Escolar Documentos
Profissional Documentos
Cultura Documentos
Guia de endurecimento
C•CURE 9000 v3.0
GPS0029-CE-20220329-EN
Rev A
Machine Translated by Google
Introdução O
C•CURE 9000 proporciona tranquilidade aos nossos clientes com uma mentalidade cibernética holística, começando
no conceito de design inicial, continuando através do desenvolvimento do produto, e é apoiado durante
a implantação, incluindo uma resposta rápida a incidentes para atender aos ambientes de segurança
cibernética abrangentes e em evolução.
O Guia de Proteção pretende fornecer orientações de segurança cibernética usadas nos períodos de planejamento,
implantação e manutenção.
Como as ameaças à cibersegurança afetam todos os dispositivos conectados, é importante garantir que a cibersegurança seja
considerada durante as fases de planeamento, implementação e manutenção associadas à operação funcional de uma
solução.
Este guia fornece orientações de proteção para configuração e manutenção, incluindo sistema operacional, contas de usuário,
permissões e funções, backup e restauração, redundância e gerenciamento de patches.
Este guia de endurecimento C•CURE 9000 da Johnson Controls é dividido em três seções principais que descrevem o processo
geral de endurecimento:
2
Machine Translated by Google
Isenção de
responsabilidade legal As práticas de segurança cibernética descritas neste guia são práticas recomendadas para
facilitar a instalação e configuração seguras dos produtos aqui descritos. No entanto, a Johnson Controls não pode garantir
que a implementação das práticas ou recomendações de segurança cibernética descritas neste guia garantirá a segurança do
produto ou sistema relevante, ou impedirá ou alterará o impacto potencial de qualquer acesso não autorizado ou dano
causado por um incidente de segurança cibernética. . Este guia é fornecido “no estado em que se encontra” e a Johnson
Controls não faz nenhuma representação ou garantia, expressa ou implícita, quanto à eficácia das práticas ou recomendações
de segurança cibernética descritas neste guia. A Johnson Controls isenta-se de qualquer responsabilidade por quaisquer
danos que possam ocorrer como resultado ou apesar da confiança neste guia ou da conformidade com quaisquer
práticas ou recomendações de segurança cibernética aqui estabelecidas.
3
Machine Translated by Google
Conteúdo
Introdução ................................................ .................................................. .................................................. ....... 2
4
Machine Translated by Google
2.7.5 Redefinindo o padrão de fábrica antes de conectar a um novo sistema C•CURE 9000 ....................... 23
2.9.0 CPNI – Gestão da privacidade de dados .......................................... .................................................. ....... 27 2.10.0 Fortalecendo
2.10.1 Implementar o C•CURE com o Microsoft SQL Enterprise ....................................... .................................... 27 2.10.2
Configurar criptografia de banco de dados C•CURE .... .................................................. .............................. 27 2.10.3 Configurar o
2.10.4 Recomendações de proteção para SQL na AWS – RDS: ...................................... .......................... 27 2.11.0 Recomendações
adicionais de proteção para SQL Server .............. .................................................. .. 27 2.12.0 Fortalecendo a comunicação entre o
2.13.0 Fortalecendo o C•CURE 9000 Server/IIS Server e os clientes Web C•CURE ................................ ............ 28 2.14.0
Fortalecendo o Servidor de Serviço Web victor e dispositivos C•CURE GoReader ........................ ................... 29 2.15.0 Fortalecendo
a comunicação entre o C•CURE 9000 Master Application Server e os Satellite Application Servers Considerações sobre o
fortalecimento ..... .................................................. .................................... 29
3 Manter ................................................ .................................................. .................................................. .. 30
Backup dos dados de configuração .................... .................................................. ....................................... 32 3.1.3 Testar dados
5
Machine Translated by Google
6
Machine Translated by Google
Planejamento
1 Esta seção ajuda a planejar a implementação das melhores práticas de segurança para uma instalação do sistema
C•CURE 9000.
• Monitorar eventos
• Gerenciar pessoal • Criar
relatórios • Exibir
visualizações dinâmicas •
Monitorar a atividade do sistema
• Ver vídeo
• Gerenciar visitantes em qualquer lugar do mundo
O C•CURE 9000 oferece o máximo em escalabilidade, desde um único servidor independente que suporta até 5.000 leitores
e 1.000.000 de credenciais até uma arquitetura corporativa distribuída avançada que suporta um servidor mestre com até 60
servidores de aplicativos satélite. Quer sua organização consista em uma instalação com poucas portas ou em muitas que se
estendem por todo o mundo, esta solução é dimensionada à medida que sua empresa cresce. O C•CURE 9000 oferece mais de 150
soluções integradas, incluindo vídeo, intrusão, intercomunicação, gerenciamento de alarme de incêndio e gerenciamento de
informações de segurança física (PSIM). As integrações são exaustivamente testadas e entregues a você através da interface
intuitiva do C•CURE 9000.
A arquitetura C•CURE 9000 Enterprise é uma opção licenciável que permite ao usuário configurar vários servidores C•CURE 9000
para se comunicarem com um Master Application Server (MAS). O MAS fornece uma plataforma para gerenciamento global de
pessoal, vídeo e objetos de segurança de acesso em dois ou mais Satellite Application Servers (SAS). Essa arquitetura fornece
capacidade de monitoramento central e geração de relatórios para toda a empresa.
Dados globais, como registros de pessoal, autorizações e operadores, estão localizados no MAS e são sincronizados com cada
SAS. O MAS não possui conexão direta com controladores ou servidores de vídeo, mas pode ser usado para monitorar e
gerenciar remotamente dispositivos conectados a um SAS dentro da empresa. A instalação do AC•CURE 9000 conectada ao MAS
pode visualizar eventos, atividades e o status de cada SAS na empresa, enquanto as instalações locais podem se conectar a um
SAS e terão visibilidade apenas dos dispositivos conectados a esse servidor.
Opção SQL
Oferecido como opção, o C•CURE 9000 versão 3.0 e posterior suporta banco de dados SQL hospedado pelo Amazon
Relational Database Services (RDS)™ desenvolvido pela Amazon Web Services (AWS)™.
7
Machine Translated by Google
8
Machine Translated by Google
9
Machine Translated by Google
Sem senha Nenhuma senha/credencial codificada é usada no código, configuração e arquivos de log do C•CURE
codificada 9000.
O usuário do C•CURE pode alterar a senha da sua conta sem a ajuda de um administrador.
Senhas
alteráveis pelo usuário
Política de senha O C•CURE 9000 contém regras que regem a formação, expiração, reutilização de senhas e outras
da conta de restrições, incluindo comprimento, histórico e complexidade da senha. Todas as contas do Windows
usuário solicitarão uma alteração de senha na próxima vez que você fizer logon.
Regras de senha O sistema operacional Microsoft Windows local ou o controlador de domínio gerencia
políticas como número predefinido de tentativas de logon, comprimento de caracteres, uso de
caracteres alfanuméricos e bloqueios definidos pelo usuário, exceto no caso do SiteServer.
Credenciais de O C•CURE 9000 usa as credenciais de login do Windows para gerenciar permissões, mas não armazena
login do Windows nem tem qualquer visibilidade das credenciais. O sistema operacional Microsoft Windows local ou o
controlador de domínio gerencia regras e políticas de senha, como número predefinido de
tentativas de login, comprimento de caracteres, uso de caracteres alfanuméricos e bloqueios definidos
pelo usuário.
SiteServer Após 20 tentativas de senha, o usuário não poderá realizar outra tentativa por 10 minutos.
Senha Após 10 minutos, o usuário poderá tentar novamente como se nenhuma tentativa de senha anterior tivesse sido feita.
Política Nota: Estes são valores fixos.
Microsoft Para habilitar a autenticação centralizada, use um servidor Microsoft Active Directory para o
Ativo gerenciamento de contas de usuário e autenticação de logon. A autenticação de usuário do
Suporte C•CURE 9000 foi projetada para implantação perfeita em um ambiente de domínio do Active
de diretório Directory utilizando Windows Single Sign-On (SSO). O C•CURE usa credenciais de logon do Windows
por padrão. Ao efetuar login no Windows, você será automaticamente conectado às Estações de
Administração e Monitoramento.
10
Machine Translated by Google
Senha de Quando o controlador iSTAR inicializa pela primeira vez, ele solicita que você altere a senha antes
uso único de prosseguir para qualquer outra tela.
Baseado em função O C•CURE 9000 oferece autorizações de controle de acesso baseado em função (RBAC). Você pode
Controle de acesso definir funções no C•CURE 9000 como privilégios de operador com diferentes permissões em
(RBAC) nível de objeto. Os administradores do C•CURE 9000 podem atribuir autorizações a operadores e
autorizações objetos individuais dentro do C•CURE.
Operador Automático A partir da v2.90 SP3, os operadores com limite de tempo de inatividade serão desconectados
Sair automaticamente. O limite de tempo pode ser configurado usando duas novas variáveis de sistema: duração
do turno de monitoramento e tempo limite da sessão.
Comunicação entre iSTAR Edge G2, iSTAR Ultra G2 TCP/IP TLS1.3 com criptografia AES de 256 bits
e aplicação C•CURE
Servidor Também suporta atualização segura com relatórios de
violação de segurança para C•CURE
Comunicação entre iSTAR Ultra e TCP/IP TLS1.2 com criptografia AES de 256 bits
Servidor de aplicativos C•CURE
Comunicação entre iSTAR Pro e C•CURE TCP/IP Criptografia RC4 de 128 bits. Opcional. A configuração
Application Server padrão está desativada.
Comunicação entre iSTAR Classic e TCP/IP Criptografia RC4 de 128 bits. Opcional. A configuração
Servidor de aplicativos C•CURE padrão está desativada.
Comunicação entre iSTAR Edge e TCP/IP TLS1.2 com criptografia AES de 256 bits
Servidor de aplicativos C•CURE
Comunicação entre IP-ACM2 e controlador iSTAR TCP/IP TLS1.2 com criptografia AES de 256 bits
Ultra
Comunicação entre a estação de trabalho cliente TCP/IP Criptografia de segurança de nível de transporte (SSL)
C•CURE e o servidor de aplicação C•CURE padrão do Microsoft Windows Communication
Foundation (WCF).
11
Machine Translated by Google
Comunicação entre o cliente Web C•CURE e o servidor HTTPS Suporta todas as criptografias padrão do IIS sobre
Web C•CURE HTTPS (SSLv3.0/TLS1.2)
Comunicação entre o servidor de aplicativos TCP/IP Criptografia padrão do Microsoft SQL (TLS1.2).
C•CURE e o banco de dados C•CURE
servidor SQL Para configurar a conexão criptografada C•CURE
As strings completam as seguintes etapas:
Comunicação entre o Negócio TCP/IP Suporta todos os métodos de criptografia SSRS nativos da
Conjunto de Relatórios de Inteligência (BIRS) e Microsoft (SSL, TDE).
Servidor de banco de dados C•CURE
Descrição Criptografia
Servidor Web C•CURE Criptografia em nível de aplicativo com criptografia de 256 bits.
O iSTAR Ultra também suporta o modo CPNI de proteção contra roubo de banco de dados. Quando você ativa o modo CPNI (Customer
Proprietary Network Information), o banco de dados do iSTAR Ultra não é mais armazenado na memória persistente. Neste modo, se você desligar
a alimentação do controlador, o banco de dados será apagado.
12
Machine Translated by Google
Registro de auditoria O log de auditoria é um histórico de alterações nas configurações do C•CURE 9000. Você também pode ativar a
auditoria em nível de campo.
Diário de atividades O diário de atividades mantém um registro das atividades monitoradas pelo sistema.
Os registros no diário de atividades fornecem uma visão histórica da atividade do sistema, informações estatísticas
sobre o uso de recursos e informações sobre localização de pessoal e ativos.
Log de auditoria ativado O log de diagnóstico do sistema C•CURE 9000, o log de rastreamento, o diário e os logs de auditoria estão habilitados
por padrão por padrão.
Hora do log de Os carimbos de data/hora do log de auditoria são sincronizados com um relógio de referência comum para
auditoria sincronizada o sistema.
Registro de auditoria protegido Os logs de auditoria são protegidos contra exclusão com tentativas de exclusão registradas.
contra exclusão
ÿÿ
everRun protege os clientes contra falhas de hardware de servidor ou outras falhas de sistema ou componentes de rede.
O ARCserve oferece recuperação de desastres em locais. Os clientes geralmente têm um sistema everRun em um site primário e um sistema Windows em
execução em uma única máquina física ou virtual no site de DR. ARCserve
é usado para fornecer DR entre o site primário e o site de DR (também chamado de mestre e réplica).
Alguns clientes também possuem um sistema everRun no local de DR, para garantir alta disponibilidade após executarem um cenário de recuperação de
desastres.
• O banco de dados Core é um componente da plataforma de gerenciamento sobre a qual o C•CURE 9000 é construído. É o repositório central para
detalhes de configuração que descrevem objetos criados, monitorados e mantidos.
• O Registro de Auditoria fornece um histórico de alterações nas configurações gerenciadas pelo C•CURE 9000. • O Diário de
Atividades mantém um registro das atividades monitoradas pelo sistema. Os registros no Diário de Atividades fornecem uma visão histórica da
atividade que ocorreu no sistema, informações estatísticas sobre o uso de recursos e informações sobre localização de pessoal e ativos.
13
Machine Translated by Google
No caso de falha do sistema ou corrupção do banco de dados Core, Log de Auditoria ou Diário de Atividades, você pode restaurar um
ou mais desses bancos de dados a partir de um backup.
O Guia do Aplicativo de Configuração do Servidor C•CURE 9000 descreve como executar um backup e restauração do sistema. O acesso
do usuário ao recurso Backup do Sistema é controlado pela configuração do usuário.
Notificação de alteração de autorização – use a auditoria de diário para verificar a autorização individual em outros bancos de dados
para verificar a localização. Para notificar os usuários sobre alterações nas autorizações, você pode gerar um alerta para alterações nos diários
executados diariamente.
Quando um iSTAR se esconde devido a uma tentativa de DoS, o C•CURE 9000 alerta a estação de monitoramento com um alerta de
tempestade na rede detectada .
Nível de servidor – Um servidor local ou dispositivo de servidor deve ser instalado dentro de um rack de equipamento em um local seguro e
com temperatura controlada, como dentro de um data center ou sala de servidores de TI com acesso restrito. Observação: isso não se aplica
a implantações baseadas em nuvem.
Nível de supervisão – Componentes projetados para serem instalados dentro de um painel ou gabinete fornecido pelo usuário, geralmente na
orientação vertical. Instale em áreas livres de vapores corrosivos e onde a temperatura ambiente permaneça abaixo de 122 graus F (50 graus C).
Nível do controlador de campo – Componentes geralmente projetados para uso em áreas mais acidentadas, como um armazém ou no
exterior. Os componentes podem ser montados horizontalmente ou verticalmente. Recomenda-se que o local de instalação seja seco
(se possível), longe de vapores corrosivos, longe de emissões eletromagnéticas e não em superfícies sujeitas a vibrações. Forneça
espaço suficiente para remoção da tampa, cabeamento e conexões com fio.
Para obter mais informações, revise as instruções de instalação específicas dos seus componentes.
14
Machine Translated by Google
Nota: Alguns sistemas que não foram originalmente projetados para serem conectados à Internet estão conectados por meio de regras de firewall
mal configuradas. Certifique-se de verificar com o pessoal de TI para garantir que as regras corretas estejam em vigor.
Se o acesso à Internet for considerado necessário para esta instalação, consulte o seu departamento de TI para saber as etapas a serem tomadas
para limitar o acesso externo. Um exemplo de algumas etapas de proteção que você deseja incluir é a remoção de versões desnecessárias do
TLS e a instalação de um certificado confiável.
Quando descobrimos uma vulnerabilidade crítica de segurança, envidamos esforços comercialmente razoáveis para:
• Emitir uma atualização crítica para a versão atual do produto assim que for razoavelmente possível. • Posteriormente, emitir uma
atualização crítica ou service pack crítico para versões anteriores suportadas.
Quando descobrimos vulnerabilidades de segurança não críticas, envidamos esforços comercialmente razoáveis para:
• Aplicar correções para vulnerabilidades de alta gravidade na próxima versão imediata • Aplicar
correções para vulnerabilidades baixas na próxima versão principal
Geralmente, uma estratégia de defesa profunda que emprega métodos padrão de reforço de TI e controles de compensação conforme necessário
para complementar os recursos básicos de segurança de cada componente.
15
Machine Translated by Google
1.6.0 Comunicação
Para obter informações detalhadas sobre informações de portas, consulte o documento C•CURE 9000 and iSTAR Port Assignments
no site da Software House - https://www.swhouse.com/
16
Machine Translated by Google
2 Implantação O
conteúdo desta seção aborda como iniciar a implantação segura para novas instalações, como fortalecer a solução e
etapas adicionais após o comissionamento antes das operações em tempo de execução.
Nota: o acesso físico ao dispositivo e a instalação física do dispositivo podem impactar a segurança cibernética.
O acesso físico a um componente ou dispositivo permite ações que não podem ser autenticadas e registradas
eletronicamente por meio dos recursos deste produto. Para evitar acesso não autorizado, instale o dispositivo em uma sala,
gabinete ou gabinete que possa restringir o acesso (por exemplo, fechadura mecânica ou controle de acesso físico).
Use um interruptor contra sabotagem para enviar e registrar alertas eletrônicos sobre adulteração física da instalação. Considere
o uso de conduítes de fios elétricos de proteção ao comunicar fios com caminhos através de áreas de menor confiança.
17
Machine Translated by Google
É importante proteger a configuração do BIOS contra modificações por usuários não autorizados.
autorizados.
Altere a senha do BIOS no computador onde você pretende instalar o C•CURE 9000. Para definir uma senha do BIOS, siga as instruções do
sistema.
18
Machine Translated by Google
A sequência de inicialização deve impedir a inicialização por USB, pois é possível que dispositivos USB injetem código malicioso sem
aviso prévio. Altere a configuração em seu BIOS se a inicialização via USB for uma opção.
Você pode restringir a inicialização de dispositivos plug and play. A porta USB é uma interface técnica importante que permitiria a um
usuário mal-intencionado fazer upload de arquivos corrompidos ou baixar informações.
Para usar a autenticação baseada no Windows, um servidor de domínio do Windows deve estar acessível no computador de destino e o
computador de destino deve ingressar nesse domínio.
Se um funcionário não usou o sistema por um longo período, ele pode não precisar de uma conta de usuário. Se eles não precisarem usá-lo,
remova a conta, pois é uma prática recomendada reduzir o número de contas de usuários ativas, diminuindo a pegada potencial de ataque.
19
Machine Translated by Google
Por exemplo, para proteger você pode configurar uma conta de usuário diferente com menos privilégios para executar o C•CURE 9000 CrossFire
Framework Services em vez da conta do sistema local.
A conta de usuário não precisa de privilégios de administrador de sistema no SQL Server. O usuário deve ter uma função db_owner para os
seguintes bancos de dados: ACVSCore, SWHSystem, SWHSystemAudit, SWHSystemJournal.
Configure os operadores C•CURE 9000 para terem o mínimo de privilégios com base em suas funções. Por exemplo, se um operador
apenas monitora e reconhece alarmes, não atribua privilégios para adicionar, remover ou modificar objetos do banco de dados. Consulte o manual
do C•CURE 9000 para obter mais informações sobre como configurar diferentes funções e privilégios para operadores C•CURE.
A Software House é um Microsoft Certified Gold Partner. A qualificação de todas as versões do C•CURE 9000, incluindo service packs e
atualizações críticas, é realizada usando os mais recentes Service Packs e atualizações de segurança do Microsoft Windows. O Suporte Técnico da
Software House pode identificar quando novas atualizações e patches são aprovados.
É uma prática recomendada aplicar as atualizações mais recentes do Microsoft Windows. Recomendamos que você configure o C•CURE para
exigir uma reinicialização manual do servidor para evitar o desligamento automático durante o uso.
20
Machine Translated by Google
Estas exclusões de diretório evitam um conflito quando o C•CURE 9000 lê ou grava um arquivo.
Nota: Nenhuma exclusão de diretório é necessária para estações de trabalho C•CURE 9000 Client. Os sistemas C•CURE 9000 são
essenciais para a operação. Também é importante desativar qualquer capacidade de forçar a reinicialização do servidor C•CURE 9000 ou
das estações de trabalho clientes.
As atualizações de firmware para os controladores iSTAR estão disponíveis no site de suporte da Software House:
www.swhouse.com/Support. O site também contém notas de lançamento que detalham as alterações feitas no firmware, incluindo
atualizações de segurança.
21
Machine Translated by Google
2.7.3 Desativando o
fortalecimento do SNMP Etapa 10:
Desativar o SNMP O SNMP é ativado por padrão nos controladores iSTAR para fornecer estatísticas de ataques DoS. Por motivos
de segurança, as bibliotecas são somente leitura e contêm apenas o nome do controlador. Você pode desativar o SNMP usando a
página da Web ICU, iSTAR Ultra ou a janela C•CURE9000 Admin:
22
Machine Translated by Google
Para ativar a detecção de violação, ative a entrada Tamper ao configurar o controlador iSTAR Ultra e, em seguida, anexe um evento
C•CURE 9000 ao acionador de entrada de violação. Quando o controlador é violado, o evento é ativado para acionar a ação apropriada
configurada no evento.
2.7.5 Redefinindo o padrão de fábrica antes de conectar-se a um novo sistema C•CURE 9000 Se um
componente ou dispositivo tiver sido usado anteriormente como parte de outra instalação ou ambiente de teste, a unidade deverá
ser redefinida para os padrões de fábrica antes de usá-la em uma nova implantação. Consulte o manual do usuário do dispositivo para
obter informações sobre como realizar a redefinição de fábrica do dispositivo.
23
Machine Translated by Google
2.8.0 Fortalecendo a comunicação entre os controladores C•CURE 9000 e iSTAR Embora o C•CURE tenha
diversas proteções seguras por padrão, você deve fortalecer o C•CURE para atender aos requisitos de segurança do ambiente de
destino.
FIPS ou modo escuro desativa a comunicação entre o iSTAR Configuration Utility (ICU) e o controlador iSTAR. Quando aprovados
pelo FIPS (modo escuro), os controladores iSTAR desativam todo o acesso, exceto comunicações diretas do C•CURE 9000. Os
controladores iSTAR configurados com uma senha de cluster (através do C•CURE 9000) exigem que você digite sua senha antes que o
ICU possa configurar o controlador. Você pode configurar todos os controladores iSTAR para o bloco ICU. Isso evita o envio de
comandos ICU ao controlador. Para solucionar problemas do controlador iSTAR, use a página de diagnóstico da web. O servidor web é
protegido por senha. Você pode configurar a senha através de uma variável de sistema no C•CURE 9000. Você pode desabilitar
o servidor usando variáveis de sistema do C•CURE 9000 ou colocando o iSTAR em FIPS ou modo escuro. A criptografia entre o C•CURE
9000 e os controladores iSTAR Ultra e iSTAR Edge possui validação FIPS 140-2 e FIPS 197. Você pode usar um certificado de terceiros
baseado em host, baseado em controlador ou pode migrar para a criptografia assimétrica ECC.
Durante a comunicação, o C•CURE 9000 e um controlador criptografado iSTAR trocam uma chave de sessão. A troca de uma chave de
sessão requer um par de chaves públicas e privadas. Uma entidade confiável assina a chave pública e gera o certificado digital a partir da
chave pública. A entidade confiável atua como uma Autoridade de Certificação (CA). Quando a CA assina a chave pública, a chave pública
torna-se o certificado digital. A Autoridade de Certificação pode ser um serviço comercial, como VeriSign, ou um serviço de CA
instalado localmente, por exemplo, C•CURE 9000 ou um sistema operacional Windows.
24
Machine Translated by Google
Se você gerar um par de chaves públicas e privadas para a própria CA, poderá usar a própria chave privada da CA para assinar sua própria chave
pública, que então se tornará um certificado digital autoassinado. É uma prática comum que uma CA raiz assine a si mesma.
• Autoridade de Certificação •
Certificado de Host
• Certificados do Controlador
A menos que você especifique o uso de certificados de terceiros, o C•CURE 9000 atua como entidade confiável. O sistema gera
automaticamente os certificados necessários. Você pode modificar as informações de identificação associadas a cada certificado, mas não pode
gerar o certificado manualmente. Se você usar certificados de terceiros, deverá fazer download de cada certificado de sua origem.
Para configurar a criptografia para um cluster iSTAR, consulte o Apêndice A.1.0 Etapas para configurar a criptografia para o cluster iSTAR.
Opções de criptografia
Esta seção descreve as opções de criptografia do C•CURE 9000. Para obter mais informações consulte o guia de instalação do C•CURE 9000.
25
Machine Translated by Google
A criptografia baseada em controlador requer a intervenção de um indivíduo para aprovar manualmente o certificado,
assinando-o na Estação de Monitoramento C•CURE 9000. Neste contexto, o indivíduo é denominado Oficial
Criptográfico. Você pode configurar uma variável de sistema C•CURE 9000 para permitir que o sistema assine automaticamente
o certificado. Neste caso, o C•CURE 9000 atua como Oficial Criptográfico e nenhuma intervenção de um operador do sistema
é necessária. Para obter mais informações, consulte Atualizando variáveis de sistema para o driver iSTAR.
Ao usar o gerenciamento de chaves baseado em controlador, o C•CURE 9000 cria os certificados de host e CA no
computador host do C•CURE 9000 e, em seguida, direciona o controlador criptografado iSTAR para gerar novas chaves
públicas e privadas. O controlador criptografado iSTAR responde enviando a chave pública de volta ao host para
assinatura. Dependendo da configuração do sistema, a chave é assinada na estação de monitoramento C•CURE 9000 por um
operador do sistema atuando como Oficial Criptográfico, ou automaticamente assinada pelo C•CURE 9000 (a assinatura
automática não é recomendada se houver qualquer preocupação sobre tentativas não autorizadas de simular um
controlador iSTAR). O host envia o certificado do controlador assinado e o certificado da Autoridade de Certificação (CA) ao
controlador. Após o recebimento dos certificados, o controlador criptografado iSTAR é reiniciado.
Ao usar o gerenciamento de chaves baseado em host, o sistema mantém todos os certificados do controlador no
computador host. A recuperação de um estado de erro pode exigir a exportação de certificados de terceiros do host e, em
seguida, o transporte físico dos certificados para o controlador com falha.
Ao operar no modo de gerenciamento de chave baseado em host, o sistema cria os certificados Host, Controlador e CA
no computador host e, em seguida, baixa a chave pública do controlador, a chave privada do controlador e o certificado CA para
o controlador criptografado iSTAR. Quando o download for concluído, o controlador criptografado iSTAR será
reinicializado.
RSA 1024
RSA 1024 é a força padrão do certificado legado.
ECC
ECC é a opção mais forte e preferida, mas requer firmware iSTAR versão 6.0.0.0 ou superior.
A partir do firmware v6.6.5 e C•CURE 9000 v2.70 SP2, os certificados ECC são suportados no IP-ACM v2 através do
controlador ao qual ele está conectado.
Se você tiver certificados ECC configurados a partir de uma versão anterior do C•CURE ou firmware, você deverá gerar
novamente os certificados após atualizar para o firmware v6.6.5 e C•CURE 9000 v2.70 SP2. Caso contrário, o
certificado ECC não será baixado para o IP-ACM v2. Consulte o Guia do usuário do utilitário de configuração iSTAR para
obter informações adicionais de configuração.
26
Machine Translated by Google
Aviso: Remover a alimentação do banco de dados no modo CPNI apaga o banco de dados.
2.10.0 Fortalecendo a comunicação entre o C•CURE 9000 Server e o SQL Database Server
https://docs.microsoft.com/en-us/sql/relational-databases/security/encryption/sql-server-encryption?view=sql-server-2017
2.10.3 Configurar o C•CURE Application Server com cadeias de conexão criptografadas Proteção Etapa 13:
Configurar cadeias de conexão criptografadas Para configurar o
C•CURE Application Server com cadeias de conexão criptografadas, conclua as seguintes etapas:
Consulte as orientações da Amazon Web Services (AWS)™ para obter mais detalhes.
https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.html
https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html
27
Machine Translated by Google
5. Certifique-se de que a opção de configuração do servidor 'Ole Automation Procedures' esteja definida como '0'
6. Certifique-se de que a opção de configuração do servidor 'Acesso Remoto' esteja definida como '0'
7. Certifique-se de que a opção de configuração do servidor 'Conexões de administrador remoto' esteja definida como '0': O administrador remoto
A opção de conexões controla se um aplicativo cliente em um computador remoto pode usar a Conexão de Administrador Dedicada (DAC).
8. Observação: você pode manter esta opção habilitada apenas para clusters de failover no Microsoft SQL Server 9. Certifique-se de que
a propriedade do banco de dados 'Confiável' esteja definida como 'Desligado'
10. Certifique-se de que a conta de login 'sa' esteja definida como 'Desativada'
11. Certifique-se de que a opção de configuração do servidor 'xp_cmdshell' esteja definida como '0'
12. Certifique-se de que a função pública no banco de dados msdb não tenha acesso aos proxies do SQL Agent 13. Certifique-se de que
os Service Packs e hot fixes mais recentes do SQL Server estejam instalados e sejam suportados pelo CCURE 14. Certifique-se de que a opção
'MUST_CHANGE' esteja definida como 'ON' para Todos os logins autenticados SQL 15. Certifique-se de que a conta de login
'sa' tenha sido renomeada 16. Certifique-se de que 'Conjunto de permissões
de assembly CLR' esteja definido como 'SAFE_ACCESS' para todos os assemblies CLR 17. Desative 'Serviço de navegador do SQL Server'
se não for necessário
2.12.0 Fortalecendo a comunicação entre o servidor C•CURE 9000 e os clientes Com segurança de nível de transporte, o
protocolo HTTPS fornece confidencialidade de comunicação e proteção de integridade. O principal benefício da segurança no nível de transporte é o
desempenho. Implementações SSL são amplamente utilizadas e tendem a ser altamente otimizadas. Aceleradores de hardware SSL aumentam ainda mais o
desempenho. A desvantagem da segurança em nível de transporte é que ela fornece segurança ponto a ponto apenas em uma conexão de rede. Assim que a
mensagem for removida da rede a proteção será perdida. Isto é problemático em muitos cenários onde as mensagens são roteadas através de nós intermediários ou
onde as mensagens são persistidas em bancos de dados e outros armazenamentos. Nestes cenários, recomendamos a criptografia em nível de mensagem
de ponta a ponta.
Criptografia ponta a ponta, criptografa e assina mensagens e autentica a chamada por meio de uma conta do Windows.
A criptografia ponta a ponta protege a mensagem. Por exemplo, a criptografia ponta a ponta pode criptografar toda a carga útil da mensagem ou as partes
confidenciais para garantir a confidencialidade. A criptografia ponta a ponta também pode assinar mensagens para evitar que um invasor modifique a
mensagem sem ser detectada pelo destinatário. A vantagem de usar segurança em nível de mensagem é que ela protege as mensagens enquanto
trafegam pela rede, durante o roteamento através de nós intermediários e enquanto persiste as mensagens em bancos de dados. A desvantagem é o
desempenho, pois a criptografia ponta a ponta requer processamento adicional. Você pode melhorar o desempenho criptografando apenas partes confidenciais de
mensagens maiores.
2. Clique em Configurações.
2.13.0 Fortalecimento do servidor C•CURE 9000/servidor IIS e clientes web C•CURE Use HTTPS para criptografar
a comunicação entre o servidor C•CURE 9000/servidor IIS e os clientes web C•CURE. Para ativar a criptografia para comunicação Web C•CURE, execute as
seguintes etapas:
28
Machine Translated by Google
2.15.0 Fortalecendo a comunicação entre o C•CURE 9000 Master Application Server e o Satellite
Consideração sobre proteção de servidores de
aplicativos Usamos o WCF para comunicações entre o CCURE Master Application Server e o Satellite Application Server.
A Microsoft permite que os usuários finais configurem o WCF com Transport Security usando um certificado X.509.
O nível de criptografia também depende do sistema operacional. Por exemplo, o TLS 1.3 de documentos da Microsoft é compatível
com o Windows Server 2022.
29
Machine Translated by Google
3 Manter O
conteúdo desta seção aborda como monitorar possíveis problemas de segurança cibernética e manter os
níveis de proteção à medida que as condições mudam.
Uma auditoria que produza um relatório indicando baixo risco de segurança cibernética é um resultado muito positivo e sugere que a
implantação foi conduzida com alto grau de cuidado e consideração. No entanto, novos vetores de ataque combinados com
ferramentas de hacking melhoradas e técnicas de teste mais avançadas poderão, no futuro, revelar vulnerabilidades com as tecnologias
utilizadas.
As tecnologias impactadas e a sua implementação podem ter sido anteriormente bem vistas pelos especialistas em segurança cibernética. A
descoberta de vulnerabilidades após a auditoria final de implantação pode não refletir a qualidade dessa auditoria.
Você pode precisar de um maior grau de proteção ao meio ambiente porque as políticas, regulamentos e orientações podem mudar com o
tempo.
A lista de verificação de manutenção de segurança cibernética foi projetada para ver todos os itens de linha à esquerda que precisam
ser executados em intervalos regulares. À direita você pode ver rapidamente quais tarefas precisam ser executadas imediatamente ou
diariamente, até tarefas anuais.
30
Machine Translated by Google
Item Descrição
31
Machine Translated by Google
Se o seu sistema usa serviços do Active Directory (AD), as contas excluídas do AD geralmente são removidas automaticamente
32
Machine Translated by Google
conta. Isso às vezes é chamado de política de uso ou perda. Essa prática recomendada reduz a quantidade de contas de usuários ativas no
sistema e, portanto, diminui o impacto potencial do ataque.
Verifique com sua política local para determinar se isso deve ser realizado com mais frequência.
33
Machine Translated by Google
• Determinar se o seu sistema é afetado pelas condições descritas nos avisos • Com base em como o
sistema é implantado, configurado e usado, ajudará a determinar se o aviso pode ou não ser motivo de preocupação
• Consultar a documentação as-built ajudará nesta avaliação. Um bom conjunto de documentação as-built identificará o
número de componentes impactados e sua localização. • Embora os avisos chamem a atenção para uma
questão de segurança cibernética, nem sempre é possível tomar medidas imediatas
ação ou executar a recomendação completa descrita nos avisos. Nesse caso, a priorização ajudará no seu planejamento para garantir
que qualquer problema que afete o seu sistema seja tratado de forma completa e adequada em ordem de prioridade.
Verifique se há recomendações de componentes de terceiros, como equipamentos de rede e sistemas operacionais, consultando o
respectivo fornecedor.
Certifique-se também de verificar atualizações e patches de componentes de terceiros, como equipamentos de rede e sistemas operacionais,
consultando o respectivo fornecedor.
34
Machine Translated by Google
Siga o plano determinado na etapa de manutenção 3.1.10. Consulte todas as partes que possam ser afetadas por patches, atualizações
ou tempo de inatividade e escolha o melhor momento para implantação.
35
Machine Translated by Google
36
Machine Translated by Google
3.1.21 Verifique se há anúncios de fim de vida útil e planeje substituições Revise os anúncios
de produto para determinar se algum dos componentes tem um anúncio de fim de vida planejado, incluindo todos os sistemas
operacionais de servidor, bancos de dados, controladores de porta, leitores e I /O dispositivos de nível.
- Revise as muitas ferramentas disponíveis para auxiliar na detecção baseada em análises em tempo real
- Decidir e testar completamente a ferramenta em um ambiente que não seja de produção
- Verifique se o seu sistema continua a funcionar corretamente depois de instalar qualquer ferramenta de monitoramento de segurança
(A Johnson Controls só pode ajudar dentro das diretrizes estabelecidas nos acordos contratuais em vigor)
- Nunca instale software (ou hardware) a menos que esteja alinhado com as políticas do proprietário do ambiente
37
Machine Translated by Google
Apêndice A
Esta seção contém etapas detalhadas para configurar a criptografia para o cluster iSTAR.
Apêndice A.1.0 Etapas para configurar a criptografia para o cluster iSTAR Durante a
comunicação, o C•CURE 9000 e um controlador criptografado iSTAR trocam uma chave de sessão. A troca de uma chave de sessão requer um
par de chaves públicas e privadas. Uma entidade confiável assina a chave pública e gera o certificado digital a partir da chave pública. A entidade
confiável atua como uma Autoridade de Certificação (CA). Quando a CA assina a chave pública, a chave pública torna-se o certificado digital. A
Autoridade de Certificação pode ser um serviço comercial, como VeriSign, ou um serviço de CA instalado localmente, por exemplo,
C•CURE 9000 ou um sistema operacional Windows.
Se você gerar um par de chaves públicas e privadas para a própria CA, poderá usar a própria chave privada da CA para assinar sua própria chave
pública, que então se tornará um certificado digital autoassinado. É uma prática comum que uma CA raiz assine a si mesma.
• Autoridade de certificação •
Certificado de host •
Certificados de controlador
A menos que você especifique o uso de certificados de terceiros, o C•CURE 9000 atua como entidade confiável. O sistema gera
automaticamente os certificados necessários. Você pode modificar as informações de identificação associadas a cada certificado, mas não
pode gerar o certificado manualmente. Se você usar certificados de terceiros, deverá fazer download de cada certificado de sua origem.
Use esta seção para configurar certificados, incluindo certificados de terceiros baseados em host ou em controlador e ECC.
Apêndice A.1.1 Configurando a criptografia FIPS 140-2 para um cluster criptografado iSTAR Para configurar a
criptografia FIPS 140-2 para um cluster criptografado iSTAR, conclua as seguintes tarefas:
b. O modo de criptografia baseado em host modifica a política de gerenciamento de chaves de todo o sistema para personalizada -
Anfitrião fornecido.
c. O modo de criptografia padrão é onde o Host fornece todas as chaves públicas e privadas.
Nota: Para usar o modo FIPS 140-2, recomendamos usar o modo de criptografia baseado em controlador para dois
razões:
• A criptografia baseada em host requer que uma chave privada seja transmitida aos controladores não criptografada.
A criptografia baseada em controlador não. A desvantagem é que o método baseado em controlador requer uma assinatura no
host que reconheça que o iSTAR é válido.
• A segunda razão é que é muito mais fácil recuperar-se de uma situação de erro baseada em controlador do que recuperar-se de uma
área baseada em host. A recuperação de chaves de criptografia baseada em host é mais difícil.
38
Machine Translated by Google
Nota: O modo compatível com FIPS 140-2 não é avaliado pela UL.
Apêndice A.1.2 Criando um certificado digital para uma autoridade de certificação A seção
Criando o certificado digital para a autoridade de certificação não é avaliada pela UL e não pode ser usada em aplicações UL.
A configuração da criptografia personalizada requer um certificado digital para a Autoridade de Certificação. O C•CURE 9000 pode servir como
uma entidade confiável para gerar um certificado digital para a Autoridade de Certificação. Neste caso, o sistema gera
automaticamente um novo certificado raiz.
Primeiro você deve selecionar um modo de gerenciamento de chave de criptografia personalizado. Para obter detalhes, consulte o Guia de
manutenção do sistema C•CURE.
Após gerar o certificado CA, o sistema preenche os campos da seção Vida útil do certificado, conforme a seguir:
Ambos os campos são somente leitura. Esses campos ficam em branco até que um certificado CA seja gerado no sistema.
39
Machine Translated by Google
Quando não existe um certificado de controlador personalizado, o sistema marca a caixa de seleção Criar novo certificado de controlador e
exibe a seleção como somente leitura. O sistema preenche os campos Nome do Certificado, Código do País e Data de Expiração .
Você pode modificar esses valores fornecidos pelo sistema. Você pode editar todos os outros campos na seção de detalhes do certificado.
• Para aplicar o novo certificado a um controlador criptografado iSTAR específico, no campo Aplicar a um único
controlador , navegue para localizar e selecionar o controlador.
4. Clique em Salvar e Fechar.
O certificado é gerado com os valores fornecidos pelo sistema. Após gerar o certificado do controlador, o sistema preenche os campos da
seção Vida útil do certificado, conforme a seguir:
Ambos os campos são somente leitura. Esses campos ficam em branco até que um certificado do controlador seja gerado no sistema.
A configuração da criptografia personalizada requer um certificado digital para o host. O C•CURE 9000 pode servir como uma entidade
confiável para gerar um certificado digital para o host. Neste caso, o sistema gera automaticamente um certificado de host.
Primeiro você deve selecionar um modo de criptografia personalizado. Para obter detalhes, consulte o Guia de manutenção do sistema
C•CURE. Para criar um certificado digital para o host, conclua as etapas a seguir:
Quando um certificado de host personalizado não existe, o sistema seleciona a caixa Criar Novo Certificado de Host e
exibe a seleção como somente leitura. O sistema preenche os campos Nome do Certificado, Código do País e Data de Expiração .
Você pode modificar esses valores fornecidos pelo sistema. Você pode editar todos os outros campos na seção de detalhes do
certificado.
O certificado é gerado com os valores fornecidos pelo sistema. Depois que o certificado do controlador for gerado, o sistema preencherá os
campos na seção Vida útil do certificado, como segue:
Ambos os campos são somente leitura. Esses campos ficam em branco até que um certificado de host seja gerado no sistema.
40
Machine Translated by Google
Embora o C•CURE 9000 possa servir como uma entidade confiável para criar certificados digitais personalizados, você tem a opção de usar
certificados de entidades comerciais confiáveis. Se você optar por usar certificados de terceiros ao configurar a criptografia
personalizada, deverá fazer download dos certificados da autoridade de certificação, do controlador e do host para o C•CURE 9000.
Primeiro selecione um modo de gerenciamento de chave de criptografia personalizado e especifique o uso de certificados de terceiros.
Para obter detalhes, consulte o Guia de manutenção do sistema C•CURE.
Para carregar o certificado digital para a autoridade de certificação, conclua as etapas a seguir:
Se você especificou o uso de certificados de terceiros, na seção Criação de certificado, o sistema seleciona Carregar novo certificado de
controlador e exibe a seleção como somente leitura.
3. No campo Arquivo , procure a chave pública. A chave pública é identificável como um arquivo .PEM.
4. Na seção Detalhes do certificado , insira informações que identifiquem e descrevam o certificado de terceiros
certificado.
Os campos Nome do certificado, Código do país e Data de expiração são campos obrigatórios. Você pode editar todos os outros campos
na seção de detalhes do certificado.
O certificado digital da Autoridade de Certificação utiliza os valores fornecidos pelo certificado de terceiros.
Depois que o certificado CA for carregado, o sistema preencherá os campos na seção Vida útil do certificado, como segue:
Ambos os campos são somente leitura. Esses campos ficam em branco até que um certificado CA seja carregado no sistema.
41
Machine Translated by Google
Primeiro selecione um modo de gerenciamento de chave de criptografia personalizado e especifique o uso de certificados de terceiros. Para
obter detalhes, consulte o Guia de manutenção do sistema C•CURE.
A seção Certificados de terceiros lista os controladores criptografados iSTAR disponíveis. Para cada controlador, você pode selecionar um arquivo
de certificado de terceiros e uma chave privada.
3. Para cada controlador que você deseja configurar no modo escuro, faça o seguinte: a. No campo Arquivo
de certificado para carregar , procure a chave pública. A chave pública é identificável
como um arquivo .PEM.
b. No campo Arquivo de chave privada , procure uma chave privada que você deseja usar. A chave privada é identificável como um
arquivo .KEY.
4. Clique em Salvar e Fechar.
Os certificados digitais dos diversos controladores utilizam os valores fornecidos pelos certificados de terceiros. Depois que um ou mais certificados
são carregados, o sistema preenche os campos na seção Vida útil do certificado, conforme
segue:
Ambos os campos são somente leitura. Esses campos ficam em branco até que um certificado do controlador seja carregado no sistema.
42
Machine Translated by Google
Primeiro selecione um modo de criptografia personalizado e especifique o uso de certificados de terceiros. Para obter detalhes, consulte o Guia de
manutenção do sistema C•CURE.
Se você especificou o uso de certificados de terceiros, na seção Criação de certificado, o sistema seleciona Carregar novo certificado de
controlador e exibe a seleção como somente leitura.
3. No campo Arquivo de certificado para carregar , procure a chave pública. A chave pública é identificável como um
Arquivo .PEM.
4. No campo Arquivo de chave privada , procure a chave privada que deseja usar. A chave privada é
identificável como um arquivo .KEY.
Os campos Nome do certificado, Código do país e Data de expiração são campos obrigatórios. Todos os outros campos na seção Detalhes do
certificado são editáveis, mas opcionais.
Depois que o certificado do host for carregado, o sistema preencherá os campos na seção Vida útil do certificado, como segue:
Ambos os campos são somente leitura. Esses campos ficam em branco até que um certificado de host seja carregado no sistema.
43