24 июля, среда 07:24
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Обновления Windows 10 и сертифицированные СЗИ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Обновления Windows 10 и сертифицированные СЗИ

    Уже совсем не далёк тот час, когда таки придётся переводить "особенные" машины с семёрки на Win10. Но что при этом делать с обновлениями не понятно.

    Сертифицированные СЗИ от НСД, антивирусы, программные локальные МЭ и т.д. - всё это отстаёт от актуальных версий в лучшем случае на полтора-два года, а порою и на все лет 5 и просто не совместимо с актуальными версиями десятки.
    С другой стороны, мы имеем отсутствие в ОС механизма, позволяющего рулить обновлениями и вырибать, что разрешить для установки, а что нет. В результате остаётся по сути только 3 варианта:
    1. После установки СЗИ отключать службу обновления вообще, что с точки зрения реальной безопаности - тот ещё бред, потому что какие-то обновления всё таки получать надо. Вот как раз сейчас дыра в RDP нашлась, например.
    2. Создавать на WSUS ацкое количество групп, которые по сути будут состоять из одной-двух машин и каким-то образом запоминать, в какую группу какие обновления можно пропускать, а какие нет. Не представляю, как такое большое хозяйство администрировать. Да и про тестирование обвнолений можно забыть. Не будешь же всё это дублировать?
    3. Ходить по всем таким машинам с KBшками и обновлять руками, что как сами понимаете, не будет делаться вообще из-за вечного цейтнота. Да и опять же, есть риск положить критичную с точки зрения бизнес-процесса машину.

    Если кто-то шишек уже набил, поделитесь опытом, по какому пути лучше идти и почему.

  • #2
    Сообщение от Berckut Посмотреть сообщение
    Сертифицированные СЗИ от НСД, антивирусы, программные локальные МЭ и т.д. - всё это отстаёт от актуальных версий в лучшем случае на полтора-два года, а порою и на все лет 5 и просто не совместимо с актуальными версиями десятки
    Отставание есть, решение очень простое: используете ту версию что максимально новая и совместимая. Есть LTSB / LTSC редакции, они и должны применяться на АРМах. Там НЕТ обновления автоматического с редакции на редакцию. Раз в два года проводите ревизию обновляете всё на АРМе под актуальную версию Windows LTSC.

    Сообщение от Berckut Посмотреть сообщение
    С другой стороны, мы имеем отсутствие в ОС механизма, позволяющего рулить обновлениями и вырибать, что разрешить для установки, а что нет.
    1. Это не верно для Pro и Enterprise редакций, там отлично работают политики и WSUS + никто не мешает обновлять выкачивая патчи специальными тулзами и устанавливая только необходимое.
    2. Вообще не ясно почему этот вопрос возник? У вас АРМы в подновляющем большинстве случаев не имеют неограниченного доступа в сеть Интернет. Как они будут обновляться?

    Сообщение от Berckut Посмотреть сообщение
    1. После установки СЗИ отключать службу обновления вообще, что с точки зрения реальной безопаности - тот ещё бред, потому что какие-то обновления всё таки получать надо. Вот как раз сейчас дыра в RDP нашлась, например.
    Зачем отключать службу, что это даст? Отключение этой службы может привести в некоторых случаях вообще к неработоспособности ОС или невозможности корректно установить приложение и/или СЗИ.

    Сообщение от Berckut Посмотреть сообщение
    2. Создавать на WSUS ацкое количество групп, которые по сути будут состоять из одной-двух машин и каким-то образом запоминать, в какую группу какие обновления можно пропускать, а какие нет. Не представляю, как такое большое хозяйство администрировать. Да и про тестирование обвнолений можно забыть. Не будешь же всё это дублировать?
    Это не бред, а реалии, именно так и происходит: с десяток групп + набор скриптов для переноса из тестовых групп в продакшн выбранных патчей. Но по мне WSUS для критических АРМ как и включение в домен + RDP серьёзный канал для реализации атак. Вообще вопрос нужны ли патчи, если вы применяете компенсирующие меры: изоляцию файрволом. В этом случае нужны только патчи, где есть локальная эскалация привилегий или какт-ьто через данные приложений или какие-то системные вещи типа проблем в IP-стеке, но таких проблем мало можно и вручную устанавливать.

    Сообщение от Berckut Посмотреть сообщение
    3. Ходить по всем таким машинам с KBшками и обновлять руками, что как сами понимаете, не будет делаться вообще из-за вечного цейтнота. Да и опять же, есть риск положить критичную с точки зрения бизнес-процесса машину.
    Не ясно в чём тут сложности, цейтнот не влияет на задачу раз в месяц запустить скрипт на АРМе. У вас же есть админы АРМ? Если они не способны с такой задачей справится (в т.ч. сделать резервную копию, протестировать), то вопрос вообще админы ли они. Более того, они должны иметь план восстановления, который включает в себя восстановление со всеми патчами. И повторюсь, я считаю, что если ограничить файрволами доступ к ОС, убрать АРМ из AD, то и патчи можно устанавливать ограничено, только те, что влияют на локальную эскалацию привилегий и прочие подобные вектора атак (когда нужен доступ к консоли или влияние через данные приложения, системные узявимости на которые можно влиять обходя файрвол).
    Более того сейчас патчи для Windows действительно кумулятивные один большой патч с критическими обновлениями, который тащит за собой всё старое. Это очень упрощает по сравнению тем что было раньше в W7 / процесс 2008 обновления.

    Последний раз редактировалось Zuz; 15.05.2019, 08:22.

    Комментарий


    • #3
      Просто на вскидку:

      1. Пачка машин под ЕБС. Если вспомнить про необходимость установки SPR, то тогда вообще нельзя подниматься выше версии 1503.
      2. Несколько машин на участке ПС БР. Добавляется СекретНет, который имеет свои ограничения на поддерживаемую версию win10.
      3. Некоторые машины с сертифицированной криптографией. Сертифицированный ФСБ антивирь и соответствующая ему версия win10.
      4. Есть машины, где надо использовать сертифицирвоанный ФСТЭК антивирь. Версии Каспера, в данном случае, например, не совпадают. Сертифицированная версия ФСТЭК помоложе чем сертифицированная ФСБ и win10 должен быть более поздней версии.
      5. Есть машины с сертифицированным ViPNet Client. И соответствующая ему версия Win10!

      В общем, зоопарк довольно большой получается. Вернее разнообразный.

      Комментарий


      • #4
        Berckut

        1. ИМХО, можно подниматься выше, если оно работает. Не нужно делать из требования выполнения документации на СКЗИ священную корову. Оно всегда будет выполняться частично из-за подобных несоответствий. Есть проблема документируете её, принимайте компенсирующие меры, доводите проблему до разработчика. При проверках вы можете показать, что пытались выполнить требование и есть сложности от вас независящие, есть разъяснения от разработчика. Думаю, этого достаточно, чтобы оценка требования не заваливалась в ноль.

        2. Нужно уточнить можно ли использовать LTSB / LTSC редакции (живут с ограниченным набором патчей по 2 года). С SecretNet вообще беда, оно даже на рекомендованных версиях глючит (к примеру, мы регулярно ловим BSODы при перезагрузке после работы администратора). Но в целом, я не совсем понимаю в чём именно проблема? Есть требование к версии, чтобы работало, выполняем его (иначе работаить не будет). Там есть файрвол, настраиваем изоляцию тем самым компенсируем необходимость устанавливать обновления.

        3. С антивирусом не было пока проблем. Более того, антивирус только для Сигнатуры является обязательным. У КриптоПро внимательно прочтите требование. Там сертификация фактически рекомендация, может не выполняться как раз из описанных вами соображений. Главное бумажками и тут обложится.

        4. Тут на примере Каспера: «Обновлённая версия Kaspersky Endpoint Security 10 для Windows Service Pack 2 Maintenance Release 3(версия 10.3.3.275) доступна для использования. Версия содержит поддержку операционной системы Microsoft Windows 10 April Update (Redstone 4, версия 1803) и October Update (Redstone 5, версия 1809), Microsoft Windows Server 2019.».
        Всё свежее, в чём именно тут проблема? С другим ативирусом? Смените на Касперского. )))

        5. А в чём тут проблема? Поступаем аналоично пунуту 2.
        Вообще в документации нет проблемы: Операционная система — Windows Vista (32/64-разрядная), Windows Server 2008 (32/64-разрядная), Windows Server 2008 R2 (64-разрядная), Windows Small Business Server 2008 SP2 (64-разрядная), Windows 7 (32/64-разрядная), Windows 8 (32/64-разрядная), Windows 8.1 (32/64-разрядная), Windows Small Business Server 2011 (64-разрядная), Windows Server 2012 (64-разрядная), Windows Server 2012 R2 (64-разрядная), Windows 10 (32/64-разрядная).
        Для операционной системы должен быть установлен самый последний пакет обновлений.


        P.S. КМК, немного перегибаете в части бумажной безопасности! ) Задача же не только требования выполнить. Задача защитить информацию, объекты инфраструктуры, как следствие снизить риски для бизнеса, снизить затраты (к примеру, оптимизируя выполнение требований компенсирующими мерами, когда это допустимо и возможно или в случаях, когда выполнить требование невозможно). Эту задачу нужно решать. Если есть зафиксированное нарушение со стороны проверяющих работаете над ним с разработчиком СЗКИ/СЗИ/прикладного ПО, требуете реализовать, другого варианта нет. )))

        P.P.S. Зоопарк ещё тот и не только из-за СЗИ, в этом и работа админа.

        Комментарий


        • #5
          Самый свежий сертифицированный СекретНет даже на версии 1709 работает с ограничениями. Про более поздние и говорить нечего.
          https://www.securitycode.ru/versions...y_realize_sns/

          Поддержка версии 1809 появилась у Каспера только в версии KES 11.0.1.90, а самая свежая версия с сертификатом ФСБ KES 11.0.0.6499. При этом полная совместимость что для 10.х, что для 11.х заканчивается на версии Win10 1511. Да, работать она будет, но либо с глюками, либо с неработающими отдельными компонентами.
          Да и 10.х уже можно на полку убирать. Сертификат скоро сдохнет и маловерятно, что его продлять будут при наличии более свежей версии.
          https://support.kaspersky.ru/13036

          И дело тут не только в бумажной безопасности. Надо чтобы оно работало и твой день не начинался с того, что у кого-то вывалился синий экран.
          А то, что касается повешать всё на админов, т.к. это их работа - не мой подход. Условия работы должны быть адеватными, а не по принципу "я тут свои требования выполнил, а вы теперь как хотите, так и обеспечивайте рабоспобность". Неконструктивно это. В конце концов это делаться просто не будет и одни огребут за не сделанное, а другие за фактически не выполненные требования по защите.

          А ещё я подхожу к проблеме, как работник регионального банка...

          Комментарий


          • #6
            Не устанавливать обновления (в том числе критичные) - не выполнять требования ГОСТов, Положений ЦБ и т.д.
            Устанавливать обновления - не выполнять требования вендоров.
            В случае проверки сильнее может прилететь при первом варианте.
            Мы несколько раз прикрывались официальными запросами разработчикам ПК и АПК касаемо установки обновлений системного и прикладного ПО.

            Комментарий

            Пользователи, просматривающие эту тему

            Свернуть

            Присутствует 1. Участников: 0, гостей: 1.

            Обработка...
            X