Securitate IT

Securizarea statiilor de lucru

Securizarea statiilor de lucru trebuie sa se bazeze pe o analiza detaliata a riscurilor, deoarece trebuie sa avem o imagine completa a resurselor pe care le acceseaza utilizatorii, a informatiilor care sunt stocate fie si temporar pe statiile de lucru si al gradului de confidentialitate al acestora, a aplicatiilor folosite de utilizatori si a mediului de lucru în care sunt utilizate calculatoarele (gradul de securitate fizica).

Oricâte investitii de securitate s-ar face în celelalte domenii (servere, perimetru, autentificare, securizarea comunicatiei etc) acestea pot fi cu usurinta negate de o securitate slaba pentru statiile de lucru. Sa nu uitam ca la statiile de lucru se afla utilizatorii si nu trebuie sa trecem cu vederea utilizatorii potential rau intentionati. Conform studiilor, majoritatea acceselor neautorizate la informatii au loc din interior. Din acest punct de vedere, securizarea statiilor de lucru reprezinta prima bariera împotriva atacurilor.

Abordarea cea mai buna pentru securizarea statiilor de lucru este una bazata pe analiza riscurilor, pe scurt “Threat Modeling”. Pentru asta trebuie sa ne întrebam doua lucruri:
• Mai întâi trebuie sa examinam care sunt amenintarile posibile. Acestea pot consta în infectia cu virusi/viermi/troieni, angajati rau intentionati, scurgeri de informatii, pierderi de date din cauza defectiunilor hardware sau software sau erorilor umane etc. O buna sursa de informatii este ghidul Threats and Countermeasures, în care sunt detaliate posibile amenintari de securitate si contramasurile adecvate pentru minimizarea sau îndepartarea lor.
• A doua perspectiva este oferita de mediul de lucru existent si inventarierea resurselor care trebuie protejate. Trebuie luate în considerare structura retelei, securitatea fizica, procedurile operationale precum si numarul de statii de lucru, sistemele de operare si aplicatiile folosite, categoriile de utilizatori, informatiile care sunt accesate de pe statii, informatiile care sunt stocate (fie si temporar) pe acestea.

Dupa ce am identificat amenintarile de securitate la care ne expunem si resursele pe care dorim sa le protejam, vom crea planuri de masuri de securitate pentru statiile de lucru. Este bine sa avem un set de masuri de securitate uniforme care sa fie aplicate tuturor statiilor de lucru pentru a asigura un nivel de securitate de baza si de asemenea sa aplicam masuri de securitate suplimentare acolo unde este nevoie. Pentru aceasta, de un real ajutor sunt Active Directory si Group Policy. De fapt, aproape toate setarile de securitate ce se pot aplica pe statiile de lucru, pot fi aplicate cu Group Policy, dupa cum vom vedea în continuare. Din acest motiv, este necesar un design bun al infrastructurii de Active Directory, atât din punct de vedere fizic cât si logic, pentru a putea aplica cu usurinta Group Policy.
Setarile ce pot fi aplicate cu ajutorul Group Policy sunt descrise în detaliu în Windows XP Security Guide. În continuare vom discuta câteva dintre acestea, fara a avea pretentia de a le acoperi pe toate. Putem împarti setarile în urmatoarele categorii:

• Accounts – politica de parole sa nu permita parole vide, atât pentru conturile de domeniu cât si pentru cele locale, redenumirea conturilor Administrator si Guest.

• Devices – permisiunea de undock fara a face logon (pentru laptop-uri), permisiunile de format si eject la mediile removable, restrictia instalarii si configurarii de drivere de imprimanta, restrictionarea accesului la CD sau floppy pentru utilizatorii logati local, restrictionarea instalarii de drivere nesemnate digital.

• Interactive logon – neafisarea ultimului utilizator logat, solicitarea secventei Ctrl-Alt-Del, banner-ul de log-on, numarul de credentiale stocate local (permite logon fara a fi conectat în retea – necesar pentru laptop-uri), atentionare înainte de expirarea parolei, autentificare în domeniu la deblocarea statiei, comportamentul la extragerea smartcard-ului (recomandat blocarea statiei).

• Microsoft network client – semnarea digitala a mesajelor (SMB Signing, if server agrees), dezactivarea transmiterii parolei în clar catre servere SMB third party.

• Microsoft network server - semnarea digitala a mesajelor (SMB Signing, always) ceea ce va preveni utilizarea clientilor mai vechi de Windows 2000 pe post de servere de fisiere, deconectarea clientilor la expirarea orelor de logon.

• Network access – restrictionarea enumerarii Anonymous pentru conturile SAM si enumerarea share-urilor, restrictionarea stocarii locale a credentialelor, restrictionarea accesului Anonymous la Named Pipes.

• Network security – restrictionarea stocarii hash-urilor LANManager pentru parole, fortare logoff la expirarea orelor de logon, nivelul de autentificare LANManager (preferat NTLMv2).

• Recovery console – restrictionarea accesului administrativ la boot în Recovery Console.

• Applications and services – setarile de securitate pentru zonele Internet Explorer, dezactivarea Desktop Sharing la NetMeeting si a Remote Assistance, restrictionarea planificarii de task-uri, restrictionarea redirectarii discurilor si încriptarea comunicatiei la Terminal Services, restrictionarea Windows Update sau redirectarea catre un server local SUS, restrictionarea Windows Messenger, folosirea Software Restriction Policy pentru a permite rularea doar a anumitor aplicatii, dezactivarea serviciilor care nu sunt folosite: Alerter, ClipBook, FTP, IISAdmin, Messenger, Telnet, W3SVC, BITS, Fax service, NetDDE, Remote Registry.
La acestea se adauga permisiunile NTFS (remove Everyone), restrictionarea accesului la mediile de stocare detasabile (dischete, memorii USB, CD-ROM), restrictiile de transfer prin e-mail si criptarea cu EFS.

Daca mai este nevoie sa spunem, sistemul de operare recomandat este Windows XP sau în cel mai rau caz Windows 2000 cu ultimele Service Pack-uri si fix-uri precum si cu un template de masuri de securitate de baza aplicat de la instalare. Nu se poate asigura un nivel de securitate de baza folosind sisteme de operare mai vechi cum ar fi Windows 95, 98 sau Me. Aceste sisteme nu folosesc Group Policy si nu poseda masuri de securitate de baza, cum ar fi securitatea accesului la logon, iar permisiunile de acces la resurse pot fi configurate la un nivel rudimentar (share level versus user level). Aceste sisteme de operare au fost gândite pentru utilizare acasa si nu fac fata cerintelor de securitate impuse pentru mediul de retea al unei companii.

Sursa : Microsoft

Citeaza articolul pe site-ul tau | Vizualizari: 5321 | Imprimare | E-mail

Comenteaza articolul

Powered by AkoComment Tweaked Special Edition v.1.4.6
AkoComment © Copyright 2004 by Arthur Konze - www.mamboportal.com
All right reserved

Recomanda acest articol..

Alte articole interesante:

• Cum eviti furtul de identitate pe internet?
• Microsoft pregateste 8 update-uri de securitate
• Noi brese de securitate descoperite in Windows
• SiteAdvisor - 38 de milioane de download-uri
• O noua vulnerabilitate in PowerPoint, utilizata in atacuri
• Hackerii se folosesc de BBC pentru exploatarea IE
• Administratia americana a fost tinta unui hacker
• Securizare la nivel inalt
• Live Family Safety Settings Free va proteja copiii de problemele onlin
• Browserele Mozilla, mai vulnerabile decāt IE