6 votos

Knox avatar

El endurecimiento de un financieramente críticos de Windows de la computadora

Preguntado el 26 de Agosto, 2009
Cuando se hizo la pregunta
896 visitas
Cuantas visitas ha tenido la pregunta
5 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Uno de los riesgos para las pequeñas y medianas empresas es la pérdida de su banco de credenciales a los chicos malos por el uso de un registrador de teclas o de otros tipos de malware como Bruce Schneier blogs acerca de. Una amenaza particular es en tiempo real a los registradores de claves, como se describe en el new york Times. La línea de fondo es que con el banco comercial de la información de inicio de sesión, los chicos malos pueden enviar dinero a sus cuentas, y no puede haber ningún recurso. El banco comercial de la cuenta de los inicios de sesión son realmente las llaves del reino.

Me he decidido a aumentar sustancialmente la seguridad en las máquinas donde estas banco se utilizan las credenciales. Mi estándar de las recomendaciones de seguridad de Windows XP SP3 con los parches se aplican automáticamente en la noche. La protección antivirus (por lo general uso el ESET). Los usuarios están Limitados a los usuarios, que no pueden agregar software. Software de restricciones que impiden que el usuario accidentalmente o deliberadamente la descarga de software y ejecutarlo fuera de su directorio de usuario. Utilizamos IE8 debido a la facilidad de gestión en un entorno de Active Directory, pero he de reconocer esto como una debilidad potencial. Por desgracia, lo más probable vector de un zero day exploit es flash o acrobat, tanto de las que utilizamos.

La seguridad es siempre una solución de compromiso de la comodidad frente a la seguridad, de modo que las respuestas y sugerencias deben dar los pros y los contras. Yo voy a contestar con un par de sugerencias, así que usted puede ver donde mis pensamientos se van.

Preguntado el 26 de Agosto, 2009 por Knox

Respuestas

¿Demasiados anuncios?

5voto

Justin Scott avatar
Justin Scott Puntos 7630

Usted puede configurar otro PC con Linux/BSD en que sólo se utiliza para acceder al sitio web del banco. Si realmente quería conseguir paranoico usted puede ponerlo en su propia conexión dedicada a Internet y no tener nada conectado en la red regular. Le da los beneficios similares a los de arranque dual y a la vez mantener la PC de Windows disponibles para otras tareas. Desventaja adicional de hardware/software para el mantenimiento. Siempre existe la posibilidad de que algunos de los nefastos empleado podría poner en línea keylogger por hardware USB entre el ordenador y el teclado, independientemente de qué/cómo proteger el sistema operativo y el software.

Respondido el 26 de Agosto, 2009 por Justin Scott (7630 Puntos )

4voto

jwenting avatar
jwenting Puntos 107

Como con todas las cosas con un enfoque basado en el riesgo va a ser mejor, y el grado a que se tome esto va a ser en base a su presupuesto, riesgo, tiempo, y el daño potencial de una violación. Yo ciertamente no esperar a que hagan todo lo de aquí.

Aquí están algunos de los vectores de ataque:

Los ataques físicos

Tipos de ataques

  • Robo
  • Los Ataques Sin Conexión
  • El Hardware de los registradores de Claves
  • Atacante tratando de instalar malware localmente
  • Shoulder surfing

Este es el espacio donde se va a centrarse en el control de las cosas relacionadas con el acceso físico:

  • Auto-bloqueo de pantallas, contraseñas buenas (que no se almacenan bajo un teclado), y el cifrado de discos ayudará a que cuando un sistema es robado
  • Desactivación de puertos USB en el sistema operativo o la cementación de ellos cerrado, y deshabilitar el autorun puede ayudar (pero no previene completamente la keyloggers)
  • Buena seguridad física del sistema (bueno las cerraduras de las puertas, resistente gabinetes de computadoras, equipo de cerraduras, ocasionales auditorías)
  • Pantallas de privacidad y de mantenimiento de los sistemas lejos de las ventanas ayudar a prevenir el shoulder surfing

Ataques De Software

  • Internet de malware
  • La Ingeniería Social (Phishing)

Una vez que usted pone un sistema en la red tienes un mundo de diversión para evitar perder el control.

  • VM o arranque dual escenarios puede ayudar a separar los críticos y comunes de información (un sistema para la crítica de la banca uno para el correo electrónico)
  • Vale la pena considerar completamente separadas caja para este tipo de cosas demasiado si es razonable
  • De cualquier manera, sin embargo, usted necesita no privilegiada de acceso para los usuarios
  • Buenas contraseñas para todos los usuarios
  • Eficaz gestión de la vulnerabilidad (Parches, la Eliminación de servicios innecesarios, etc.)
  • Bloqueo de seguridad (Windows tiene sus Guías de Seguridad y Aceleradores* existen diversas guías para *Nix BSD de bloqueo de seguridad)
  • De trabajo y bien configurada la red Y firewalls locales

*He configurado una Funcionalidad Limitada de Seguridad Especializada de la Estación de trabajo y parece estar haciendo todo a la derecha.

Los Ataques De Red

Además del endurecimiento de la máquina también debe tener fuertes protecciones de transporte:

  • La Detección De Paquetes
  • DNS ataques/SSL ataques MITM
  • etc.

Cosas que usted puede hacer en este nivel:

  • El transporte de las protecciones (IPSec en Windows, SSH en *Nix, SSL para la web***)
  • Bien configurados y vigilados de la infraestructura de red (no las contraseñas por defecto, etc.)
  • No enviar sensitve de datos de forma inalámbrica.***
  • Considere la red de la segregación de los privilegiados y los no privilegiados de los sistemas de

***SSL ataques son una moneda de diez centavos una docena de estos días, todos ellos siguen siendo esencialmente MITM (a partir de este escrito), por lo que debe tomar medidas para proteger contra MITM

***Y si se debe utilizar el acceso inalámbrico, no uso nada menos que WPA2-Enterprise

Respondido el 26 de Agosto, 2009 por jwenting (107 Puntos )

3voto

BlankVerse avatar
BlankVerse Puntos 85

Verificación de su banco mecanismos de autenticación! Mina añade un pseudo-token RSA en la forma de una "tarjeta de código", y la mayoría de las transacciones de tierras a partir de la visualización de los saldos y el movimiento de dinero entre mis propias cuentas - me exigen de entrada seleccionadas al azar el número de los 100 impreso en la tarjeta. Cada código sólo puede ser utilizado una vez, y cuando se han extinguido puedo obtener una tarjeta nueva. Esto satisface el "algo que usted sabe y algo que usted tiene" el requisito de doble factor, sin la sobrecarga de la emisión de todos los usuarios con un real token RSA, y eso es sólo para una cuenta personal. Si su banco no le dará un nivel de seguridad más allá de esto, para una cuenta de negocio, la zanja y encontrar uno que se va!

Respondido el 26 de Agosto, 2009 por BlankVerse (85 Puntos )

1voto

Bill Weiss avatar
Bill Weiss Puntos 6677

Dejar de navegar por la red de la máquina. No consultar el correo electrónico, no vaya a sitios web fuera de su LAN, etc. Hacer de todos los que en alguna otra máquina, a continuación, publicar lo que usted necesita para hacer de la financiera de equipo en un local de la wiki (o algo así). No utilice la financiera de la máquina como servidor de archivos, servidor de impresión, etc, etc, etc.

Costos: $500 Dell para hacer surf Beneficios: Sus datos están más seguros.

También me gustaría invertir en un firewall (hardware, no de software) para poner en la parte frontal de la máquina. No dejes que nada, y que las políticas de la anterior, en lugar de confiar en los usuarios a hacer lo correcto.

Respondido el 26 de Agosto, 2009 por Bill Weiss (6677 Puntos )

1voto

Bill Weiss avatar
Bill Weiss Puntos 6677

Actualización para Vista x64. En serio. Es mucho más difícil de explotar de forma fiable.

Que no deja de malware que los usuarios ejecutar (yendo a sitios web, etc, etc), pero deja de ataques basados en la red que no tiene mucho de detección de.

Respondido el 26 de Agosto, 2009 por Bill Weiss (6677 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X