Рекомендации по безопасности предпочитаемого сервера

Рекомендуемые меры безопасности для конфигурации предпочитаемого сервера

В этой статье изложены важные рекомендации по безопасности для настройки предпочитаемых серверов, чтобы обеспечить безопасное и эффективное применение обновлений в вашей среде. В этих рекомендациях рассматриваются вопросы использования протоколов HTTPS и SMB, правильных методов аутентификации, требований к полному доменному имени (FQDN) и конфигураций, которые минимизируют риски, связанные с небезопасными соединениями.

Ключевые рекомендации по безопасности

1. Избегайте использования IP-адресов

   Предпочитаемые серверы должны быть настроены на использование полностью квалифицированных доменных имен (FQDN) вместо обычных IP-адресов. Это обеспечивает совместимость и безопасность между протоколами:

   • Для HTTPS:

     • Сертификаты должны соответствовать полному доменному имени сервера. Использование IP-адреса в качестве URL-адреса сервера сделает сертификат недействительным.

     • Недействительный сертификат может нарушить целостность данных, а полное отключение проверки сертификата значительно увеличивает риск, делая возможными атаки типа "посредник".

     • Всегда проверяйте сертификаты, и если они не совпадают, блокируйте соединение для обеспечения безопасности.

   • Для SMB (пути UNC):

     • Предпочитаемый метод аутентификации Kerberos - использование полного доменного имени. Без него аутентификация будет осуществляться по протоколу NTLM, который менее безопасен.

2. Используйте аутентификацию Kerberos

   Kerberos должен быть методом аутентификации по умолчанию везде, где это возможно, поскольку он более безопасен, чем NTLM:

   • Почему Kerberos лучше:

     • Пароли никогда не отправляются на целевой сервер. Вместо этого Kerberos использует подписанные пакеты, проверенные контроллером домена, для предоставления доступа к серверу.

     • Пакеты привязаны к серверу и не могут быть повторно использованы для доступа к другим компьютерам, что снижает риск неправомерного использования учетных данных.

   • Варианты отката к NTLM:

     • Никогда не следует использовать NTLM v1, так как он крайне уязвим для таких атак, как взлом хэша.

     • NTLM v2 можно использовать в качестве запасного варианта, но он менее безопасен, чем Kerberos. Увеличьте длину пароля, чтобы усилить защиту NTLM v2 от атак методом подбора паролей.

3. Версия и конфигурация протокола SMB

   Версии и конфигурации протокола SMB играют важную роль в обеспечении безопасности передачи файлов. Следуйте этим рекомендациям:

   • Отключите SMB v1:

     • Он устарел, небезопасен и по умолчанию отключен в современных системах. Никогда не включайте и не используйте SMB v1.

   • Включите подписание SMB (SMB v2):

     • Защищает от атак повторного воспроизведения, обеспечивая проверку каждого сообщения.

   • Используйте SMB v3 с шифрованием:

     • SMB v3 поддерживает как подпись, так и шифрование. Шифрование защищает данные при передаче, поэтому даже пользователи в одной сети не могут просматривать содержимое файла.

4. Запись и Чтение - Учетные данные

   При настройке предпочитаемых серверов различайте учетные данные для записи (используемые агентом синхронизации) и учетные данные для чтения (используемые конечными системами):

   • Учетные данные для записи:

     • Они более конфиденциальны, поскольку позволяют агенту синхронизации загружать файлы на предпочитаемый сервер. Всегда применяйте безопасные конфигурации (например, Kerberos или SMB v3 с шифрованием) для операций записи.

   • Учетные данные для чтения:

     • Используются конечными системами для получения обновлений. Хотя безопасные конфигурации предпочтительны, ограничение только безопасными протоколами может привести к проблемам совместимости со старыми системами. Сбалансируйте требования безопасности с эксплуатационными нуждами.

5. Режимы безопасности по умолчанию

   Для защиты конфигураций предпочитаемых серверов в средах рекомендуются следующие параметры безопасности по умолчанию:

   • Безопасные подключения для операций записи:

     • При записи на предпочитаемый сервер агент синхронизации должен использовать только безопасные конфигурации SMB. Отклоните небезопасные настройки, такие как SMB v1 или NTLM v1.

     • Если администратор решит разрешить небезопасные SMB-подключения, это увеличит риск.

   • Небезопасные подключения для операций чтения (необязательно):

     • Для конечных систем, использующих учетные данные для чтения, разрешите использование менее безопасных протоколов, если это необходимо для поддержки устаревших или неисправленных систем. Однако ограничьте это конкретными сценариями и помните о рисках.

6. Безопасность паролей и учетных данных

   Используйте надежные методы аутентификации:

   • Используйте сложные пароли, желательно длиннее 14 символов, чтобы снизить риск взлома паролей методом подбора для NTLM v2.

   • Избегайте базовых методов аутентификации, таких как передача имен пользователей и паролей в виде простого текста или в кодировке base64.

Сводка

Следуя приведенным выше рекомендациям, вы сможете снизить подверженность рискам безопасности, сохраняя при этом совместимость в вашей организации. Всегда отдавайте приоритет аутентификации Kerberos, используйте полные доменные имена, применяйте шифрование SMB v3 и тщательно проверяйте сертификаты, чтобы добиться безопасной настройки предпочитаемого сервера.

Для получения дополнительной помощи обратитесь в службу поддержки Ivanti.