之前聽演講時，SZ Lin說到: "關閉不必要的服務，就算之後該服務被爆出有CVE，也不會對產品有所影響" ，聽完後覺得，對阿不必要的服務關起來就不用怕該類型的Zero Day攻擊了，OS Hardening就是在做這個

Hardening

廣義來說正確的設定也是在這範圍內，以下列出一些常見注意事項

1. 帳號最小權限原則，使用者用不到的功能不開啟。
   管理員通常都使用admin權限做事，一不小心rm錯資料就要準備跑路了…
2. 執行程式的權限符合其功能就好。
   例如備份程式，尤其是異地備援很容易給到太多的權限，且有排程通常都不會改密碼，一被攻破各地都遭受危害
3. 沒用到的服務不要開
   很多NAS明明只是私人用途，結果還接上Internet，自動配發外部IP，然後網頁Port開在外面就算了還把SSH也開起來
4. 修改不安全的預設設定
   承上，使用預設密碼、沒有限制來源存取IP….

參考設定

技術服務中心有推行GCB，用AD派發群組原則的方式管理整個單位電腦
一般企業可參考NIST或cis-benchmark (GCB文件很多都參考該文件)
https://www.newnettechnologies.com/cis-benchmark.html

GitHub Download (https://github.com/cismirror/old-benchmarks-archive)

Elastic Cloud 的安全設定

放在雲上的Elastic當然也有許多安全設定需要調整，可以參考Securing your deployment
https://www.elastic.co/guide/en/cloud/current/ec-security.html

1. 通過密碼保護和基於角色的訪問控制來防止未經授權的訪問：
   • 重置elastic用戶密碼。
     除了Elastic Cloud 登入頁可以修改密碼外，Deployments也有Reset Password，會影響到Agent(yaml要改Cloud的密碼)
     
   • 多因子驗證
     點右上角User settings設定手機app或簡訊方式驗證
     
2. 在不同版本上 管理您的用戶。
   • 使用第三方身份驗證提供程序和服務，例如SAML，OpenID Connect或Kerberos。
3. 通過消息身份驗證和SSL / TLS加密來保留數據的完整性。
4. 使用流量過濾器阻止不必要的流量。
   設定只有那些IP能連
   
5. 使用Elasticsearch 密鑰庫保護設置。

結論

最後還要定期review規則，有可能多了新功能之類的導致新的漏洞風險產生，納在ISMS範圍內，這是一個有效提升端點防禦力的作法