Сегодня мы поговорим об основах безопансости сети управляемой сервером Windows 2003 и о том как попытаться максимально обезопасить эту сеть от нападений и взлома.
Что ж, начнем.
1. Программное обеспечение.
Для безопасной и корректной сети все ПО должно быть корректно рабочим и обновляемым.
Сначала разберемся что и где нам нужно.
На сервере – Windows 2003 R2, ISA Server 2006, Dr.Web Enterprise Shuite, Spyware Doctor, а так же все все те программы что нам нужны для своих целей. Стоит помнить о том что на сервере не должно не стоять ничего не нужного – не стоит крячить туда игры, офис и тому подобную дрянь. Так же никаких асек и мэйл агентов, а уж в инет с сервера лезть – только в крайнем случае. Это дело рабочих станций. Если нам нужен Exchange соответственно настраиваем конфигурацию под него, и антивирус тоже.
На рабочих станциях – рекомендую Windows XP SP2.
Самое главное - это безопасная ОС, ибо для хакера нет куска слаще чем свежий эксплоит под дыру в Win которую вы не закрыли не получив обновление. Для этого нам понадобиться лиценз (или копия лиценза ;) ) который мы выменяем у любого сисадмина на пиво.
Смысл лиценза или копии с него только в том что бы получать обновки с MS Update. Иначе безопасной сети у нас не получиться. Из той же серии нам понадобиться и Internet Security Acseleration Server и Эксченж, и офис на рабочих станциях. По крайней мере мне удалось добыть все это не заплатив ни копейки. Причем все работает и обновляется как надо.
Следующим шагом будет установка ПО и настройка. Следует помнить о том что права в сети должны принадлежать сисадмину. Для этого на всех пользовательских компах должна быть учетка USER и Адинистратор должен иметь пароль не менее 8ми символов.
Так же на клиентских машинах следует запаролить БИОС и отключить загрузку с сидирома или флоппи. Что бы хитрый юзверь не сбросил батарейку, рекомендую кодовый замок на корпус (если нет кодового то маленький обычный) – заплатив по три доллара за замок мы будем спать спокойно, зная что юзверь не поимеет себе неположенных прав.
Антивирус рекомендую Dr. Web Enterprise – ибо во первых юзверь не стырит ключ домой, во вторых, это позволяет централизованно управлять антивирусной системой.
Что до ISA то его можно заменить KERIO, но все таки мелкомягкие продукты лучше работают со своими отростками.
Политики в сети должны быть следующие – пользователь не имеет права устанавливать ПО, не имеет права, устанавливать устройства и менять конфигурацию ПК, не имеет права менять пароль, не имеет права отключать антивирус.
Доступ в инет лучше всего осуществлять подключив его через сервер (используя ISA). Это даст нам возможность просматривать трафик, и позволить не настраивать на каждом компьютере собственный брандмауэр. Так же на сервере у нас будет стоять антируткит – среди прочих наиболее надежный – Spyware Doctor – на мой взгляд и опыт.
Не стоит забывать о браузерах и клиентах ПО на компьютерах. Я рекомендую использовать Opera. Но это не значит что IE можно не обновлять. Всу QIP, The Bat, mIRC и т.д. на любом компьютере должны быть последних версий и тщательно настроены администратором.
2. Аппаратное обеспечение.
Первым делом следует помнить – что все драйвера (особенно на сервере) должны быть обновлены. И не стоит ставить бэта-версии – используем лишь релизы. БИОС необходимо перепрошивать по мере выхода новых прошивок – управляемые коммутаторы и роутеры – тоже. Помним что сервер должен быть закрыт и изолирован, что доступ к нему должен иметь лишь сисадмин. Серверу так же нужен ИБП, но это уже то что все знают.
Если у нас Wi-Fi – необходимо почитать нужную литературу про защиту от вардрайвинга, если же у нас витая пара – стоит уложить ее незаметно и аккуратно, что бы ни одна вражина не перерезала провода (будет плохо юзверям). Свитчи и роутеры стоит прятать в надежное место. Если есть возможность – на крыше громоотвод.
3. Политики.
Во первых весь удаленный доспут должен быть закрыт, если он вам не нужен. Никаких radmin, только встроенные средства Win2003ХР.
Некоторые говорят о преимуществе рабочих групп – так вот, никаких рабочих групп, только домен.
Политика паролей проста – смена раз в два месяца ну и по ситуации. Длина пароля не должна быть меньше 8 символов, рекомендуются символы ASCII таблици (например †).
На сервере должен быть настроен аудит, локальная политика безопасности. Для этого надо заглянуть в Панель управления – Администрирование – локальная политика безопасности. Все обновления лучше поставить на автомат, что бы не забывать их делать.
Пароли пользователей тоже должны быть не 1234 а aoKU(6)%kd. Это будет полезно и юзверям – мозги встряхнут, и нам – не будет гостей. Не забываем раз в неделю проводить полную проверку сервера антивирусом и антируткитом. Не стоит так же забывать о том что на серверной платформе можно установить несколько антивирусных программ. Да и антируткиты разные бывают. Например можно использовать MC AFFEE Rootkit Detective – он не требует установки. При увольнении одного из сотрудников стоит тут же сменить его пароль и удалить личные данные а так же сделать проверку компьютера на вредоносное ПО.
4. Рекомендуемая литература.
Так как все в одной статье описать невозможно рекомендую следующие книги
Компьютерные сети (Олифер)
Windows 2003 Server – руководство администратора (официальный курс MS)
Безопасность сети на основе Windwos 2003 (официальный курс MS)
Антихакер – средства защиты компьютерных сетей (Джонс, Шема, Джонсон)
Internet Security and Acceleration Server - (официальный курс MS)
Системное программное обеспечение (Гордеев, Молчанов).
Теоретические основы проектирования компьютерных сетей (Вишневский В.М.)
Так же рекомендую читать CHIP и системный администратор время от времени.
Все эти советы общие. Вполне естественно что серверу нужна строгое описание политик безопасности, что каждый компьютер юзера настраиваться конкретно под него. Но безопасность – это не день работы, это упорный труд и знание.
Безопасного вам дня.
Spawn Connektion
hackzona.ru
0
Наверх
