Niektórzy uważają, że Microsoft zwykł włączać serwer IIS na komputerach, które nie wymagały tego, wraz z SQL poprzez SQL Desktop Edition. Obecnie nie praktykuje się już tego od niemal 10 lat. Serwer IIS jest dziś znacznie utwardzony. Nie jest instalowany domyślnie, a jeśli już, to działa w trybie domyślnym bardzo odpornym na exploity. Najnowsze wersje SQL przez lata nie uległy atakom. Na pytania, jak utwardzać serwer IIS i SQL, Grimes odpowiada obecnie: "Nie mieszajcie! Domyślne ustawienia są cholernie dobre."

Hardening czasami ryzykowny

Z hardeningiem wiąże się jeszcze inne ryzyko. Większość ludzi dokonująca zmian do końca nie wie, co robi, więc wyłączenie pozornie niepotrzebnych usług często może doprowadzić do nieoczekiwanych skutków. Jako swój ulubiony przykład, autor "Roger Grimes' Security Adviser blog" podaje wyłączanie usługi buforowania wydruków (Printer Spooler) na kontrolerach domeny systemu Windows. W ten sposób administratorzy bezwiednie pozbawiają się możliwości usuwania drukarek z Active Directory.

Grimes ostrzega również przed szkodliwymi zaleceniami podawanymi w większości poradników dotyczących hardeningu. Zalecane praktyki często mogą powodować problemy i w efekcie prowadzić do osłabienia ochrony.

A może na razie bez IPv6?

Ostatni eksploit IPv6 zasiał u administratorów IT wątpliwość, czy nie trzeba wyłączać tych usług? Ich zdaniem, po pierwsze trudno go zatrzymać, a po drugie, większość świata nie korzysta jeszcze z IPv6. Grimes odpowiada im: "IPv6 jest znacznie bezpieczniejszy niż IPv4". Organizacje powinny używać tej wersji protokołu IP i korzystać z jej możliwości, a nie wyłączać ją.

Zobacz też: Eksperci ponaglają Microsoft i Juniper, żeby załatały niebezpieczna lukę

"Jeżeli nie podejmujesz specjalnych wysiłków, próbując powstrzymać ataki typu Layer 2 spoofing DHCP, które mają wpływ na niemal każdy komputer w firmie - nie powinieneś poświęcać dodatkowej energii obawiając się ataków IPv6 w niższej warstwie. Owszem, ataki IPv6 będą się zdarzały, podobnie jak w przypadku DHCP, ale nie są one powszechne.

Zbytnio nie generalizując, wyłączanie niepotrzebnych usług często ma sens z punktu widzenia korzyści związanych z ograniczaniem kosztów. Być może nawet wyłączenie IPv6 przyniesie jakiś efekt dla firmy. Lecz, czy nie lepiej poczekać, żeby zobaczyć, czy podejmowany jest jakikolwiek atak IPv6, zanim poświęci się na to czas i środki? Jeśli już próbować zapobiegać włamaniom IPv6, to dlaczego nie skupić się na bardziej prawdopodobnych inwazjach pochodzących od strony klienta?" - przekonuje Grimes.

Popiera również każdego, kto chce wzmocnić własne ustawienia zabezpieczeń danych, jak również aplikacji i kodu. Ma na myśli wysiłek podjęty na utwardzenie podstaw systemu operacyjnego i popularnych aplikacji dostawcy, które już sprawdzono pod względem bezpieczeństwa i zostały zatwierdzone przez ich twórców.

"Jeśli planujecie spędzić czas na utwardzaniu swojego systemu obrony, koncentrujcie się na aplikacjach i obszarach nie zweryfikowanych dotychczas przez producentów, lub o bezpieczeństwie których nie mają oni pojęcia" - radzi na koniec Roger Grimes.

Powyższy artykuł prezentuje opinię eksperta, i choć wydaje się ona bardzo ciekawa, odpowiedź na pytanie "utwardzać czy nie utwardzać" wcale nie jest taka oczywista. Zapraszamy do udziału w naszej sondzie i prezentacji własnego zdania w komentarzach.