Windows 2000 biztonsági szabványajánlás a CIS-től
A 2000. októberében alapított szervezet 7 fő szabványforrást jelölt meg kiindulópontként. A BS 7799-es angol szabványt, az IETF RFC 2196-os dokumentumát, azt ISACA informatikai auditor szövetség COBIT ajánlását, egy FISCAM szövetségi auditor ajánlást, a GASSP nemzetközi biztonsági szövetségi (I2SF) ajánlást, a NIST rendszerbiztonsági előírásait és a SysTrust rendszerbiztonsági alapelveket és kritériumokat.
A munka során több operációs rendszer biztonsági előírásainak a tervezete, és a hozzájuk tartozó tesztek bétaváltozata készült már el. Az eddig megcélzott operációs rendszerek: Sun Solaris (1. szint), Linux (1. szint), HP-UX (1.szint), Cisco IOS (1. és 2. szint), Windows 2000 (1. szint) és Windows NT (1. szint). Ebből a sorból emelkedett most ki július 17-én a Windows 2000 munkahelyekre vonatkozó szabvány legutolsó változatának a bejelentése, amelyhez készen van a megfelelő tesztanyag is. A különböző változatok dokumentumai, valamint a teszteléshez szükséges eszközök a CIS-ről letölthetők.
A most elfogadott W2K tesztanyag letöltő oldalán a következő anyagok találhatók: * Level-1 Benchmark for Windows 2000 (v1.1.7), * Windows 2000 Professional Operating System Benchmark - Consensus Baseline Security Settings (v1.0), * Level-1 Benchmark for Windows NT (v1.0.3), * Scoring Tool (v2.1.1) és * Implementation Guide. Tehát, a W2K mellett az NT-s változat is ott van. A Scoring Tool (nem erőszakos!) böngésző-elemző pedig közös.
Az 1. szintű Windows 2000 tesztkészlet összesen 500 lépésből áll. Áprilisban a bizottság tett egy fogadalmat, hogy reggel 9-kor nekiülnek, és addig föl nem állnak, amíg át nem rágják magukat az összes elemén. Hát, jó későre járt, mire végeztek annyira, hogy már csak 4 olyan elem maradt, amihez már csak az NSA ragaszkodott, a többiek nem. A szabványt kielégítő rendszerkonfiguráció még nem biztos, hogy támadhatatlan, de eddig hasonló szabvány még nem készült, úgyhogy legközelebb már ehhez képest lehet mérni a továbbiak teljesítményét. Megjegyzendő, hogy a Microsoft maga is jelentős erőfeszítéseket tesz az utóbbi időben a rendszereinek a biztonságáért, úgyhogy külön hálószemet is épített ennek a támogatására, valamint CD-n is ad ki tesztanyagokat és összefoglaló biztonsági javításokat. A magyar iroda ráadásul külön élenjáró a témában, tulajdonképpen Redmondot megelőzve kezdte el ilyen CD összeállítását. Természetesen a CIS tesztanyag olyan további lehetőség, amely független kontrollt tesz lehetővé.
A hírek szerint a következő operációs rendszer, amelynek kapcsán a konszenzus közelinek tűnik, a Cisco IOS útválasztó operációs rendszer, ami legalább olyan súlyú a világháló szempontjából, mint a W2K szabvány.
Az állami szabványosítási szervezetek, és a Védelmi minisztérium még nem döntött arról, hogy a CIS ajánlásait milyen mértékben veszi figyelembe, de az a hír járja, hogy minimális követelményként akarják használni a későbbi beszerzések során.
Center for Internet Security http://www.cisecurity.org/
Windows 2000 Workstation Benchmark Consensus Baseline http://www.cisecurity.org/bench_win2000.html
Microsoft Security http://www.microsoft.com/security/
Kapcsolódó cikkek
- Amerikai szoftver a kínai kormányzati tűzfalak kijátszására
- ISS napi internetes veszélyjelző szolgáltatás a Network Computing magazin online kiadásában is
- A Microsoft szembeszáll a spam-ekkel, vírusokkal
- Triplájára növekedett az online csalások száma
- Új biztonsági szövetség alakult
- A Microsoft szoftverek nem elég biztonságosak
- Incidens vagy esemény?
- Lelassíthatja a számítógépeket az XP SP1 javítócsomag
- Sun Liberty: szabadság a hálón
- Antivírus-problémákat vethet fel az Office 2003