终端安全求生指南（四）--安全配置管理

安全配置管理

默认的配置是给予最高的可用性和最少的安全性。

创新互联公司专业为企业提供周村网站建设、周村做网站、周村网站设计、周村网站制作等企业网站建设、网页设计与制作、周村企业网站模板建站服务，十多年周村做网站经验，不只是建网站，更提供有价值的思路和整体网络服务。

巩固默认配置将会减少许多终端安全事件，此外，任何规范性的合规政策首先都有一个开箱即用的指导，因此这是一个合理的开始。

安全配置管理准则：

A、正确的配置会随时间的推移而发生改变：系统配置的方法有百万种，安全，高可用，性能的正确组合通常需要有一个与时俱进的判断，除非你的标准是合法的且一成不变，不要笑-这是一个可行性的选择。

B、针对终端的安全策略需要进行周期性的评估：即使你已经通过不计其数的会议得到了最好的配置，他将变得过时，当业务和任务发生改变时，软件更新时，或者一个新的暴露被检测到，然后我们需要更新策略来对抗他们，这是通常是与年度审计工作相关结合的工作，但是当重要的业务发生变化时，这项工作就需要实时开展。

C、不必要的服务和端口是非常危险的：在软件发现的时候使用应用和服务识别来开始消减与业务无关的事物，不需要的web服务器，未经授权的文件分享软件，媒体播放器和不使用的程序都需要被找出来，然后关掉他。

D、用户和他们的访问：用户凭证在现今威胁风暴当中变成了一个新的目标，***频繁地追踪可用的账户和凭证，但是没有受到严密的监控与积极使用。一旦这些账户和凭证变得合法之后，***就可以轻松地逃避检测，因为他们的活动就是正常业务的一部分。***使用多种技术来盗取雇员的凭证，因此他们可以进入公司的系统和网络。复杂的网络钓鱼活动可以欺骗甚至最多疑的用户在欺诈性网站上输入他们的凭证，高级恶意软件可以让信息罪犯抓取雇员的凭证当他们在受感染的终端上输入时，更有甚者，信息犯不需要尝试通过他们的雇员获取公司凭证。在第三方站点上重复使用公司的凭证是非常常见的，因此一些犯罪体集中精力通过社会工程学来盗取登陆凭证。要知道这是一个好的机会供给他们进入公司的系统。

另一个担忧是内部不满意的员工，当雇员离开时，如果账户没及时地消除，那么将会被内部人员或者外部演员滥用，举个例子，一个终止合同的不满意的雇员可以通过远程进入公司系统将会产生很多潜在的问题。

 

BOOT CAMP

1、标准的操作流程：通过标准的流程来加固你的软件 平台和软件，这个程序的目标是提供一个枚举的设置来让每个系统管理员都可以实施。针对安全最佳实践进行程序验证，例如CIS，同样可以让你的标准化操作步骤变得更加容易。所有的组织都有例外，CEO可能坚持使用MAC或者市场部要求一个新的编辑软件，确保所有的例外都需要有一个标准的配置并且注明所有者和有效期，当逾期时必须重新进行评估与审核。

2、使用安全黄金镜像：新的系统需要使用包含管理镜像的标准镜像，如果系统受到影响，最常用，快速，容易的方法就是替代他通过一个安全的镜像，代替花费大量时间去人工修复终端。确保部署这些系统升级是合法的，因此这些改变针对所有者和响应者来讲是与之相关的文件留档。

3、老软件：一个最重要的考虑针对此你的安全态势而言是选择一个好的工具和应用可以运行在你的环境当中，很多的***都采用老的脆弱性（存在于OS或者部署的软件当中），检查制造商的更新与补丁和老软件的全部安全须知是非常重要的，确保标注出所有的潜在的脆弱性，哪些需要采用补丁之外的其他方法去减轻，选择一个套标准的应用将同样让你可以检测异常现象和未授权的安装，在你的日常软件审计当中。

4、监控谁“进来”了：管理员和终端账户，是可以被用来审计和创造相关规则的，需要认真地进行监控，设立自动化告警来标记那些水经授权的账户活动，设立策略来要求用户经常改变他的凭证，并且通过不定期的安全意识训练来训练用户。

5、使用安全的通信：不加密的通信和凭证可能被***者拦截和再利用，因此确保远程协议采用强加密的，如果强加密针对应用不可用，你可能需要认真考虑移除授权的列表，或者采用其他措施来加固资产。这些包含与之相关的网络和终端，服务器针对访问的强制管理。

 

ADVANCED TRAINING(监控所有事物)

6、监控所有改变的事：现在你已经清楚地识别到什么是系统配置的安全基线，这需要查看每一个资产类型，针对安全基线监控所有系统变更，tripwire enterprise，可确保日常业务变更自动提升。并且授权的非常规业务变更是被允许的。

7、监控所有事物，包含OT，IIOT设备是一个挑战，因为OT硬件经常使用私有协议，告诉你的SCM向量有关于他们的能力TO动作IIOIIOT设备IOT设备的监视。

8、针对管理员账户进行告警：针对每次使用administrator和root账户时，同样地自动化关系事件链在登陆的地方，登陆系统所做的事等等，监控网络事件和跟踪告警当伪造的或者黑名单IP被检测到的时候，告警需要发布，结合网络和系统事件，可能未被授权和系统破坏。

COMBAT READY

9、综合分析：将将针对系统进行未授权变更告警作为事件发送，并且针对SIEMs针对安全事件管理和关联，自动化的端口与服务检测，同样针对新的用户。

复杂、冲突的策略可以应用至特别的用户和终端组合，你同样可以监控RSoP来计算终端窗口多重设置带来的累积影响。RSoP是策略设置组针对特殊用户的影响，无论什么样的可能，自动调和这些变化，tripwrie log center可以合并日志通过所有的出口点和告警，当这些需要直接使用代理，但是未被检测的。

tripwire log center可以扮演接收SIEM，日志分析 系统 和事件关联，这这助于节省开支，当转发至SIEM产品基于大量的数据进程。

本文名称：终端安全求生指南（四）--安全配置管理
文章分享：http://cdxtjz.cn/article/jdocei.html