A szerverek és munkaállomások sérülékenységi vizsgálata, szoftvermenedzsment. Szoftverjavítások, szoftverfrissítések. A szoftverfrissítéseket támogató infrastruktúra. Flashcards
Security Management eszközök - Elemzés
- Microsoft Software Update Service MSUS
- Security Configuration and Analysis snap-in
- RSoP
- System Management Server (SMS)
- Microsoft Baseline Security Analyser MBSA
Security Management eszközök - Management
- Group Policy Management Console
- Microsoft Operation Manager
- System Management Server
- Microsoft Software Update Service
- ISA Server
A sérülékenység kihasználásával mihez lehet jutni?
A sérülékenység kihasználásával üzleti vagy egyéb fontos adatokhoz lehet jutni • Email címek • Banki információk Rosszindulatú kód bejuttatási lehetőség Belső vagy külső feltörések lehetősége A javítások ellenőrzött és gyors telepítése véd a felsoroltak ellen Központosított frissítéskezelés Frissítéskezelés automatizálása
WSUS üzemeltetés
Kiszolgáló előfeltételek megteremtése Adatbázis kezelő telepítése WSUS Kiszolgáló telepítése, konfigurálása Tűzfal konfigurálása Kliens telepítés megtervezése, beállítása Csoportos házirend Gépek csoportosítása, teszt kijelölése Üzemeltetés
WSUS telepítése
- Engedélyek:
a. A beépített Felhasználók csoport v. az NT Authority\Hálózati szolgáltatás fiók számára olvasási jog a WSUS-tartalmat tároló gyökérmappához. Hiányában a BITS-letöltéseket nem lehet végrehajtani.
b. Az NT Authority\Hálózati szolgáltatás fióknak „Teljes hozzáférés” a WSUS-tartalmat tároló könyvtárhoz általában, Temp és .NET Framework mappákhoz is.
c. Rendszergazdai jog
d. Server manager/Add roles and features
e. Tovább/Role-based or feature-based installation/Server kiválasztása
f. A WID Database (ami alapértelmezés szerint be van pipálva) azt jelenti, hogy a telepítő feltelepíti a Windows Internal Database-t, ami egy mini SQL Server. Sok megkötése van, de a célra tökéletesen megfelel, különösen egygépes környezetben.
g. A Database (ami alapértelmezés szerint nincs bepipálva) azt jelenti, hogy a telepítő egy létező SQL Serveren hozza létre a WSUS adatbázisát. Ez lehet akár másik gépen is.
WSUS konfigurálás
- Tűzfal beállítása
- Annak meghatározása, hogy a kiszolgáló honnan töltse le a frissítéseket
- A proxykiszolgáló beállításainak módosítása, hogy a WSUS le tudja tölteni a frissítéseket
Patch Management Biztonsági javítások Típusai
1) SP: ritkán kiadott nagyobb méretű javítás, nem csak javítás hanem új elemek is
2) SRP – Security Rollup Package: biztonsági javítások
3) Hotfix/Patch: 1-1 hibát orvosoló megoldás
Win Automatic Update
Win 2000 SP3-tól beépítve, Időzíthető, választható működés, tiltható. Rendszergazdának szól, hogy van frissítés míg a többi felhasználónak szó nélkül teszi.
Win Server Update Service - WSUS
Önálló komplex, amennyire lehet automatikus, teljes körű szolgáltatás. Teljes Patch Management infrastruktúrát lehet kiépíteni, akár 1 db szerverrel.
- Helyi / Csoportházirend támogatása AD környezetben (Kliens oldal)
- WSUS-sal készíthető csoportok AD nélküli környezetbe (Server oldal)
Microsoft Baseline Security Analyzer
Grafikus felületen keresztül helyi és távoli kiszolgálók biztonsági hiányosságait igyekszik felderíteni. A kiszolgáló fájljait hasonlítja össze egy Internetről letöltött XML-állománnyal (a Microsoft folyamatosan frissíti az adatbázist, mely az aktuális hotfixek listáját és egyéb biztonsági ismereteket tartalmaz (a legutóbb felfedezett hibákat és a hibajavítások listáját). Megmutatja, hogy milyen javítások hiányoznak. Bizonyos beállításokat is ellenőriz, és ha azokat nem találja kellően biztonságosnak, jelzi az elkészült jelentésben.
Az ellenőrzés után részletes leírást kapunk arról, hogy a program mit ellenőrzött, mi lett az eredmény, és hogyan lehet a biztonsági rést eltávolítani. Ingyenes biztonsági ellenőrőzprogram (Microsoft). Egy tapasztalt szakértőt “szimulál”, aki ellenőrzi, a gépen futó szoftverek és beállítások mennyire biztonságosak.
A Windows, ill. az esetlegesen rajta futó egyéb Microsoft alkalmazások - Internet Explorer, Office, Internet Information Server, SQL Server – biztonsági réseit, könnyen hozzáférhető jelszavakat és más sebezhető pontokat keres a számítógépeken és javítási tanácsokkal is szolgál (melyik programhoz melyik javítást töltse le, melyik jelszavát változtassa meg, stb.).
Microsoft Baseline Security Analyzer - Helyi gépek esetén
XP-től elérhető, Internet Explorer 5.01 v. újabb verzió, XML-értelmező (a Microsoft az MSXML értelmező legfrissebb verzióját javasolja), World Wide Web szolgáltatás az IIS biztonsági réseinek helyi adminisztratív ellenőrzéséhez.
Microsoft Baseline Security Analyzer - Távoli
Win NT 4.0-tól, Internet Explorer 5.01 v. újabb verzió, SQL 7.0, IIS 4.0tól, előbbieken felül, Ha IIS alapú számítógépeket akarunk távolról ellenőrizni, azon a számítógépen, amelyre az eszközt telepítettük, szükség van az IIS Common Files összetevőjére, A Munkaállomás szolgáltatást és a Microsoft Networks ügyfél szolgáltatást engedélyezni kell.
Microsoft Baseline Security Analyzer - Telepítés előtti lépések
1) Office 2000-től (az Office biztonsági réseinek ellenőrzéséhez).
2) Telepíteni kell a Kiszolgáló, a Távoli rendszerleíró adatbázis, és a Fájl- és nyomtatómegosztás szolgáltatást.
3) Az ellenőrzést kezdeményező felhasználónak helyi r.g. jogosultságokkal kell rendelkeznie minden vizsgálni kívánt számítógépen, függetlenül attól, hogy helyi vagy távoli ellenőrzést hajt-e végre.
4) Távoli ellenőrzés esetén a felügyeleti megosztásokat engedélyezni kell az ellenőrzött számítógépen.
5) Internetkapcsolattal kell rendelkezni.