Category Archives: Security

Настройка AppLocker

unnamedКогда в очередной раз, начинаются разговоры про информационную безопасность, начинаться они могу с host hardening.

Microsoft достаточно активно рекламировала AppLocker как простую и эффективную технологию.

С одной стороны это так, работа с AppLocker достаточно проста, но с другой стороны, организационная подготовка и оперативное обслуживание могут быть фактически невыполнимыми для многих компаний.

Думаю вы уже догадались что после согласования списка ПО (с руководителями отделов и т.п.) разумно будет сделать эталонные машины, создать политики на них и применить к рабочим станциям.

Подробнее о подготовке  можете почитать в моей статье “Информационная безопасность“. В этой статье остановимся на технической стороне вопроса.

Continue reading

Информационная безопасность

comic-strip-5-copyЗа последний год меня радует возрастающий интерес к информационной безопасности, но огорчает что представители ИТ часто не понимают даже основ этой области.

Для начала, предлагаю определить информацию как некое уникальное знание, обладание которым обеспечивает работу бизнеса.

“Классическое” определение информационной безопасности – конфиденциальность, целостность и доступность информации.

Обычно как риск ИБ понимают только конфиденциальность, хотя по статистике, риски целостности менее вероятны чем риски конфиденциальности, а вот риски доступности наиболее вероятны.

Кроме этих рисков, часто не рассматривают больше никаких, допуская серьёзную ошибку в самом начале.

Всего можно перечислить больше десятка, но давайте возьмём несколько, которые подойдут всем:

Continue reading

Group Managed Service Accounts в Windows Server

ManagedServicesСитуации, когда службы и приложения во всей компании работают от имени одной учётной записи с паролём Qwerty123, который, к тому же, знают все эникейщики “на всякий случай”, к сожалению, встречаются до сих пор.

А ведь Managed Service Accounts (MSA) впервые были представлены в Windows Server 2008R2, а в 2012 получили логическое развитие “превратившись” в Group Managed Service Accounts (gMSA) и стали уже в действительно годными для применения.

MSA, кстати, были переименованы в sMSA – Standalone Manager Service Accounts.

MSA/gMSA нужны для технической реализации принципа использования минимально необходимых прав, формально говоря.

Преимущества MSA/gMSA :

  • Надёжный пароль из 120 знаков;
  • Пароль не известен никому;
  • Пароль автоматически меняется по расписанию (по-умолчанию раз в 30 дней);
  • Смена пароля “подхватывается” приложениями которые используют gMSA автоматически;

Continue reading

Внедрение PKI на платформе Windows Server 2012: выдача сертификата пользователю

После развертывания Issuing CA можно проверить работу сервиса.

Самый простой способ это использование групповой политики:

Откроем Group Policy Management, создадим и распространим следующую конфигурацию: Computer Configuration – Policies – Windows Settings – Security Settings – Public Key Policies , откроем Certificate Services Client – Auto-Enrollment , там установим Enabled и включим оба чекбокса (Renew expired certificates, update pending certificates и Remove revoked certificates and Update certificates that use certificate templates).

Continue reading

Внедрение PKI на платформе Windows Server 2012: настройка Web Server

Изначально наши условия таковы, что к PKI доступ должен быть как изнутри, так и “снаружи” организации.

Из этого следует, что публиковать сертификаты и списки отзывов будем на серверах ws1 и ws2 используя NLB.

Веб-сервера будут расположены в DMZ, а контент (сертификаты, списки отзывов и прочее) хранится на отказоустойчивой DFS шаре \lab.kagarlickij.compki

Continue reading

Внедрение PKI на платформе Windows Server 2012: настройка Subject Alternative Name

На этапе настройки Issuing CA я показал как включить поддержку SAN, а теперь предположим что на сервере srv находится некий веб-портал, который должен быть доступен по нескольким именам:

  1. portal.kagarlickij.com
  2. portal.lab.kagarlickij.com
  3. srv
  4. srv.lab.kagarlickij.com

Continue reading