Повышение безопасности ISA Server 2004 (часть 1)

Опубликовано: 12 Апреля, 2023

Аудит сервера ISA 2004 может показать, что он не защищен и что этому следует уделить некоторое внимание. В этой статье специалист по безопасности шаг за шагом проведет специалиста по безопасности через процесс усиления защиты ISA Server 2004, сосредоточив внимание на процедурах, необходимых для помощи в создании и поддержке безопасной среды ISA Server 2004. Это включает в себя оценку трех категорий, включая защиту компьютера с ISA Server, защиту конфигурации ISA и, наконец, защиту работы ISA.

Одной из основных функций использования (ISA) Server 2004 является защита вашей сети или других ресурсов от атак злоумышленников. оптимизировать эту функциональность и обезопасить себя и доступ к самим ресурсам ISA.

Повышение безопасности — это процесс, с помощью которого можно усилить защиту конфигурации компьютера с брандмауэром ISA, а также операционной системы, в которой он работает.

Стороннее пентестирование

Тестирование на проникновение — отличный способ обнаружить дыры в вашей системе. Этот аудит должен проводиться опытной и хорошо разбирающейся сторонней организацией, и проверка биографических данных такой организации имеет важное значение. На самом деле подумайте о том, что произойдет, если уличный хакер проведет ваш пентест и найдет уязвимость, расскажет ли он вам или приготовит себе бэкдор? Выживают только параноики. Не просто доверяйте организации, проверяйте рекомендации и биографические данные, это может спасти вашу организацию. Затем пентест должен выявить определенные детали, которые помогут организации при разработке стратегии безопасности.

Усиление инфраструктуры Windows

В связи с этим нужно учитывать, как работает ISA-сервер, и укреплять операционную систему. Посмотрите на службы, права доступа к дискам, локальные учетные записи, доступ к утилитам и доступные программы. Дополнительную информацию об этом процессе можно найти по адресу: http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/hardeningwindows.mspx. Существует документ под названием Isaharden.doc, перейдите по ссылке для получения дополнительной информации.

Шаг 1: Защита компьютера с ISA-сервером

Первым шагом должен быть анализ очевидного, то есть определение того, физически защищен ли сервер ISA. Физическая безопасность может быть переведена в базовую безопасность; отсутствие этого типа безопасности может привести к серьезным последствиям, особенно потому, что злоумышленник может причинить физический вред и модифицировать сам ISA-сервер, получив несанкционированный физический доступ. Авторизованный физический доступ также вызывает беспокойство, если авторизованный персонал недостаточно обучен и бесконтрольно изменяет аппаратные и физические характеристики. Более подробная информация будет рассмотрена ниже.

Конфигурации могут применяться для обеспечения физической безопасности компьютера. Как только это будет проверено, специалист по безопасности может приступить к рассмотрению других основных проблем. Рекомендации по обеспечению безопасности компьютера с сервером ISA:

Физическая защита компьютера
 Это очевидный, но очень важный аспект для анализа, так как отсутствие физически защищенного компьютера представляет собой высокий риск безопасности, который потенциально может привести к несанкционированному доступу к серверу и его взлому, влияя на целостность ISA и, возможно, на сеть и любой прикрепленный ресурс. Чтобы избежать этой скрытой угрозы, необходимо убедиться, что компьютер ISA Server расположен в физически безопасной среде, которая всегда поддерживается и контролируется с упором на безопасный контролируемый доступ только для авторизованных лиц. Лучшей практикой являются дополнительные меры физической безопасности, такие как видеонаблюдение и регистрируемый контроль физического доступа. Проверка того, кто вошел в безопасное место, и доказательство того, что человек вошел, так же важны, как и сам технический контроль.

Управление обновлениями
 Пакеты обновления — это приложения, которые выпускаются после публичного выпуска определенного программного продукта. Если в уже выпущенном продукте обнаруживается недостаток, для этого продукта разрабатывается оперативное исправление, которое после объединения этих исправлений образует пакет обновлений. Продукт не работает должным образом без пакетов обновлений. Некоторые пакеты обновления добавляют функциональные возможности и исправляют функциональные возможности, которые могут иметь логические или косвенные недостатки. Также время от времени выпускаются исправления безопасности для исправления областей программного обеспечения, которые имеют уязвимости и которые не были защищены программистами. Обычно ISA-сервер не подвержен этим недостаткам, и это распространенное заблуждение, что это так, поскольку ISA установлена в Windows, она уязвима, хотя на самом деле это не так. Брандмауэры ISA блокируют весь входящий и исходящий трафик локального хоста. Это достигается путем установки программного обеспечения типа LSP для сетевой связи нижнего уровня, которое перехватывает весь трафик. Весь трафик будет сканироваться движком ISA, и только если трафик разрешен, уязвимость может быть обнаружена и использована.

Миллионы пользователей ежедневно используют платформу Windows, и многие из этих пользователей являются программистами и людьми с продвинутыми техническими навыками. Некоторым из этих людей нравится проводить стресс-тесты и находить уязвимости в платформе Windows. Когда уязвимость обнаружена, могут пройти дни или даже недели, прежде чем поставщики программного обеспечения напишут эффективное исправление, которое будет опубликовано. Это особенно верно для альтернативного программного обеспечения, которое не имеет такой финансовой поддержки и поддержки, как коммерческое проприетарное программное обеспечение. Вероятность того, что вашу машину просканируют и найдут уязвимость, выше, чем вы себе представляете. Во время работы в очень крупном интернет-провайдере менеджер по безопасности показал мне совершенно новую установку операционной системы на настольном компьютере без исправлений. В течение десяти минут компьютер был просканирован другими зараженными хостами, и червь заразил компьютер.

Решение:
 Обновляйте все компьютеры в сети и регулярно проверяйте у Microsoft и других поставщиков выпуски исправлений для программного обеспечения, которое вы можете использовать. Вы можете захотеть автоматизировать этот процесс, но тестирование исправлений и его результаты должны быть проверены. Недооценка этой функции может стоить вашей организации многих часов простоя, что равнозначно убыткам. Если вы не хотите стать статистикой, убедитесь, что ваши машины правильно исправлены.

Определение членства в домене:
 Это необходимо учитывать только в том случае, если сервер ISA будет настроен как член домена. Сервер ISA никогда не следует запускать в качестве контроллера домена, хотя он может и на SBS (сервере малого бизнеса) некоторые модификации делают это возможным. В некоторых конфигурациях с высоким уровнем безопасности может потребоваться полная изоляция домена. Помните, что когда компьютер является частью домена, он имеет доступ к домену, даже если это может быть проверка учетных записей, он все равно представляет угрозу. Злоумышленник будет искать компьютер, который может выполнять грязную работу, например выполнять поиск в домене для проверки учетных записей пользователей и/или аутентификации.

Рекомендации по учетным записям:
 Если вы используете Windows NT и более поздние версии, убедитесь, что ваша административная учетная запись защищена. Хорошей практикой является переименование учетной записи во что-то обычное, а затем повторное создание другой учетной записи с именем администратора. Предоставление этой учетной записи самых ограничительных привилегий создаст трудности для любого злоумышленника, если ему удастся получить доступ к вашей административной учетной записи-приманке. Однако злоумышленник, который понимает, как отображается информация об учетной записи, быстро определит учетные записи с наивысшими привилегиями. Аутентификация учетной записи в сети, например, от сервера ISA к контроллеру домена, если она не защищена должным образом, может быть серьезной уязвимостью. По этой причине в средах с высоким уровнем безопасности может иметь смысл иметь эксклюзивную сетевую карту для аутентификации в домене, чтобы трафик не проходил через обычную сеть, которую можно перехватить. В этой среде конфиденциальность удостоверения пользователя представляет большой риск, и если выделенную сетевую карту нельзя использовать, следует подумать о шифровании.

Некоторые учетные записи на сервере ISA не нужны, и это можно легко проверить и проверить. Настоятельно рекомендуется удалить ненужные учетные записи, а не отключать их. Это нужно сделать до установки ISA. Я настоятельно рекомендую не добавлять никакие другие учетные записи на более позднем этапе, так как это может привести к физической угрозе безопасности.

Резюме

Во второй части этой статьи будут обсуждаться дополнительные советы по закалке. Исправления и элементы физической безопасности — это хорошо, но это не все, что можно сделать для защиты вашего ISA-сервера. Прочтите вторую часть этой статьи, чтобы завершить это обучение и предоставить вашей организации комплексное решение.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023