Пример программы технического аудита офисной сети

09.30 Рабочее совещание с администраторами

• Обсуждение порядка действий;
• Изучение топологии сети;
• Выбор объектов для сканирования.

10.00  Запуск автоматических проверок

• Установка MBSA на свободную рабочую станцию с выходом в Интернет;
• Настройка и запуск MBSA;
• Установка на эту же рабочую станцию Nessus  и XSpider;
• Настройка и запуск Nessus  и XSpider для сканирования внешнего периметра офисной сети;
• Настройка средств Nessus  и XSpider на мобильном компьютере.
• Запуск Nessus  и XSpider на мобильном компьютере для сканирования выбранных хостов внутренней сети.

11.00  Security benchmarking

• Выборочная установка CIS Scoring Tools на выбранные АРМ.
• Сбор результатов.

12.00   Работа с администраторами

• Идентификация ресурсов общего доступа при помощи утилиты NetView, установленной на консоли администратора. Печать списка.
• Изучение доменной политики учетных записей: периодичность смены пароля, требования к длине и сложности пароля, количество запоминаемых паролей.
• Проверка учетных записей, пароль которых не менялся свыше 180 дней,  заблокированных учетных записей и учетных записей с установленным атрибутом Change Pass at next logon при помощи Sysinternals AD Explorer, установленного на консоли администратора.
• Изучение и печать состава административных групп (с консоли администратора).

13.30     Обед

• Выяснение порядка действий по отношению к учетным записям уволенных работников, проверка выполнения (скриншоты).
• Выборочная проверка соответствия прав доступа к ресурсам имеющимся заявкам на доступ, проверка валидности заявок.
• Проверка порядка контроля списков доступа к ресурсам их владельцами.
• Проверка записей журналов аудита: изменение привилегий, прав доступа, политик. Экспорт журналов аудита.
• Проверка списков доступа на МЭ (протоколы, порты, адреса). Печать политики доступа.
• Проверка защиты каналов  доступа.
• Оценка уровня защищенности хостов, расположенных в DMZ.
• Проверка состава удаленных пользователей имеющимся заявкам на удаленный доступ.
• Проверка парольной политики удаленных пользователей.
• Проверка наличия процесса сертификации удаленных рабочих мест.
• Протоколы, используемые для удаленного доступа.
• Проверка соответствия полномочий, предоставляемых удаленным пользователям, имеющимся заявкам на доступ. Проверка валидности заявок.
• Проверка соответствия полномочий пользователей к платежным системам их функциональным обязанностям.
• Описание процедуры подготовки, ввода, визирования и отправки электронных платежей.
• Экспорт журналов аудита с АРМ платежных систем.
• Описание порядка обращения с ключами ЭЦП.
• Описание структуры системы защиты от вредоносных программ. Обзор консоли. Политика имеется?
• Проверка настроек средств защиты.
• Проверка актуальности баз средств защиты. Описание порядка обновления.
• Проверка наличия, соблюдения и актуальности регламента и инструкций резервного копирования.
• Проверка порядка ведения журналов. Копия страницы.
• Проведение тестового восстановления с ленты.
• Описание порядка хранения и транспортировки резервных копий.
• Политика обновления ПО.
• Описание порядка обновления, наличие серверов SUS/WSUS в сети.
• Формирование отчета о компьютерах, нуждающихся в обновлении.

18.00  Пароли

• Выборочная установка средства аудита паролей (LC5, Cain) на серверы и АРМ (контроллер домена, АРМ платежных систем, мобильный компьютер – обязательно)
• Оценка стойкости паролей по методу расшифровки хэша и по методу подбора по словарю.
• Оценка стойкости к подбору паролей удаленных сервисов – серверы Data Center. Подбор по словарю средством Brutas.

20.00  Подведение итогов, сбор документации.

Авторство: GlobalTrust