Mirage File Portal 在 Windows Server 2008 或更新版本上執行。您必須保護此主機,以免出現一般作業系統漏洞。
使用間諜軟體過濾器、入侵偵測系統以及您企業原則規定的其他安全措施。
確保所有安全性措施均是最新的,包括作業系統修補程式。
表 1.
程式碼 MFP01 的保護組態
| 組態元素 |
描述 |
| 程式碼 |
MFP01 |
| 名稱 |
使 Mirage File Portal 得到正確修補。 |
| 描述 |
透過維持最新的作業系統修補程式,可減少作業系統漏洞。 |
| 風險或控制 |
如果攻擊者取得對系統的存取權並在 Mirage File Portal 上重新指派權限,則該攻擊者可存取透過 Mirage File Portal 傳輸的所有檔案。 |
| 建議層級 |
Enterprise |
| 條件或步驟 |
按照業界標準準則或內部準則 (如果適用),採用一種體制以透過修補程式使 Mirage File Portal 保持在最新狀態。 |
表 2.
程式碼 MFP02 的保護組態
| 組態元素 |
描述 |
| 程式碼 |
MFP02 |
| 名稱 |
在 Mirage File Portal 主機上提供作業系統保護。 |
| 描述 |
透過提供作業系統層級保護,可減少作業系統漏洞。此保護包括防毒、反惡意程式碼和其他類似措施。 |
| 風險或控制 |
如果攻擊者取得對系統的存取權並在 Mirage File Portal 上重新指派權限,則該攻擊者可存取透過 Mirage File Portal 傳輸的所有檔案。 |
| 建議層級 |
Enterprise |
| 條件或步驟 |
按照業界標準準則或內部準則 (如果適用),提供作業系統保護,如防毒。 |
表 3.
程式碼 MFP03 的保護組態
| 組態元素 |
描述 |
| 程式碼 |
MFP03 |
| 名稱 |
限制權限使用者登入。 |
| 描述 |
有權以管理員身分登入 Mirage File Portal 的權限使用者人數應該是最少的。 |
| 風險或控制 |
如果未經授權的權限使用者取得對 Mirage File Portal 的存取權,則系統容易遭受對下載檔案未經授權的修改。 |
| 建議層級 |
Enterprise |
| 條件或步驟 |
為個人建立特定權限登入帳戶。這些帳戶應該屬於本機管理員群組。 |
表 4.
程式碼 MFP04 的保護組態
| 組態元素 |
描述 |
| 程式碼 |
MFP04 |
| 名稱 |
實作管理密碼原則。 |
| 描述 |
為所有 Mirage File Portal 設定密碼原則。密碼應包含特定參數。
|
| 風險或控制 |
如果未經授權的權限使用者取得對 Mirage File Portal 的存取權,則系統容易遭受未經授權的修改。 |
| 建議層級 |
Enterprise |
| 條件或步驟 |
為 Mirage File Portal 設定密碼原則。 |
表 5.
程式碼 MFP05 的保護組態
| 組態元素 |
描述 |
| 程式碼 |
MFP05 |
| 名稱 |
移除不必要的網路通訊協定。 |
| 描述 |
Mirage File Portal 僅使用 IPv4 通訊。您應移除其他服務,例如 NFS 的檔案和印表機共用、Samba 伺服器、Novell IPX 等。 |
| 風險或控制 |
如果有不必要的通訊協定啟用,則 Mirage File Portal 更容易受到網路攻擊。 |
| 建議層級 |
Enterprise |
| 條件或步驟 |
在 Mirage File Portal 作業系統的控制台或系統管理工具中,移除或解除安裝不必要的通訊協定。 |
表 6.
程式碼 MFP06 的保護組態
| 組態元素 |
描述 |
| 程式碼 |
MFP06 |
| 名稱 |
停用不必要的服務。 |
| 描述 |
Mirage File Portal 需要最少數目的服務供作業系統使用。停用不必要的服務可以增強安全性。還可避免服務在開機時自動啟動。 |
| 風險或控制 |
如果有不必要的服務正在執行,則 Mirage File Portal 更容易受到網路攻擊。 |
| 建議層級 |
企業。 |
| 條件或步驟 |
確認未啟用伺服器角色。停用所有不必要的服務。Server 2008 上有多項預設會啟動但實屬非必要的 Windows 服務。您應停用這些服務。
- 應用程式經驗
- 應用程式管理
- 憑證傳播
- Com+ 事件系統
- DHCP 用戶端
- 分散式連結追蹤用戶端
- 分散式交易協調器
- 診斷原則服務
- IPsec 原則代理
- 列印多工緩衝處理器
- 系統事件通知
|
Mirage File Portal 通常部署在 DMZ 中或內部資料中心,以控制透過潛在惡意網路 (如網際網路) 的瀏覽器存取和使用者資料。在 DMZ 或內部資料中心,務必要使用防火牆控制網路通訊協定存取。
表 7.
程式碼 MFP07 的保護組態
| 組態元素 |
描述 |
| 程式碼 |
MFP07 |
| 名稱 |
在 DMZ 中使用外部防火牆控制網路存取。 |
| 描述 |
Mirage File Portal 通常部署在 DMZ 中。您必須控制允許哪些通訊協定和網路連接埠,以便將與 Mirage File Portal 的通訊限制為所需最小量。Mirage File Portal 會自動將要求傳送到資料中心內的Mirage 管理伺服器,並確保所有轉送的流量是代表經過驗證的使用者。 |
| 風險或控制 |
允許不必要的通訊協定和連接埠可能會增加惡意使用者攻擊的可能性,尤其是允許用於來自網際網路的網路通訊的通訊協定和連接埠。 |
| 建議層級 |
在 Mirage File Portal 的任一端設定防火牆,以將瀏覽器和 Mirage 資料儲存區之間的通訊協定和網路連接埠限制為所需最小集。 您應該在隔離的網路上部署 Mirage File Portal,以限制框架廣播的範圍。此組態有助於防止內部網路上的惡意使用者監控 Mirage File Portal 與 Mirage 管理伺服器之間的通訊。 您可能想要使用網路交換器上的進階安全性功能,以防止惡意監控 Mirage 閘道與 Mirage 伺服器間的通訊,並遏止監控攻擊,例如 ARP 快取毒害。 |
| 參數或物件組態 |
如需 DMZ 部署所需之防火牆規則的詳細資訊,請參閱《VMware Mirage 安裝指南》。 |
表 8.
程式碼 MFP08 的保護組態
| 組態元素 |
描述 |
| 程式碼 |
MFP08 |
| 名稱 |
不在 Mirage File Portal 上使用預設的自我簽署伺服器憑證。 |
| 描述 |
首次安裝 Mirage File Portal 時,只有準備好簽署的憑證,HTTPS 伺服器才能運作。Mirage File Portal 和 HTTPS 伺服器需要商業憑證授權機構 (CA) 或組織 CA 簽署的 SSL 伺服器憑證。 |
| 風險或控制 |
使用自我簽署的憑證會讓 SSL/TSL 連線更容易遭受攔截式攻擊。將憑證套用至受信任的 CA 簽署的憑證可減少這類攻擊。 |
| 建議層級 |
Enterprise |
| 條件或步驟 |
如需有關設定 Mirage File Portal 憑證的詳細資訊,請參閱《VMware Mirage 安裝指南》。 |
| 測試 |
使用漏洞掃描工具連線至 Mirage File Portal。確認憑證已由適當的 CA 簽署。 |
