Category Archives: Security
Git: Логирование
Изменения, которые вносятся в Git чрезвычайно важны, а значит логи должны быть достаточно подробными и хранится надёжно.
Настройка AppLocker
Когда в очередной раз, начинаются разговоры про информационную безопасность, начинаться они могу с host hardening.
Microsoft достаточно активно рекламировала AppLocker как простую и эффективную технологию.
С одной стороны это так, работа с AppLocker достаточно проста, но с другой стороны, организационная подготовка и оперативное обслуживание могут быть фактически невыполнимыми для многих компаний.
Думаю вы уже догадались что после согласования списка ПО (с руководителями отделов и т.п.) разумно будет сделать эталонные машины, создать политики на них и применить к рабочим станциям.
Подробнее о подготовке можете почитать в моей статье “Информационная безопасность“. В этой статье остановимся на технической стороне вопроса.
Информационная безопасность
За последний год меня радует возрастающий интерес к информационной безопасности, но огорчает что представители ИТ часто не понимают даже основ этой области.
Для начала, предлагаю определить информацию как некое уникальное знание, обладание которым обеспечивает работу бизнеса.
“Классическое” определение информационной безопасности – конфиденциальность, целостность и доступность информации.
Обычно как риск ИБ понимают только конфиденциальность, хотя по статистике, риски целостности менее вероятны чем риски конфиденциальности, а вот риски доступности наиболее вероятны.
Кроме этих рисков, часто не рассматривают больше никаких, допуская серьёзную ошибку в самом начале.
Всего можно перечислить больше десятка, но давайте возьмём несколько, которые подойдут всем:
Group Managed Service Accounts в Windows Server
Ситуации, когда службы и приложения во всей компании работают от имени одной учётной записи с паролём Qwerty123, который, к тому же, знают все эникейщики “на всякий случай”, к сожалению, встречаются до сих пор.
А ведь Managed Service Accounts (MSA) впервые были представлены в Windows Server 2008R2, а в 2012 получили логическое развитие “превратившись” в Group Managed Service Accounts (gMSA) и стали уже в действительно годными для применения.
MSA, кстати, были переименованы в sMSA – Standalone Manager Service Accounts.
MSA/gMSA нужны для технической реализации принципа использования минимально необходимых прав, формально говоря.
Преимущества MSA/gMSA :
- Надёжный пароль из 120 знаков;
- Пароль не известен никому;
- Пароль автоматически меняется по расписанию (по-умолчанию раз в 30 дней);
- Смена пароля “подхватывается” приложениями которые используют gMSA автоматически;
ВНЕДРЕНИЕ PKI НА ПЛАТФОРМЕ WINDOWS SERVER 2012: WEB ENROLLMENT
В этой статье рассмотрим отказоустойчивого WebEnrollment.
ВНЕДРЕНИЕ PKI НА ПЛАТФОРМЕ WINDOWS SERVER 2012: ISSUING CA
В этой части рассмотрим установку отказоустойчивого Issuing CA.
Внедрение PKI на платформе Windows Server 2012: выдача сертификата пользователю
После развертывания Issuing CA можно проверить работу сервиса.
Самый простой способ это использование групповой политики:
Откроем Group Policy Management, создадим и распространим следующую конфигурацию: Computer Configuration – Policies – Windows Settings – Security Settings – Public Key Policies , откроем Certificate Services Client – Auto-Enrollment , там установим Enabled и включим оба чекбокса (Renew expired certificates, update pending certificates и Remove revoked certificates and Update certificates that use certificate templates).
Внедрение PKI на платформе Windows Server 2012: настройка Web Server
Изначально наши условия таковы, что к PKI доступ должен быть как изнутри, так и “снаружи” организации.
Из этого следует, что публиковать сертификаты и списки отзывов будем на серверах ws1 и ws2 используя NLB.
Веб-сервера будут расположены в DMZ, а контент (сертификаты, списки отзывов и прочее) хранится на отказоустойчивой DFS шаре \lab.kagarlickij.compki
Внедрение PKI на платформе Windows Server 2012: настройка Subject Alternative Name
На этапе настройки Issuing CA я показал как включить поддержку SAN, а теперь предположим что на сервере srv находится некий веб-портал, который должен быть доступен по нескольким именам:
- portal.kagarlickij.com
- portal.lab.kagarlickij.com
- srv
- srv.lab.kagarlickij.com
Внедрение PKI на платформе Windows Server 2012: настройка Certification Authority Web Enrollment
Certification Authority Web Enrollment обеспечивает возможности работы с сертификатами через веб, а это весьма полезно.