Estrictamente desde el punto de vista de la organización. Una organización que se toma muy en serio el endurecimiento O / S haría algo similar a esto. Los pasos de alto nivel incluirían: -
-
Clasifique el sistema antes de la instalación ( crítico , sensible , público ). Estos niveles de sensibilidad son específicos de la organización y están relacionados con los esquemas de clasificación de datos de la organización. Al igual que NIST , han perfilado su sistema en función de su uso; Sus niveles se dividen en
- Funcionalidad limitada de seguridad especializada
El nivel de Alta seguridad, o Seguridad especializada - Funcionalidad limitada, está diseñado específicamente para entornos muy hostiles bajo un riesgo significativo de ataque. Este nivel guarda información del mayor valor posible, como la información que requieren algunos sistemas gubernamentales.
Recuerde que estos son detalles o procedimientos de línea dura, y se espera que cierto O / S cumpla con los requisitos del perfil mencionado anteriormente. En tu caso; esta sensibilidad puede variar de algunos servidores web que mantiene en DMZ a un servidor interno que usa un servidor ERP, ambos tendrían diferentes perfiles y requisitos de fortalecimiento.
También una selección de servidor de propósito general puede verse influida por alguna certificación y acreditación internacional. Al igual que O / S, Windows 2003 Server es un sistema operativo seguro de nivel C2, es por eso que vería que este O / S se ejecuta en sistemas de DoD. C-2 se basa en el estándar naranja hecho por DoD para cumplir con los requisitos de seguridad requeridos. Más sobre esto se puede leer en
Detalles del sistema de seguridad de Janus Group
-
Cuando se realiza a través de scripts de comprobación de cumplimiento automatizados (Unix o Windows) que ejecutan los administradores de seguridad del sistema para garantizar que los requisitos de la política de gestión de configuración / fortalecimiento de la organización se mantengan en orden. Los administradores en caso de niveles NIST (ya mencionados) pueden implementar plantillas predefinidas para llevar su perfil de sistema al nivel de seguridad deseado.
Basado en El Programa Nacional de Lista de Verificación (NCP) * definido por el NIST SP 800-70 Rev. 2, es el repositorio del gobierno de los EE. UU. de listas de verificación de seguridad disponibles al público (o puntos de referencia) que proporcionan Guía detallada de bajo nivel para establecer la configuración de seguridad de los sistemas operativos y aplicaciones *. Si está interesado en Detalles de la lista de verificación para CIS Windows Server 2008 Benchmark v1.1.0. El enlace que proporciono le brinda la opción de seleccionar la lista de verificación según la necesidad (por ejemplo, de pruebas no automatizadas a automatizadas usando scap (Protocolo de automatización de contenido de seguridad)).
Desde el punto de vista práctico, estos 2 puntos anteriores significan la diferencia de tener un o / s en iptables y el uso de tcp-wrapper, a un servidor web que ejecuta un entorno de desarrollo abierto como joomala para tener un joomala de terceros el firewall se está ejecutando (p. ej., RSFirewall), o se ha configurado la seguridad de mod para fortalecer el servidor.
El propósito de cualquier ejercicio de implementación segura de O / S debe ser limitar la superficie de ataque sin limitar ni romper la aplicación o el uso previsto. Por lo general, después de la implementación de o / s, los administradores del sistema siguen una lista de verificación de la lista de servicios o programas que deben mantenerse en el servidor. Esa lista viene de dueños de negocios o procesos. Este paso crucial no solo disminuye la carga de la administración de la configuración, sino que también hace que la administración de cambios sea fácil y práctica.