Bezpečnostní doporučení pro stanice a servery


  1. UDRŽUJTE AKTUÁLNÍ OPERAČNÍ SYSTÉM
    pravidelnými aktualizacemi a v co nejkratší době aplikujte všechny vydané bezpečnostní záplaty.
  2. UDRŽUJTE AKTUÁLNÍ SOFTWARE,
    pravidelně kontrolujte verze instalovaného softwaru. U neaktuálního softwaru proveďte v rámci možností update. Zastaralé mohou být i verze použitých doplňků či modulů nebo firmware zařízení.
  3. NEPOUŽÍVEJTE NEPODPOROVANÉ PRODUKTY,
    používejte dle možností pouze produkty (software i operační systémy), pro které jsou dostupné bezpečnostní záplaty.
  4. OVĚŘUJTE IDENTITU APLIKACÍ A SOUBORŮ
    a povolte jen ty důvěryhodné včetně skriptů a dll knihoven. V prostředí Windows použijte Device Guard, Applocker, popřípadě Zásady omezení softwaru (SRP).
  5. ZAJISTĚTE CENTRALIZOVANÝ SYSTÉM LOGOVÁNÍ UDÁLOSTÍ NA STANICÍCH A SERVERECH,
    a to jak úspěšných tak neúspěšných, který bude časově synchronizován napříč sítí a bude logy okamžitě automaticky vyhodnocovat. Doporučujeme logy událostí ukládat po dobu minimálně 18 měsíců, více podle místních okolností a významu systému.
  6. PRAVIDELNĚ ZÁLOHUJTE DŮLEŽITÁ A CITLIVÁ DATA
    jako např. obsah webového serveru, databází nebo konfiguraci služeb. Pravidelně testujte, zda jsou zálohy funkční a je možné z nich data obnovit.
  7. POUŽÍVEJTE ANTIVIROVÝ A BEZPEČNOSTNÍ SOFTWARE
    a nástroje, které zakazují spouštění nebezpečných aplikací (mimo přesně definovaný seznam privilegovaných aplikací), či nástroje, které pomáhají chránit systém v době, kdy nejsou dostupné klasické bezpečnostní aktualizace.
  8. NASTAVTE HESLO UEFI/BIOS
    unikátní pro každou stanici s centrální správou hesel.
  9. VYNUCUJTE SECURE BOOT
    a nastavte pořadí zařízení určených pro boot systému. Boot manager by měl být přístupný pouze po zadání hesla.
  10. CHRAŇTE SE PŘED ÚTOKY NA HESLA
    u všech služeb, kam se přihlašují uživatelé. Například pomocí fail2ban, využití funkcí určených pro ukládání hesel (Argon2, bcrypt, scrypt, PBKDF2) nebo CAPTCHA.
  11. PRO SPRÁVU SERVERŮ POMOCÍ SSH VYUŽÍVEJTE PRO PŘIHLÁŠENÍ KLÍČE, ZAKAŽTE HESLA.
    Pro svázání otisku klíče se serverem, kde je použitý, využívejte SSHFP záznamy v DNS ideálně v kombinaci s DNSSEC, který zajistí autenticitu odpovědi obsahující SSHFP záznam.
  12. PROVÁDĚJTE HARDENING KONFIGURACE SERVEROVÝCH APLIKACÍ
    tj. databází, webových aplikací, CRM systémů, účetních systémů, HR systémů a dalších systémů ukládání dat.
  13. OMEZTE PŘÍSTUP K SERVER MESSAGE BLOCKU (SMB) A NETBIOSU
    na pracovních stanicích a serverech, kdekoliv je to možné.
  14. ZAJISTĚTE FYZICKOU BEZPEČNOST IT TECHNIKY
    od dobře zabezpečené serverovny až po opatření koncových stanic ochrannými přelepkami bránícími nepovoleným úpravám HW.

 

Rady vychází z doporučeních, která vydal Národní úřad pro kybernetickou a informační bezpečnost.

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.