Implementación segura del sistema operativo

5

Quiero implementar imágenes del sistema operativo en muchos clientes. Sé que las imágenes deben contener los últimos parches de seguridad, así como las revisiones (suponiendo que estén probadas y aprobadas para el entorno de destino). También deben configurarse para recibir actualizaciones periódicas desde un determinado punto de distribución. Además, sé (consulte esta Q & amp A A) que la instalación de PXE debe realizarse en un entorno contenido, por lo que que un atacante no puede instalar dispositivos y servicios no autorizados.

¿Hay otras precauciones de seguridad y / o mejores prácticas a seguir al preparar e implementar imágenes del sistema operativo?

PS: Aquí hay información adicional, por si acaso: El sistema operativo del cliente es Microsoft Windows 7 x64. Estoy decidiendo usar herramientas como Kit de instalación automatizada de Windows , Microsoft Deployment Toolkit , Servicios de implementación de Windows y System Center Configuration Manager para preparar, implementar y administrar el sistema operativo en los clientes.

    
pregunta M.S. Dousti 30.03.2013 - 14:07
fuente

2 respuestas

3

Logré esto usando WDS y MDT. El mayor problema que mencionaste es que las cajas no son seguras mientras se instalan las últimas rondas de actualizaciones.

Mantener el firewall de Windows habilitado y restringir exactamente a quién y desde qué computadoras se puede acceder a estas máquinas sensibles se puede lograr fácilmente mediante las reglas de ipsec y la membresía de grupo restringida implementada a través de la política de grupo. Tenemos una política de cortafuegos completamente independiente para nuestras nuevas unidades organizativas de compilación.

Para minimizar el peligro de un servidor rogue dhcp / tftp, prefiero mantener el servidor en la misma subred, no reenviar transmisiones y solo aplicar el vlan a los puertos asociados con mi banco.

Uso el administrador de parches del viento solar que usa wsus debajo del capó. Esto se configura mediante https para verificar que los parches posteriores se transmitan de forma segura. También firmamos todos los parches que montamos en casa.

    
respondido por el Tim Brigham 30.03.2013 - 15:07
fuente
2

Estrictamente desde el punto de vista de la organización. Una organización que se toma muy en serio el endurecimiento O / S haría algo similar a esto. Los pasos de alto nivel incluirían: -

  1. Clasifique el sistema antes de la instalación ( crítico , sensible , público ). Estos niveles de sensibilidad son específicos de la organización y están relacionados con los esquemas de clasificación de datos de la organización. Al igual que NIST , han perfilado su sistema en función de su uso; Sus niveles se dividen en

    • Funcionalidad limitada de seguridad especializada
      

    El nivel de Alta seguridad, o Seguridad especializada - Funcionalidad limitada, está diseñado específicamente para entornos muy hostiles bajo un riesgo significativo de ataque. Este nivel guarda información del mayor valor posible, como la información que requieren algunos sistemas gubernamentales.

    • Cliente empresarial

      Puede leer más sobre esto en el enlace

      

    Recuerde que estos son detalles o procedimientos de línea dura, y se espera que cierto O / S cumpla con los requisitos del perfil mencionado anteriormente. En tu caso; esta sensibilidad puede variar de algunos servidores web que mantiene en DMZ a un servidor interno que usa un servidor ERP, ambos tendrían diferentes perfiles y requisitos de fortalecimiento.

         

    También una selección de servidor de propósito general puede verse influida por alguna certificación y acreditación internacional. Al igual que O / S, Windows 2003 Server es un sistema operativo seguro de nivel C2, es por eso que vería que este O / S se ejecuta en sistemas de DoD. C-2 se basa en el estándar naranja hecho por DoD para cumplir con los requisitos de seguridad requeridos. Más sobre esto se puede leer en    Detalles del sistema de seguridad de Janus Group

  2. Cuando se realiza a través de scripts de comprobación de cumplimiento automatizados (Unix o Windows) que ejecutan los administradores de seguridad del sistema para garantizar que los requisitos de la política de gestión de configuración / fortalecimiento de la organización se mantengan en orden. Los administradores en caso de niveles NIST (ya mencionados) pueden implementar plantillas predefinidas para llevar su perfil de sistema al nivel de seguridad deseado.

      

    Basado en El Programa Nacional de Lista de Verificación (NCP) * definido por el NIST SP 800-70 Rev. 2, es el repositorio del gobierno de los EE. UU. de listas de verificación de seguridad disponibles al público (o puntos de referencia) que proporcionan Guía detallada de bajo nivel para establecer la configuración de seguridad de los sistemas operativos y aplicaciones *. Si está interesado en Detalles de la lista de verificación para CIS Windows Server 2008 Benchmark v1.1.0. El enlace que proporciono le brinda la opción de seleccionar la lista de verificación según la necesidad (por ejemplo, de pruebas no automatizadas a automatizadas usando scap (Protocolo de automatización de contenido de seguridad)).

Desde el punto de vista práctico, estos 2 puntos anteriores significan la diferencia de tener un o / s en iptables y el uso de tcp-wrapper, a un servidor web que ejecuta un entorno de desarrollo abierto como joomala para tener un joomala de terceros el firewall se está ejecutando (p. ej., RSFirewall), o se ha configurado la seguridad de mod para fortalecer el servidor.

El propósito de cualquier ejercicio de implementación segura de O / S debe ser limitar la superficie de ataque sin limitar ni romper la aplicación o el uso previsto. Por lo general, después de la implementación de o / s, los administradores del sistema siguen una lista de verificación de la lista de servicios o programas que deben mantenerse en el servidor. Esa lista viene de dueños de negocios o procesos. Este paso crucial no solo disminuye la carga de la administración de la configuración, sino que también hace que la administración de cambios sea fácil y práctica.

    
respondido por el Saladin 31.03.2013 - 17:44
fuente

Lea otras preguntas en las etiquetas