คู่มือ Check List ตรวจสอบเทคนิคเชิงลึก (เล่ม 1) · Security ข้อ 1.3 ป้องกันผู้ไม่หวังดีลักลอบเข้า

คมอ Check List ตรวจสอบเทคนคเชงลก (เลม1)

สนบสนนการตรวจสอบตามแนวปฏบตทดส าหรบการควบคมความเสยงของ

ระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)

ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ สายก ากบสถาบนการเงน ธนวาคม 2558

Version 1.0

การตรวจสอบทางเทคนคเชงลกตามแนวปฏบตทดส าหรบการควบคมความเสยงของระบบงานเทคโนโลยสารสนเทศทสนบสนนธรกจหลก (IT Best Practices)

P a g e 1 ฝายตรวจสอบความเสยงและเทคโนโลยสารสนเทศ

สารบญ

Executive Summary 2

สรปการตรวจสอบระบบปฏบตการทางเทคนคเชงลก 3

ระบบปฏบตการ AS400 4

ระบบปฏบตการ AIX 14

ระบบปฏบตการ Window Server 27

Appendix: รายการขอเอกสารจากสง.ส าหรบการตรวจสอบเทคนคเชงลก 34



Executive Summary

ทมาและเหตผลความจ าเปน

ระบบเทคโนโลยสารสนเทศ (IT) นบเปนโครงสรางพนฐานส าคญทใชรองรบกลยทธและกระบวนการด าเนนธรกจดานตางๆ (Business Process) ของธนาคารพาณชย (ธพ.) จดออนหรอชองโหวของระบบ IT อาจมผลตอความปลอดภย ความถกตองและความตอเนองในการใหบรการทางการเงนแกลกคาประชาชน อกทงอาจสงผลกระทบตอภาพลกษณและความนาเชอถอของ ธพ. แตละแหงหรอระบบสถาบนการเงนโดยรวม ดงนน ธปท. จงไดจดใหมโครงการจดท าแนวปฏบตทดส าหรบการควบคมความเสยง (IT Best Practices) ดาน Operational/ IT Risk Management ของ ธพ. ทเชอมโยงกบธรกจหลก โดยมงเนนธรกรรมทมผลกระทบตอประชาชนในวงกวาง เพอให ธพ. สามารถน าไปใชเปนแนวทางในการควบคมความเสยงตนเอง (Self Control System) และพฒนาโครงสรางพนฐานระบบ IT พรอมรองรบกลยทธการขยายธรกจในอนาคต ตลอดจนใชในการพฒนาการก ากบดแลสถาบนการเงนของ ธปท. ใหทนกบววฒนาการและความเสยงทเปลยนแปลงทเกดขน โดยในป 2556 และ 2557 ไดจดท า IT Best Practices Phase 1 และ Phase 2 ทครอบคลมธรกจดานเงนฝาก ถอน และโอนเงนรวมถงการใหบรการการเงนและการช าระเงนทางอเลกทรอนกสเสรจไปแลว

ในป 2558 ทางฝตส. ไดจดท าโครงการตรวจสอบระบบปฏบตการทางเทคนคเชงลกส าหรบเครองคอมพวเตอรแมขาย โดยเนนเรองการก าหนดสทธของผใชงาน การรกษาความปลอดภยบนระบบปฏบตการ และการเกบหลกฐานหรอเหตการณในการเขาถงเครองคอมพวเตอร (Audit Log) โดยระบบปฏบตการทจะท าการตรวจสอบ ไดแก AIX AS/400 และMicrosoft Window Server ซง ธพ. สวนใหญใชเปนระบบปฏบตการหลกส าหรบเครองคอมพวเตอรแมขาย เพอใหผตรวจสอบ ธปท. สามารถน าไปใชเปนแนวทางการตรวจสอบระบบปฏบตทางเทคนคทมความซบซอน และมประสทธภาพมากขน อกทงยงเปนการลดความเสยงของการรกษาความปลอดภยทอาจจะมแนวโนมเกดขน ในกรณไมไดมการตงคาการรกษาความปลอดภยของเครอง Server อยางเหมาะสม หรอการใหสทธการเขาถงระบบปฏบตการทไมถกตอง รวมทงเปนการเพมประสทธภาพในการตรวจสอบและวเคราะหปญหาในกรณทเกดเหตการณผดปกต (IT Incidents)



สรปการตรวจสอบระบบปฏบตการทางเทคนคเชงลก 1. การก าหนดขอบเขตการจดท าแนวปฏบตทด

ครอบคลมกระบวนการท าธรกรรมการเงนผานชองทางอเลกทรอนกส ดงตอไปน 1. การควบคมการเขาถงระบบปฏบตการ ในการบรหารจดการบญชและสทธของผใชงาน 2. การควบคมการตงคาความปลอดภยของระบบปฏบตการ เปนการก าหนดระดบการรกษาความปลอดภย (Hardening) ของระบบ 3. การก าหนด Audit Log ส าหรบการบนทกเหตการณใหสามารถใชตดตาม ตรวจสอบการเขาใชงานระบบของผใชงาน

2. การเตรยมความพรอมผตรวจสอบ ธปท . เตรยมความพรอมผตรวจสอบ ธปท. ใหเขาใจแนวทางการตงคา Parameters ของระบบปฏบตการ AIX AS/400 และ Window Server

3. การรวบรวมขอมล เพอจดท าแนวปฏบตทด ศกษาการตงคา Parameters ทเกยวของกบการก าหนดสทธผใชงานบนระบบปฏบตการและดานรกษาความปลอดภยและการก าหนด Audit logเชน การตงคารหสผานของระบบ การก าหนดหนาททจ าเปนของกลมผใชงาน และการเกบ log บนระบบ เปนตน



ระบบปฏบตการ AS400

เปนระบบทพฒนาโดย IBM เพอทใชรองรบการใชงานขอมลทมความส าคญ (Sensitive Data) โดยระบบนสามารถท าใหการเกบขอมลและการประมวลผลขอมลสามารถท าไดโดยผใชหลายคนพรอมกน (Multitasking) เชนขอมลของการท าธรกรรมทางการเงนและระบบทพฒนานนใชส าหรบการเกบขอมลทมปรมาณมากๆ ขอดของระบบ AS/400 เปนระบบทวางโครงสรางสถาปตยกรรมแบบเปนล าดบชน (Layered Machine Architecture) สามารถปรบเปลยนตวอปกรณ Hardware โดยไมตองมการหยดการประมวลผลของงาน ระบบนสามารถรองรบการประมวลผลโดยเทคโนโลยการแบงพารตชนแบบโลจคล (logical partition-LPAR) โดยสามารถตดตง Software ประมวลผลหลายตวพรอมกน

Platform AS/400

รายละเอยดการตรวจสอบ คา Parameter ท Recommend

คา Baseline ของธนาคาร

คา Parameter ของธนาคาร

ความเสยงทจะเกดขน

Logical Access สวนท 1 การควบคมสทธและหนาทในการเขาถงระบบ Core Banking ทาง Logical วตถประสงค เพอใหมการควบคมการเขาถงระบบ Core Banking (AS/400) ทมประสทธภาพ โดยจ ากดการเขาถงเฉพาะผทไดรบอนญาต

(Authorized Person) และหนาททก าหนดให (Authorized Function) เทานน เพอใหมการจดการ User Profile ทเขมงวดและรดกม ทงการสราง แกไข และลบรายชอผใชงานในระบบ ซงสอดคลองกบลกษณะงานของผใชงานและนโยบายการรกษาความปลอดภยเทคโนโลยสารสนเทศ

ความเสยง การใชสทธเกนหนาททไดอนญาตจะเปนการเปดโอกาสใหผไมประสงคดสรางความเสยหายตอระบบ Core Banking การก าหนดรหสผานทงายตอการคาดเดา เชน default password ตวเลขเรยงกน มความเสยงทผไมประสงคดจะคาดเดารหสผานของผใชงานอนไดงาย ซงเออตอการสวมสทธของผใชงานอนและสามารถเขาถงระบบ Core Banking ไดโดยงาย

Best Practice ระยะเวลาในการระงบรหสผใชงานทไมไดเขาใชระบบมาระยะหนง มการจ ากดสทธในการเขาถงและการใชงานโปรแกรมอรรถประโยชน (System Utility), Command Line และชดค าสงทส าคญ

(Command) ทส าคญของระบบปฏบตการไวเฉพาะบคคลทมอ านาจหนาทเหมาะสมเทานน



Platform AS/400





การก าหนดสทธในการเขาใชทรพยากรส าคญของระบบงานตามอ านาจหนาทอยางเหมาะสม เชน การเขาถง File, Folder, Library ทส าคญ โดยค านงถงสทธในการ Read, Write, Execute, Append และ Delete เปนตน

มการระงบหรอยกเลก Default Account ทไมมความจ าเปนในการใชงานหรอไมมความจ าเปนตอการท างานของระบบ เชน Guest Accounts เปนตน รหสผานควรประกอบไปดวยตวเลข ตวอกษร และตวอกขระพเศษ

Access Control ขอ 2.4.6.2 (2)

1.1 มการแสดงขอมลเมอ log in เชน วน/เวลาทเขาระบบลาสด Parameter: QDSPSGNINF

1 ปองกนผไมหวงดลกลอบเขาใชงาน

Application Security ขอ 2.4.6.3 (7)

1.2 ระยะเวลาทระบบยนยอมให Job inactive หลงจากนนจะ take action Parameter: QINACTITV

60

1.3 Action ทจะท าหลงหมดเวลา Parameter: QINACTMSGQ

*DSCJOB

1.4 ระยะเวลาทระบบจะ End Job หากขอ 1.3 เลอก action เปน Disconnect Job Parameter: QDSCJOBITV

120

Logical Access Control ขอ 2.3.1 (7)

1.5 ใหผใชงานสามารถเขาระบบไดจากอปกรณเดยว Parameter: QLMTDEVSSN

1


1.6 ผใชงานสทธสง (*ALLOBJ หรอ *SERVICE) สามารถเขาระบบไดจากทใดบาง

1



Platform AS/400





Parameter: QLMTSECOFR Network Access Control ขอ 2.2.1(10)

1.7 การควบคมการเชอมตอแบบ Remote sign on Parameter: QRMTSIGN

*REJECT มความเสยงทท าใหผไมหวงดใชเปนชองทางในการเขาสระบบได


1.8 สทธในการเขาใชงาน Object ใหมทถกสรางขน Parameter: QCRTAUT

*EXCLUDE (ไมมการ

เปลยนแปลงสทธของผใชในกรณทมการสราง Object

ใหมเกดขน)

Logical Access Control ขอ 2.3.1 (12.1.1)

1.9 รหสผานควรเปลยนทกกวน Parameter: QPWDEXPITV

60 เกดชองโหวทผไมหวงดสามารถเขาถงเครองได (Brute Force Attack) และเปนการสมเดา password จากการรวบรวมค าศพทตางๆ (Dictionary Attacks)

Logical Access Control ขอ 2.3.1

(12.2)

1.10 รหสผานควรมความยาวไมนอยกวา xx ตวอกษร Parameter: QPWDMINLEN

8

1.11 การก าหนดความซบซอนของรหสผาน Parameter: QPWDLVL

3


(12.3)

1.12 ในรหสผานหามตงตวเลขตดกน Parameter: QPWDLMTAJC

1

1.13 การใชตวอกษรซ ากนในรหสผาน Parameter: QPWDLMTREP

2



Platform AS/400





1.14 รหสผานใหมทตงมตวอกษรเดมของรหสผานเดมอยในต าแหนงเดยวกน Parameter: QPWDPOSDIF


Logical Access Control ขอ 2.3.1 (12.3)

1.15 ในรหสผานตองมตวเลขอยดวย Parameter: QPWDRQDDGT

1


1.16 รหสผานถกลอกเมอมการใสผด XX ครงตดกน Parameter: QMAXSIGN

3 มความเสยงทท าใหผไมหวงดใชชองโหวของระบบรกษาความปลอดภยในการเขาสระบบเพอเขาถงขอมลในเครองได

1.17 Action เมอมการใสรหสผานผดเกนจ านวนครงทก าหนด Parameter: QMAXSGNACN

3


1.18 รหสผานไมควรซ ากบรหสผานเดมทใช xx ครงทผานมา Parameter: QPWDRQDDIF




Platform AS/400





Access Control ขอ 2.4.6.2 (5)

1.19 การตงคาใหมการเปลยน Password ในการ sign-on ครงแรก Parameter: PWDEXP

*YES ชวยยกระดบการรกษาความปลอดภยระบบใหดขน

สวนท 2 การควบคมการตงคาความปลอดภยของระบบ AS/400 วตถประสงค เปนการก าหนดระดบการรกษาความปลอดภย (Hardening) ของระบบ Core Banking AS/400 เพอปองกนระบบจากการขาถงโดยไมไดรบ

อนญาต ความเสยง การก าหนดระดบการรกษาความปลอดภยทต าหรอออนจะเออตอผไมประสงคดในการบกรกเขาถงระบบ Core Banking ไดโดยงาย Best Practice มการลบ ระงบ หรอยกเลก Services Application หรอ Network Protocol ทไมมความจ าเปนในการใชงาน (Hardening) System Security Management ขอ 6

2.1 ระดบการรกษาความปลอดภยของระบบ AS/400 Parameter: QSECURITY

40

มความเสยงทท าใหผไมหวงดใชชองโหวของระบบรกษาความปลอดภยในการเขาสระบบเพอ

เขาถงขอมลในเครองได


(9)

2.2 การตงคาอปกรณทมาเชอมตอโดยตรงกบ OS/400โดยอตโนมต Parameter: QAUTOCFG

0 ความเสยงจากการเขาใชงานจากอปกรณทไมไดรบอนญาต 2.3 จ านวน Virtual Device ทระบบสรางให

ส าหรบ remote user Parameter: QAUTOVRT

0


2.4 อนญาตใหมการเกบ Password ทถกถอดรหสไวแลวบนระบบ Parameter: QRETSVRSEC

0 มความเสยงทท าใหผไมหวงดใชชองโหวของระบบรกษาความปลอดภยในการเขาสระบบเพอ

เขาถงขอมลในเครองได



Platform AS/400





Input Validation ขอ 1

2.5 การตงคาในกรณถามการใสขอมล (Input) ผดพลาดบนระบบ (Error) Parameter: QDEVRCYACN

*DSCMSG

Application Security ขอ 2.4.6.3 (7)

2.6 การตงคาของงานทไมไดถก run (Inactive Job) และผาน Time-out ของระบบไปแลว Parameter: QINACTMSGQ

*DSCJOB

ความเสยงจากผไมประสงคดแอบใชเครองท log-on คางไว


2.7 การตงคาไมใหมการปรบเปลยนสทธของผใชเนองจากลงโปรแกรมใหม Parameter : QUSEADPAUT

*NO


2.8 การตงคาไมใหผใชทไมมสทธเขาไปแกไข QSYS.Lib ซงเปน Library ของระบบ Parameter : QPWFSERVER

*EXCLUDE

สวนท 3 การก าหนด Audit Log วตถประสงค เพอก าหนดระดบการเกบขอมล Log การเขาใชงานระบบ Core Banking AS/400 ทเพยงพอตอการสอบทานเหตการณยอนหลง โดยขอมล

Log ของระบบ AS/400 นนเมอถกบนทกในระบบแลวตองมนใจไดวาจะไมสามารถแกไขหรอเปลยนแปลงได ความเสยง 1.การไมบนทกการเขาถงระบบสารสนเทศ ท าใหไมสามารถตรวจสอบความผดปกตยอนหลงได และไมสามารถหาขอมลทส าคญทจะชวยเปนแนวทางการแกไข

ปญหา (Detection) รวมทงวธการแกไขทจะเกดขน (Prevention) ในอนาคตได Best Practice System Security Management

จดใหมการจดเกบบนทกเหตการณดงตอไปนอยางมนคงปลอดภย 1. บนทกรองรอยกจกรรมการท าธรกรรม (Transaction Log) 2. บนทกการเขาถงระบบงาน (Access Log) โดยบญชผใชทกประเภท



Platform AS/400





3. บนทกการด าเนนงาน (Activity Log) ทส าคญ โดยอยางนอยตองครอบคลม การเปลยนแปลงแกไขโครงสรางฐานขอมล และการเปลยนแปลงแกไขขอมล ( Update/ Insert/ Delete) ในตารางทส าคญ การเปลยนแปลงการตงคาความปลอดภยของระบบ การเขาถง Object ทส าคญของระบบ การเปลยนแปลงแกไขบญชและสทธของผใชงาน

โดยบนทกดงกลาวตองถกจดเกบเปนระยะเวลาอยางนอย 90 วน

System Security Management

ขอ 12

3.1 มการเปดใช audit log Parameter: QAUDCTL

*AUDLVL *OBJAUD

*NOQTEMP

มความเสยงทจะไมสามารถหาขอมลทส าคญรวมถงหาแนว

ทางการแกไขปญหา (Detection) และวธการแกไขท

จะเกดขน (Prevention) ในอนาคตไดรวมถง จะท าใหไม

สามารถตรวจสอบความผดปกตยอนหลงได

3.2 บนทกการด าเนนงาน (Activity Log) ทส าคญ Parameter: QAUDLVL

*AUTFAIL *DELETE *OBJMGT *PGMFAIL *SAVRST

*SECURITY *SERVICE *SYSMGT *CREATE

3.3 Action ทระบบจะท าเมอไมสามารถเขยน Audit log ได Parameter: QAUDENDACN

*NOTIFY

3.4 ตงคาใหมการ Audit เมอม Object ใหม *ALL



Platform AS/400





Parameter: QCRTOBJAUD Appendix User Profile

Special User Classes Special User Classes Authority *SECOFR *SECADM *PGMR *SYSOPR *USER *ALLOBJ ALL 10 or 20 10 or 20 10 or 20 10 or 20 *SECADM ALL ALL *JOBCTL ALL 10 or 20 10 or 20 ALL *SPLCTL ALL *SAVSYS ALL 10 or 20 10 or 20 ALL 10 or 20 *SERVICE ALL *AUDIT ALL

*IOSYSCFG ALL Configuration

Parameters Description *ALL ค าสงใหสทธผใชสามารถใชและเขาถงโปรแกรมและ Object บนระบบ

*ALLOBJ อนญาตใหสทธผใชสามารถใชทก Object บนระบบ *AUDIT อนญาตใหสทธผใชสามารถใชค าสงทเกยวของกบการตรวจสอบบนระบบ

*AUTFAIL ตรวจสอบวามการเขาสระบบทผดพลาดหรอลมเหลว



*AUDLVL การตงคาเกยวของกบการตรวจสอบการใชค าสงบนระบบ *CREATE ค าสงการสราง Object *DELETE ค าสงการลบ Object *DSCJOB ค าสงการยกเลกการเชอมตอกบงานทท าอย *DSCMSG ค าสงการยกเลกการเชอมตอกบงานทท าอยและแสดงขอความในระบบทผดพลาด *ENDJOB ค าสงการปดงานทท าอย *EXCLUDE ค าสงการระงบการเขาถงโปรแกรมและ Object บนระบบ *JOBCTL อนญาตใหสทธผใชสามารถใชค าสงทเกยวของกบการ Run Batch และการพมพผลของการ Run Batch

*IOSYSCFG อนญาตใหสทธผใชสามารถใชค าสงทเกยวของกบการปรบเปลยนขอมลทปอนเขาและออกจากระบบ *NOTIFY ค าสงทแจงเตอนสงทผดปกตตางๆ (Error Message) *OBJAUD การตงคาเกยวของกบการตรวจสอบการใช Object บนระบบ *OBJMGT การแจงเตอนเมอมการยาย Object รวมถงการเปลยนชอ Object ตางๆ *PGMFAIL การแจงเตอนเมอมโปรแกรมท างานผดพลาด

*PGMR Programmer Profile *SAVSYS อนญาตใหสทธผใชสามารถใชค าสงทเกยวของกบการ Save และ Restore Object บนระบบ *SAVRST การแจงเตอนเมอมการ Save และ Restore Object และโปรแกรมบนระบบ *SECADM อนญาตใหสทธผใชสามารถใชค าสงทเกยวของกบการใหสทธผใชระบบได และ Security Admin Profile *SECOFR Security Officer Profile

*SECURITY การแจงเตอนเมอมการตงคารกษาความปลอดภย *SERVICE อนญาตใหสทธผใชสามารถใชค าสงทเกยวของกบการปรบคาการใชทเกยวของกบ Software *SPLCTL อนญาตใหสทธผใชสามารถใชค าสงทเกยวของกบการจดล าดบการ Run Batch *SYSMGT การแจงเตอนเมอมการจดการคา Parameter บนระบบ *SYSOPR System Operator Profile *USER User Profile



Security Level

Parameters Description 10 ผใชไมจ าเปนตองลงชอเขาใชบนระบบและไมมการรกษาความปลอดภย 20 ผใชจ าเปนตองลงชอเขาใชบนระบบโดยสามารถเขาไดทก Object บนระบบ 30 ผใชจ าเปนตองลงชอเขาใชบนระบบโดยจ าเปนตองมการควบคมดานความปลอดภย 40 ผใชจ าเปนตองลงชอเขาใชบนระบบโดยจ าเปนตองมการควบคมดานความปลอดภยและการตรวจสอบความถกตองของชอ

ผใชและรหสผานทกครง 50 ผใชจ าเปนตองลงชอเขาใชบนระบบโดยจ าเปนตองมการควบคมดานความปลอดภยสงสดและการตรวจสอบความถกตองของ

ชอผใชและรหสผานสงสดทกครง Software Support Lifecycle

Product Name Version General Availability End of Support OS/400 5.1.x 25 May-2001 30 Sep 2005 OS/400 5.2.x 30 Aug 2002 30 Apr 2007 i5/OS 5.3.x 11 Jun 2004 30 Apr 2009 i5/OS 5.4.x 14 Feb 2006 30 Sep 2013 IBM i 6.1.x 21 Mar 2008 30 Sep 2015 IBM i 7.1.x 23 Apr 2010 IBM i 7.2.x 02 May 2014

http://www.ibm.com/common/ssi/fcgi-bin/ssialias?subtype=ca&infotype=an&appname=iSource&supplier=897&letternum=ENUS201-112














ระบบปฏบตการ AIX

AIX (Advanced Interactive eXecutive) คอ Operating Systems ท Run บน Hardware ของเครอง IBM pSeries (RS/6000 ในอดต) ซงมพนฐานมาจากระบบปฏบตการ UNIX ทงน ระบบปฏบตการ AIX สามารถ run ไดบน Hardware หลากหลาย platform ทง pSeries , System/370 Mainframe หรอแมกระทง iSeries แตโดยมากมก Run บน Platform pSeries ทใช CPU chip “POWER” ของ IBM ซงระบบปฏบตการ AIX ไดเรมพฒนาขนในป 1986 และเรมมขายเปน Commercial ตงแตป 1990 เปนตนมา

Platform AIX รายละเอยดการตรวจสอบ คา Parameter

ท Recommend

คา Baseline

ของธนาคาร

คา Parameter



สวนท 1 การควบคมสทธและหนาทในการเขาถงระบบ Core Banking ทาง Logical

วตถประสงค เพอใหมการควบคมการเขาถงระบบ (AIX) ทมประสทธภาพ โดยจ ากดการเขาถงเฉพาะผทไดรบอนญาต (Authorized Person) และหนาทท

ก าหนดให (Authorized Function) เทานน เพอใหมการจดการ User Profile ทเขมงวดและรดกม ทงการสราง แกไข และลบรายชอผใชงานในระบบ ซงสอดคลองกบลกษณะงานของผใชงาน

และนโยบายการรกษาความปลอดภยเทคโนโลยสารสนเทศ

ความเสยง ● การใชสทธเกนหนาททไดอนญาตจะเปนการเปดโอกาสใหผไมประสงคดสรางความเสยหายตอระบบ Core Banking ● การก าหนดรหสผานทงายตอการคาดเดา เชน default รหสผาน ตวเลขเรยงกน มความเสยงทผไมประสงคดจะคาด

เดารหสผานของผใชงานอนไดงาย ซงเออตอการสวมสทธของผใชงานอนและสามารถเขาถงระบบ Core Banking ไดโดยงาย

Best Practice

● ระยะเวลาในการระงบรหสผใชงานทไมไดเขาใชระบบมาระยะหนง ● มการจ ากดสทธในการเขาถงและการใชงานโปรแกรมอรรถประโยชน (System Utility), Command Line และ

ชดค าสงทส าคญ (Command) ทส าคญของระบบปฏบตการไวเฉพาะบคคลทมอ านาจหนาทเหมาะสมเทานน ● การก าหนดสทธในการเขาใชทรพยากรส าคญของระบบงานตามอ านาจหนาทอยางเหมาะสม เชน การเขาถง File,

Folder, Library ทส าคญ โดยค านงถงสทธในการ Read, Write, Execute, Append และ Delete เปนตน




ท Recommend

คา Baseline


คา Parameter



● Best Practice มการระงบหรอยกเลก Default Account ทไมมความจ าเปนในการใชงานหรอไมมความจ าเปนตอการท างานของระบบ เชน Guest Accounts เปนตน

● รหสผานควรประกอบไปดวยตวเลข ตวอกษร และตวอกขระพเศษ

Logical Access

Control ขอ 2.3.1 (3.2)

1.1 ไมใหมการ login ดวย User deamon bin sys adm nobody uucp lpd โดยไมใชสทธ su หรอ root

ค าสงทใชเชค: lsuser -a login rlogin ชอ user account

Output ทควรจะได

ชอ user account login=false rlogin=false

กรณทไมไดมการจ ากดเขาถงของแตละผใช มความเสยงทผใชงานอาจน าไปใชผดวตถประสงค และสามารถเขาถงเปลยนแปลงขอมลในเครองได

Application Security ขอ

2.4.6.3 (7)

1.2 เมอใส รหสผาน ผดในเวลา XX วนาท จะท าการตดการเชอมตอ

Configuration file path: /etc/security/login.cfg

Parameter: logininterval

300 or less

มความเสยงทท าใหผไมหวงดใชชองโหวของระบบรกษาความปลอดภยในการเขาสระบบเพอเขาถงขอมลในเครองได

1.3 เมอใส รหสผาน ผดจ านวน XX ครง ในเวลาตามขอ

1.2 จะท าการตดการเชอมตอ


10 or less




ท Recommend

คา Baseline


คา Parameter



Parameter: logindisable

1.4 Unlock อตโนมต ในเวลา XX นาทหลงจากถก lock


Parameter: loginreenable

360 or greater

1.5 ระยะเวลา XX วนาท ในการใส รหสผาน


Parameter: logintimeout

30 or less เกดชองโหวทผไมหวงดสามารถเขาถงเครองได (Brute Force Attack)

Logical Access

Control ขอ 2.3.1 (12.4)

1.6 Lock account เมอใส รหสผาน ผด XX ครง

Configuration file path: /etc/security/user

Parameter: loginretries

3 เกดชองโหวทผไมหวงดสามารถเขาถงเครองได (Brute Force Attack)

Logical Access


1.7 ไมอนญาตให user root login แบบ remote


Parameter: rlogin

rlogin=false มความเสยงทท าใหผไมหวงดใชเปนชองทางในการเขาสระบบได




ท Recommend

คา Baseline


คา Parameter



Logical Access

Control ขอ 2.3.1 (11)

1.8 รหสผานควรเปลยนทกกสปดาห


Parameter: maxage = xx

xx = 12 เกดชองโหวทผไมหวงดสามารถเขาถงเครองได (Brute Force Attack)

Logical Access

Control ขอ 2.3.1 (12.2)

1.9 รหสผานควรมความยาวไมนอยกวา xx ตวอกษร

Configuration file path:/etc/security/user

Parameter: minlen = xx

xx = 8

เกดชองโหวทผไมหวงดสามารถเขาถงเครองได (Brute Force Attack) และเปนการสมเดา password จากการรวบรวมค าศพทตางๆ (Dictionary Attacks)

Logical Access

Control ขอ 2.3.1 (12.3)

1.10

รหสผานควรมตวอกษรไมนอยกวา


Parameter: minalpha=xx

xx = 2

Logical Access

Control ขอ 2.3.1 (12.3)

1.11

รหสผานควรมอกขระพเศษไมนอยกวา


Parameter: minspecialchar=xx

xx = 2

System Security

Management

ขอ.3.2 (16)

1.12

ปดไมใหผใช Remote เขาถงระบบไดเนองจากมการสง Usernames และ รหสผาน เปน Clear text ซงไมปลอดภย

Configuration file path:/etc/inetd.conf.

ตองไมมคาดงตอไปนใน Config File:

Parameter: /usr/bin/rcp

เกดชองโหวทผไมหวงดสามารถดกจบ (sniffer) Username Password ได




ท Recommend

คา Baseline


คา Parameter



Parameter: chmod ugo= /usr/bin/rcp

chmod ugo= /usr/bin/rlogin

chmod ugo= /usr/bin/rsh

/usr/bin/rlogin

/usr/bin/rsh

Logical Access

Control ขอ 2.3.1 (12.3)

1.14

การใชตวอกษรซ ากนในรหสผาน


Parameter: maxrepeats = xx

xx = 2 เกดชองโหวทผไมหวงดสามารถเขาถงเครองไดหรอเขาสระบบงาน (Brute Force Attack) และเปนการสมเดา password จากการรวบรวมค าศพทตางๆ (Dictionary Attacks)

Logical Access


1.15

การจ ากดการเขาถง User root ผานกลมของ Super User (SU)


กรณเปน Super User Parameter: su=true sugroups=system root

กรณเปน User ทวไป Parameter: su=false Usergroups=User Group Name

ตรวจสอบจาก Policy ของธนาคาร

กรณทไมไดมการจ ากดเขาถง User root มความเสยงทผใชงานอาจน าไปใชผดวตถประสงค และสามารถเขาถงเปลยนแปลงขอมลในเครองได

Logical Access

1.16

ในรหสผานตองมตวเลขอยดวย xx = 1 เกดชองโหวทผไมหวงดสามารถเขาถงเครองไดหรอเขาสระบบงาน




ท Recommend

คา Baseline


คา Parameter



Control ขอ 2.3.1 (12.3)


Parameter: mindigit = XX

(Brute Force Attack) และเปนการสมเดา password จากการรวบรวมค าศพทตางๆ (Dictionary Attacks)

Logical Access

Control ขอ 2.3.1 (12.4)

1.17

รหสผานถกลอกเมอมการใสผด XX ครงตดกน กรณทการ Login โดยใช Secure Shell(SSH)

Configuration file path: /etc/ssh/sshd_config

Parameter: MaxAuthTries xx

xx = 3 เกดชองโหวทผไมหวงดสามารถเขาถงเครองไดหรอเขาสระบบงาน (Brute Force Attack)

Logical Access

Control ขอ 2.3.1 (12.5)

1.18

รหสผานไมควรซ ากบรหสผานเดมทใช xx ครงทผานมา


Parameter: histsize=XX

xx = 12 เกดชองโหวทผไมหวงดสามารถเขาถงเครองไดหรอเขาสระบบงาน (Brute Force Attack)

Access Control

ขอ 2.4.6.2 (5)

1.19

การตงคาตองใหมการเปลยน รหสผาน หลงจากหมดอาย


Parameter : maxexpired=xx

xx = 1 เกดชองโหวทผไมหวงดสามารถเขาถงเครองหรอเขาสระบบงานได (Brute Force Attack)


1.20

การตงคา Timeout เมอมการไมใชงาน กรณทการ Login โดยใช SSH (Seconds)

xx = 300 ,

yy = 0

มความเสยงทท าใหผไมหวงดใชเปนชองทางในการเขาสระบบได




ท Recommend

คา Baseline


คา Parameter



2.4.6.3 (7) Configuration file path: /etc/ssh/sshd_config

Parameter: ClientAliveCountMax XX ClientAliveInterval YY

สวนท 2 การควบคมการตงคาความปลอดภยของระบบ AIX

วตถประสงค เปนการก าหนดระดบการรกษาความปลอดภย (Hardening) ของระบบ Core Banking AIX เพอปองกนระบบจากการขาถงโดยไมไดรบอนญาต

ความเสยง การก าหนดระดบการรกษาความปลอดภยทต าหรอออนจะเออตอผไมประสงคดในการบกรกเขาถงระบบ Core Banking ไดโดยงาย

Best Practice มการลบ ระงบ หรอยกเลก Services Application หรอ Network Protocol ทไมมความจ าเปนในการใชงาน (Hardening)


2.4.6.3 (4)

2.1 ปดการตงคาไมใหเครอง Server มการตอบกลบในกรณทสง Broadcast มาและปองกนการโจมตจากการสง Packet จ านวนมาก (Smurf Attack)

Configuration file path: /etc/tunables/nextboot

Parameter: bcastping = xx

xx = 0

มความเสยงทจะท าใหเกดการหยดชะงกตอเครอง Server จากการใชทรพยากรของระบบเครอขาย (Dos Atttack)


2.4.6.3 (4)

2.2 ปดการตงคาไมใหเครอง Server มการตอบกลบจากการสงขอมลจากระบบเครอขาย (IP Source Route Attack)

xx = 0

มความเสยงทจะน าขอมลบนระบบเครอขายมาใชโจมตได (Bypass Security Restrictions)




ท Recommend

คา Baseline


คา Parameter



Configuration file path: /etc/tunables/nextboot

Parameter: icmpaddressmask = xx

udp_pmtu_discover = xx

ipsrcrouterecv = xx

nonlocsrcroute = xx


2.4.6.3 (4)

2.3 ปดการใชค าสง Core Dumps

Configuration file path: /etc/security/limits

Parameter: core = xx core_hard = xx

fullcore = yy

xx = 0

yy = 0

เนองจากมโอกาสทสามารถโดนโจมตจากผทไมหวงดเพอทจะเอารหสผาน หรอขอมลทส าคญออกมา

Logical Access


2.4 ปดการไมใหมการ Login โดยไมใชรหสผาน


Parameter: PermitEmptyรหสผาน xx

xx = no มความเสยงทท าใหผไมหวงดใชชองโหวของระบบรกษาความปลอดภยในการเขาสระบบเพอเขาถงขอมลใน

เครองได

Logical Access

2.5 การตงคาอนญาตและปฏเสธการเขาใชของผใช และกลมของผใชงาน

กรณทไมไดมการจ ากดเขาถงของแตละกลมผใช มความเสยงทผใชงานอาจน าไปใชผดวตถประสงค และ




ท Recommend

คา Baseline


คา Parameter





Parameter: AllowUsers <userlist> AllowGroups <grouplist> DenyUsers <userlist> DenyGroups <grouplist>

สามารถเขาถงเปลยนแปลงขอมลในเครองได

สวนท 3 การก าหนด Audit Log

วตถประสงค เพอก าหนดระดบการเกบขอมล Log การเขาใชงานระบบ Core Banking AIX ทเพยงพอตอการสอบทานเหตการณยอนหลง โดยขอมล Log ของระบบ AIX นนเมอถกบนทกในระบบแลวตองมนใจไดวาจะไมสามารถแกไขหรอเปลยนแปลงได

ความเสยง 1.การไมบนทกการเขาถงระบบสารสนเทศ ท าใหไมสามารถตรวจสอบความผดปกตยอนหลงได และไมสามารถหาขอมลทส าคญทจะชวยเปนแนวทางการแกไขปญหา (Detection) รวมทงวธการแกไขทจะเกดขน (Prevention) ในอนาคตได

Best Practice

System Security Management จดใหมการจดเกบบนทกเหตการณดงตอไปนอยางมนคงปลอดภย

1. บนทกรองรอยกจกรรมการท าธรกรรม (Transaction Log) 2. บนทกการเขาถงระบบงาน (Access Log) โดยบญชผใชทกประเภท 3. บนทกการด าเนนงาน (Activity Log) ทส าคญ โดยอยางนอยตองครอบคลม

การเปลยนแปลงแกไขโครงสรางฐานขอมล และการเปลยนแปลงแกไขขอมล ( Update/ Insert/ Delete) ในตารางทส าคญ การเปลยนแปลงการตงคาความปลอดภยของระบบ การเขาถง Object ทส าคญของระบบ การเปลยนแปลงแกไขบญชและสทธของผใชงาน

โดยบนทกดงกลาวตองถกจดเกบเปนระยะเวลาอยางนอย 90 วน




ท Recommend

คา Baseline


คา Parameter



System Security

Management

ขอ.3.2 (12)

3.1 มการเปดใช audit log

Path: /etc/security/audit

Parameter: Binmode, Streammode

Binmode= on

หรอ

Streammode=on

มความเสยงทจะไมสามารถหาขอมลทส าคญรวมถงหาแนวทางการแกไข

ปญหา (Detection) และวธการแกไขทจะเกดขน (Prevention) ในอนาคตไดรวมถง จะท าใหไมสามารถตรวจสอบความผดปกตยอนหลงได

System Security

Management

ขอ.3.2 (12)

3.2 บนทกการด าเนนงาน (Activity Log) ทส าคญ

Path: /etc/security/audit

Parameter: general, objects

Classes:

general=USER_SU, รหสผาน_Change ,FILE_Unlink,FILE_Link,FILE_Rename, FS_Chdir,FS_Chroot, PORT_Locked, PORT_Change,FS_Mkdir, FS_Rmdir

objects= S_ENVIRON_WRITE, S_GROUP_WRITE, S_LIMITS_WRITE,S_LOGIN_WRITE, S_PASSWD_READ, S_PASSWD_WRITE,S




ท Recommend

คา Baseline


คา Parameter



_USER_WRITE, AUD_CONFIG_WR

Appendix Configuration

Parameters Description

u(User) ค าสงเรยกใหการปรบเปลยนของหนาทของผใช

g(Group) ค าสงเรยกใหการปรบเปลยนของหนาทของกลมผใช

o(Other) ค าสงเรยกใหการปรบเปลยนของหนาทของผใชอนๆ

adm บญชผใชพนฐาน (Local User) บนระบบซงสามารถท าหนาท Monitor Status หรอ Service ส าคญ

bcastping ค าสงใหเครอง Server สงการตอบกลบในกรณทเครอง Client หรอ Server อนๆมการตรวจเชคระบบทงเครอขาย(Broadcast) เพอทดสอบวา เครองตนทางและปลายทางเครองใดสามารถสอสารกนผานระบบเครอขายได (Ping)

bin บญชผใชพนฐานซงท าหนาทชวยแยก Directory ซงท าหนาทบรรจ Files ของผใชแตละคน

binmode เปดการตรวจสอบ Files ชวคราวทถกเรยกดหรอประมวลผลไปแลว (Temporary Files)

chmod ค าสงใชเปลยน Mode ของ Services หรอ Command Line ตางๆทถกเขยนไว

Core แกนหลกของ CPU บนตวเครอง Server

Core_hard แกนหลกอปกรณ Hardware บนตวเครอง Server



deamon บญชผใชพนฐานซงท าหนาทชวยให Process ตางๆบน O/S ใชขอมลทเกยวของกบ Process นนๆไดถกตอง

default ค าสงการปรบเปลยนคาเรมตนของ Command line

Fullcore การน าเอาขอมลทงหมดในหนวยความจ า (RAM) ณ ขณะหนงออกมาครบ

icmpaddressmask ค าสงใหเครอง Server สงการตอบกลบในกรณทเครอง Client หรอเครอง Server อนๆมการตรวจเชคในกลมของ IP (Subnet Mark) ของเครอง Server เพอทดสอบวาเครองตนทางและปลายทางเครองใดสามารถสอสารกนผานระบบเครอขายได

ipsrcrouterecv ค าสงใหเครอง Server สงการตอบกลบในกรณทเครองตนทางทมการตรวจเชควาเครองใดสามารถสอสารกนผานระบบเครอขายได

lpd บญชผใชพนฐานใหเครอง Server นนท าหนาทเปน Printer Server

nobody บญชผใชพนฐานซงท าหนาทอนญาตใหผใชอน Remote เพอทจะ Print งานบน Printer Server ในระดบเครอขาย (Network File System)

nonlocsrcroute ค าสงใหเครอง Server สงการตอบกลบในกรณทเครอง Client หรอ Server อนๆมการตรวจเชกนอกกลมของ IP เครอง Server เพอทดสอบวา เครองตนทางและปลายทางเครองใดสามารถสอสารกนผานระบบเครอขายได

sys บญชผใชพนฐานซงท าหนาทอนญาตใหตดตงโปรแกรมประยกต แบบ client/server ทยนยอมใหเครอง client ในการเขาถงและประมวลผลขอมลทเกบบนเครอง server ถาอยบนคอมพวเตอรเครองเดยวกน

Streamode เปดการตรวจสอบ Files ชวคราวทก าลงถกประมวลผลอย

udp_pmtu_discover ค าสงใหเครอง Server สงการตอบกลบในกรณทเครองตนทางมการแยกสง Packet (Packet Fragmentation)

uucp บญชผใชพนฐานซงท าหนาทอนญาตใหผใชอนสามารถท าการคดลอกขอมลในระดบเครอขาย

Configuration Directory

Directory Description



../etc/inetd.conf. Folders ใชปรบเปลยนคาการจดการ Service ของตวระบบ

../etc/security/audit Folders ใชปรบเปลยนคาการตรวจสอบ ของตวระบบ

../etc/security/limits Folders ส าหรบจดการใหผใชบางคนสามารถใชค าสงเฉพาะหรอเขาถงตวความจ าของ CPU ของตวเครอง

../etc/security/login.cfg Folders ส าหรบจดการและตงคา Login ของตวระบบ

../etc/ssh/sshd_config Folders ส าหรบจดการและตงคา Secure Shell ของตวระบบ

../etc/tunables/nextboot Folders ส าหรบความปลอดภยในระดบเครอขายของตวระบบ

Software Support Lifecycle

Product Name General Availability End of Support AIX 7 September 10, 2010 Not Announced AIX 6 November 9, 2007 Not Announced

AIX V5.3 August 13, 2004 April 30, 2012 AIX V5.2 October 18, 2002 April 30, 2009 AIX V5.1 May 4, 2001 April 1, 2006

ระบบปฏบตการ Window



Windows Server เปนระบบปฏบตการส าหรบเครองคอมพวเตอรแมขายทพฒนาโดยบรษทไมโครซอฟท ซงสามารถท าใหการเกบขอมลและการประมวลผลขอมลสามารถท าไดโดยผใชหลายคนพรอมกน (Multitasking) ใหบรการ Services หลากหลายขนกบ Application ทตดตงบนระบบปฏบตการ เชน ระบบฐานขอมล เวบเซฟเวอร เปนตน มความเสถยร และความสามารถในการจดการสทธ เชน Active Directory, Group policy เปนตน

Platform Windows




ความเสยงทจะเกด

Logical Access สวนท 1 การควบคมการเขาถงระบบปฏบตการ Windows วตถประสงค ความเสยง Best Practice


(11)

1.1 ปดการใชงาน Build-in Guest account Parameter: Guest Account status

Disabled มความเสยงทท าใหผไมหวงดใชเปนชองโหวในการเขาถงเครองได โดยการสมเดา User/Password จากการรวบรวมค าศพทตางๆ (Dictionary Attacks) (Brute Force Attack)

Logical Access 1.2 สทธในการท าตวเสมอนเปนสวนหนงของ

ระบบปฏบตการ Not defined มความเสยงทผไมหวงดจะใช

เปนชองทางเขาสระบบ



Platform Windows






Parameter: Act as part of the operating system

ปฏบตการของเครอง Server ไดโดยไมผานระบบรกษาความปลอดภย หรอผานในระดบต า

1.8 หาม Log on เขามาในลกษณะ Service Parameter: Deny log on as a service

Not defined

Logical Access

Control ขอ 2.3.1 (12.4)

1.11 Locked Account เมอมการใสรหสผานผด XX ครงตดกน Parameter: Account lockout threshold

3 มความเสยงทท าใหผไมหวงดใชเปนชองโหวในการเขาถงเครองได โดยการสมเดา User/Password จากการรวบรวมค าศพทตางๆ (Dictionary Attacks) (Brute Force Attack)

1.13 ระยะเวลากอนท windows จะท าการ reset จ านวนครงทใสรหสผานผดเปน 0 Parameter: Reset account lockout counter after

99999

1.14 ระยะเวลาท lock account ผใชทเดารหสผด Parameter: Account lockout duration

0 มความเสยงทท าใหผไมหวงดใชเปนชองโหวในการเขาถงเครองได โดยการสมเดา User/Password จากการรวบรวมค าศพท


(12.1.1)

1.12 รหสผานควรเปลยนทก XX วน 60



Platform Windows





Parameter: Maximum password age

ตางๆ (Dictionary Attacks) (Brute Force Attack)


(12.2)

1.15 รหสผานควรมความยาวไมนอยกวา xx ตวอกษร Parameter: Minimum password length

8


(12.3)

1.9 การก าหนดความซบซอนของรหสผาน Parameter: Password must meet complexity requirement

Enable


(12.5)

1.16 รหสผานไมควรซ ากบรหสผานเดมทใช xx ครงทผานมา Parameter: Enforce password history

12

System Security Management

2.3.2 (16)

1.10 เกบรหสผานแบบทสามารถถอดรหสกลบได (Plain Text) Parameter: Store password using reversible encryption

Disable

สวนท 2 การควบคมการตงคาความปลอดภยของ Windows (Security Option) วตถประสงค ความเสยง



Platform Windows





Best Practice

Logical Access Control ขอ

2.3.1(9)

2.1 หามใช Local account Logon ผาน Network services โดยไมใชรหสผาน Parameter: Limit local account use of blank passwords to console logon only

Enabled งายตอการเกดชองโหวทผไมหวงดสามารถเขาถงเครองโดยการใช Local Accountได (Brute Force Attack)

Logical Access Control ขอ

2.3.1(4)

2.2 หามตดตง Driver Printer บนเครอง Server Parameter: Prevent users from installing printer drivers

Enabled เกดชองโหวทเครอง Server จะตดโปรแกรมไวรสหรอโปรแกรมทผไมหวงดใชในการเขาถงเครอง


(12.1.1)

2.3 Machine account Password ตองเปลยนทก XX วน Parameter: Maximum machine account password age



(12.1.3)

2.4 ให Machine account เปลยน Password อยางสม าเสมอ Parameter: Disable machine account password changes

Disabled

Application Security

ขอ 2.4.6.3(7)

2.5 ตดการเชอมตอเมอหมดระยะเวลาทตงไว Parameter: Disconnect clients when logon hours expire

Enabled เกดชองโหวทผไมหวงดสามารถเขาถงเครองได (Brute Force Attack)



Platform Windows





2.6 Force logoff when logon hours expire

Enabled

สวนท 3 การก าหนด Audit Log วตถประสงค ความเสยง

Best Practice

System Security Management ขอ 2.3.2 (12)

3.1 บนทกการเขาถง/ออกระบบงาน Parameter: Audit account logon event

Success, Failure มความเสยงทจะไมสามารถตรวจสอบความผดปกตยอนหลง และหาขอมลท

ส าคญชวยในการแกไขปญหา และรวมถงหาแนวทางการแกไขปญหา (Detection) และปองกนปญหาทจะ

เกดขน (Prevention) ในอนาคตได

3.2 บนทกเมอ User account/service ใชงาน sensitive privilege Parameter: Audit privilege use

Success, Failure

3.3 บนทกการด าเนนงาน (Activity Log) ทส าคญ Parameter: Audit account management

Success, Failure

3.4 บนทกการเขาใชงาน Object ของ Active directory Parameter: Audit directory service access

Success, Failure

3.5 บนทกการเขาใชงานจากเครองคอมพวเตอร

Success, Failure



Platform Windows





Parameter: Audit logon event 3.6 บนทกเหตการณท User เขาใช Object

Parameter: Audit object access Success, Failure

3.7 บนทกการเปลยนแปลงสทธของผใช, การเปลยนแปลง Policies Parameter: Audit policy change

Success

3.8 บนทกการเปลยนแปลงของระบบ เชน restart, shutdown Parameter: Audit system event

Success

3.9 บนทกรายละเอยดการเปลยนแปลงของ Process Parameter: Audit process tracking

Success

Appendix Software Support Lifecycle

Product Name Version General Availability End of Support Windows Server 2003 Cluster Edition 09/06/2006 07/14/2015

R2 Data Center Edition 03/05/2006 07/14/2015



R2 Data Center Edition Service Pack 2 03/13/2007 24 months after service pack release

R2 Standard Edition, R2 Enterprise Edition 03/05/2006 07/14/2015 Service Pack 1 03/30/2005 04/14/2009 Service Pack 2 for Itanium 03/13/2007 24 months after service

pack release Windows Server 2008 ทก Edition 05/06/2008 01/14/2020 Windows Server 2012 Data Center Edition 10/30/2012 01/10/2023

R2 Data Center 11/25/2012 01/10/2023 Standard Edition 10/30/2012 01/10/2023



Appendix: รายการขอเอกสารจากสง.ส าหรบการตรวจสอบเทคนคเชงลก

ระบบปฏบตการ รายละเอยดรายการขอเอกสาร AS400 File Configuration ของระบบปฏบตการ ในสวนของ Security Parameter ทเกยวของกบการตงคา

Password Policy, Audit Log Setting และ Service/Network Setting AIX Print Screen หนาจอจากระบบปฏบตการหรอสง File Configurationในสวนของ Security Parameter

ทเกยวของกบการตงคา Password Policy, Account Policy และ Audit Policy ใน Path ดงน

/etc/security/login.cfg

/etc/security/user

/etc/ssh/sshd_config

/etc/tunables/nextboot

/etc/security/audit/config

Window Server Print Screen หนาจอจากระบบปฏบตการในสวนของ Security Parameter ทเกยวของกบการตงคา Password Policy, Account Lockout Policy, Security options, User Rights Assignment และ Audit Policy

Documents

คู่มือ Check List ตรวจสอบเทคนิคเชิงลึก (เล่ม 1) · Security ข้อ 1.3 ป้องกันผู้ไม่หวังดีลักลอบเข้า