SlideShare a Scribd company logo

OS & App Security

Michal ZOBEC
Michal ZOBEC

Presentation about recommended secure of Windows OS and applications.

Software
1 of 22
Download to read offline
ZOBEC Consulting OS & App Security 1 1 DOCID-13/1911 | rev. 20191103.0 Copyright © 2019 ZOBEC Consulting. Všechna práva jsou vyhrazena. Tento dokument je poskytován "tak jak je" bez jakékoli záruky. Společnost ZOBEC Consulting se zříká všech záruk, výslovných, nebo předpokládaných, včetně záruk obchodovatelnosti a vhodnosti pro určitý účel. Společnost ZOBEC Consulting nebude v žádném případě zodpovědná za jakékoliv škody, včetně přímých, nepřímých, náhodných, následných, ztrát obchodních zisků, nebo zvláštních škod a to i v případě, že společnost ZOBEC Consulting byla upozorněna na možnost takových škod. Informace a názory vyjádřené v tomto dokumentu, včetně adres URL, nebo jiných odkazech se mohou změnit bez předchozího upozornění. Tento dokument používáte na vlastní riziko. Žádná část tohoto dokumentu nesmí být publikována a šířena žádným způsobem a v žádné podobě bez výslovného svolení vydavatele. Doporučené zabezpečení operačních systémů Windows a aplikací Michal ZOBEC | Senior IT Consultant Veřejné Úroveň omezení přístupu k dokumentu
Michal ZOBEC • Senior IT Consultant • PowerShell Developer • Packages Developer • 20 let praxe v IT oboru • 10 let praxe v mezinárodních korporacích Reference: https://www.linkedin.com/in/michalzobec/ 2 2
Obsah prezentace • Automatizace • Bezpečnost ICT • STIG • BitLocker & BitLocker To Go • AppLocker • Defender & Defender ATP • Adobe Reader • Hardware a software pro klientská zařízení • Hardware a software pro servery 3 3
Automatizace • Počítat s plnou automatizací. • Všechny dialogy, kromě dotazu na restart počítače by měly být potlačeny. 4 4
Bezpečnost ICT • Implementace STIG pro • Windows 10, • Windows Firewall, • BitLocker, • AppLocker, • Internet Explorer, • Edge, • Office, • Adobe Reader, • Google Chrome, • a další. 5 5
Bezpečnost ICT • Aktualizace • Zavedení pravidelných aktualizací OS a SW. • zero day kritické bezpečnostní aktualizace se aplikují v rámci několika dnů, nejdéle do týdne podle závažnosti • ostatní aktualizace se aplikují obvykle se zpožděním 3-6 týdnů a instalují se v pravidelných cyklech • AppLocker - zákaz spouštění nepodepsaných aplikací, či skriptů. • Application WhiteListing 6 6
Bezpečnost ICT • Zákaz spouštění nepodepsaných maker v Office. • Zákaz používání Flash Player/Shockwave Player. • Povinně režim Protected View v Adobe Reader s možností jej vypnout u každého dokumentu zvlášť. • Povinné zavedené šifrování veškeré síťové komunikace. Zrušení využívání nešifrovaných protokolů, tedy zejména HTTP a FTP. • Povinný zákaz zastaralých a zejména nebezpečných protokolů, například SMB v1 7 7
Bezpečnost ICT • Fyzická vrstva ochrany: BIOS/UEFI všech zařízení je nakonfigurován následně: • Přístup do nastavení UEFI pouze skrze heslo. heslo by mělo být pro každé zařízení unikátní na základě sériového čísla zařízení (generování hesla na základě SN). • Boot je možný pouze z pevného disku. • Boot po síti je možný pouze na heslo. • Pokud je to vyžadováno, jsou zablokovány všechny USB porty. 8 8
Security Technical Implementation Guide (STIG) • Co je STIG? • Security Technical Implementation Guide (STIG) je knihovna standardů pro zabezpečení v IT, která je povinná pro vládní organizace/agentury a ozbrojené složky USA. Implementace STIG patří mezi (povinné) součásti vládních/agenturních image s Windows (jmenuje se Windows Secure Host Baseline). • Ve výsledku tedy STIG popisuje, jak minimalizovat útoky po síti, nebo také útoky s využitím fyzického přístupu k zařízení. STIG popisuje také návrh firemní sítě, konfigurace směrovačů, bran firewall a serverů DNS. • Proč bych to měl používat? 9 9
BitLocker & BitLocker To Go • První vrstva zabezpečení OS • Proč je vhodné implementovat, příklady napadení OS • Rozdíl mezi BIOS locked drive, BitLocker a možná rizika • Zavádět PIN pro spuštění OS? • Požadování PINu blokuje některé formy útoku (čtení paměti). • Vyžaduje licenci Windows Pro, nebo vyšší. • Vyžaduje cca 1 GB spouštěcí oddíl (Boot Partition) 10 10
AppLocker • Druhá vrstva zabezpečení OS • Naprostá nezbytnost pokud to myslíte s bezpečností vážně • náročné na implementaci a především testování • Implementovat ověření na úrovni certifikátů • Je možné spouštět pouze aplikace dle vydavatele a schválené verze aplikace. Tím se silně zvedne úroveň bezpečnosti, která odstraní naprostou většinu běžných problémů. Jedná se o proces white listing aplikací. • vyžaduje licenci Windows Enterprise. 11 11
AppLocker • i když nepoužíváte moderní aplikace, je třeba některé moderní aplikace povolit: • Nabídka Start (ano, opravdu) • Kalkulačka • Prohlížeč obrázků 12 12
Defender & Defender ATP • Třetí vrstva zabezpečení OS • Aktivní monitoring, notifikace podezřelých akcí a stavů OS • Možnost vytvořit custom akce - uživatel například přejde na nějakou stránku, která nesouvisí s jeho prací, například facebook, messenger, instagram ... • Doporučená akce - blokovat & přesun objektu do karantény & notifikace (volitelně) • Defender ATP vyžaduje licenci Windows Enterprise. 13 13
Adobe Reader • Povinně režim Protected View • uživatel si jej může vypnout u každého dokumentu zvlášť. • zvedne se tím bezpečnost / sníží útoky skrze chyby v Adobe Reader • Bezpodmínečně zakázat • ActiveX obsah & Flash Player obsah & ShockWave obsah • další jiný aktivní obsah • skripty bude nutné povolit, protože některé formuláře bez nich nefungují a není možné je správně vyplnit. • vypnutí skriptů by vyžadovalo otestovat skutečně všechny PDF dokumenty a formuláře a počítat s tím, že se nesmí používat formuláře s aktivním obsahem. • typickým dodavatelem formulářů s aktivním obsahem jsou pojišťovny. 14 14
Hardware a software pro klientská zařízení • u notebooků povinně zavést šifrování pevných disků na úrovni OS Bitlocker. Obvykle je vyžadováno pro spuštění OS nutnost zadat PIN. Osobně doporučuji nevyžadovat zadání PINu. • u stolních počítačů je zavedení šifrování pevných disků na úrovni OS Bitlocker. Většinou zde není vyžadováno zadání PINu. 15 15
Hardware a software pro servery • fyzická bezpečnost u serverů je obvykle bezproblémová. nicméně se doporučuje povinně zavést šifrování pevných disků na úrovni OS Bitlocker. Pokud totiž dojde k fyzickému narušení bezpečnosti, tak toto je poslední "vrstva" ochrany. vzhledem k tomu, že server obsahuje všechna data na jednom místě, je vhodné toto zvážit. 16 16
Demo • Ukázka AppLocker 17 17
Demo • Ukázka STIG pro Google Chrome 18 18
Otázky a odpovědi Máte otázky? ☺ 19 19
Reference • Security Technical Implementation Guide (STIG) - seriál • https://www.michalzobec.cz/security-technical-implementation- guide-stig-1-uvodni-seznameni-5684 20 20
Kontakt Email: michal@zobec.net Messenger: https://m.me/michalzobec Web: https://www.michalzobec.cz Twitter: https://www.twitter.com/michalzobec LinkedIn: https://www.linkedin.com/in/michalzobec 21 21
Děkuji vám za pozornost 22 22

Recommended

Deployment OS Windows
Deployment OS WindowsDeployment OS Windows
Deployment OS WindowsMichal ZOBEC
 
Testing of corporate image and packages
Testing of corporate image and packagesTesting of corporate image and packages
Testing of corporate image and packagesMichal ZOBEC
 
Patch Management
Patch ManagementPatch Management
Patch ManagementMichal ZOBEC
 
Presentation about desktop virtualization for WUG (Czech only)
Presentation about desktop virtualization for WUG (Czech only)Presentation about desktop virtualization for WUG (Czech only)
Presentation about desktop virtualization for WUG (Czech only)Michal ZOBEC
 
Přechod na Windows 10 - jak na to ve firemních sítích
Přechod na Windows 10 - jak na to ve firemních sítíchPřechod na Windows 10 - jak na to ve firemních sítích
Přechod na Windows 10 - jak na to ve firemních sítíchMarketingArrowECS_CZ
 
Aktivace technologie Intel vPro v2
Aktivace technologie Intel vPro v2Aktivace technologie Intel vPro v2
Aktivace technologie Intel vPro v2Frantisek Fait
 
KeePass Advanced Using of Application
KeePass Advanced Using of ApplicationKeePass Advanced Using of Application
KeePass Advanced Using of ApplicationMichal ZOBEC
 
Presentation about VMware Workstation 6 (Czech only)
Presentation about VMware Workstation 6 (Czech only)Presentation about VMware Workstation 6 (Czech only)
Presentation about VMware Workstation 6 (Czech only)Michal ZOBEC
 

Recommended

Deployment OS Windows
Deployment OS WindowsDeployment OS Windows
Deployment OS WindowsMichal ZOBEC
 
Testing of corporate image and packages
Testing of corporate image and packagesTesting of corporate image and packages
Testing of corporate image and packagesMichal ZOBEC
 
Patch Management
Patch ManagementPatch Management
Patch ManagementMichal ZOBEC
 
Presentation about desktop virtualization for WUG (Czech only)
Presentation about desktop virtualization for WUG (Czech only)Presentation about desktop virtualization for WUG (Czech only)
Presentation about desktop virtualization for WUG (Czech only)Michal ZOBEC
 
Přechod na Windows 10 - jak na to ve firemních sítích
Přechod na Windows 10 - jak na to ve firemních sítíchPřechod na Windows 10 - jak na to ve firemních sítích
Přechod na Windows 10 - jak na to ve firemních sítíchMarketingArrowECS_CZ
 
Aktivace technologie Intel vPro v2
Aktivace technologie Intel vPro v2Aktivace technologie Intel vPro v2
Aktivace technologie Intel vPro v2Frantisek Fait
 
KeePass Advanced Using of Application
KeePass Advanced Using of ApplicationKeePass Advanced Using of Application
KeePass Advanced Using of ApplicationMichal ZOBEC
 
Presentation about VMware Workstation 6 (Czech only)
Presentation about VMware Workstation 6 (Czech only)Presentation about VMware Workstation 6 (Czech only)
Presentation about VMware Workstation 6 (Czech only)Michal ZOBEC
 
Webinář: Ochrana dat ve virtuálním prostředí pomocí nástroje Veeam B&R / 3.10...
Webinář: Ochrana dat ve virtuálním prostředí pomocí nástroje Veeam B&R / 3.10...Webinář: Ochrana dat ve virtuálním prostředí pomocí nástroje Veeam B&R / 3.10...
Webinář: Ochrana dat ve virtuálním prostředí pomocí nástroje Veeam B&R / 3.10...Jaroslav Prodelal
 
Přínosy správy mobilních zařízení a desktopové virtualizace
Přínosy správy mobilních zařízení a desktopové virtualizacePřínosy správy mobilních zařízení a desktopové virtualizace
Přínosy správy mobilních zařízení a desktopové virtualizaceMarketingArrowECS_CZ
 
Ochrana dat, monitoring a reporting pro prostředí VMware vSphere a Microsoft ...
Ochrana dat, monitoring a reporting pro prostředí VMware vSphere a Microsoft ...Ochrana dat, monitoring a reporting pro prostředí VMware vSphere a Microsoft ...
Ochrana dat, monitoring a reporting pro prostředí VMware vSphere a Microsoft ...Jaroslav Prodelal
 
Zálohování do cloudu pomocí Veeam Cloud Connect (BaaS)
Zálohování do cloudu pomocí Veeam Cloud Connect (BaaS)Zálohování do cloudu pomocí Veeam Cloud Connect (BaaS)
Zálohování do cloudu pomocí Veeam Cloud Connect (BaaS)Jaroslav Prodelal
 
Webinář: Zálohování a replikace ve VMware vSphere
Webinář: Zálohování a replikace ve VMware vSphereWebinář: Zálohování a replikace ve VMware vSphere
Webinář: Zálohování a replikace ve VMware vSphereJaroslav Prodelal
 
Výhody Software Defined Storage od VMware
Výhody Software Defined Storage od VMwareVýhody Software Defined Storage od VMware
Výhody Software Defined Storage od VMwareMarketingArrowECS_CZ
 
Přednáška Virtualizace, clustery a cloud computing (V3C)
Přednáška Virtualizace, clustery a cloud computing (V3C)Přednáška Virtualizace, clustery a cloud computing (V3C)
Přednáška Virtualizace, clustery a cloud computing (V3C)Jaroslav Prodelal
 
Veeam Backup & Replication v5
Veeam Backup & Replication v5Veeam Backup & Replication v5
Veeam Backup & Replication v5Jaroslav Prodelal
 
Od virtualizace serverů k virtualizaci desktopů. Nebo opačně?
Od virtualizace serverů k virtualizaci desktopů. Nebo opačně?Od virtualizace serverů k virtualizaci desktopů. Nebo opačně?
Od virtualizace serverů k virtualizaci desktopů. Nebo opačně?Jaroslav Prodelal
 
Webinář: Co nového přináší verze 9 jedničky v zálohování Veeam Backup & Repli...
Webinář: Co nového přináší verze 9 jedničky v zálohování Veeam Backup & Repli...Webinář: Co nového přináší verze 9 jedničky v zálohování Veeam Backup & Repli...
Webinář: Co nového přináší verze 9 jedničky v zálohování Veeam Backup & Repli...Jaroslav Prodelal
 
Jak zefektivnit vaši serverovou virtualizaci
Jak zefektivnit vaši serverovou virtualizaciJak zefektivnit vaši serverovou virtualizaci
Jak zefektivnit vaši serverovou virtualizaciMarketingArrowECS_CZ
 
Vyhodnocení semináře "Virtuální infrastruktura ve Vašich službách"
Vyhodnocení semináře "Virtuální infrastruktura ve Vašich službách"Vyhodnocení semináře "Virtuální infrastruktura ve Vašich službách"
Vyhodnocení semináře "Virtuální infrastruktura ve Vašich službách"Jaroslav Prodelal
 
Webinář: Ochrana dat ve virtuálním prostředí pomocí nástroje Veeam Backup & R...
Webinář: Ochrana dat ve virtuálním prostředí pomocí nástroje Veeam Backup & R...Webinář: Ochrana dat ve virtuálním prostředí pomocí nástroje Veeam Backup & R...
Webinář: Ochrana dat ve virtuálním prostředí pomocí nástroje Veeam Backup & R...Jaroslav Prodelal
 
Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...
Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...
Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...Jaroslav Prodelal
 
Webinář: Vylepšete ochranu virtuální infrastruktury - Veeam Backup & Replication
Webinář: Vylepšete ochranu virtuální infrastruktury - Veeam Backup & ReplicationWebinář: Vylepšete ochranu virtuální infrastruktury - Veeam Backup & Replication
Webinář: Vylepšete ochranu virtuální infrastruktury - Veeam Backup & ReplicationJaroslav Prodelal
 
Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...
Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...
Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...Jaroslav Prodelal
 
Webinář: Ochrana firemního perimetru za pomoci firewallů nové generace / 30.9...
Webinář: Ochrana firemního perimetru za pomoci firewallů nové generace / 30.9...Webinář: Ochrana firemního perimetru za pomoci firewallů nové generace / 30.9...
Webinář: Ochrana firemního perimetru za pomoci firewallů nové generace / 30.9...Jaroslav Prodelal
 
Webinář: Unikátní funkce a novinky ve Veeam Backup & Replication verze 7 / 27...
Webinář: Unikátní funkce a novinky ve Veeam Backup & Replication verze 7 / 27...Webinář: Unikátní funkce a novinky ve Veeam Backup & Replication verze 7 / 27...
Webinář: Unikátní funkce a novinky ve Veeam Backup & Replication verze 7 / 27...Jaroslav Prodelal
 
Semináře M-Files: Konec hledání řešení pro správu firemních dat
Semináře M-Files: Konec hledání řešení pro správu firemních datSemináře M-Files: Konec hledání řešení pro správu firemních dat
Semináře M-Files: Konec hledání řešení pro správu firemních datJaroslav Prodelal
 
Webinář: Novinky ve VMware vSphere 5
Webinář: Novinky ve VMware vSphere 5Webinář: Novinky ve VMware vSphere 5
Webinář: Novinky ve VMware vSphere 5Jaroslav Prodelal
 
Základy licencování 1 (čtvrtek, 25.5.2023)
Základy licencování 1 (čtvrtek, 25.5.2023)Základy licencování 1 (čtvrtek, 25.5.2023)
Základy licencování 1 (čtvrtek, 25.5.2023)Michal ZOBEC
 
Microsoft 365 & Azure Best Practices 1. (čtvrtek, 25.8.2022)
Microsoft 365 & Azure Best Practices 1. (čtvrtek, 25.8.2022)Microsoft 365 & Azure Best Practices 1. (čtvrtek, 25.8.2022)
Microsoft 365 & Azure Best Practices 1. (čtvrtek, 25.8.2022)Michal ZOBEC
 

More Related Content

What's hot

Webinář: Ochrana dat ve virtuálním prostředí pomocí nástroje Veeam B&R / 3.10...
Webinář: Ochrana dat ve virtuálním prostředí pomocí nástroje Veeam B&R / 3.10...Webinář: Ochrana dat ve virtuálním prostředí pomocí nástroje Veeam B&R / 3.10...
Webinář: Ochrana dat ve virtuálním prostředí pomocí nástroje Veeam B&R / 3.10...Jaroslav Prodelal
 
Přínosy správy mobilních zařízení a desktopové virtualizace
Přínosy správy mobilních zařízení a desktopové virtualizacePřínosy správy mobilních zařízení a desktopové virtualizace
Přínosy správy mobilních zařízení a desktopové virtualizaceMarketingArrowECS_CZ
 
Ochrana dat, monitoring a reporting pro prostředí VMware vSphere a Microsoft ...
Ochrana dat, monitoring a reporting pro prostředí VMware vSphere a Microsoft ...Ochrana dat, monitoring a reporting pro prostředí VMware vSphere a Microsoft ...
Ochrana dat, monitoring a reporting pro prostředí VMware vSphere a Microsoft ...Jaroslav Prodelal
 
Zálohování do cloudu pomocí Veeam Cloud Connect (BaaS)
Zálohování do cloudu pomocí Veeam Cloud Connect (BaaS)Zálohování do cloudu pomocí Veeam Cloud Connect (BaaS)
Zálohování do cloudu pomocí Veeam Cloud Connect (BaaS)Jaroslav Prodelal
 
Webinář: Zálohování a replikace ve VMware vSphere
Webinář: Zálohování a replikace ve VMware vSphereWebinář: Zálohování a replikace ve VMware vSphere
Webinář: Zálohování a replikace ve VMware vSphereJaroslav Prodelal
 
Výhody Software Defined Storage od VMware
Výhody Software Defined Storage od VMwareVýhody Software Defined Storage od VMware
Výhody Software Defined Storage od VMwareMarketingArrowECS_CZ
 
Přednáška Virtualizace, clustery a cloud computing (V3C)
Přednáška Virtualizace, clustery a cloud computing (V3C)Přednáška Virtualizace, clustery a cloud computing (V3C)
Přednáška Virtualizace, clustery a cloud computing (V3C)Jaroslav Prodelal
 
Veeam Backup & Replication v5
Veeam Backup & Replication v5Veeam Backup & Replication v5
Veeam Backup & Replication v5Jaroslav Prodelal
 
Od virtualizace serverů k virtualizaci desktopů. Nebo opačně?
Od virtualizace serverů k virtualizaci desktopů. Nebo opačně?Od virtualizace serverů k virtualizaci desktopů. Nebo opačně?
Od virtualizace serverů k virtualizaci desktopů. Nebo opačně?Jaroslav Prodelal
 
Webinář: Co nového přináší verze 9 jedničky v zálohování Veeam Backup & Repli...
Webinář: Co nového přináší verze 9 jedničky v zálohování Veeam Backup & Repli...Webinář: Co nového přináší verze 9 jedničky v zálohování Veeam Backup & Repli...
Webinář: Co nového přináší verze 9 jedničky v zálohování Veeam Backup & Repli...Jaroslav Prodelal
 
Jak zefektivnit vaši serverovou virtualizaci
Jak zefektivnit vaši serverovou virtualizaciJak zefektivnit vaši serverovou virtualizaci
Jak zefektivnit vaši serverovou virtualizaciMarketingArrowECS_CZ
 
Vyhodnocení semináře "Virtuální infrastruktura ve Vašich službách"
Vyhodnocení semináře "Virtuální infrastruktura ve Vašich službách"Vyhodnocení semináře "Virtuální infrastruktura ve Vašich službách"
Vyhodnocení semináře "Virtuální infrastruktura ve Vašich službách"Jaroslav Prodelal
 
Webinář: Ochrana dat ve virtuálním prostředí pomocí nástroje Veeam Backup & R...
Webinář: Ochrana dat ve virtuálním prostředí pomocí nástroje Veeam Backup & R...Webinář: Ochrana dat ve virtuálním prostředí pomocí nástroje Veeam Backup & R...
Webinář: Ochrana dat ve virtuálním prostředí pomocí nástroje Veeam Backup & R...Jaroslav Prodelal
 
Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...
Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...
Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...Jaroslav Prodelal
 
Webinář: Vylepšete ochranu virtuální infrastruktury - Veeam Backup & Replication
Webinář: Vylepšete ochranu virtuální infrastruktury - Veeam Backup & ReplicationWebinář: Vylepšete ochranu virtuální infrastruktury - Veeam Backup & Replication
Webinář: Vylepšete ochranu virtuální infrastruktury - Veeam Backup & ReplicationJaroslav Prodelal
 
Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...
Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...
Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...Jaroslav Prodelal
 
Webinář: Ochrana firemního perimetru za pomoci firewallů nové generace / 30.9...
Webinář: Ochrana firemního perimetru za pomoci firewallů nové generace / 30.9...Webinář: Ochrana firemního perimetru za pomoci firewallů nové generace / 30.9...
Webinář: Ochrana firemního perimetru za pomoci firewallů nové generace / 30.9...Jaroslav Prodelal
 
Webinář: Unikátní funkce a novinky ve Veeam Backup & Replication verze 7 / 27...
Webinář: Unikátní funkce a novinky ve Veeam Backup & Replication verze 7 / 27...Webinář: Unikátní funkce a novinky ve Veeam Backup & Replication verze 7 / 27...
Webinář: Unikátní funkce a novinky ve Veeam Backup & Replication verze 7 / 27...Jaroslav Prodelal
 
Semináře M-Files: Konec hledání řešení pro správu firemních dat
Semináře M-Files: Konec hledání řešení pro správu firemních datSemináře M-Files: Konec hledání řešení pro správu firemních dat
Semináře M-Files: Konec hledání řešení pro správu firemních datJaroslav Prodelal
 
Webinář: Novinky ve VMware vSphere 5
Webinář: Novinky ve VMware vSphere 5Webinář: Novinky ve VMware vSphere 5
Webinář: Novinky ve VMware vSphere 5Jaroslav Prodelal
 

What's hot (20)

Webinář: Ochrana dat ve virtuálním prostředí pomocí nástroje Veeam B&R / 3.10...
Webinář: Ochrana dat ve virtuálním prostředí pomocí nástroje Veeam B&R / 3.10...Webinář: Ochrana dat ve virtuálním prostředí pomocí nástroje Veeam B&R / 3.10...
Webinář: Ochrana dat ve virtuálním prostředí pomocí nástroje Veeam B&R / 3.10...
 
Přínosy správy mobilních zařízení a desktopové virtualizace
Přínosy správy mobilních zařízení a desktopové virtualizacePřínosy správy mobilních zařízení a desktopové virtualizace
Přínosy správy mobilních zařízení a desktopové virtualizace
 
Ochrana dat, monitoring a reporting pro prostředí VMware vSphere a Microsoft ...
Ochrana dat, monitoring a reporting pro prostředí VMware vSphere a Microsoft ...Ochrana dat, monitoring a reporting pro prostředí VMware vSphere a Microsoft ...
Ochrana dat, monitoring a reporting pro prostředí VMware vSphere a Microsoft ...
 
Zálohování do cloudu pomocí Veeam Cloud Connect (BaaS)
Zálohování do cloudu pomocí Veeam Cloud Connect (BaaS)Zálohování do cloudu pomocí Veeam Cloud Connect (BaaS)
Zálohování do cloudu pomocí Veeam Cloud Connect (BaaS)
 
Webinář: Zálohování a replikace ve VMware vSphere
Webinář: Zálohování a replikace ve VMware vSphereWebinář: Zálohování a replikace ve VMware vSphere
Webinář: Zálohování a replikace ve VMware vSphere
 
Výhody Software Defined Storage od VMware
Výhody Software Defined Storage od VMwareVýhody Software Defined Storage od VMware
Výhody Software Defined Storage od VMware
 
Přednáška Virtualizace, clustery a cloud computing (V3C)
Přednáška Virtualizace, clustery a cloud computing (V3C)Přednáška Virtualizace, clustery a cloud computing (V3C)
Přednáška Virtualizace, clustery a cloud computing (V3C)
 
Veeam Backup & Replication v5
Veeam Backup & Replication v5Veeam Backup & Replication v5
Veeam Backup & Replication v5
 
Od virtualizace serverů k virtualizaci desktopů. Nebo opačně?
Od virtualizace serverů k virtualizaci desktopů. Nebo opačně?Od virtualizace serverů k virtualizaci desktopů. Nebo opačně?
Od virtualizace serverů k virtualizaci desktopů. Nebo opačně?
 
Webinář: Co nového přináší verze 9 jedničky v zálohování Veeam Backup & Repli...
Webinář: Co nového přináší verze 9 jedničky v zálohování Veeam Backup & Repli...Webinář: Co nového přináší verze 9 jedničky v zálohování Veeam Backup & Repli...
Webinář: Co nového přináší verze 9 jedničky v zálohování Veeam Backup & Repli...
 
Jak zefektivnit vaši serverovou virtualizaci
Jak zefektivnit vaši serverovou virtualizaciJak zefektivnit vaši serverovou virtualizaci
Jak zefektivnit vaši serverovou virtualizaci
 
Vyhodnocení semináře "Virtuální infrastruktura ve Vašich službách"
Vyhodnocení semináře "Virtuální infrastruktura ve Vašich službách"Vyhodnocení semináře "Virtuální infrastruktura ve Vašich službách"
Vyhodnocení semináře "Virtuální infrastruktura ve Vašich službách"
 
Webinář: Ochrana dat ve virtuálním prostředí pomocí nástroje Veeam Backup & R...
Webinář: Ochrana dat ve virtuálním prostředí pomocí nástroje Veeam Backup & R...Webinář: Ochrana dat ve virtuálním prostředí pomocí nástroje Veeam Backup & R...
Webinář: Ochrana dat ve virtuálním prostředí pomocí nástroje Veeam Backup & R...
 
Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...
Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...
Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...
 
Webinář: Vylepšete ochranu virtuální infrastruktury - Veeam Backup & Replication
Webinář: Vylepšete ochranu virtuální infrastruktury - Veeam Backup & ReplicationWebinář: Vylepšete ochranu virtuální infrastruktury - Veeam Backup & Replication
Webinář: Vylepšete ochranu virtuální infrastruktury - Veeam Backup & Replication
 
Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...
Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...
Webinář: Nekupujte počítače a zjednodušte si život využíváním virtuálních des...
 
Webinář: Ochrana firemního perimetru za pomoci firewallů nové generace / 30.9...
Webinář: Ochrana firemního perimetru za pomoci firewallů nové generace / 30.9...Webinář: Ochrana firemního perimetru za pomoci firewallů nové generace / 30.9...
Webinář: Ochrana firemního perimetru za pomoci firewallů nové generace / 30.9...
 
Webinář: Unikátní funkce a novinky ve Veeam Backup & Replication verze 7 / 27...
Webinář: Unikátní funkce a novinky ve Veeam Backup & Replication verze 7 / 27...Webinář: Unikátní funkce a novinky ve Veeam Backup & Replication verze 7 / 27...
Webinář: Unikátní funkce a novinky ve Veeam Backup & Replication verze 7 / 27...
 
Semináře M-Files: Konec hledání řešení pro správu firemních dat
Semináře M-Files: Konec hledání řešení pro správu firemních datSemináře M-Files: Konec hledání řešení pro správu firemních dat
Semináře M-Files: Konec hledání řešení pro správu firemních dat
 
Webinář: Novinky ve VMware vSphere 5
Webinář: Novinky ve VMware vSphere 5Webinář: Novinky ve VMware vSphere 5
Webinář: Novinky ve VMware vSphere 5
 

Similar to OS & App Security

Základy licencování 1 (čtvrtek, 25.5.2023)
Základy licencování 1 (čtvrtek, 25.5.2023)Základy licencování 1 (čtvrtek, 25.5.2023)
Základy licencování 1 (čtvrtek, 25.5.2023)Michal ZOBEC
 
Microsoft 365 & Azure Best Practices 1. (čtvrtek, 25.8.2022)
Microsoft 365 & Azure Best Practices 1. (čtvrtek, 25.8.2022)Microsoft 365 & Azure Best Practices 1. (čtvrtek, 25.8.2022)
Microsoft 365 & Azure Best Practices 1. (čtvrtek, 25.8.2022)Michal ZOBEC
 
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)Michal ZOBEC
 
KeePass: Využití ve firmách a KeePass Enterprise (čtvrtek, 28.7.2022)
KeePass: Využití ve firmách a KeePass Enterprise (čtvrtek, 28.7.2022)KeePass: Využití ve firmách a KeePass Enterprise (čtvrtek, 28.7.2022)
KeePass: Využití ve firmách a KeePass Enterprise (čtvrtek, 28.7.2022)Michal ZOBEC
 
Microsoft 365 & Azure Best Practices 3 (čtvrtek, 1.12.2022)
Microsoft 365 & Azure Best Practices 3 (čtvrtek, 1.12.2022)Microsoft 365 & Azure Best Practices 3 (čtvrtek, 1.12.2022)
Microsoft 365 & Azure Best Practices 3 (čtvrtek, 1.12.2022)Michal ZOBEC
 
Microsoft 365 & Azure Best Practices 2. (čtvrtek, 29.9.2022)
Microsoft 365 & Azure Best Practices 2. (čtvrtek, 29.9.2022)Microsoft 365 & Azure Best Practices 2. (čtvrtek, 29.9.2022)
Microsoft 365 & Azure Best Practices 2. (čtvrtek, 29.9.2022)Michal ZOBEC
 
View5 technicka 2011
View5 technicka 2011View5 technicka 2011
View5 technicka 2011Vladan Laxa
 
Jak nám pomůže ochrana perimetru
Jak nám pomůže ochrana perimetruJak nám pomůže ochrana perimetru
Jak nám pomůže ochrana perimetruMarketingArrowECS_CZ
 
Podepisování dokumentů digitálním podpisem v praxi (čtvrtek, 27.10.2022)
Podepisování dokumentů digitálním podpisem v praxi (čtvrtek, 27.10.2022)Podepisování dokumentů digitálním podpisem v praxi (čtvrtek, 27.10.2022)
Podepisování dokumentů digitálním podpisem v praxi (čtvrtek, 27.10.2022)Michal ZOBEC
 
Manual Smart Vision SDK - dll video library
Manual Smart Vision SDK - dll video libraryManual Smart Vision SDK - dll video library
Manual Smart Vision SDK - dll video libraryWorkswell s.r.o.
 
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Security Session
 
O2 Firewally nové generace
O2 Firewally nové generaceO2 Firewally nové generace
O2 Firewally nové generaceMilan Petrásek
 
Základy licencování Oracle software
Základy licencování Oracle softwareZáklady licencování Oracle software
Základy licencování Oracle softwareMarketingArrowECS_CZ
 

Similar to OS & App Security (20)

Základy licencování 1 (čtvrtek, 25.5.2023)
Základy licencování 1 (čtvrtek, 25.5.2023)Základy licencování 1 (čtvrtek, 25.5.2023)
Základy licencování 1 (čtvrtek, 25.5.2023)
 
Microsoft 365 & Azure Best Practices 1. (čtvrtek, 25.8.2022)
Microsoft 365 & Azure Best Practices 1. (čtvrtek, 25.8.2022)Microsoft 365 & Azure Best Practices 1. (čtvrtek, 25.8.2022)
Microsoft 365 & Azure Best Practices 1. (čtvrtek, 25.8.2022)
 
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
KeePass: Základy, pokročilé využití a KeePass Enterprise (čtvrtek, 14.4.2022)
 
KeePass: Využití ve firmách a KeePass Enterprise (čtvrtek, 28.7.2022)
KeePass: Využití ve firmách a KeePass Enterprise (čtvrtek, 28.7.2022)KeePass: Využití ve firmách a KeePass Enterprise (čtvrtek, 28.7.2022)
KeePass: Využití ve firmách a KeePass Enterprise (čtvrtek, 28.7.2022)
 
Microsoft 365 & Azure Best Practices 3 (čtvrtek, 1.12.2022)
Microsoft 365 & Azure Best Practices 3 (čtvrtek, 1.12.2022)Microsoft 365 & Azure Best Practices 3 (čtvrtek, 1.12.2022)
Microsoft 365 & Azure Best Practices 3 (čtvrtek, 1.12.2022)
 
Microsoft 365 & Azure Best Practices 2. (čtvrtek, 29.9.2022)
Microsoft 365 & Azure Best Practices 2. (čtvrtek, 29.9.2022)Microsoft 365 & Azure Best Practices 2. (čtvrtek, 29.9.2022)
Microsoft 365 & Azure Best Practices 2. (čtvrtek, 29.9.2022)
 
View5 technicka 2011
View5 technicka 2011View5 technicka 2011
View5 technicka 2011
 
Jak nám pomůže ochrana perimetru
Jak nám pomůže ochrana perimetruJak nám pomůže ochrana perimetru
Jak nám pomůže ochrana perimetru
 
7 omylu v IT bezpečnosti
7 omylu v IT bezpečnosti7 omylu v IT bezpečnosti
7 omylu v IT bezpečnosti
 
Clanek intelvpro
Clanek intelvproClanek intelvpro
Clanek intelvpro
 
TNPW2-2013-06
TNPW2-2013-06TNPW2-2013-06
TNPW2-2013-06
 
Podepisování dokumentů digitálním podpisem v praxi (čtvrtek, 27.10.2022)
Podepisování dokumentů digitálním podpisem v praxi (čtvrtek, 27.10.2022)Podepisování dokumentů digitálním podpisem v praxi (čtvrtek, 27.10.2022)
Podepisování dokumentů digitálním podpisem v praxi (čtvrtek, 27.10.2022)
 
Manual Smart Vision SDK - dll video library
Manual Smart Vision SDK - dll video libraryManual Smart Vision SDK - dll video library
Manual Smart Vision SDK - dll video library
 
Implementace systemu HIPS
Implementace systemu HIPSImplementace systemu HIPS
Implementace systemu HIPS
 
TNPW2-2012-06
TNPW2-2012-06TNPW2-2012-06
TNPW2-2012-06
 
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
 
O2 Firewally nové generace
O2 Firewally nové generaceO2 Firewally nové generace
O2 Firewally nové generace
 
TNPW2-2016-04
TNPW2-2016-04TNPW2-2016-04
TNPW2-2016-04
 
Základy licencování Oracle software
Základy licencování Oracle softwareZáklady licencování Oracle software
Základy licencování Oracle software
 
TNPW2-2014-04
TNPW2-2014-04TNPW2-2014-04
TNPW2-2014-04
 

OS & App Security

  • 1. ZOBEC Consulting OS & App Security 1 1 DOCID-13/1911 | rev. 20191103.0 Copyright © 2019 ZOBEC Consulting. Všechna práva jsou vyhrazena. Tento dokument je poskytován "tak jak je" bez jakékoli záruky. Společnost ZOBEC Consulting se zříká všech záruk, výslovných, nebo předpokládaných, včetně záruk obchodovatelnosti a vhodnosti pro určitý účel. Společnost ZOBEC Consulting nebude v žádném případě zodpovědná za jakékoliv škody, včetně přímých, nepřímých, náhodných, následných, ztrát obchodních zisků, nebo zvláštních škod a to i v případě, že společnost ZOBEC Consulting byla upozorněna na možnost takových škod. Informace a názory vyjádřené v tomto dokumentu, včetně adres URL, nebo jiných odkazech se mohou změnit bez předchozího upozornění. Tento dokument používáte na vlastní riziko. Žádná část tohoto dokumentu nesmí být publikována a šířena žádným způsobem a v žádné podobě bez výslovného svolení vydavatele. Doporučené zabezpečení operačních systémů Windows a aplikací Michal ZOBEC | Senior IT Consultant Veřejné Úroveň omezení přístupu k dokumentu
  • 2. Michal ZOBEC • Senior IT Consultant • PowerShell Developer • Packages Developer • 20 let praxe v IT oboru • 10 let praxe v mezinárodních korporacích Reference: https://www.linkedin.com/in/michalzobec/ 2 2
  • 3. Obsah prezentace • Automatizace • Bezpečnost ICT • STIG • BitLocker & BitLocker To Go • AppLocker • Defender & Defender ATP • Adobe Reader • Hardware a software pro klientská zařízení • Hardware a software pro servery 3 3
  • 4. Automatizace • Počítat s plnou automatizací. • Všechny dialogy, kromě dotazu na restart počítače by měly být potlačeny. 4 4
  • 5. Bezpečnost ICT • Implementace STIG pro • Windows 10, • Windows Firewall, • BitLocker, • AppLocker, • Internet Explorer, • Edge, • Office, • Adobe Reader, • Google Chrome, • a další. 5 5
  • 6. Bezpečnost ICT • Aktualizace • Zavedení pravidelných aktualizací OS a SW. • zero day kritické bezpečnostní aktualizace se aplikují v rámci několika dnů, nejdéle do týdne podle závažnosti • ostatní aktualizace se aplikují obvykle se zpožděním 3-6 týdnů a instalují se v pravidelných cyklech • AppLocker - zákaz spouštění nepodepsaných aplikací, či skriptů. • Application WhiteListing 6 6
  • 7. Bezpečnost ICT • Zákaz spouštění nepodepsaných maker v Office. • Zákaz používání Flash Player/Shockwave Player. • Povinně režim Protected View v Adobe Reader s možností jej vypnout u každého dokumentu zvlášť. • Povinné zavedené šifrování veškeré síťové komunikace. Zrušení využívání nešifrovaných protokolů, tedy zejména HTTP a FTP. • Povinný zákaz zastaralých a zejména nebezpečných protokolů, například SMB v1 7 7
  • 8. Bezpečnost ICT • Fyzická vrstva ochrany: BIOS/UEFI všech zařízení je nakonfigurován následně: • Přístup do nastavení UEFI pouze skrze heslo. heslo by mělo být pro každé zařízení unikátní na základě sériového čísla zařízení (generování hesla na základě SN). • Boot je možný pouze z pevného disku. • Boot po síti je možný pouze na heslo. • Pokud je to vyžadováno, jsou zablokovány všechny USB porty. 8 8
  • 9. Security Technical Implementation Guide (STIG) • Co je STIG? • Security Technical Implementation Guide (STIG) je knihovna standardů pro zabezpečení v IT, která je povinná pro vládní organizace/agentury a ozbrojené složky USA. Implementace STIG patří mezi (povinné) součásti vládních/agenturních image s Windows (jmenuje se Windows Secure Host Baseline). • Ve výsledku tedy STIG popisuje, jak minimalizovat útoky po síti, nebo také útoky s využitím fyzického přístupu k zařízení. STIG popisuje také návrh firemní sítě, konfigurace směrovačů, bran firewall a serverů DNS. • Proč bych to měl používat? 9 9
  • 10. BitLocker & BitLocker To Go • První vrstva zabezpečení OS • Proč je vhodné implementovat, příklady napadení OS • Rozdíl mezi BIOS locked drive, BitLocker a možná rizika • Zavádět PIN pro spuštění OS? • Požadování PINu blokuje některé formy útoku (čtení paměti). • Vyžaduje licenci Windows Pro, nebo vyšší. • Vyžaduje cca 1 GB spouštěcí oddíl (Boot Partition) 10 10
  • 11. AppLocker • Druhá vrstva zabezpečení OS • Naprostá nezbytnost pokud to myslíte s bezpečností vážně • náročné na implementaci a především testování • Implementovat ověření na úrovni certifikátů • Je možné spouštět pouze aplikace dle vydavatele a schválené verze aplikace. Tím se silně zvedne úroveň bezpečnosti, která odstraní naprostou většinu běžných problémů. Jedná se o proces white listing aplikací. • vyžaduje licenci Windows Enterprise. 11 11
  • 12. AppLocker • i když nepoužíváte moderní aplikace, je třeba některé moderní aplikace povolit: • Nabídka Start (ano, opravdu) • Kalkulačka • Prohlížeč obrázků 12 12
  • 13. Defender & Defender ATP • Třetí vrstva zabezpečení OS • Aktivní monitoring, notifikace podezřelých akcí a stavů OS • Možnost vytvořit custom akce - uživatel například přejde na nějakou stránku, která nesouvisí s jeho prací, například facebook, messenger, instagram ... • Doporučená akce - blokovat & přesun objektu do karantény & notifikace (volitelně) • Defender ATP vyžaduje licenci Windows Enterprise. 13 13
  • 14. Adobe Reader • Povinně režim Protected View • uživatel si jej může vypnout u každého dokumentu zvlášť. • zvedne se tím bezpečnost / sníží útoky skrze chyby v Adobe Reader • Bezpodmínečně zakázat • ActiveX obsah & Flash Player obsah & ShockWave obsah • další jiný aktivní obsah • skripty bude nutné povolit, protože některé formuláře bez nich nefungují a není možné je správně vyplnit. • vypnutí skriptů by vyžadovalo otestovat skutečně všechny PDF dokumenty a formuláře a počítat s tím, že se nesmí používat formuláře s aktivním obsahem. • typickým dodavatelem formulářů s aktivním obsahem jsou pojišťovny. 14 14
  • 15. Hardware a software pro klientská zařízení • u notebooků povinně zavést šifrování pevných disků na úrovni OS Bitlocker. Obvykle je vyžadováno pro spuštění OS nutnost zadat PIN. Osobně doporučuji nevyžadovat zadání PINu. • u stolních počítačů je zavedení šifrování pevných disků na úrovni OS Bitlocker. Většinou zde není vyžadováno zadání PINu. 15 15
  • 16. Hardware a software pro servery • fyzická bezpečnost u serverů je obvykle bezproblémová. nicméně se doporučuje povinně zavést šifrování pevných disků na úrovni OS Bitlocker. Pokud totiž dojde k fyzickému narušení bezpečnosti, tak toto je poslední "vrstva" ochrany. vzhledem k tomu, že server obsahuje všechna data na jednom místě, je vhodné toto zvážit. 16 16
  • 18. Demo • Ukázka STIG pro Google Chrome 18 18
  • 19. Otázky a odpovědi Máte otázky? ☺ 19 19
  • 20. Reference • Security Technical Implementation Guide (STIG) - seriál • https://www.michalzobec.cz/security-technical-implementation- guide-stig-1-uvodni-seznameni-5684 20 20
  • 21. Kontakt Email: michal@zobec.net Messenger: https://m.me/michalzobec Web: https://www.michalzobec.cz Twitter: https://www.twitter.com/michalzobec LinkedIn: https://www.linkedin.com/in/michalzobec 21 21