目标是防止用户在terminal服务器上运行有害程序。 我已经阅读了许多微软和其他人的文章,说新的Applockerfunction比旧的软件限制策略要好100%,build议作为后者的替代。 除了内核模式执行之外,我不确定要理解Applocker的真正优点。 它的大部分function可以通过软件限制策略进行复制。 在同样的情况下,它有一个大的缺点,使它非常无用:它是不可扩展的,你不能添加自定义的文件扩展名,你想限制。 Applocker相对于SRP有什么优势?你会推荐什么软件控制?
在心中欢迎来到这个世界。 我们已经修补了我们的服务器,并正在取代我们的SSL证书。 但是,只是因为我们的服务器是固定的,这并不意味着互联网的其他部分是固定的。 我们有员工,他们使用互联网交换信用卡号码和login凭证等秘密。 他们正在寻找我们的build议。 我们可以build议我们的客户使用Heartbleedtesting页面来查看他们想要访问的网站是否存在漏洞。 如果一个网站返回正面,那么不要与它交换秘密。 但是如果一个网站对Heartnet 没有正面回应,那么情况可能是: 该网站从来没有这个漏洞(好) 该网站有该漏洞,并已修复它,但仍在使用可能受损的SSL证书(错误) 该网站有该漏洞,并已修复它,并重新生成的SSL证书,但没有重新生成密钥(坏) 该网站有该漏洞,修复它,重新生成密钥,并取代了SSL证书。 (好) 在将信用卡号码input表单之前,我们能否给予我们的员工以任何方式来说明坏的情况? 我们如何指导我们的员工尽可能减less受Heartbleed威胁的服务器?
这是我的第一个。 我运行的其中一个网站最近受到攻击。 完全不是一个聪明的攻击 – 纯粹的蛮力 – 每一个页面和每一个非页面都可能触及每一个扩展。 垃圾数据发布到每个表单,并试图张贴到一些随机的URL也。 一小时内所有的请求,16000个请求。 我应该怎么做才能防止/提醒这种行为? 有没有办法限制一个给定的IP /客户端的请求/小时? 有一个地方,我应该报告用户? 他们似乎来自中国,并且留下了一封看似有效的电子邮件。
我曾经在很多服务器上使用Ubuntu 10.04模板。 从12.04开始,我遇到了一些我现在孤立的问题。 / dev / urandom设备只能由root访问。 这导致SSL引擎,至less在PHP中,例如file_get_contents(https:// …)失败。 它也打破了ruby。 在一个chmod 644后,它可以正常工作,但不会在重新启动时保持不变。 所以我的问题。 为什么是这样? 我看到没有安全风险,因为…我的意思是..想偷一些随机数据? 我怎样才能“修复”它? 服务器是孤立的,只有一个应用程序使用,这就是为什么我使用openvz。 我想像一个运行级别的脚本或其他…但我该如何有效地做到这一点? Maby用dpkg还是apt? vor / dev / shm也一样。 在这种情况下,我完全理解为什么它不可访问,但我认为我可以“修复”它相同的方式来修复/ dev / urandom
我公司的网站已被污损,只要我有apache原始访问日志,有什么我可以做什么来分析什么时候出了什么问题? 我的意思是在成千上万的日志中注意什么? 谢谢您的帮助
IE7积极警告证书失败; 我们有一些通过HTTPS运行的内部站点,因此需要有效的证书。 我们似乎在Intranet上拥有可签署SSL证书的证书颁发机构,但是我们遇到了一个问题:我们如何批量configuration桌面以信任内部CA? 是否可以通过GPO在本地部署内部CA证书?
一般来说,应该在什么时候创build一个新的用户帐户来在服务器上运行一个面向互联网的软件? 例如,假设我使用共享Debian服务器(例如通过Dreamhost),我想运行一些使用WordPress的网站,一些使用Redmine,一些使用Ruby on Rails,也许一些使用Django,并且我想为Mercurial储存库也是如此。 在Dreamhost服务器和许多其他类似的设置服务器上,这可以全部在一个用户帐户下完成,但是我可以看到这种方法的一些缺点: 更长的.bashrc 如果这一个帐户受到威胁,所有在其下运行的网站也会受到威胁。 另一方面,拥有大量的用户帐户可能会让人有点难以跟踪,特别是如果其中一些用户在安装软件方面有相同的要求。 例如,运行WordPress的每个网站有一个帐户可能是矫枉过正的。 最佳做法是什么? 这是否仅仅是一个减less每个用户帐户的托pipe网站(或托pipe的存储库等)的数量成比例的偏执狂水平的问题? 请发表你的意见,给你的理由。 此外,如果您有任何理由认为在私人服务器或VPS上采取的方法应与在共享服务器上采取的方法不同,请概述它们是什么,再次说明您的理由。
我试图说服客户为需要login的网站支付SSL费用。 我想确保我正确理解有人可以看到正在发送的密码的主要情况。 我的理解是,沿途的任何一跳都可以使用数据包分析器来查看正在发送的内容。 这似乎要求任何黑客(或他们的恶意软件/僵尸networking)与包到达目的地所经过的任何一跳相同。 是对的吗? 假设这个子网需求的某些风格是成立的,我是否需要担心所有的跳跃或只是第一个? 第一个我可以担心,如果他们在公共Wifinetworking,因为任何人都可以在监听。 我应该担心子网中会发生什么事情,数据包将穿越外面呢? 我不知道networkingstream量是多less,但是我认为它是stream经主要运营商的数据中心,那里没有很多多汁的攻击媒介,但如果我错了,请纠正我。 是否有其他媒介在使用分组分析仪进行监听的人之外担心? 我是一个networking和安全noob,所以如果我在这里使用了错误的术语,请随意设置我。
我想要更好地保护我们的集中pipe理的计算机,自动部署java运行时非常困难,但如何做到这一点是另一个问题。 我发现Java的灾难性安全性,即使它已经完全修补:看起来如果用户对无辜的问题“你信任这个证书”说“是”,java可以做任何想做的事情。 Java webstart似乎也是恶意软件作者的通用入口点。 一般来说,我并不在乎玩我的用户在玩游戏游戏等。Java小程序似乎已经绝迹了。 但是还有一页依靠Java(Ingramm Micro购物系统)。 有谁知道一个简单的方法来configurationIE或Java通过组策略只允许某些预configuration的网站上的Java插件? 谢谢!
我正在设置一个新的Tomcat部署,并希望它尽可能安全。 我创build了一个'jakarta'用户,并将jsvc作为守护进程运行Tomcat。 目录权限的任何提示,并限制访问Tomcat的文件? 我知道我将需要删除默认的web应用程序 – 文档,例子等…有什么最佳做法,我应该在这里使用? 那么所有的configurationXML文件呢? 那里有任何提示? 是否值得启用安全pipe理器,以便webapps在沙箱中运行? 有没有人有设置这个经验? 我见过在Apache后面运行两个Tomcat实例的人的例子。 看来这可以使用mod_jk或mod_proxy …任何优点/缺点? 这是值得的麻烦? 如果有问题,操作系统是Debian lenny。 我不使用apt-get,因为lenny只提供tomcat 5.5,我们需要6.x. 谢谢!