Mucho de esto dependerá de su entorno, pero esta es una lista generalizada que he usado antes (he incluido información de cumplimiento en cada punto):
- Todo el software parcheado y vinculado a un administrador de parches
- Su administrador de parches debe parchear a menudo y alertar en voz alta si una máquina no cumple con los requisitos.
- Todos los puertos innecesarios cerrados
- Configure nagios o similar para ejecutar un escaneo de puertos con regularidad: avise si se abre algo nuevo.
- Se han eliminado todas las cuentas de usuario innecesarias.
- Nuevamente, debe ver esto con su monitoreo y aplicarlo con GPO o similar.
- Se eliminó todo el software innecesario
- Deshazte de todas las cosas de depuración, lo ideal sería que estés registrando todas las instalaciones para que puedas marcarlas como "desinstaladas" en tu primera pasada.
- Servidor vinculado al servidor de registro
- Desea que le avise si alguien inicia sesión de forma interactiva, si se reinicia, si algo sucede realmente. Lo que te importa será específico para el medio ambiente.
- Todas las alarmas y alertas en el servidor de registro configurado
- Esto se relaciona con 5, pero verifica que todas tus alertas y alarmas sean apropiadas; desactiva las que ignorarás para no terminar ignorando los errores habitualmente.
- Protección final configurada y conectada, incl. cortafuegos a nivel de aplicación y AV
- Debe administrar esto de manera central y, al igual que con el administrador de parches, avise si no cumple con los requisitos. Encienda un firewall a nivel de aplicación y solo permita las cosas que desea conectar dentro / fuera. Bloquea todo lo demás.
- Todo el software necesario incluido en la lista blanca
- Ahora que está en producción: escanee el sistema en busca de todo el software que desea ejecutar, colóquelo en la lista blanca y bloquee todo lo demás. Esto será específico para el medio ambiente, y necesita trabajar con sus parches.
- hora sincronizada
- Esto es crítico; Una gran parte de lo anterior se basa en el funcionamiento del tiempo: AV, registro, etc.
- Red configurada, se eliminaron todas las interfaces no producidas
- Desconecte físicamente, desinstale, deshabilite, lo que sea apropiado, asegúrese de que no haya un vínculo para volver a sus entornos de prueba o desarrollo.
Los servidores se deben probar continuamente: desea verificar de forma continua y automática con su supervisión y automatización. Lo que no puede revisar automáticamente, mire con la frecuencia que sea práctica.
La idea es que una recertificación debería ser solo mirar un informe, marcar que todo está verde, iniciar sesión, revisar las últimas cosas y listo en menos de 10 minutos.