我担任安全重金融服务公司的开发人员。 作为一个团队,我们发现我们的Windows 7工作站安全策略阻止了我们执行我们的工作。 我们对我们的工作站没有本地pipe理权限,只能从广告程序分发列表中安装/使用软件。 这个安全政策是不能改变的,而且已经明确指出,没有人会例外。 我试图让开发者在本地虚拟机上使用VirtualBox的情况。 我确定他们会遇到一个不是Host Only或Internal的虚拟机,这意味着我们无法访问我们内部networking中的各种环境。 外部互联网访问不需要从虚拟机。 他们打算说这是不安全的,因为恶意软件可以安装在本地虚拟机上,然后感染企业networking。 由于我正在准备谈判: 我真正想要的 我们目前有一个VPN令牌,我们可以在我们完全不安全的家用计算机上使用思科连接,将VPN连接到企业networking的某个RESTRICTED子网上。 如果我们可以从本地虚拟机设置一个桥接networking连接到这个VPNnetworking适配器,只有这个VPNnetworking适配器,那么我觉得这可能是一个适当的解决scheme。 我们的本地虚拟机的安全性不及家用电脑。 标准的公司networking,但我希望这个选项在安装时被禁用或无法使用VirtualBox。 这是可能的,如果是的话,那么如何? 这是我将要解决的 如果我可以在VirtualBox中build立一个Host Onlynetworking,那么我们是否可以设置反向端口转发,以便Guest OS能够以Host作为代理访问特定的公司内部networking资源? 这是可能的在VirtualBox单独或这将需要一个额外的代理设置? 而且,VirtualBox可以安装NAT和Bridgenetworking,因此只能创build主机和内部networking适配器。 我很欣赏任何有关如何实现这一目标的见解。
我正在尝试提交证书请求。 我试图从命令行执行它,所以我可以从代码运行它。 以前,我通过使用我正在使用的CA的Microsoft Active Directory证书服务来完成此操作。 具体来说, CA Web注册是通过浏览器复制并粘贴base 64请求,然后下载证书。 我正在尝试使用下面的模板自动执行此操作。 我有服务器打开(这是Windows Server 2012),我无法弄清楚正确的参数。 我认为我缺less的主要是FQDN和别名。 我如何find这个? certreq -submit -Username {domain}\{username} -p {password} -PolicyServer "https://{FQDN CertificateEnrollmentPolicyWebService-Server/-Alias}/ADPolicyProvider_CEP_UsernamePassword/service.svc/CEP" -config "https://{FQDN CertificateEnrollentWebService-Server/-Alias}/{CAName}_CES_UsernamePassword/service.svc/CES" -attrib "CertificateTemplate:{TemplateName}" {Enter Path and Name of the Request-File} {Choose Path and Filename for certificate}
我知道,AD中的一些属性被归类为个人信息,有些被归类为公共信息(请参阅“属性集”列 – http://www.kouti.com/tables/userattributes.htm )。 我的问题是,当用户从特定的计算机login时,如何使用这些信息来隐藏这些属性。 如果你打算在公共区域安装一台计算机,我认为这将是对数据泄露的额外保护。 如果机器受到威胁,这应该限制可以从AD转储的数据量。 我不想根据用户帐户限制对这些属性的访问,我只想限制对来自特定计算机的属性“个人信息”的访问。
这会影响很多来自第三方购物车的感谢页面等等。GET请求redirect到HTTPS的HTTP是安全的吗? 或者,在redirect发生之前,他们可以被窥探吗? 谢谢
我使用apt-get在ubuntu 14.04上安装了apache。 我build立了一个简单的网站,上传了几张图片等,网站正在工作。 我已经决定使用在线安全检查服务之一来查看安全问题。 安全审计表示我有两个中等严重性问题: Apache Running Version Prior to 2.4.8 Apache Running Version Prior to 2.4.10 存储库不包含任何更新,所以我假设我有最高的可用版本…我知道如何检查的唯一的事情是openproxy与curl(我试图获取维基百科页面,并有我自己的主页,这似乎是正确的) 我应该担心Apache的版本,或者安全补丁已经被反向移植,版本与此无关吗? 我如何testing服务器的漏洞,特别是我应该看什么? 在日志中,我看到很多ssh brutalforce尝试都被fail2ban阻止,并且在apache中logging了一些奇怪的GET请求(许多表示shellshock尝试),还有GET请求到其他站点,正如我所提到的那样,返回我的主页。
有什么软件工具的Windows服务器(与IIS安装),我可以设置“规则”阻止传入的HTTP请求的可疑行为? 比方说,如果有人开始扫描我的网站的URL“/ wp-admin /”或“/ phpmyadmin /”或类似的 – 我可以阻止这些IP地址(永久或临时)? PS。 不是像Cloudflare CDN服务,需要一个自我托pipe的东西… PPS。 我发现所有的“dynamicIP限制”模块的IIS阻止一个IP地址,当它启动DDoSing服务器数以千计的请求,但我想要一个更灵活的解决scheme。
我在Linode上有一个Debian Wheezy虚拟机,他们用自己的内核来运行它。 作为一个有信誉的公司,我相信他们能够快速应用安全补丁,而我所需要做的就是重新启动以获得新补丁。 然而,为了注意是否已经发布了一个新的版本,我必须监视一个RSS feed,这需要一点点的关注,因为它包括所有内核版本的通知,而不仅仅是我正在使用的那个版本。 另外,使用我的操作系统外部的内核会导致页面上出现一些关于假设的警告,例如我的防火墙脚本正试图检查某些模块的存在。 我已经在Debian安全公告电子邮件列表中了,我一直关注其他虚拟机。 所以在我看来,我最好转向一个股票Debian内核,但使用一个我可能不知道的主机内核还有其他的优点吗?
我正在寻找WinRM的具体反馈。 还有一些关于是否在没有VPN的情况下公开发布RDP的争论就是一个好主意 – 没有关于是否公开提供SSH的争论是一个好主意,只要它被设置正确… WinRM在这里适合什么地方:使用VPN,没有VPN等?
我有三个具有弹性IP的EC2实例。 每个包含一个服务器。 每台服务器都需要在每台机器上打开TCP端口8181,2188,2888和3888。 每个服务器应该有可能通过这些端口与其他服务器交谈。 我创build了一个安全组(例如,命名为: sg-4d775c42 ),我在这里放置了以下规则: 自定义TCP规则| TCP | 8181 | SG-4d775c42 自定义TCP规则| TCP | 2181 | SG-4d775c42 自定义TCP规则| TCP | 2888 | SG-4d775c42 自定义TCP规则| TCP | 3888 | SG-4d775c42 我认为这些规则意味着安全组sg-4d775c42中的每台机器可以调用同一组中其他机器的端口sg-4d775c42和3888。 但似乎并非如此! 如果我打开这个世界的港口,即下列规则: 自定义TCP规则| TCP | 8181 | 0.0.0.0/0 自定义TCP规则| TCP | 2181 | 0.0.0.0/0 自定义TCP规则| TCP | 2888 | 0.0.0.0/0 自定义TCP规则| TCP | […]
我拥有运行Debian的VPS,我想避免从“外部”(通过Internet)发生安全漏洞。 我想保证这些规则: 允许所有出站stream量; 允许来自IP 1,2,3的HTTPS连接; 允许来自IP 4的SSH连接。 所以,其他的东西应该被封锁。 iptables足够了吗?