คำถามติดแท็ก security

เป้าหมายคือเพื่อป้องกันไม่ให้ผู้ใช้เรียกใช้โปรแกรมที่ไม่พึงประสงค์บนเซิร์ฟเวอร์เทอร์มินัล ฉันได้อ่านบทความมากมายจาก Microsoft และคนอื่น ๆ ที่บอกว่าคุณสมบัติ Applocker ใหม่ดีกว่านโยบายการ จำกัด ซอฟต์แวร์เก่า 100% และแนะนำให้ใช้แทนรุ่นหลัง ฉันไม่แน่ใจว่าจะเข้าใจถึงข้อดีที่แท้จริงของ Applocker นอกเหนือจากการใช้งานโหมดเคอร์เนล ฟังก์ชันส่วนใหญ่สามารถทำซ้ำได้ด้วยนโยบายการ จำกัด ซอฟต์แวร์ ในขณะเดียวกันก็มีข้อเสียอย่างหนึ่งที่ทำให้มันไร้ประโยชน์: มันไม่สามารถขยายได้และคุณไม่สามารถเพิ่มนามสกุลไฟล์แบบกำหนดเองที่คุณต้องการ จำกัด ได้ Applocker over SRP มีข้อได้เปรียบอะไรบ้างและคุณอยากแนะนำอะไรให้ควบคุมซอฟต์แวร์?

11 windows-server-2008  security  group-policy 

ตามที่ฉันเข้าใจ EAP-TTLS และ PEAP มีระดับความปลอดภัยเท่ากันเมื่อใช้งานในเครือข่ายไร้สาย ทั้งสองให้การรับรองความถูกต้องฝั่งเซิร์ฟเวอร์ผ่านใบรับรองเท่านั้น ข้อเสียของ EAP-TTLS อาจไม่ใช่การสนับสนุนดั้งเดิมใน Microsoft Windows ดังนั้นผู้ใช้ทุกคนจะต้องติดตั้งซอฟต์แวร์เพิ่มเติม ประโยชน์ของ EAP-TTLS สามารถรองรับกลไกการพิสูจน์ตัวตนที่มีความปลอดภัยน้อยกว่า (PAP, CHAP, MS-CHAP) แต่ทำไมคุณต้องใช้พวกมันในระบบไร้สายที่ทันสมัยและปลอดภัย? คุณมีความคิดเห็นอย่างไร? เหตุใดฉันจึงควรใช้ EAP-TTLS แทน PEAP สมมติว่าฉันมีผู้ใช้ Windows ส่วนใหญ่ผู้ใช้ Linux ปานกลางและ iOS ผู้ใช้ OSX น้อยที่สุด

11 security  wifi  radius  peap 

echo "secret" | mysql -u root -p ...บางครั้งที่ฉันทำ ตอนนี้ฉันกังวลเกี่ยวกับความปลอดภัยที่นี่: ใครบางคนสามารถแสดงรายการกระบวนการทั้งหมดเห็นรหัสผ่าน? ในการตรวจสอบฉันลองด้วยecho "test" | sleep 1000และคำสั่ง echo กับความลับนั้นมองไม่เห็นในผลลัพธ์ของ "ps aux" ดังนั้นฉันคิดว่ามันปลอดภัย - แต่ผู้เชี่ยวชาญด้านความปลอดภัยสามารถยืนยันได้ไหม :)

11 security  shell 

ฉันมีเว็บเซิร์ฟเวอร์ที่โฮสต์เว็บไซต์ต่าง ๆ ให้ฉัน บริการสองอย่างที่สามารถเข้าถึงได้ภายนอกคือ SSH และ Apache2 สิ่งเหล่านี้กำลังทำงานบนพอร์ตที่ไม่ได้มาตรฐานและมาตรฐานตามลำดับ พอร์ตอื่น ๆ ทั้งหมดจะปิดอย่างชัดเจนผ่าน arno-iptables-firewall โฮสต์กำลังเรียกใช้การทดสอบ Debian ฉันสังเกตว่าการสแกนโฮสต์โดยใช้ nmap ให้ผลลัพธ์ที่แตกต่างจากพีซีที่แตกต่างกัน จากแล็ปท็อปของฉันบนเครือข่ายในบ้านของฉัน (หลัง BT Homehub) ฉันได้รับสิ่งต่อไปนี้: Not shown: 996 filtered ports PORT STATE SERVICE 80/tcp open http 554/tcp open rtsp 7070/tcp open realserver 9000/tcp open cslistener ในขณะที่การสแกนจากเซิร์ฟเวอร์ของสหรัฐอเมริกาที่มี nmap 5.00 และกล่อง Linux ในนอร์เวย์ที่ใช้ nmap 5.21 …

11 security  debian  port 

คำถามของฉันคือ: การป้องกันบัฟเฟอร์ล้น / สแต็กสุดยอด(ถ้ามี)จะเปิดใช้งานโดยค่าเริ่มต้นใน Debian 6.0 (บีบ)? Ubuntu มีตารางสรุปที่ใช้งานง่ายซึ่งแสดงคุณสมบัติการรักษาความปลอดภัยหลักของแต่ละรุ่นเซิร์ฟเวอร์แต่ฉันไม่พบสิ่งที่คล้ายกันสำหรับ Debian Ubuntu กล่าวถึง: Stack Protector (gcc's -fstack-protector) ตัวป้องกันฮีป (ตัวป้องกันฮีปไลบรารีของ GNU C) ตัวชี้ obfuscation (ตัวชี้บางตัวที่เก็บอยู่ใน glibc นั้น obfuscated) การวางผังพื้นที่ที่อยู่แบบสุ่ม (ASLR) (Stack ASLR; Libs / mmap ASLR; Exec ASLR; brk ASLR; VDSO ASLR) daemons หลายตัวถูกสร้างเป็นตำแหน่ง Executables อิสระ (PIE) daemons บางตัว (?) สร้างด้วย Fortify …

11 security  debian  debian-squeeze 

ฉันกำลังจัดการกับข้อมูลด้านสุขภาพที่ได้รับการคุ้มครองทางอิเล็กทรอนิกส์ (ePHI หรือ PHI) และข้อบังคับ HIPAA กำหนดให้ผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึง ePHI การเข้ารหัสระดับคอลัมน์อาจมีค่าสำหรับข้อมูลบางอย่าง แต่ฉันต้องการความสามารถในการทำเช่นการค้นหาในบางฟิลด์ของ PHI เช่นชื่อ Transparent Data Encryption (TDE) เป็นคุณสมบัติของ SQL Server 2008 สำหรับการเข้ารหัสฐานข้อมูลและไฟล์บันทึก ตามที่ฉันเข้าใจแล้วสิ่งนี้จะป้องกันบุคคลที่เข้าถึง MDF, LDF หรือไฟล์สำรองไม่ให้ทำอะไรกับไฟล์เพราะเข้ารหัส TDE ใช้เฉพาะในองค์กรและ SQL Server เวอร์ชันผู้พัฒนาและองค์กรต้องห้ามด้านต้นทุนสำหรับสถานการณ์เฉพาะของฉัน ฉันจะได้รับการป้องกันที่คล้ายคลึงกันใน SQL Server Standard ได้อย่างไร มีวิธีในการเข้ารหัสฐานข้อมูลและไฟล์สำรอง (มีเครื่องมือของบุคคลที่สาม) หรือไม่? หรือว่าดีมีวิธีป้องกันไฟล์จากการใช้งานถ้าดิสก์ถูกแนบกับเครื่องอื่น (linux หรือ windows) หรือไม่ ผู้ดูแลระบบสามารถเข้าถึงไฟล์จากเครื่องเดียวกันได้ แต่ฉันต้องการป้องกันปัญหาใด ๆ หากดิสก์ถูกลบและเชื่อมต่อกับเครื่องอื่น อะไรคือวิธีแก้ปัญหาสำหรับสิ่งนี้ที่อยู่ข้างนอก?

11 sql-server  security  windows-server-2008-r2  hipaa 

เมื่อเซิร์ฟเวอร์ได้รับการฝังราก ( เช่นสถานการณ์เช่นนี้ ) ซึ่งเป็นหนึ่งในสิ่งแรกที่คุณอาจตัดสินใจที่จะทำคือการบรรจุ ผู้เชี่ยวชาญด้านความปลอดภัยบางคนไม่แนะนำให้เข้าสู่การแก้ไขทันทีและทำให้เซิร์ฟเวอร์ออนไลน์จนกว่าการนิติเวชจะเสร็จสมบูรณ์ ผู้ให้คำแนะนำแก่มักจะสำหรับAPT มันแตกต่างกันถ้าคุณมีการรั่วไหลของkiddie Scriptเป็นครั้งคราวดังนั้นคุณอาจตัดสินใจแก้ไข (แก้ไขสิ่งต่าง ๆ ) ก่อน หนึ่งในขั้นตอนในการแก้ไขคือการควบคุมเซิร์ฟเวอร์ การอ้างอิงจากคำตอบของ Robert Moir - "ตัดการเชื่อมต่อกับเหยื่อจากมิจฉาชีพ" เซิร์ฟเวอร์สามารถที่มีอยู่โดยดึงสายเคเบิลเครือข่ายหรือสายไฟ วิธีไหนดีกว่ากัน? คำนึงถึงความจำเป็นในการ: ปกป้องผู้ที่ตกเป็นเหยื่อจากความเสียหายต่อไป การดำเนินการทางนิติวิทยาศาสตร์ที่ประสบความสำเร็จ (อาจเป็นไปได้)การปกป้องข้อมูลที่มีค่าบนเซิร์ฟเวอร์ แก้ไข: 5 ข้อสมมติฐาน สมมติว่า: คุณตรวจพบเร็ว: 24 ชั่วโมง คุณต้องการกู้คืนก่อนกำหนด: 3 วันจาก 1 ระบบผู้ดูแลระบบในงาน (นิติเวชและการกู้คืน) เซิร์ฟเวอร์ไม่ได้เป็นเครื่องเสมือนหรือคอนเทนเนอร์ที่สามารถถ่ายภาพหน้าจอที่จับเนื้อหาของหน่วยความจำเซิร์ฟเวอร์ คุณตัดสินใจที่จะไม่พยายามดำเนินคดี คุณสงสัยว่าผู้โจมตีอาจใช้ซอฟต์แวร์บางรูปแบบ (อาจซับซ้อน) และซอฟต์แวร์นี้ยังคงทำงานบนเซิร์ฟเวอร์

11 rootkit  security 

ฉันเป็นเพียงการเรียกดูผ่านทางเว็บไซต์และพบว่าคำถามนี้: เซิร์ฟเวอร์ของฉันได้รับเมื่อเกิดเหตุฉุกเฉินที่ถูกแฮ็ก โดยพื้นฐานแล้วคำถามบอกว่า: เซิร์ฟเวอร์ของฉันถูกแฮ็ก ฉันควรทำอย่างไรดี? ตอบที่ดีที่สุดที่เป็นเลิศ แต่มันยกคำถามบางอย่างในใจของฉัน หนึ่งในขั้นตอนที่แนะนำคือ: ตรวจสอบระบบ 'โจมตี' เพื่อทำความเข้าใจว่าการโจมตีสำเร็จในการลดความปลอดภัยของคุณอย่างไร ใช้ความพยายามทุกวิถีทางเพื่อค้นหาว่าการโจมตี "มาจากที่ไหน" เพื่อให้คุณเข้าใจว่าคุณมีปัญหาอะไรบ้างและต้องระบุที่อยู่เพื่อให้ระบบของคุณปลอดภัยในอนาคต ฉันไม่ได้ทำงานกับผู้ดูแลระบบดังนั้นฉันจึงไม่รู้ว่าจะเริ่มทำสิ่งนี้อย่างไร ขั้นตอนแรกคืออะไร? ฉันรู้ว่าคุณสามารถดูในไฟล์บันทึกของเซิร์ฟเวอร์ แต่ในฐานะที่เป็นผู้โจมตีสิ่งแรกที่ฉันจะทำคือการลบไฟล์บันทึก คุณจะ "เข้าใจ" อย่างไรว่าการโจมตีสำเร็จอย่างไร

11 security 

เมื่อเร็ว ๆ นี้ (แต่มันก็เป็นคำถามที่เกิดขึ้นอีก) เราเห็นหัวข้อที่น่าสนใจ 3 ข้อเกี่ยวกับการแฮ็กและความปลอดภัย: ฉันจะจัดการกับเซิร์ฟเวอร์ที่ถูกบุกรุกได้อย่างไร . การค้นหาวิธีที่เซิร์ฟเวอร์แฮ็กถูกแฮ็ก คำถามการอนุญาตให้ใช้ไฟล์ อันสุดท้ายไม่เกี่ยวข้องโดยตรง แต่เน้นว่าการจัดการกับเว็บเซิร์ฟเวอร์ทำได้ง่ายเพียงใด เนื่องจากมีหลายสิ่งที่สามารถทำได้ก่อนที่จะมีสิ่งเลวร้ายเกิดขึ้นฉันต้องการให้คำแนะนำของคุณในแง่ของแนวปฏิบัติที่ดีเพื่อ จำกัด ผลกระทบด้านหลังของการโจมตีและวิธีการตอบสนองในกรณีที่น่าเศร้าจะเกิดขึ้น มันไม่ได้เป็นเพียงเรื่องของการรักษาความปลอดภัยเซิร์ฟเวอร์และรหัส แต่ยังรวมถึงการตรวจสอบบันทึกและตอบโต้มาตรการ คุณมีรายการแนวปฏิบัติที่ดีหรือคุณต้องการพึ่งพาซอฟต์แวร์หรือผู้เชี่ยวชาญที่วิเคราะห์เว็บเซิร์ฟเวอร์ของคุณอย่างต่อเนื่อง (หรืออะไรเลย)? ถ้าใช่คุณสามารถแบ่งปันรายการและความคิด / ความคิดเห็นของคุณได้หรือไม่? UPDATE ฉันได้รับข้อเสนอแนะที่ดีและน่าสนใจหลายประการ ฉันต้องการมีรายการง่าย ๆ เพื่อที่จะเป็นประโยชน์สำหรับผู้ดูแลระบบความปลอดภัยด้านไอที แต่ยังรวมถึงผู้เชี่ยวชาญด้านข้อเท็จจริงของเว็บด้วย แม้ว่าทุกคนจะให้คำตอบที่ดีและถูกต้องในขณะนี้ฉันชอบหนึ่งในโรเบิร์ตเพราะมันง่ายที่สุดชัดเจนและรัดกุมและเป็นหนึ่งในsysadmin1138เพราะมันสมบูรณ์และแม่นยำที่สุด แต่ไม่มีใครพิจารณามุมมองและการรับรู้ของผู้ใช้ฉันคิดว่ามันเป็นสิ่งแรกที่ต้องพิจารณา ผู้ใช้จะคิดอย่างไรเมื่อจะเข้าเยี่ยมชมไซต์ที่ถูกแฮ็กของฉันและอื่น ๆ อีกมากมายหากคุณเป็นเจ้าของข้อมูลที่สมเหตุสมผลเกี่ยวกับพวกเขา มันไม่ได้เป็นเพียงเรื่องของการเก็บข้อมูล แต่จะทำให้ผู้ใช้โกรธได้อย่างไร เกี่ยวกับข้อมูลสื่อผู้มีอำนาจและคู่แข่ง

11 security  logging  hacking 

ฉันมีเซิร์ฟเวอร์ภายในบ้านที่ใช้งานการกระจาย Ubuntu บนเดสก์ท็อป ฉันพบสิ่งนี้ใน crontab ของฉัน * * * * * /home/username/ /.access.log/y2kupdate >/dev/null 2>&1 และเมื่อดูในไดเรกทอรีนั้น (ช่องว่างหลังชื่อผู้ใช้ / เป็นชื่อไดเรกทอรี) ฉันพบสคริปต์จำนวนมากซึ่งเห็นได้ชัดว่ากำลังทำสิ่งที่ไม่ควรทำ ก่อนที่ฉันจะล้างคอมพิวเตอร์นั้นและติดตั้งสิ่งต่าง ๆ ฉันต้องการค้นหาสิ่งที่ทำให้เกิดการละเมิดความปลอดภัยและเมื่อเสร็จสิ้น ดังนั้นฉันจะไม่เปิดรูเดิมอีก ฉันควรดูไฟล์บันทึกใด เซิร์ฟเวอร์เดียวที่ฉันรู้ว่ากำลังทำงานอยู่บนคอมพิวเตอร์คือ sshd และ lighttpd ฉันควรทำอย่างไรเพื่อตรวจสอบว่าสิ่งนี้เกิดขึ้นอีกครั้ง?

11 linux  ubuntu  security  hacking  forensic-analysis 

ฉันต้องการสร้างบัญชีที่จะทำสิ่งต่อไปนี้: เข้าร่วมคอมพิวเตอร์กับโดเมน (ไม่ จำกัด เพียง 10 รายการเช่นผู้ใช้ทั่วไป) ตรวจสอบบัญชีคอมพิวเตอร์ใน AD ลบคอมพิวเตอร์จาก AD ย้ายคอมพิวเตอร์ระหว่าง OU ฉันไม่ต้องการอนุญาตให้ทำสิ่งอื่นดังนั้นไม่ต้องการบัญชีผู้ดูแลโดเมน ใครสามารถแนะนำฉันในทิศทางที่ถูกต้องในแง่ของการอนุญาตหรือไม่ ไม่แน่ใจว่าฉันควรจะใช้การมอบหมายของตัวช่วยสร้างการควบคุมหรือไม่? ไชโย เบน

11 security  active-directory  permissions 

เราจำเป็นต้องใช้ SSL บนเครือข่ายภายในของเราสำหรับแอปพลิเคชันที่มีความละเอียดอ่อนและฉันต้องรู้ว่ามีความแตกต่างระหว่างใบรับรองที่ลงนามด้วยตนเองและใบรับรองที่ลงชื่อโดย Windows Server CA ที่เราติดตั้งหรือไม่ เราจำเป็นต้องติดตั้ง CA หรือไม่?

11 security  ssl-certificate 

คุณจะทำอะไรเป็นอันดับแรกหากเว็บไซต์ของคุณถูกแฮ็ก จดไซต์จากเน็ต? หรือย้อนกลับการสำรองข้อมูล ไม่จริงหรือ คุณเคยมีประสบการณ์แบบนี้บ้างไหม?

11 security  website  web 

PPTP หรือ IPSEC VPN มีความปลอดภัยมากกว่าแบบอื่นสำหรับ 'โทร' ใน VPN หรือไม่ถ้าใช่ทำไม

11 security  vpn  ipsec  pptp 

ฉันเป็นโปรแกรมเมอร์ติดพยายามจัดการการตั้งค่า Active Directory สำหรับ บริษัท ขนาดเล็ก ตัวควบคุมโดเมนกำลังเรียกใช้ Windows Small Business Server 2008 เรามีพนักงานภาคสนามที่ใช้แท็บเล็ตพีซี ปัญหาการกำหนดค่าด้วย Bloatware ของ ThinkVantage ของแท็บเล็ตจะกำหนดให้ผู้ใช้เหล่านี้มีสิทธิ์ของผู้ดูแลระบบเมื่อใช้แท็บเล็ต ไม่เป็นไร - มันมีประโยชน์สำหรับพวกเขาที่จะได้รับสิทธิพิเศษเมื่อฉันเดินพวกเขาผ่านการแก้ไขทางโทรศัพท์ดังนั้นฉันไม่ได้มองหาวิธีแก้ไขที่นั่น ฉันต้องการใช้นโยบายกลุ่มเพื่อตั้งค่าสถานการณ์ต่อไปนี้: ผู้ใช้ในกลุ่มความปลอดภัย (หรือหน่วยองค์กร) ควรอยู่ในกลุ่ม BUILTIN / Administrators เมื่อเข้าสู่ระบบคอมพิวเตอร์ในกลุ่มความปลอดภัย (หรือหน่วยองค์กร) ไม่เป็นไรถ้าคอมพิวเตอร์ต้องอยู่ใน OU แต่ฉันต้องการกำหนดผู้ใช้เป็นกลุ่ม แน่นอนพนักงานภาคสนามไม่ควรเป็นผู้ดูแลระบบในเวิร์คสเตชั่นอื่น ๆ และพนักงานออฟฟิศวานิลลาไม่ควรเป็นผู้ดูแลระบบบนแท็บเล็ต ขณะนี้มีการจัดการภายในแท็บเล็ตแต่ละเครื่อง แต่เมื่อเราเพิ่มการจ้างงานใหม่ ฉันรู้สึกว่ากลุ่มที่ถูก จำกัด คือคำตอบที่นี่ แต่หากไม่มีเหตุผลที่ชัดเจนในแนวคิดและวิธีการโฆษณาฉันมีช่วงเวลาที่ยากลำบากในการทำให้เกิดขึ้น เทคนิคที่เหมาะสมสำหรับงานนี้คืออะไรและฉันจะนำไปใช้อย่างไร

11 security  active-directory  permissions  group-policy