Jan Emil Christiansen <janemil@hotmail.com> wrote:
> Jeg skal skrive obligatorisk opgave på datanomstudiet i faget sikkerhed.
>
> Jeg vil skrive om en windows 2000 server med fast ip.
Har du virkeligt lyst til det? Det er meget begraenset og jeg ved ikke
hvor mange steder der kun har brug for en sikker Windows 2000 server med
fast IP adresse.
Hvorfor ikke i stedet skrive om hvordan attack trees eller en lignende
model kan bruges paa en Windows 2000 server med fast IP adresse? Hvis du
goer det ordenligt beviser du evnen til at analysere risiko i en given
situation, hvilket er mere brugbart end dette ene tilfaelde.
Under alle omstaendigheder er regel 0:
"Systems built without requirements cannot fail; They merely
offer surprises. Usually unpleasant." - Robert Morris, Sr.
> Serveren skal køre:
> 1 website, aspsider, men brugerhåndtering.
(Dit indlaeg indholder ingen beskrivelse af vaerdien af serveren, saa
hvis mine forslag er helt ved siden af, er det din skyld :)
Der bliver regelmaessigt fundet nye fejl i IIS. Er det en acceptabel
risiko? Der boer etableres procedurer for at modtage
sikkerhedsannonceringer fra MS, samt hvordan og hvornaar test og
installation af sikkerhedspatches skal finde sted.
Server-side kode skrevet af daarlige programmoerer har ogsaa ofte
sikkerhedsfejl i sig. Soerg for at faa designet og koden reviewet at
folk der kan opdage den slags fejl.
> 1 FTP server, men 5 forskellige logins --> måske G6
Er acceptabelt at bruge ukrypterede forbindelser til at uploade
informationen? Er det acceptabelt at bruge een faktor brugervalidering
til ditto? Jeg kender ikke kvaliteten af G6.
> 1 sql server 2000
Der er en stoerre checkliste paa MS's site for SQL Server. Soerg derudover
for at det userid som bruges af ASP delen kun har de noedvendige
rettigheder. Hvis websiden kun har brug for at skrive til een tabel er
der ingen grund til at det paagaeldende brugerid kan skrive til alle
sammen, osv.
> 1 billedkomponent, ASPimage
Det kender jeg ikke. Hvordan virker det?
> Jeg har selvfølgelig selv masser af ideer, man jeg vil gerne høre andres
> mening. Alt modtages med glædes. Råd, links, materiale osv.
Hvis du har lyst til at lufte alle dine ideer her, er der sikkert nogen
med praktisk erfaring der kan give dig feedback.
OSS'en indeholder ogsaa ganske lidt om servere, men det vigtigste afsnit
(Sikkerhedspolitikken) er endnu ikke tilfredsstillende. Brug alligevel
90 sekunder paa at laese indholdsfortegnelsen grundigt.
http://a.area51.dk/sikkerhed/
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow.
http://a.area51.dk/