Erandid mõõtmispoliitikast

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

See lehekülg sisaldab loetelu erandolukordadest, mis on seotud põhiturvalisuse mõõtmistega. Kontekstita mõõtmist hinnatakse negatiivselt. Seetõttu lisatakse põhiturvalisuse puhul erandeid vastavalt nn “vasta või selgita” protsessile.

Kui erand puudub, võtke meiega ühendust. See eranditaotlus vaadatakse seejärel läbi ja see võidakse mõõtmistele lisada või mitte. Lisage hea selgituse käsiraamatu nõuded.

Versiooni numbrid

Eeldatakse, et ei leia teavet, mida ründaja saaks kasutada rünnaku läbiviimiseks. Seega üldiselt me ei oota versiooni numbreid. Need on erandid:

  1. Kommentaarideta SSH2.0 stringid on välja jäetud, sest versiooniteave on osa protokollist. Vt www.openssh.com/txt/rfc4253.txt 4.2. See tähendab näiteks, et “OpenSSH_9.2p1” on heaks kiidetud, kuid “OpenSSH_9.2p1 Debian-2+deb12u2” mitte. Seda seetõttu, et see avaldab süsteemi kohta lisateavet (“Debian-2+deb12u2”). See tähendab, et süsteem ei ole ründajate vastu karastatud ja ründaja teab täpselt, millise süsteemiga on tegemist.
  2. Tuntud toodete suuremad versioonid, mis ütlevad vähe plaastritaseme kohta. Näiteks: Microsoft IIS 8.5, Microsoft httpapi/2.0, rtc 7.0, awselb/2.0. Need on heaks kiidetud.

Sertifikaadid

Eeldatakse, et kõik sertifikaadid väljastab akrediteeritud organisatsioon. Neid sertifikaate usaldatakse seejärel brauserites ja seadmetes. Need on erandid:

  1. G1 Valitsuse sertifikaadid. Neid ei usalda veebilehitseja, kuid neid usaldab keskvalitsus. See on märgitud avaldusega. Mitte usaldatud on nüüd juba algselt. Aktsepteeritud sertifikaat peab sisaldama muu hulgas seerianumbrit 10004001.

Avatud väravad

Eeldatakse, et ründepind on minimaalne: st võimalikult vähe avatud porte. Need on erandid:

  1. 8080/8443 (Cloudflare): Cloudflare’i tulemüür avab vaikimisi mõned üleliigsed pordid, näiteks 8080. Saate ise konfigureerida, mis seal ilmub. Kui näeme seal cloudflare’i, siis kinnitame selle nüüd koos selgitusega. See ei ole lõppkokkuvõttes hea ja me julgustame cloudflare’i kasutajaid viitama, et ettevõte peaks hakkama neid porte sulgema. See erand toimub veebilehe sisu põhjal. Poliitikat kohaldatakse selle suhtes deklaratsioonina.
  2. 8443 (VPN): kodutööga seotud alamdomeenid võivad avada selle pordi. Tunnistame seda alamdomeenide (ja paljude variantide) järgi: kaugtöö, kodutöö, töökoht, töökoht, ekstranet, intranet, kaugtöö, kaugtöö, vpn jne.

Krüpteeritud andmeedastus (HTTPS)

Eeldatakse, et veebisaidid ja veebiteenused on krüpteeritud, et teave jääks konfidentsiaalseks. Need on erandid:

  1. Sertifikaatide tühistamise nimekirjad: krüpteeritud ühendus ei ole vajalik alamdomeenide “pki”, “crl”, “ocsp” ja mõnede nende variantide puhul. HSTS-pealkirja ei ole vaja seada pordi 443 puhul (me ei eeldaks https).
  2. Microsofti Autodiscover alamdomeenidel ei ole krüpteerimine nõutav, see on üldine erand Microsofti teenuste puhul, sest muidu on kõik punased…? See kehtib “autodiscover” ja “autodiscover.test” domeenide kohta.

HTTP päised

Eeldatakse, et kõik veebisaidid on loodud turvalisuse tagamiseks. Need on erandid:

  1. Puuduvad päised SOAP/JSON/XML sisutüüpide jaoks: Need teenused ei ole mõeldud inimestele ja seetõttu ei ole vaja pakkuda inimeste kaitsmiseks mõeldud brauserikaitset.
  2. Puuduvad tehniliste teenistuste päised: ADFS alamdomeeni puhul ei ole vaja HSTS päistekirje seadistada.

Muud

Eeldatakse, et kõik ohutusnõuded on täidetud. On keerulisi stsenaariume, kus see ei ole veel juhtunud või ei ole võimalik. Need on erandid:

  1. Microsofti teenused alamdomeenidel ümber lyncdiscover, sip, enterpriseenrollment, enterpriseregistration, webmail, msoid. Seda tehti seetõttu, et need teenused ei ole mõeldud mitte brauserite, vaid automatiseeritud teenuste jaoks. Samal ajal, sest mõju oleks kõikjal suur ja IKT-teenuste pakkujad ei suuda neid probleeme lahendada:
    • Nende alamdomeenide sertifikaat on usaldusväärne, kuigi Qualys ei usalda seda.
    • Kuna tegemist on seadmetele, mitte brauseritele mõeldud teenustega, ei ole http-pealkirjad kohustuslikud.