Стратегии безопасности Presenter Name Job Title Microsoft

Содержание Введение Введение Стратегии управления обновлениями исправлений (Patch Management) Стратегии управления обновлениями исправлений (Patch Management) Стратегии удаленного доступа Стратегии удаленного доступа Построение защищенных конфигураций Построение защищенных конфигураций

Защита на всех уровнях Упрощает процесс обнаружения вторжения Упрощает процесс обнаружения вторжения Снижает шансы атакующего на успех Снижает шансы атакующего на успех Политики и процедуры Защита ОС, управление обновлениями, аутентификация Межсетевые экраны, Карантин VPN-соединений Охрана, средства наблюдения Сегментация сети, IP Security, Система обнаружения вторжений Защита приложений, антивирусные системы Списки контроля доступа, шифрование Обучение пользователей Физическая защита Периметр Внутренняя сеть Компьютер Приложения Данные

Основные проблемы обеспечения безопасности Управление обновлениями (Patch management) Управление обновлениями (Patch management) Безопасный удаленный доступ Безопасный удаленный доступ Реализация политики безопасности Реализация политики безопасности

Содержание Введение Введение Стратегии управления исправлениями (Patch Management) Стратегии управления исправлениями (Patch Management) Стратегии удаленного доступа Стратегии удаленного доступа Построение защищенных конфигураций Построение защищенных конфигураций

Важность своевременной установки исправлений Название атаки Публичная известность MSRC крити- чность Бюллетень MSRC MSRC выход бюллетеня Дней до атаки Trojan.Kaht 5-май-03Критич.MS SQL Slammer 24-янв-03Критич.MS Klez-E 17-янв-02N/AMS Nimda 18-сен-01N/AMS Code Red 16-июль-01N/AMS

Процесс управления установки 1. Определение среды для установки заплат Периодически A. Реестр систем B. Архитектура установки заплат C. Обзор инфраструктуры/ конфигурации Постоянно A. Новые объекты для защиты B. Инвентаризация клиентов 1. Оценка 2. Идент. 4. Внедре- ние 3. План 2.Идентификация новых заплат Задачи A. Новые заплаты B. Определение важности C. Выяснение принадлежности неизменности 3.Исследование и планирование внедрения Задачи A. Получение разрешения на установку заплаты B. Определение рисков C. Планирование внедрение заплат D. Финальное тестирование заплат 4. Внедрение заплат Задачи A. Распространение и установка заплат B. Отчеты о прогрессе C. Обработка исключительных ситуаций D. Отчет о внедрении

Как узнать о выходе исправления Подписаться на службы уведомления Подписаться на службы уведомления Microsoft Security Notification Service Microsoft Security Notification Service Списки рассылки, новостные группы третьих фирм Списки рассылки, новостные группы третьих фирм На веб-сайте На веб-сайте На сайтах продуктов На сайтах продуктов На сайтах третьих фирм На сайтах третьих фирм Реализуйте регулярное изучение заплат и составьте график их установки Реализуйте регулярное изучение заплат и составьте график их установки Каждый второй вторник месяца Microsoft выпускает исправления для своих продуктов Каждый второй вторник месяца Microsoft выпускает исправления для своих продуктов Исключение: когда есть существенный риск Исключение: когда есть существенный риск Настройте автоматические инструменты для ежедневных проверок Настройте автоматические инструменты для ежедневных проверок

Когда устанавливать исправления Как можно скорее Как можно скорее Только после тестирования Только после тестирования С учетом возможных побочных эффектов С учетом возможных побочных эффектов В соответствии с уровнем критичности В соответствии с уровнем критичности Критич- ность Определение Срок установки Критическая Угроза Интернет-червя типа Code Red или Nimda в случае не принятия мер пользователем В 24 часа Важная Угроза компрометации систем, целостности данных, конфиденциальности или доступности 1 месяц Умеренная Угроза серьезная, но может быть минимизирована благодаря настройкам по умолчанию, аудитом, необходимостью выполнения определенных действий пользователем или сложностью в реализации До выхода следующего сервис- пака или исправления по нескольким ошибкам сразу или 4 месяца максимум Низкая Сложная реализация атаки или низкая угроза До выхода следующего пакета исправлений и дополнений или пакета исправления по нескольким ошибкам или в течении года

Инструменты Microsoft для управления установкой исправлений Инструменты анализа Microsoft Baseline Security Analyzer (MBSA) Office Inventory Tool Онлайновые службы Windows Update Office Update Каталоги обновлений Windows Update Catalog Office Download Catalog Microsoft Download Center Средства управления Automatic Updates (AU) в Windows Software Update Services (SUS) Systems Management Server (SMS) Руководства Patch Management Using SUS Microsoft Guide to Security Patch Management Patch Management Using SMS

Основные преимущества MBSA Автоматическая идентификация отсутствия необходимых исправлений и проблем в настройках системы безопасности Автоматическая идентификация отсутствия необходимых исправлений и проблем в настройках системы безопасности Позволяет администраторам централизованно сканировать большое количество систем одновременно Позволяет администраторам централизованно сканировать большое количество систем одновременно Работает с целым спектром программного обеспечения от Microsoft (не только Windows и Office) Работает с целым спектром программного обеспечения от Microsoft (не только Windows и Office)

Как работает MBSA Файл MSSecure.xml Названия бюллетеней безопасности Исправления для продуктов Версию и контрольную сумму Ключи реестра Номера статей в базе знаний Microsoft Download Center MSSecure.xml 2. Скачивает CAB с MSSecure.xml и проверяет цифровую подпись 1. Администратор запускает MBSA и определяет цели 3. Сканирует целевые системы по ОС, компонентам и приложениям 4. Проверяет какие обновления доступны 5. Проверяет все ли установлены 6. Создает отчет о неустановленных заплатках MBSA Computer

Автоматизация MBSA MBSA Scan (GUI) MBSA Scan (GUI) Для малых и средних сетей Для малых и средних сетей MBSA Scan (mbsacli.exe) MBSA Scan (mbsacli.exe) Автоматическое сканирование из командной строки с параметрами Автоматическое сканирование из командной строки с параметрами Example: mbsacli /d mydomain /f report.txt Example: mbsacli /d mydomain /f report.txt MBSA Scan в режиме HFNetChk (mbsacli.exe /hf) MBSA Scan в режиме HFNetChk (mbsacli.exe /hf) Автоматически сканирует из командной строки Автоматически сканирует из командной строки Проверяет только на неустановленные заплаты Проверяет только на неустановленные заплаты Пример: mbssacli -hf -o tab –f report.txt Пример: mbssacli -hf -o tab –f report.txt MBSA и Windows Update могут показывать разные результаты MBSA и Windows Update могут показывать разные результаты

Примеры использования MBSA из командной строки Сканирование всех компьютеров в удаленном офисе: Сканирование всех компьютеров в удаленном офисе: Mbsacli /r /sus /n SQL /f \\server\share\SUSScan.txt Mbsacli /r /sus /n SQL /f \\server\share\SUSScan.txt Сканирование группы серверов на установленные исправления: Сканирование группы серверов на установленные исправления: Mbsacli -hf –fh d:\Serverlist.txt –o tab –v –f D:\HFScan.txt Mbsacli -hf –fh d:\Serverlist.txt –o tab –v –f D:\HFScan.txt

Демонстрация Использование MBSA Параметры командной строки MBSA Просмотр журналов MBSA Использование MBSA для создания скриптов

Автоматическая установка исправлений и мониторинг с Software Update Service Скачивает все пакеты исправлений, критические исправления и т.п. Скачивает все пакеты исправлений, критические исправления и т.п. Предоставляет администраторам контроль за установкой исправлений Предоставляет администраторам контроль за установкой исправлений Блокирует несанкционированную установку исправлений при использовании SUS с Automatic Updates Блокирует несанкционированную установку исправлений при использовании SUS с Automatic Updates Может работать в режиме тестирования Может работать в режиме тестирования Работает на Windows 2000 и более поздних версиях Работает на Windows 2000 и более поздних версиях

Сценарии использования Update Service 1. Используйте SUS для управления процессом установки исправлений с Windows Update 2. Используйте SUS для управления внедрением исправлений 3. Используйте SUS для управления установкой исправлений в рамках всей сети предприятия

Software Update Service Сценарий 1 SUS Server 1. SUS server загружает исправления и метаданные 3. Automatic Update получает список подтвержденных обновлений с SUS server 4. Automatic Update загружает подтвержденные обновления с Windows Update Windows Update Service 2. Администратор, проверяет и подтверждает обновления Firewall Windows Update Service

Software Update Service Сценарий 1 Когда использовать данный сценарий Когда использовать данный сценарий В маленьком офисе с одним сервером SUS и высокоскоростным каналом в Интернет В маленьком офисе с одним сервером SUS и высокоскоростным каналом в Интернет В случае нескольких офисов с одним сервером SUS; каждый офис имеет прямое подключение к Интернет В случае нескольких офисов с одним сервером SUS; каждый офис имеет прямое подключение к Интернет Когда не использовать Когда не использовать Если есть ограничения на скорость доступа в Интернет Если есть ограничения на скорость доступа в Интернет Если несколько офисов имеют единый канал доступа к Интернету Если несколько офисов имеют единый канал доступа к Интернету

Software Update Service Сценарий 2 SUS Server 1. SUS server скачивает обновления и метаданные 3. Automatic Update получает список подтвержденных обновлений с SUS server 4. Automatic Update скачивает обновления с SUS server Windows Update Service 2. Администратор подтверждает обновления Firewall

Software Update Service Сценарий 2 Когда использовать: Когда использовать: Для управления процессом установки обновлений в офисе с одним или несколькими серверами SUS Для управления процессом установки обновлений в офисе с одним или несколькими серверами SUS В нескольких офисах с одним сервером SUS и высокоскоростными каналами между офисами В нескольких офисах с одним сервером SUS и высокоскоростными каналами между офисами Когда не использовать: Когда не использовать: В нескольких офисах с ограниченной пропускной способностью каналов связи между ними В нескольких офисах с ограниченной пропускной способностью каналов связи между ними

Software Update Service Сценарий 3 Parent SUS Server 1. SUS server скачивает обновления 3. Подтверждения синхронизируются с потомками SUS servers 4. Automatic Updates получает список с SUS server 6. Automatic Update скачивает обновления с Windows Update 5. Automatic Update скачивает обновления с SUS server Windows Update Service Child SUS Server Windows Update Service 2. Администратор подтверждает обновления Firewall

Software Update Service Сценарий 3 Когда использовать: Когда использовать: В компаниях с несколькими офисами и медленными каналами связи между ними В компаниях с несколькими офисами и медленными каналами связи между ними При наличии большого числа рабочих станций в офисе При наличии большого числа рабочих станций в офисе Использовать Network Load Balancing Использовать Network Load Balancing В компаниях с несколькими офисами и смесью WAN и Интернет соединений В компаниях с несколькими офисами и смесью WAN и Интернет соединений Не использовать Не использовать При малом числе клиентских компьютеров в одном офисе При малом числе клиентских компьютеров в одном офисе

Управление сложными установками SUS Центральное управление и подтверждение установки исправлений Центральное управление и подтверждение установки исправлений Domain Member Server GPO Member Servers SUS Test GPO RO1 GPO HO GPO RO2 GPO HO Workstations RO1 Workstations RO2 Workstations Назначается для OU и GPO для управления Назначается для OU и GPO для управления Используйте шаблон WUAU.ADM template для настройки AU на рабочих станциях Используйте шаблон WUAU.ADM template для настройки AU на рабочих станциях Назначьте GPO к OU Назначьте GPO к OU

Software Update Service Советы Просматривайте каждое обновление Просматривайте каждое обновление Скачайте и установите Скачайте и установите Проверьте каждое обновление перед внедрением Проверьте каждое обновление перед внедрением Разверните тестовую лабораторию Разверните тестовую лабораторию Установите тестовый сервер SUS Установите тестовый сервер SUS Можно использовать Virtual PC в лаборатории Можно использовать Virtual PC в лаборатории Разработайте и примените стандартную процедуру приемки тестов Разработайте и примените стандартную процедуру приемки тестов

Software Update Service Советы Пилотное внедрение Пилотное внедрение Настройте дочерний сервер SUS для подтверждения обновлений Настройте дочерний сервер SUS для подтверждения обновлений Настройте групповую политику таким образом, чтобы обновления скачивались только с пилотного сервера SUS и только для определенных рабочих станций Настройте групповую политику таким образом, чтобы обновления скачивались только с пилотного сервера SUS и только для определенных рабочих станций Если пилотный проект провалился – удалите разрешение на установку обновления на сервере SUS и вручную удалите исправление с рабочих станций Если пилотный проект провалился – удалите разрешение на установку обновления на сервере SUS и вручную удалите исправление с рабочих станций Завершите внедрение Завершите внедрение

Использование корпоративных систем управления для установки обновлений System Management Server (SMS) 2003 System Management Server (SMS) 2003 Полный контроль для администраторов за установкой исправлений Полный контроль для администраторов за установкой исправлений Автоматический процесс управления Автоматический процесс управления Обновляет целый спектр ПО от Microsoft Обновляет целый спектр ПО от Microsoft Обновляет ПО третьих фирм Обновляет ПО третьих фирм Позволяет использовать скрипты для увеличения гибкости Позволяет использовать скрипты для увеличения гибкости Решения третьих фирм Решения третьих фирм Интеграция с решениями третьих фирм посредством скриптов Интеграция с решениями третьих фирм посредством скриптов

Что делает SMS 2. Сканирует SMS клиентов 1. Установка: Скачивает информацию о обновлениях для Windows, Office и т.п., запускает инвентаризацию 3. Информация о сканировании в центральной базе 4. Администратор запускает Distribute Software Updates Wizard для авторизации обновлений 6. Software Update Installation Agent устанавливает требуемые обновления 7. Периодически процесс повторяется со сканированием и т.п. 5. Загружаются файлы обновлений, пакеты реплицируются и программы устанавливаются на клиентах Microsoft Download Center Firewall SMS Site Server SMS Distribution Point SMS Clients

Демонстрация 2 SMS 2003 Внедрение исправлений с использованием Distribute Software Updates Wizard Демонстрация 2 SMS 2003 Внедрение исправлений с использованием Distribute Software Updates Wizard

Решения третьих фирм ФирмаПродуктURL Altiris, Inc.Altiris Patch Managementhttp:// BigFix, Inc.BigFix Patch Managerhttp:// Configuresoft, Inc.Security Update Managerhttp:// Ecora, Inc.Ecora Patch Managerhttp:// GFI Software, Ltd. GFI LANguard Network Security Scanner Gravity Storm Software, LLC Service Pack Manager 2000http:// LANDesk Software, LtdLANDesk Patch Managerhttp:// Novadigm, Inc.Radia Patch Managerhttp:// PatchLink Corp.PatchLink Updatehttp:// Shavlik TechnologiesHFNetChk Prohttp:// St. Bernard SoftwareUpdateExperthttp://

Обновление Microsoft Office Office Inventory Tool Office Inventory Tool Office Update Office Update Исправления для Office, которым требуются оригинальные файлы Исправления для Office, которым требуются оригинальные файлы Кеширование файлов для установки для Office 2003 Кеширование файлов для установки для Office 2003 Обновление контрольных точек для установки Обновление контрольных точек для установки

Демонстрация Office Inventory Tool Анализ Office Преобразование файлов с Office Update

Наилучшие стратегии управления обновлениями Используйте контроль за изменениями Используйте контроль за изменениями Прочтите всю необходимую документацию Прочтите всю необходимую документацию Устанавливайте обновления только если они нужны Устанавливайте обновления только если они нужны Тестируйте обновления перед установкой во всей сети Тестируйте обновления перед установкой во всей сети Поддерживайте единую политику обновлений на всех контроллерах домена Поддерживайте единую политику обновлений на всех контроллерах домена Проведите резервное копирование и планируйте время простоя Проведите резервное копирование и планируйте время простоя Всегда имейте план для возврата к исходному состоянию Всегда имейте план для возврата к исходному состоянию Заранее предупреждайте службу поддержки в компании и наиболее важных пользователей Заранее предупреждайте службу поддержки в компании и наиболее важных пользователей Начинайте с не-критичных серверов Начинайте с не-критичных серверов

Содержание Введение Введение Стратегии управления обновлениями исправлений (Patch Management) Стратегии управления обновлениями исправлений (Patch Management) Стратегии удаленного доступа Стратегии удаленного доступа Построение защищенных конфигураций Построение защищенных конфигураций

VPN и межсетевые экраны Объединение межсетевого экрана и VPN сервера Объединение межсетевого экрана и VPN сервера RAS Server за экраном VPN Clients RAS Server RAS Server и экран на одном сервере VPN ClientsRAS Server

VPN за межсетевым экраном Сложно: Пропустить через межсетевой экран трафик для VPN сервера Сложно: Пропустить через межсетевой экран трафик для VPN сервера Сложно: Stateful inspection Сложно: Stateful inspection ТрафикПорты и протоколы PPTP Session Establishment TCP Port 1723 PPTP Session IP Protocol 47 (GRE) IPSec IKE UDP Port 500 IPSec ESP IP Protocol 50 (IPSec ESP)

ISA Server как сервер VPN и межсетевой экран ISA ServerОписание Интегрированное решение Обеспечивает межсетевой экран уровня приложений и прокси-сервер RRAS для работы VPN Обеспечивает строгую аутентификацию Поддерживает PPTP или L2TP/IPSec Пакетная фильтрация Защищает и VPN сервер Wizards Позволяет удобно и быстро настроить решение

Сложности при использовании IPSec и NAT Заголовок пакета модифицирован Заголовок пакета модифицирован IKE использует фрагментированный IP IKE использует фрагментированный IP NAT устройства, которые используют туннель NAT устройства, которые используют туннель NAT1 Hdr NAT2 Hdr NATNAT Orig IP HdrTCP HdrData Orig IP HdrTCP HdrDataAH Hdr Insert NAT1 Hdr NAT2 Hdr Содержит шифрованный хэш оригинального пакета

Модель решения IETF draft по NAT Traversal (NAT-T) рекомендует использовать устройства с обоих сторон, которые: IETF draft по NAT Traversal (NAT-T) рекомендует использовать устройства с обоих сторон, которые: Обнаруживают наличие NAT Обнаруживают наличие NAT Не используют порты IPSec; устройства NAT не оказывают влияния на сетевой трафик Не используют порты IPSec; устройства NAT не оказывают влияния на сетевой трафик Инкапсулируют IPSec в UDP Инкапсулируют IPSec в UDP Дополнительно, решение Microsoft препятствует фрагментации IP Дополнительно, решение Microsoft препятствует фрагментации IP

Как работает NAT-T NATNAT Orig IP HdrTCP HdrData Orig IP HdrTCP HdrDataESP Hdr Insert Orig IP HdrRest…ESP HdrUDP src 4500, dst 4500 Insert Sent by A Rcvd by B Orig IP HdrRest…ESP HdrUDP src XXX, dst 4500 NAT1 Hdr NAT2 Hdr

Вопросы взаимодействия VPN клиент и VPN сервер должны поддерживать NAT-T VPN клиент и VPN сервер должны поддерживать NAT-T Сложности с устройствами третьих фирм Сложности с устройствами третьих фирм Но постепенно все становится совместимым Но постепенно все становится совместимым Не нужно никаких изменений на устройствах NAT Не нужно никаких изменений на устройствах NAT Межсетевой экран Межсетевой экран Открыть трафик по UDP 4500 Открыть трафик по UDP 4500 Открыть трафик по UDP 500 Открыть трафик по UDP 500

Поддержка NAT-T в Windows Реализована в соответствии с IETF Proposed Standard Реализована в соответствии с IETF Proposed Standard Проверена совместимость с шлюзами третьих фирм по L2TP/IPSec Проверена совместимость с шлюзами третьих фирм по L2TP/IPSec Поддержка L2TP/IPSec в Windows XP и ниже Поддержка L2TP/IPSec в Windows XP и ниже Поддержка IPSec в Windows Server 2003 Поддержка IPSec в Windows Server 2003 Версия ОСL2TP/IPSecIPSec Windows Server 2003ДаДа 4 Windows XPДа 1 Не рекомендуется 5 Windows 2000Да 2 Нет Windows NT 4Да 3 Нет Windows 98/MeДа 3 Нет Замечание 1: После Windows Update Замечание 2: после обновления Замечание 3: поддержка с сайта Замечание 4: Не работает Active FTP Замечание 5: Некоторые PTMU не работают

Обеспечение безопасности удаленных клиентов Проблема: Проблема: Удаленные клиенты не соответствуют требованиям безопасности, принятым в компании Удаленные клиенты не соответствуют требованиям безопасности, принятым в компании Представляют опасность для всей сети, если такие компьютеры подключатся к ней Представляют опасность для всей сети, если такие компьютеры подключатся к ней Решение: Решение: Запретить удаленный доступ Запретить удаленный доступ Доверить пользователям настроить их компьютеры на безопасную работу Доверить пользователям настроить их компьютеры на безопасную работу Создать отдельную сеть для подключения через VPN Создать отдельную сеть для подключения через VPN Настраивать на безопасность при подключении Настраивать на безопасность при подключении Автоматически отключать клиентов, которые не соответствуют требованиям безопасности: Network Access Quarantine Control Автоматически отключать клиентов, которые не соответствуют требованиям безопасности: Network Access Quarantine Control

Что такоеNetwork Access Quarantine Control? RAS клиент получает доступ в сеть RAS клиент соответствует политике RAS клиент попал в карантин Удаленный пользователь аутентифи- цировался 1.Таймаут в карантине 2.RAS клиент не прошел проверку RAS клиент отключен

Требования для карантина Intranet Internet RAS Client with CM Windows Server 2003 RRAS Server Windows Server 2003 IAS Server Active Directory Domain Controller Quarantine Resources Remote Access Policy Дополнительно нужны RQC.exe и RQS.exe из Windows Server 2003 Resource Kit Tools

Процесс работы карантина Internet Карантин RAS ClientRRAS ServerIAS Server Соединение Аутентифик. Проверка политики Доступ в карантин Доступ Авториз. Карантин и др. фильтры Снять карантин

Ограничения для доступа в сеть при карантине Зависят от настроек, которые проверяются работой скриптов Зависят от настроек, которые проверяются работой скриптов Зависят от скриптов на клиентском компьютере Зависят от скриптов на клиентском компьютере Злоумышленник может пробиться через карантин Злоумышленник может пробиться через карантин У пользователей должны быть возможности соответствовать требованиям У пользователей должны быть возможности соответствовать требованиям Установить обновления Установить обновления Внешняя точка для установки обновлений для антивирусного ПО Внешняя точка для установки обновлений для антивирусного ПО Ограничивает соединения через модем и VPN Ограничивает соединения через модем и VPN

Network Access Quarantine Control Изучите описание в Windows Server 2003 Resource Kit Изучите описание в Windows Server 2003 Resource Kit Используйте Connection Manager Используйте Connection Manager Создайте различные профили для разных типов клиентов Создайте различные профили для разных типов клиентов Учитывайте карантин для ресурсов Учитывайте карантин для ресурсов Не предоставляйте доступ клиентам, не установивших своевременно исправления Не предоставляйте доступ клиентам, не установивших своевременно исправления

Демонстрация Настройка сетевого карантина Установка, настройка и тестирование сетевого карантина

Содержание Введение Введение Стратегии управления исправлениями (Patch Management) Стратегии управления исправлениями (Patch Management) Стратегии удаленного доступа Стратегии удаленного доступа Построение защищенных конфигураций Построение защищенных конфигураций

Разрешение конфликтов в шаблонах безопасности Инструмент: Resultant Set of Policies (RSoP) Инструмент: Resultant Set of Policies (RSoP) Средства управления Active Directory Средства управления Active Directory Group Policy Results из GPMC Group Policy Results из GPMC GPResult GPResult

Разрешение проблем с приложениями Установка обновлений или шаблонов безопасности могут привести к сбоям в работе приложений Установка обновлений или шаблонов безопасности могут привести к сбоям в работе приложений Инструменты для разрешения конфликтов Инструменты для разрешения конфликтов Network Monitor Network Monitor File Monitor File Monitor Registry Monitor Registry Monitor Dependency Walker Dependency Walker Cipher Cipher

Разрешение проблем со службами Возможные проблемы: Возможные проблемы: 1. Служба не стартует 2. Нужна ли служба? Инструменты: Инструменты: Tlist.exe или Process Explorer Tlist.exe или Process Explorer Dependency Walker Dependency Walker Посмотрите свойства DLL Посмотрите свойства DLL

Проблемы с доступом к сети Убедитесь, что открыты только нужные порты Убедитесь, что открыты только нужные порты Инструменты: Инструменты: Netstat –o (на Windows XP или Windows Server 2003) Netstat –o (на Windows XP или Windows Server 2003) Task Manager Task Manager

Разрешение конфликты при настройках безопасности Используйте формальные правила контроля изменений для всех изменений в безопасности Используйте формальные правила контроля изменений для всех изменений в безопасности Тестируйте все изменения безопасности Тестируйте все изменения безопасности Используйте RSOP в режиме планирования Используйте RSOP в режиме планирования Документируйте настройки работоспособных конфигураций Документируйте настройки работоспособных конфигураций Имейте под рукой стратегию восстановления работоспособных конфигураций Имейте под рукой стратегию восстановления работоспособных конфигураций Не подвергайте системы опасности при выявлении проблем с настройками Не подвергайте системы опасности при выявлении проблем с настройками

Итоги Введение Введение Стратегии управления исправлениями (Patch Management) Стратегии управления исправлениями (Patch Management) Стратегии удаленного доступа Стратегии удаленного доступа Построение защищенных конфигураций Построение защищенных конфигураций

Дальнейшие шаги 1. Будьте в курсе новостей Подпишитесь на рассылку бюллетеней безопасности: Подпишитесь на рассылку бюллетеней безопасности: Загрузите себе последние версии руководств по безопасности: Загрузите себе последние версии руководств по безопасности: 2. Пройдите дополнительное обучение На семинарах Microsoft: На семинарах Microsoft: В учебных центрах CTEC: В учебных центрах CTEC:

Дополнительная информация Сайт Microsoft по безопасности Сайт Microsoft по безопасности Для администраторов Для администраторов Для разработчиков Для разработчиков

Вопросы и ответы