Izņēmumi no mērījumu politikas

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Šajā lapā ir ietverts saraksts ar izņēmuma situācijām, kurās tiek veikti pamatdrošības mērījumi. Mērījums bez konteksta tiks vērtēts negatīvi. Tāpēc pamatdrošība pievieno izņēmumus saskaņā ar tā saukto “ievēro vai paskaidro” procesu.

Ja trūkst izņēmuma, lūdzu, sazinieties ar mums. Pēc tam šis izņēmuma pieprasījums tiks izskatīts un var tikt vai netikt pievienots mērījumiem. Iekļaut labas paskaidrošanas rokasgrāmatas prasības.

Versiju numuri

Paredzams, ka netiks atklāta nekāda informācija, ko uzbrucējs varētu izmantot uzbrukuma veikšanai. Tāpēc kopumā mēs negaidām versiju numurus. Šie ir izņēmumi:

  1. SSH2.0 virknes bez komentāriem tiek izslēgtas, jo informācija par versiju ir daļa no protokola. Skatīt www.openssh.com/txt/rfc4253.txt 4.2. Tas nozīmē, ka, piemēram, “OpenSSH_9.2p1” ir apstiprināts, bet “OpenSSH_9.2p1 Debian-2+deb12u2” nav. Tas ir tāpēc, ka tajā ir publicēta papildu informācija (“Debian-2+deb12u2”) par sistēmu. Tas nozīmē, ka sistēma nav aizsargāta pret uzbrucējiem un uzbrucējs precīzi zina, kāda veida sistēma tā ir.
  2. Labi zināmu produktu lielākās versijas, kurās ir maz informācijas par ielāpu līmeni. Piemēram: Microsoft IIS 8.5, Microsoft httpapi/2.0, rtc 7.0, awselb/2.0. Tie ir apstiprināti.

Sertifikāti

Paredzams, ka visus sertifikātus izsniegs akreditēta organizācija. Šiem sertifikātiem pēc tam uzticas pārlūkprogrammās un ierīcēs. Šie ir izņēmumi:

  1. G1 Valdības sertifikāti. Tiem neuzticas pārlūkprogramma, bet uzticas centrālā valdība. To norāda paziņojums. Neuzticamie sertifikāti tagad nav uzticami pēc konstrukcijas. Sertifikātā, kas tiek pieņemts, cita starpā jānorāda sērijas numurs 10004001.

Atvērtie vārti

Tiek sagaidīts, ka uzbrukuma virsma ir minimāla, proti, pēc iespējas mazāk atvērtu portu. Šie ir izņēmumi:

  1. 8080/8443 (Cloudflare): Cloudflare ugunsmūris pēc noklusējuma atver dažus liekos portus, piemēram, 8080. Varat pats konfigurēt, kas tur parādās. Ja mēs redzam, ka tur ir norādīts cloudflare, tagad mēs to apstiprinām ar paskaidrojumu. Tas galu galā nav labi, un mēs aicinām cloudflare lietotājus norādīt, ka uzņēmumam vajadzētu sākt slēgt šos portus. Šis izņēmums notiek, pamatojoties uz tīmekļa lapas saturu. Tam tiek piemērota politika kā deklarācija.
  2. 8443 (VPN): ar mājasdarbu saistītie apakšdomēni var atvērt šo portu. Mēs to atpazīstam pēc apakšdomēniem (un daudziem variantiem): teleworking, homeworking, workplace, workstation, extranet, intranet, remote, remote working, vpn utt.

šifrēta datu pārsūtīšana (HTTPS)

Paredzams, ka vietnes un tīmekļa pakalpojumi tiks šifrēti, lai informācija paliktu konfidenciāla. Šie ir izņēmumi:

  1. Sertifikātu atsaukšanas saraksti: apakšdomēniem “pki”, “crl”, “ocsp” un dažiem to variantiem šifrēts savienojums nav nepieciešams. HSTS galvene nav jāiestata 443 portam (mēs negaidām https).
  2. Microsoft Autodiscover apakšdomēniem šifrēšana nav nepieciešama, tas ir vispārējs izņēmums Microsoft pakalpojumiem, jo citādi visi ir sarkani…? Tas attiecas uz “autodiscover” un “autodiscover.test” domēniem.

HTTP galvenes

Tiek sagaidīts, ka visas vietnes ir iestatītas atbilstoši drošības prasībām. Šie ir izņēmumi:

  1. Trūkst SOAP/JSON/XML satura tipu galvenes: Šie pakalpojumi nav paredzēti cilvēkiem, tāpēc tiem nav jānodrošina pārlūkprogrammas aizsardzība, kas paredzēta cilvēku aizsardzībai.
  2. Trūkst tehnisko dienestu galvenes: ADFS apakšdomēnai HSTS galvene nav jāiestata.

Citi

Ir jāievēro visas drošības prasības. Ir sarežģīti scenāriji, kuros tas vēl nav noticis vai nav iespējams. Tie ir izņēmumi:

  1. Microsoft pakalpojumi apakšdomēnos, kas saistīti ar lyncdiscover, sip, enterpriseenrollment, enterpriseregistration, webmail, msoid. Tas tika darīts, jo šie pakalpojumi nav paredzēti pārlūkprogrammām, bet gan automatizētiem pakalpojumiem. Tajā pašā laikā tāpēc, ka ietekme visur būtu liela un IKT pakalpojumu sniedzēji nevar atrisināt šīs problēmas:
    • Šo apakšdomēnu sertifikāts ir uzticams, neskatoties uz to, ka tas nav uzticams no Qualys.
    • Tā kā šie pakalpojumi ir paredzēti ierīcēm, nevis pārlūkprogrammām, http galvenes nav obligātas.