我想在很多客户端上部署操作系统映像。我知道映像必须包含最新的安全补丁以及修补程序(假设它们已针对目标环境进行了测试和批准)。它们还必须配置为从某个分发点接收定期更新。此外,我知道(请参阅此 Q&A)必须在封闭环境中执行 PXE 安装,以便攻击者无法安装流氓设备和服务。
在准备和部署操作系统映像时,是否有其他安全预防措施和/或最佳实践可以遵循?
PS:这里有一些附加信息,以防万一:客户端操作系统是 Microsoft Windows 7 x64。我决定使用Windows 自动安装工具包、Microsoft 部署工具包、Windows 部署服务和System Center Configuration Manager等工具来准备、部署和管理客户端上的操作系统。
我使用 WDS 和 MDT 完成了这项工作。您提到的最大问题是,在安装最新几轮更新时,这些盒子并不安全。
通过 ipsec 规则和通过组策略部署的受限组成员身份,可以轻松实现启用 Windows 防火墙并准确限制可以访问这些敏感机器的人员和计算机。我们为新构建的 OU 制定了完全独立的防火墙策略。
为了最大限度地减少来自流氓 dhcp / tftp 服务器的危险,我更喜欢将服务器保持在同一个子网上,而不是转发广播,并且只将 vlan 应用于与我的工作台关联的端口。
我使用太阳风的补丁管理器,它在引擎盖下使用 wsus。这是使用 https 设置的,以验证任何以后的补丁都已安全传输。我们还签署了我们在内部组装的所有补丁。
严格来说,从组织的角度来看。一个非常重视 O/S 强化的组织,他们会做类似的事情。高级步骤将包括:-
安装前对系统进行分类(关键、敏感、公共)。这些敏感度级别是组织细节并与组织数据分类方案相关。就像NIST已经根据他们的使用情况分析了他们的系统;他们的等级分为
高安全性或专业安全性 - 有限功能级别专为面临重大攻击风险的非常恶劣的环境而设计。此级别保护可能价值最高的信息,例如某些政府系统所需的信息。
企业客户端
请记住,这些是严格的细节或程序,并且预计某个 O/S 会满足上述配置文件的要求。在你的情况下;这些敏感性可能会有所不同,从您保留在 DMZ 上的某些 Web 服务器到使用 ERP 服务器的内部服务器,两者都有不同的配置文件和强化要求。
通用服务器的选择也会受到一些国际认证和认可的影响。就像 O/S Windows 2003 Server是一个 C2 级别的安全操作系统一样,这就是为什么您会看到这个 O/S 在 DoD 系统上运行的原因。C-2 基于 DoD 制定的橙色标准,以满足所需的安全要求。有关这方面的更多信息,请参阅 Janus Group Security System 的详细信息
当通过系统安全管理员运行的自动合规检查脚本(unix 或 windows)完成时,以确保组织强化/配置管理策略要求保持有序。在 NIST 级别(已经提到)的情况下,管理员可以部署预定义的模板,以将他们的系统配置文件提高到所需的安全级别。
基于NIST SP 800-70 Rev. 2 定义的国家检查表计划 (NCP) * 是美国政府公开可用的安全检查表(或基准)存储库,提供有关设置操作系统安全配置的详细低级指南和应用程序*。如果您对 CIS Windows Server 2008 Benchmark v1.1.0 的清单详细信息感兴趣。我提供的链接让您可以根据需要选择清单(例如,从非自动化测试到使用 scap(安全内容自动化协议)自动化)。
从实际的角度来看,以上两点意味着在 iptables 上运行 o/s 和使用 tcp-wrapper 与运行像 joomala 这样的开放式开发环境的 web 服务器运行第三方 joomala 防火墙(例如 RSFirewall)的区别,或配置 mod-security 以强化服务器。
任何安全 O/S 部署练习的目的都应该是限制攻击面,而不是限制或破坏预期的应用程序或用途。通常在 o/s 部署之后,系统管理员会遵循需要保留在服务器上的服务或程序列表的清单。该列表来自业务或流程所有者。这一关键步骤不仅减轻了配置管理的负担,而且使变更管理变得简单实用。