В марте 2007 года Административно-бюджетное управление США выпустило виртуальные машины на основе Windows XP Professional SP2 и Vista с Базовой Конфигурацией для Федеральных Настольных Систем (Federal Desktop Core Configuration (FDCC)) и предписало обязательное использование FDCC на компьютерах с Windows в государственных учреждениях США, начиная с 1 февраля 2008 года.
В Интернет доступно множество различных документов по конфигурациям безопасности. Какой из них следует использовать?
Для государственных организаций NIST предлагает использовать Специальные публикации (NIST Special publications), в том случае, если они существуют для выбранной платформы или приложения. Если подходящего стандарта от NIST не существует, то следует обратиться к хранилищу списков проверки (NIST Checklists repository), где можно выбрать руководство, созданное другими государственными организациями (такими как, Агенство по Оборонным Информационным Системам (DISA) или Агенство Национальной Безопасности (NSA)), либо руководство от производителя, которое можно взять за основу. В том случае, если таких документов не существует, необходимо тщательно выбирать руководство от третьих лиц. В независимости от того, из какого источника документ получен, рекомендуется документировать конфигурации средств информационной безопасности или их отклонения от рекомендованных списков проверки.
Что такое SCAP?
Протокол автоматизации управления данными безопасности (SCAP) – набор открытых стандартов, определяющих технические спецификации для представления и обмена данными по безопасности. Эти данные могут быть использованы для нескольких целей, включая автоматизацию процесса поиска уязвимостей, оценки соответствия технических механизмов контроля и измерения уровня защищенности. Правительство, совместно с научными и коммерческими организациями, использует и поддерживает распространение SCAP. SCAP состоит из следующих стандартов:
- Типовые уязвимости и ошибки конфигурации (Common Vulnerabilities and Exposures CVE(r))
- Список типовых конфигураций (Common Configuration Enumeration CCE(tm))
- Список типовых платформ (Common Platform Enumeration CPE)
- Единая система определения величины уязвимостей (Common Vulnerability Scoring System CVSS)
- Расширяемый формат описания списка проверки конфигурации (Extensible Configuration Checklist Description Format XCCDF)
- Открытый язык описания уязвимостей и оценки (Open Vulnerability and Assessment Language OVAL(tm))
SCAP – это часть более широкой программы, Программы Автоматизации ИБ (ISAP). ISAP создана для выполнения задач автоматизации процессов внедрения и проверки механизмов безопасности информационных систем (ИС). Цели ISAP включают в себя разработку требований для автоматического обмена данными ИБ, настройку и управление базовыми конфигурациями для различных ИТ продуктов, оценку ИС и проверку соответствия требованиям, использование стандартных метрик для оценки и подсчёта интегрального влияния уязвимостей, устранение обнаруженных уязвимостей. NIST осуществляет руководство данной инициативой совместно с DISA, NSA и DHS (в качестве спонсора).
Сайт SCAP содержит XML файлы в формате SCAP для различных операционных систем (ОС) и приложений. NIST, совместно с государственными и коммерческими партнёрами, переводит некоторые из популярных списков проверки, находящихся на веб сайте NIST checklist Web site в формат SCAP, для использования в автоматизированных инструментах. Сайт SCAP содержит средства для автоматической проверки соответствия конфигурации ОС Windows XP и Windows Vista рекомендованным руководствам. После проверки правильности настройки системы, можно провести тестирование для проверки того, что допольнительные приложения работают корректно и не изменяют базовых настроек безопасности. Это позволяет обнаружить негативный эффект на функциональность системы до ее промышленного внедрения. Сайт SCAP также содержит документы для оценки приложений Microsoft Office 2007, Symantec Antivirus и Internet Explorer 7.0. Информация о SCAP находится по адресу: http://nvd.nist.gov/scap/content.cfm.
Существуют ли автоматизированные средства, которые могут обрабатывать данные в формате SCAP, чтобы проводить автоматическую оценку и настройку безопасности ОС Windows XP и Windows Vista? Если есть, то какие рекомендованы NIST?
Да, автоматизированные средства существуют. NIST продолжает работу с поставщиками продуктов, научными заведениями, некоммерческими организациями, системными интеграторами и государственным сектором для разработки и улучшения как стандартов из которых состоит SCAP, так и содержимого сайта SCAP. NIST проводил работу с поставщиками, которые заявляли о поддержке различных стандартов SCAP. Эти средства перечислены на сайте SCAP по адресу: http://nvd.nist.gov/scap/tools.cfm. Данный список не подразумевает под собой официальное заявление NIST о совместимости продуктов со стандартами SCAP.
Что такое базовая конфигурация федеральных настольных систем (FDCC)?
Базовая конфигурация федеральных настольных систем – это параметры настроек безопасности ОС, являющиеся обязательными согласно требованиям Административного и бюджетного управления США (OMB). На данный момент, FDCC существуют для операционных систем (ОС) Windows Vista и Windows XP. Впервые, требования по настройке появились в меморандуме OMB от 22 марта 2007 года, разосланном всем правительственным организациям и руководителям министерств и приложенном к нему меморандуме для директоров ИТ (CIO), хотя, тогда и не использовался термин FDCC.
Для каких ОС существуют FDCC?
На данный момент, FDCC существуют для Microsoft Windows XP Professional (Service Pack 2) и Microsoft Windows Vista Enterprise.
Каким образом были созданы FDCC?
Для создания FDCC для Windows Vista, Министерство обороны США переработало руководства по настройке безопасности для Windows Vista и Internet Explorer 7.0 от компании Microsoft (Microsoft Security Guides). Само же руководство по безопасности (Microsoft Vista Security Guide) было создано в результате совместной работы DISA, NSA и NIST. В руководстве отражено общее мнение вышеперечисленных организаций относительно рекомендованных настроек для ОС Windows Vista. FDCC для Windows XP создано на основе, переработанных военно-воздушными силами США, рекомендаций из стандарта NIST 800-68, и, адаптированных Министерством обороны США, рекомендаций из руководства по безопасности Internet Explorer 7.0 от компании Microsoft (Security guide for Internet Explorer 7.0).
Что такое виртуальный ПК (Virtual PC – VPC)), и в чём отличие VPC от виртуальных жёстких дисков (Virtual Hard Disk – VHD)?
Виртуальный ПК (VPC) – это ПО от компании Microsoft, позволяющее пользователям запускать гостевые виртуальные ОС (в терминологии Microsoft – Virtual Hard Disk), продолжая работать в основной ОС (non-virtual OS). Виртуальные ОС могут использовать аппаратное обеспечение (например, жёсткие диски, сетевые карты или USB порты) реального компьютера точно также, как и обычная, не виртуальная ОС. В обычной ОС, VHD выглядят как большие файлы с расширением *.vhd.
Почему использование виртуальных машин (VHD) выгодно?
VHD очень удобно использовать при лабораторных испытаниях и тестировании различного ПО. На VHD можно устанавливать ПО также, как и на обычные ОС. Использование виртуальных ОС позволяет быстро отменить изменения и откатиться назад к первоначальному состоянию ОС, что позволяет проводить тестирование в идентичных условиях или быстро решить проблему, в том случае, если что-то пошло не так. Дополнительно, на одной аппаратной платформе могут работать несколько VHD, что позволяет сократить затраты.
Какой срок действия у VHD, и как часто они будут обновляться?
Согласно политике лицензирования Microsoft, лицензии на VHD истекают после 120 дней использования. Тестовые VHD с конфигурацией FDCC будут публиковаться раз в квартал по следующему адресу:
http://csrc.nist.gov/fdcc/download_fdcc.html
Что можно скачать с технического раздела сайта FDCC?
Технический раздел сайта FDCC содержит документацию по FDCC для Windows Vista и Windows XP, файлы групповых политик (GPO) и данные SCAP.
Могу ли я внедрять VHD, GPO, .inf, и данные SCAP в рабочую эксплуатацию?
Использование VHD, GPO, .inf и данных SCAP рекомендуется только для тестовых сред. После проведения тщательного тестирования, организация может начать использовать GPO, .inf и, возможно, данные SCAP в рабочей среде. VHD предоставляются только для тестирования и не должны использоваться в качестве прообраза для внедрения в рабочую эксплуатацию.
Какие имена пользователей и пароли необходимы для авторизации в тестовых FDCC виртуальных машинах?
Windows Vista – FDCC_Admin и P@ssw0rd123456
Windows XP – Renamed_Admin и P@ssw0rd123456
Каким образом надо запускать полученные VHD?
Прежде всего, согласно рекомендациям NIST, сделайте резервную копию скачанных VHD файлов. После этого установите ПО Virtual PC, которое можно скачать отсюда:
http://www.microsoft.com/windows/downloads/virtualpc/default.mspx
После этого, запустите мастера и создайте новую виртуальную машину, которая будет использовать полученный VHD файл.
Что ещё необходимо принять во внимание до того как я запущу VHD?
NIST рекомендует установить и настроить антивирусное ПО и установить сетевые настройки виртуальных машин на “Local only” или “Not Connected”.
Какое отношение к FDCC имеет SCAP?
В рамках тестирования соответствия образов виртуальных машин (VHD), инженеры достигли того, что VHD должным образом настроены, а данные SCAP должным образом определены, что обеспечило соответствие с требованиями FDCC. Чтобы убедиться в том, что настройки, описанные в FDCC были должным образом отражены в VHD, необходимо использовалось SCAP-совместимое ПО. Данные SCAP могут быть использованы для проверки соответствия новых образов VHD требованиям FDCC.
Каким образом можно добиться того, что информационные системы будут соответствовать требованиям FDCC на всём протяжении их жизненного цикла?
Используя SCAP-совместимое ПО и эталонные данные SCAP FDCC, можно на постоянной основе проводить проверку своих систем, чтобы быть уверенными, что необходимые настройки, регламентированные FDCC, не были изменены, например, вследствие установки заплаток, установки нового ПО или человеческого фактора. SCAP-совместимое ПО сравнивает текущее состояние систем с эталонными данными SCAP FDCC и показывает все отклонения от стандарта, что позволяет проводить корректирующие действия (некоторые продукты могут их выполнять сами). В соответствии с требованиями FDCC, только указанное на сайте http://nvd.nist.gov/tools.cfm SCAP-совместимое сканирующее ПО, может считаться подходящим для проверки соответствия FDCC (FDCC Scanning Capable) и может полностью обрабатывать данные SCAP FDCC.
Есть ли настройки, влияющие на функциональность информационных систем, которые необходимо протестировать, до того, как требования FDCC будут выполнены в промышленной среде?
Есть ряд настроек, которые необходимо тщательно протестировать, до их применения в промышленной среде:
- Работы под обычным пользователем – некоторые приложения не работают корректно с ограниченными правами, поскольку требуют полного доступа к ОС, директориям или ключам реестра.
- Минимальная длина пароля – 12 символов, и смена пароля каждые 60 дней – данная настройка может повлиять на работу систем, обеспечивающих механизмы единого входа (single sign-on)
- Беспроводные сервисы – поскольку этот сервис будет отключён, то не будет возможности использовать беспроводные сетевые карты, которые используют данный сервис.
- Настройка FIPS 140-2 – влияет на возможность браузеров корректно отображать веб-сайты, которые не поддерживают алгоритмы одобренные стандартом FIPS 140-2. Обычно это можно исправить, включив поддержку алгоритмов одобренных FIPS 140-2 на стороне веб-сервера. Используйте для этого следующую статью:
http://support.microsoft.com/kb/811833 - Поведение при установке неподписанного драйвера – будет невозможно установить драйвера, которые не подписаны цифровой подписью Microsoft.
- Брандмауэр Windows – включение встроенного межсетевого экрана может привести к тому, что другие приложения не смогут передавать данные.
- Дополнительные настройки – в статье указаны другие настройки, которые могут повлиять на работу текущих систем.
http://support.microsoft.com/kb/885409
Какой рекомендуемый способ внедрения FDCC?
Малые организации могут применять ручную настройку с использованием batch и inf файлов. Но, рекомендуемым способом внедрения большинства требований FDCC, является использование групповых политик (GPO). Приблизительно 98% процентов всех требований FDCC выполняются таким образом. Оставшиеся требования должны быть применены локально, используя batch и inf файлы, или настраиваться вручную.
Как мне применить GPO к различным ОС при помощи Group Policy Management Console (GPMC)?
При помощи GPMC можно просматривать GPO, применять же их к различным ОС возможно используя фильтры WMI (их можно использовать только в ОС Windows Vista, Windows XP и Windows Server 2003). Для этого необходимо создать WMI фильтр, который выбирает нужные ОС, и связывает данный фильтр с подходящими групповыми политиками. В случае если используются ОС Windows 2000 или ещё более старые ОС, то эти системы должны быть исключены из области применения данных групповых политик используя варианты Read и Deny настройки Apply Group Policy. Более подробно об этом можно прочитать тут:
- Microsoft’s Windows Vista Security Guide for setting up a managed workstation at http://nvd.nist.gov/chklst_detail.cfm?config_id=88
- Статья из базы знаний Microsoft support.microsoft.com/kb/555253.
Источник: http://csrc.nist.gov/fdcc/