Crédit : Dreamstime
Donc, vous consultez une excellente suggestion sur le Web et pensez cela améliorerait votre posture de sécurité. Avant de faire part de cette suggestion à la direction, il est sage de déterminer si elle est activée par vos exigences de conformité en matière de sécurité ou si elle peut constituer une exception appropriée à vos modèles de conception de conformité.
Beaucoup d’entre vous travaillent pour des entreprises qui ont nombreux mandats de conformité. Plus votre entreprise est grande et internationale, plus les directives de conformité en matière d’innovation doivent être suivies : le règlement général sur la défense des données (RGPD) de l’Union européenne, la loi américaine sur la mobilité et la responsabilité en matière d’assurance médicale (HIPAA), la sécurité des données de l’industrie des cartes de paiement (PCI DSS), les conseils du National Institute of Standards and Technology (NIST), la Federal Info Security Management Act (FISMA) et le Center for Web Security (CIS) parviennent à n’en nommer que quelques-uns.
Ces directives contiendront des recommandations et des contrôles que vous devrez peut-être examiner avant de modifier les défenses de votre réseau pour vous assurer de rester en conformité. Rester à jour avec les modèles de conception de conformité est généralement un travail à temps plein.
Géré versus sans restriction Mises à jour Windows
Certaines exigences peuvent vous choquer étant donné les modifications que nous avons effectivement constatées dans nos réseaux au cours des dernières années. Un exemple concret est la façon dont vous gérez les mises à jour Windows. Les mises à jour de certaines organisations ne sont plus gérées par le fournisseur de mises à jour logicielles Windows (WSUS), mais les réglementations de conformité n’ont pas suivi la façon dont nous déployons les mises à jour.
L’ancienne exigence était claire : n’activez pas les mises à jour système pour être sans retenue. Comme l’indique la section pour Server 2012 R2 : « Les mises à jour système non contrôlées peuvent introduire des problèmes dans un système. L’obtention de composants de mise à niveau à partir d’une source extérieure peut également potentiellement offrir des détails délicats au-delà de l’entreprise. La configuration ou la réparation de composants facultatifs doivent être obtenues auprès d’un source. »
L’utilisation de WSUS et ensuite la définition de la stratégie de groupe que vos créateurs peuvent obtenir des composants.Net 3.5 à partir d’Internet n’est pas suggérée avec ce paramètre. Comme indiqué, il est conseillé de :
« Configurer la valeur de la stratégie pour Configuration du système informatique -> Modèles de conception administrative -> Système -> ‘Définir les paramètres pour la configuration des pièces facultatives et la réparation des éléments’ sur ‘ Rendu possible pour » et avec « Ne jamais essayer de télécharger la charge utile à partir de Windows Update » sélectionné. »
Pouvez-vous laisser vos serveurs se connecter individuellement à la mise à jour Windows pour la maintenance lors de l’installation et du déploiement de.NET 3.5 ? La réponse est « ça dépend ». Pour certaines entreprises, vous pouvez être mandaté pour adhérer au modèle de conception de conformité pour votre secteur. D’autres peuvent avoir la possibilité de demander des exceptions en fonction des besoins et de la sécurité de votre entreprise.
Même Windows Server 2019 a des exigences pour ne pas utiliser les fonctions de mise à jour plus modernes. Par exemple, le mandat de Server 2019 est de ne pas rechercher de mises à jour sur d’autres gadgets du réseau en utilisant la technologie de mise à jour peer-to-peer appelée Shipment Optimisation. Comme indiqué :
« Windows Update peut obtenir des mises à jour à partir de sources supplémentaires plutôt que de Microsoft. En plus de Microsoft, les mises à jour peuvent être obtenues et envoyées à des PC sur le réseau local ainsi que sur le Web. Cela fait partie de la procédure de confiance de Windows Update. Néanmoins, pour réduire l’exposition à l’extérieur, il faut éviter d’obtenir des mises à jour ou de les envoyer à des systèmes sur le Web. »
Pour garantir que les systèmes n’auront pas ce paramètre, vous devez « Configurer la valeur de la politique pour Configuration du système informatique>> Modèles de conception administrative>> Éléments Windows>> Optimisation des envois>> ‘Mode de téléchargement’ sur ‘Autorisé’ avec toute option autre que ‘Internet’ sélectionnée. »
Couvrir les appareils virtuels dans Microsoft Azure
Même lorsque vous utilisez une technologie telle qu’Azure, vous devez respecter les mandats de conformité, par exemple, que les appareils virtuels dans Azure sont maintenus à jour avec des correctifs. La recommandation est d’utiliser Azure Security Center pour examiner l’état des machines virtuelles Windows et Linux. Vous pouvez utiliser une application logicielle spot tierce pour maintenir les systèmes à jour.
Vérifier les nouvelles plates-formes technologiques
Vous devrez peut-être consulter un vétérinaire et autoriser la marque -de nouvelles plateformes technologiques avant de les déployer. Prenons par exemple Intune, la nouvelle plate-forme de Microsoft pour la gestion et la gestion des postes de travail. CIS a un modèle de conception d’audit pour la publication d’Intune. Les éléments à examiner vont des paramètres à l’authentification.
Meilleures pratiques en matière de mot de passe par rapport aux mandats
Les références recommandent des paramètres de mot de passe qui suscitent des inquiétudes et peuvent déclencher davantage de problèmes avec gestion des mots de passe.
Comme le souligne la page d’audit de Tenable, par exemple, les paramètres d’âge de mot de passe suggérés dans les modèles de conception de serveur et avec Intune sont de 60 jours ou moins.
Néanmoins, des recherches récentes ont en fait indiqué que si l’authentification multifacteur est utilisée avec une technologie d’authentification bien meilleure telle que Windows Salut ou d’autres options biométriques, les expirations de mot de passe peuvent être définies à plus de 60 jours et peuvent même être totalement handicapé. Votre organisation peut avoir besoin de demander une exception à des modèles de conformité spécifiques puisque vos choix rendent votre organisation plus sûre, pas moins.
Ressources de réglementation et d’orientation
Le Le site Center for Web Security a besoin de vous pour vous permettre de télécharger des PDF d’assistance allant des appareils Apple aux appareils Cisco en passant par les logiciels de pare-feu et les imprimantes, dès que vous fournissez une adresse e-mail et des informations sur l’entreprise.
Je suggère que en plus de télécharger les conseils que vous vous inscrivez pour participer au quartier de référence afin que vous puissiez poser des questions et participer aux conversations. Souvent, dans ces quartiers de référence, vous découvrez des personnes similaires qui peuvent vous aider dans votre projet de conformité.
Si vous étudiez de nouvelles technologies et plates-formes, ces documents de référence peuvent vous aider dans vos tâches de publication.
Le CIS comprend des conseils pour des innovations telles que Apple macOS 12.0, Apple macOS 11.0 Big Sur, Apple macOS 10.15 Catalina, Apple macOS 10.14 Mojave. Si vous recherchez à l’instant de l’aide sur les meilleures pratiques en matière de lancement d’ordinateurs de bureau Apple, ces fichiers vous aideront lors de votre lancement initial et de l’examen de toutes nouvelles technologies.
La conformité est une obligation pour presque toutes les entreprises de taille. Votre objectif est de découvrir l’équilibre entre sélectionner l’assistance idéale tout en acceptant les nouvelles technologies qui apporteront plus de sécurité à votre entreprise.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
