Ciao ragazzi, vi chiedo un aiuto per individuare eventuali informazioni critiche dal punto di vista della sicurezza presenti nelle immagini (Ghost) dei sistemi basati su Windows Server io avrei individuato le seguenti criticità se qualcuno ne trova altre mi sarebbe di grande aiuto in quanto al lavoro vogliono divulgare a terzi delle immagini di Ghost di sistemi presenti in produzione ed io lo vorrei evitare evidenziando i rischi per la sicurezza dell'intera infrastruttura.
Eccovi le 'criticità' da me individuate: Dati personali presenti in una installazione di Windows Server N° di licenza Microsoft Intestatario N° Licenza Tipologia Licenza Informazione infrastruttura di Rete INTERNA Indirizzamento IP, Gateway, DNS Configurazione IPv6 Descrizione: Queste informazioni non sono divulgabili per problemi di sicurezza in quanto la pubblicazione di tali dati esporrebbe a rischio di sicurezza l'intera rete a cui il sistema appartiene. Informazione sui software di sicurezza installati Riguardano Installazione/ Configurazione di software del tipo: Antivirus Firewall Intrusion Detection Descrizione: Queste informazioni relativa alla tipologia del prodotto nonché alla sua configurazione / installazione se divulgate faciliterebbero i malintenzionati la scoperta di falle a livello di sicurezza software relative ai prodotti utilizzati che potrebbero compromettere l'intero sistema e metterebbero a potenziale rischio anche altri sistemi presenti nell'infrastruttura e con la medesima configurazione. Informazione sulla configurazione di sicurezza del sistema Patching dell'intero sistema Hardering di IIS Hardering Servizi Sistema Operativo Vari software/componenti installate (Utility di gestione backup recovery ecc) Descrizione: Queste informazioni relative al quali patch installate configurazione di sicurezza del web server (IIS) e sicurezza nonchè l'elenco dei servizi presenti e attivi sul sistema metterebbe a rischi il sistema stesso ed i sistemi presenti nella stessa infrastruttura di rete con la medesima configurazione. Grazie a tutti voi per l'aiuto. Saluti Onofrio Altamura ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
