami ................................................................................. 531 Krok 1: Powiadomienie .................................................................................................................. 531 Krok 2: Analiza zasobów ............................................................................................................... 532 Krok 3: Uzyskanie poprawki ........................................................................................................ 533 Krok 4: Testowanie ........................................................................................................................... 537 Krok 5: Rozpowszechnienie ......................................................................................................... 538 Krok 6: Sprawdzenie poprawności............................................................................................. 540 Podsumowanie .......................................................................................................................................... 541 Informacje dodatkowe ........................................................................................................................... 541 26. Narzędzia do zarządzania poprawkami ................................................................... 543 Security Patch Bulletin Catalog ........................................................................................................... 545 Windows Update ...................................................................................................................................... 547 Aktualizacje automatyczne ................................................................................................................... 550 Microsoft Software Update Services ................................................................................................ 551 Działanie mechanizmu SUS .......................................................................................................... 552 Konfigurowanie serwera SUS ....................................................................................................... 552 Konfigurowanie klientów SUS ..................................................................................................... 555 Office Update ............................................................................................................................................. 558 Windows Update Services .................................................................................................................... 559 Nowe funkcje w Windows Update Service ............................................................................ 559 Usprawnienia dotyczące pasma sieciowego ......................................................................... 561 Migracja z Software Update Services ....................................................................................... 562 Microsoft Baseline Security Analyzer ............................................................................................... 563 Skanowanie w trybie graficznym ................................................................................................ 565 Skanowanie systemu przy użyciu trybu wiersza polecenia ............................................. 566 SMS 2.0 Software Update Services Feature Pack ........................................................................ 567 Microsoft Systems Management Server 2003.............................................................................. 569 Funkcje administracyjne ................................................................................................................. 570 Funkcje dla końcowego użytkownika....................................................................................... 571 Podsumowanie .......................................................................................................................................... 571 Informacje dodatkowe ........................................................................................................................... 573 Część VI. Planowanie i realizacja oceny zabezpieczeń oraz reakcji na incydenty 27. Ocena bezpieczeństwa sieci ....................................................................................... 577 Rodzaje ocen zabezpieczeń ................................................................................................................. 578 Skanowanie w poszukiwaniu podatności ............................................................................... 578 Testy penetracji.................................................................................................................................. 579 Audyt bezpieczeństwa IT ............................................................................................................... 580 Wykonywanie oceny zabezpieczeń ................................................................................................... 581 Planowanie oszacowania zabezpieczeń .................................................................................. 581 Wykonywanie oszacowania zabezpieczeń ............................................................................. 582 Rozwiązanie problemów wykrytych w wyniku przeprowadzonej oceny ................... 583 Przeprowadzanie testów penetracji .......................................................................................... 584 Faza 1: Gromadzenie informacji ................................................................................................. 584 Faza 2: Rozpoznawanie słabości................................................................................................. 587 Faza 3: Infiltracja aplikacji lub sieci będącej celem ataku ................................................ 588 Podsumowanie .......................................................................................................................................... 589 Informacje dodatkowe ........................................................................................................................... 590 28. Korzystanie z narzędzi oceny zabezpieczeń ............................................................ 591 Definiowanie bazowego poziomu zabezpieczeń ........................................................................ 592 Instalowanie oprogramowania Security Configuration Wizard .................................... 593 Funkcje programu Security Configuration Wizard ............................................................. 594 Możliwości programu Security Configuration Wizard ...................................................... 595 Szacowanie konfiguracji zabezpieczeń............................................................................................ 596 Konsola Security Configuration and Analysis ....................................................................... 597 Narzędzie Secedit.exe ..................................................................................................................... 599 Dokonywanie oceny zabezpieczeń ................................................................................................... 599 Microsoft Baseline Security Analyzer ....................................................................................... 600 Narzędzia innych firm ..................................................................................................................... 610 Skanowanie portów ......................................................................................................................... 611 Podsumowanie .......................................................................................................................................... 615 Informacje dodatkowe ........................................................................................................................... 616 29. Planowanie reakcji na incydenty .............................................................................. 619 Tworzenie zespołu reakcji na incydenty ......................................................................................... 619 Uzyskanie wsparcia zarządu ......................................................................................................... 620 Identyfikacja kluczowych członków zespołu ......................................................................... 620 Wybieranie lidera zespołu ............................................................................................................. 621 Definiowanie zasad reakcji na incydenty ........................................................................................ 622 Klasyfikacja typów incydentów ................................................................................................... 622 Tworzenie zarysu wstępnego zapobiegania i reakcji na zagrożenie........................... 623 Konstruowanie zasad wspierających reakcję na incydenty ............................................. 625 Tworzenie planu wymiany informacji............................................................................................... 628 Wewnętrzna wymiana informacji przed wystąpieniem incydentu ............................... 628 Wymiana informacji w czasie trwania incydentu ................................................................. 630 Kontaktowanie się z napastnikiem ............................................................................................ 633 Współpraca z prasą.......................................................................................................................... 634 Podsumowanie .......................................................................................................................................... 635 Informacje dodatkowe ........................................................................................................................... 636 30. Reagowanie na incydenty zabezpieczeń.................................................................. 637 Typowe wskaźniki incydentów zabezpieczeń ............................................................................... 638 Nietypowa aktywność protokołów TCP lub UDP ................................................................ 638 Pewne typy zdarzeń występujące w dzienniku systemowym ........................................ 639 Niedostępność zasobów sieciowych ........................................................................................ 641 Nadmierne obciążenie procesora .............................................................................................. 642 Niestabilne działanie usług........................................................................................................... 642 Nieregularna aktywność systemu plików ............................................................................... 643 Zmiany uprawnień ............................................................................................................................ 643 Analizowanie incydentu związanego z zabezpieczeniami....................................................... 644 Ustalanie przyczyn ............................................................................................................................ 644 Zablokowanie możliwości dalszego rozwoju ataku ........................................................... 645 Unikanie eskalacji i następnych incydentów ......................................................................... 645 Przywracanie działania.................................................................................................................... 645 Włączanie uzyskanej wiedzy do zasad zabezpieczeń ........................................................ 646 Śledzenie napastnika ....................................................................................................................... 646 Prowadzenie dochodzenia związanego z incydentem zabezpieczeń ................................ 647 Uwzględnianie środków prawnych............................................................................................ 647 Gromadzenie dowodów................................................................................................................. 650 Prowadzenie monitorowania sieci ............................................................................................. 654 Implementacja środków przeciwdziałania ..................................................................................... 655 Ocena zasięgu ataku ....................................................................................................................... 655 Obliczanie strat .................................................................................................................................. 656 Przywracanie funkcjonowania usług po incydencie zabezpieczeń ...................................... 657 Dalsze postępowanie po zakończeniu incydentu ....................................................................... 657 Podsumowanie .......................................................................................................................................... 658 Informacje dodatkowe ........................................................................................................................... 659 Indeks 661