2. Michal ZOBEC
• Senior IT Consultant
• PowerShell Developer
• Packages Developer
• 20 let praxe v IT oboru
• 10 let praxe v mezinárodních korporacích
Reference: https://www.linkedin.com/in/michalzobec/
2
2
3. Obsah prezentace
• Automatizace
• Bezpečnost ICT
• STIG
• BitLocker & BitLocker To Go
• AppLocker
• Defender & Defender ATP
• Adobe Reader
• Hardware a software pro klientská zařízení
• Hardware a software pro servery
3
3
4. Automatizace
• Počítat s plnou automatizací.
• Všechny dialogy, kromě dotazu na restart počítače by měly
být potlačeny.
4
4
5. Bezpečnost ICT
• Implementace STIG pro
• Windows 10,
• Windows Firewall,
• BitLocker,
• AppLocker,
• Internet Explorer,
• Edge,
• Office,
• Adobe Reader,
• Google Chrome,
• a další.
5
5
6. Bezpečnost ICT
• Aktualizace
• Zavedení pravidelných aktualizací OS a SW.
• zero day kritické bezpečnostní aktualizace se aplikují v rámci několika dnů,
nejdéle do týdne podle závažnosti
• ostatní aktualizace se aplikují obvykle se zpožděním 3-6 týdnů a instalují se v
pravidelných cyklech
• AppLocker - zákaz spouštění nepodepsaných aplikací, či
skriptů.
• Application WhiteListing
6
6
7. Bezpečnost ICT
• Zákaz spouštění nepodepsaných maker v Office.
• Zákaz používání Flash Player/Shockwave Player.
• Povinně režim Protected View v Adobe Reader s možností jej
vypnout u každého dokumentu zvlášť.
• Povinné zavedené šifrování veškeré síťové komunikace.
Zrušení využívání nešifrovaných protokolů, tedy zejména
HTTP a FTP.
• Povinný zákaz zastaralých a zejména nebezpečných
protokolů, například SMB v1
7
7
8. Bezpečnost ICT
• Fyzická vrstva ochrany: BIOS/UEFI všech zařízení je
nakonfigurován následně:
• Přístup do nastavení UEFI pouze skrze heslo. heslo by mělo být pro
každé zařízení unikátní na základě sériového čísla zařízení
(generování hesla na základě SN).
• Boot je možný pouze z pevného disku.
• Boot po síti je možný pouze na heslo.
• Pokud je to vyžadováno, jsou zablokovány všechny USB porty.
8
8
9. Security Technical Implementation
Guide (STIG)
• Co je STIG?
• Security Technical Implementation Guide (STIG) je knihovna
standardů pro zabezpečení v IT, která je povinná pro vládní
organizace/agentury a ozbrojené složky USA. Implementace STIG
patří mezi (povinné) součásti vládních/agenturních image s
Windows (jmenuje se Windows Secure Host Baseline).
• Ve výsledku tedy STIG popisuje, jak minimalizovat útoky po síti,
nebo také útoky s využitím fyzického přístupu k zařízení. STIG
popisuje také návrh firemní sítě, konfigurace směrovačů, bran
firewall a serverů DNS.
• Proč bych to měl používat?
9
9
10. BitLocker & BitLocker To Go
• První vrstva zabezpečení OS
• Proč je vhodné implementovat, příklady napadení OS
• Rozdíl mezi BIOS locked drive, BitLocker a možná rizika
• Zavádět PIN pro spuštění OS?
• Požadování PINu blokuje některé formy útoku (čtení paměti).
• Vyžaduje licenci Windows Pro, nebo vyšší.
• Vyžaduje cca 1 GB spouštěcí oddíl (Boot Partition)
10
10
11. AppLocker
• Druhá vrstva zabezpečení OS
• Naprostá nezbytnost pokud to myslíte s bezpečností vážně
• náročné na implementaci a především testování
• Implementovat ověření na úrovni certifikátů
• Je možné spouštět pouze aplikace dle vydavatele a schválené
verze aplikace. Tím se silně zvedne úroveň bezpečnosti, která
odstraní naprostou většinu běžných problémů. Jedná se o
proces white listing aplikací.
• vyžaduje licenci Windows Enterprise.
11
11
12. AppLocker
• i když nepoužíváte moderní aplikace, je třeba některé
moderní aplikace povolit:
• Nabídka Start (ano, opravdu)
• Kalkulačka
• Prohlížeč obrázků
12
12
13. Defender & Defender ATP
• Třetí vrstva zabezpečení OS
• Aktivní monitoring, notifikace podezřelých akcí a stavů OS
• Možnost vytvořit custom akce - uživatel například přejde na
nějakou stránku, která nesouvisí s jeho prací, například
facebook, messenger, instagram ...
• Doporučená akce - blokovat & přesun objektu do karantény
& notifikace (volitelně)
• Defender ATP vyžaduje licenci Windows Enterprise.
13
13
14. Adobe Reader
• Povinně režim Protected View
• uživatel si jej může vypnout u každého dokumentu zvlášť.
• zvedne se tím bezpečnost / sníží útoky skrze chyby v Adobe Reader
• Bezpodmínečně zakázat
• ActiveX obsah & Flash Player obsah & ShockWave obsah
• další jiný aktivní obsah
• skripty bude nutné povolit, protože některé formuláře bez nich
nefungují a není možné je správně vyplnit.
• vypnutí skriptů by vyžadovalo otestovat skutečně všechny PDF dokumenty a
formuláře a počítat s tím, že se nesmí používat formuláře s aktivním
obsahem.
• typickým dodavatelem formulářů s aktivním obsahem jsou pojišťovny.
14
14
15. Hardware a software pro klientská
zařízení
• u notebooků povinně zavést šifrování pevných disků na
úrovni OS Bitlocker. Obvykle je vyžadováno pro spuštění OS
nutnost zadat PIN. Osobně doporučuji nevyžadovat zadání
PINu.
• u stolních počítačů je zavedení šifrování pevných disků na
úrovni OS Bitlocker. Většinou zde není vyžadováno zadání
PINu.
15
15
16. Hardware a software pro servery
• fyzická bezpečnost u serverů je obvykle bezproblémová.
nicméně se doporučuje povinně zavést šifrování pevných
disků na úrovni OS Bitlocker. Pokud totiž dojde k fyzickému
narušení bezpečnosti, tak toto je poslední "vrstva" ochrany.
vzhledem k tomu, že server obsahuje všechna data na
jednom místě, je vhodné toto zvážit.
16
16