Zabezpieczanie platformy Windows Server 2003 BłaŜej Miga, Marcin Jerzak support-mic mic@man. @man.poznan.pl II Konferencja MIC Nowoczesne technologie bliŝej nas Poznań, 13.05.2008 1
ZagroŜenia 2
Droga do bezpiecznego serwera Etap wstępny Wybór odpowiedniej firmy ISP Odpowiednia platforma sprzętowa (RAID, redundantne zasilanie) Konfiguracja BIOS 3
Droga do bezpiecznego serwera (2) Konfiguracja systemu operacyjnego Poprawna instalacja (jak najwięcej z zaufanych nośników) Konfiguracja systemu firewall Szablony zabezpieczeń Konfiguracja sieci Aktualizacje Wybór ról serwera Ochrona antywirusowa UŜytkownicy Konfiguracja inspekcji, dzienników zdarzeń 4
Droga do bezpiecznego serwera (3) Konfiguracja usług Minimalizacja uprawnień uŝytkownika (NTFS, rejestr) Ustawienie quoty Logowanie działania usługi Przydziały zasobów pamięciowych i procesora 5
Droga do bezpiecznego serwera (4) Utrzymanie bezpieczeństwa Uaktualnianie oprogramowania i baz danych systemów antywirusowych Okresowe audyty bezpieczeństwa Kopie bezpieczeństwa Kontrola cache'owania wyszukiwarek internetowych Kontrola list serwerów spamerskich i baz systemów klasyfikacji treści serwerów WWW Kompetentna kadra 6
Zabezpieczamy system... 7
Konfiguracja sieci Konfiguracja stałego adresu IP Konfiguracja stałego IP serwera DNS Wyłączenie NetBIOS przez TCP/IP Wyłączenie udostępniania plików i drukarek sieci Microsoft Networks [HKEY_LOCAL_MACHINE\SYSTEM\CurrentCo CurrentCo ntrolset\services\tcpip\parameters Services\Tcpip "SynAttackProtect"=dword:1 "=dword 8
Ustawianie reguł firewalla Dedykowany firewall - ISA 9
Zasady zabezpieczeń lokalnych Co to jest? Przykładowe ustawienia Polityka haseł Dostęp do nośników zewn. Dostęp zdalny Nazwy kont 10
Szablony zabezpieczeń Co to jest? Windows Server 2003 Security Guide http://www.microsoft.com/technet/security/prodtech/wi ndowsserver2003/w2003hg/sgch00.mspx Rodzaje szablonów Secure*.inf HiSec*.inf inf 11
Kreator konfiguracji zabezpieczeń Komponent domyślnie niezainstalowany Kreator tworzenia polityki Wyłączenie zbędnych usług Zamknięcie niepotrzebnych portów Logowanie zdarzeń Import szablonów zabezpieczeń 12
Ochrona antywirusowa Microsoft Malware Protection Center Microsoft OneCare Microsoft ForeFront Produkty darmowe: Windows Defender Spybot Search & Destroy OneCare (skaner on-line) 13
Aktualizacje Windows Update Aktualizacje baz sygnatur wirusów Microsoft Security Bulletin Microsoft Baseline Security Analyzer 14
Kopia zapasowa Polityka tworzenia kopii zapasowych Nośniki Miejsce Częstotliwość Rodzaj danych Data Protection Manager Backup Utility (ntbackup) Backup Wizard Restore Wizard 15
Dodatkowe usługi... 16
Bezpieczny IIS - instalacja Wybór odpowiedniego serwera Unikanie kontrolera domeny Minimalizacja instalacji Decyzja o wyborze niezbędnych usług (www,( smtp, nntp,ftp) Odpowiedni katalog domowy serwisów WWW osobna partycja dyskowa Usunięcie domyślnie zainstalowanych katalogów (icon, iishelp) 17
Bezpieczny IIS - instalacja (2) Ustawienie odpowiednich uprawnień do katalogu domowego IIS (Enable ( Read,, Log) Ustawienie odpowiednich uprawnień do katalogu z skryptami (Enable ( execute) Wyłączenie niepotrzebnych filtrów ISAPI (Digest,( Frontpage, Compression,, SSL) i usunięcie odpowiednich plików dll Wyłączenie mapowania dla następujących typów plików:.asa,.asp,.,.bat,.cdx,.cer,.htr,.,.htw,.,.ida,..idc,,.idq,.,.printer,.,.shtm,.,.shtml,.,.stm. 18
Bezpieczny IIS - instalacja (3) Włączenie logowania Ŝądań HTTP Ustawienie uprawnień do odczytu plików logu tylko dla lokalnych Administratorów Usunięcie uprawnień zapisu do HKLM\Software dla zwykłych uŝytkowników Sprawdzenie uprawnień dla grupy Everyone do Web root %systemroot% %systemroot%\system32 system32 %systemroot%\system32\temp system32\temptemp 19
IIS dodatkowe moduły SeverMask Ukrywanie sygnatur Maskowanie ciasteczek Emulacja Apache UrlScan ServerHeader Modyfikacja nagłówków HTTP 20
Top 10 don ts konfiguracja.net Custom Errors Disabled Leaving Tracing Enabled Leaving Debugging Enabled Cookies Accessible Through Client-Side Script Cookieless Session State Enabled Cookieless Authentication Enabled Failure to Require SSL for Authentication Cookies Sliding Expiration Used Non-Unique Authentication Cookie Used Hardcoded Credentials Used 21
ASP.NET dobra konfiguracja Tworzenie oddzielnych Application Pool Wybór środowiska.net Limit przydziału procesora Limit przydziału pamięci Wybór uŝytkownika Konfiguracja.NET Trust Levels (CAS) Wyłączenie raportowania o błędach 22
Zabezpieczanie platformy Windows Server 2003 Dziękujemy za uwagę. Zapraszmy do pytań! Dalsze pytania: mic-support@man.poznan.pl man.poznan.plpl 23