Bezpieczeństwo Windows Server 2008 R2 Paweł Berus, Marcin Jerzak Zespół Bezpieczeństwa PCSS Poznań, 19.07.2011 MIC Summer School 1
Agenda Dobre praktyki bezpieczeostwa Szablony zabezpieczeo Kreator konfiguracji zabezpieczeo Dodatkowe narzędzia wspomagające Zarządzanie użytkownikami Konfigurowanie zasad grup Utwardzanie ról Podsumowanie 2
Bezpieczeostwo dobre praktyki Bezpieczeostwo fizyczne Serwery w strefach z ograniczonym dostępem Aktualizacje Po instalacji systemu natychmiast instalujemy poprawki Minimalizacja powierzchni ataku Aplikacje Usługi Urządzenia 3
Minimalizacja powierzchni ataku (1) Protokoły IPv4, IPv6 instalowane domyślnie Konta użytkowników Omówione szczegółowo w dalszej części prezentacji Pliki i foldery Usuwamy niepotrzebne pliki oraz foldery Sprawdzanie uprawnieo dla grupy Wszyscy (usuwamy, w przypadku wystąpienia) Udziały Usuwamy niepotrzebne udziały Sprawdzamy uprawnienia do udziałów 4
Minimalizacja powierzchni ataku (2) Secure by default Konfiguracja zabezpieczeo Kreator Konfiguracji Zabezpieczeo GPO Zapora systemu Windows Analizujemy otwarte porty Blokujemy niewykorzystywane porty Server Core 5
Szablony zabezpieczeo Definiowanie szablonu zabezpieczeo Start Uruchom mmc Przystawka Szablony Zabezpieczeo 6
Aplikowanie szablonów (1) Do zasad lokalnych mmc Przystawka Konfiguracja i analiza zabezpieczeń Otwieranie bazy danych + <Nowa_Nazwa> 7
Aplikowanie szablonów (2) Do zasad lokalnych c.d. Import wybranego szablonu, np. MIC.inf Konfiguruj komputer 8
Kreator konfiguracji zabezpieczeo Komponent domyślnie niezainstalowany Kreator tworzenia polityki Wyłączenie zbędnych usług Zamknięcie niepotrzebnych portów Logowanie zdarzeo Import szablonów zabezpieczeo 9
Enhanced Mitigation Experience Toolkit
Aktualizacje Windows Update Aktualizacje baz sygnatur wirusów Microsoft Security Bulletin *Full Disclosure *Buqtraq 11
Microsoft Baseline Security Analyzer
MBSA
Użytkownicy (1) Im mniej, tym lepiej Silne hasła (najlepiej wymuszone zasadami grupy) gpedit.msc Konfiguracja komputera\ustawienia systemu Windows\Zasady konta\zasady haseł Ustawienie zasad blokowania konta gpedit.msc Konfiguracja komputera\ustawienia systemu Windows\Zasady konta\zasady blokady konta 14
Użytkownicy (2) Wyłączone konto Administratora oraz Gościa gpedit.msc Konfiguracja komputera\ustawienia systemu Windows\Zasady lokalne\opcje zabezpieczeo Zmiana nazw kont domyślnych (Gośd, Administrator) gpedit.msc Konfiguracja komputera\ustawienia systemu Windows\Zasady lokalne\opcje zabezpieczeo Brak kont z pustymi hasłami Zalecane: maksymalnie 2 konta o uprawnieniach administracyjnych 15
Użytkownicy (3) Ograniczamy możliwośd logowania zdalnego do użytkowników z ograniczeniami gpedit.msc Konfiguracja komputera\ustawienia systemu Windows\Zasady lokalne\przypisywanie praw użytkownika Wyłączamy logowanie anonimowe (Null session) regedit.exe [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] Opis Wyłączenie wszystkich anonimowych połączeo włączono Wyłączenie anonimowego dostępu do udziałów SAM włączono Konfiguracja "restrictanonymous"=dword:00000002 "restrictanonymoussam"=dword:00000001 16
Użytkownicy (4) Konfiguracja zasad inspekcji, dla dostępu do obiektów poszczególnych użytkowników, bądź grup użytkowników Wyłączamy lub usuwamy współdzielone konta administracyjne Pracujemy na koncie z ograniczonymi uprawnieniami!!! 17
Lokalne zasady grupy gpedit.msc 18
Lokalne zasady grupy (1) Dobry punkt wyjścia do ręcznego konfigurowania systemu Podstawowa konfiguracja zebrana w jednym miejscu Konfiguracja komputera Konfiguracja użytkownika Zintegrowana konfiguracja zasad bezpieczeostwa secpol.msc Wygodny i przejrzysty interfejs użytkownika Możliwośd importowania i eksportowania zasad 19
Lokalne zasady grupy (2) Szczegółowe objaśnienia dla każdej opcji konfiguratora 20
Zasady inspekcji systemu (1) Konfiguracja komputera\ustawienia systemu Windows\Ustawienia zabezpieczeo\zasady lokalne\zasady inspekcji 21
Zasady inspekcji systemu (2) Możliwośd przeprowadzania inspekcji dla zdarzeo: Logowanie na kontach Zarządzanie kontami Szczegółowe śledzenie Dostęp do usługi katalogowej (AD DS) Logowanie / wylogowanie Dostęp do obiektów 22
Zasady inspekcji systemu (3) Zmiana zasad Wykorzystanie uprawnieo System Inspekcja globalnego dostępu do obiektów Akcje Sukces Niepowodzenie Definicja własnych zasad inspekcji 23
Definiowanie zasad inspekcji dla obiektów (1) Tworzymy obiekt (np. folder) Z menu kontekstowe -> właściwości Zabezpieczenia -> opcje zaawansowane Przechodzimy do zakładki Inspekcja, gdzie definiujemy zasady 24
Definiowanie zasad inspekcji dla obiektów (2) 25
Definiowanie zasad inspekcji dla obiektów (3) 26
Definiowanie zasad inspekcji dla obiektów (4) Zdarzenia znajdują się w dzienniku Zabezpieczenia 27
Gpedit.msc Zaawansowane zasady inspekcji systemu Konfiguracja komputera\ustawienia systemu Windows\Ustawienia zabezpieczeo\konfiguracja zaawansowanych zasad inspekcji 28
Gpedit.msc Konfiguracja (1) Konfiguracja komputera\ustawienia systemu Windows\Zasady konta\zasady haseł Zasady Hasło musi spełniad wymagania co do złożoności Maksymalny okres ważności hasła Minimalna długośd hasła Minimalny okres ważności hasła Wymuszaj tworzenie historii haseł Zapisz hasła korzystając z szyfrowania odwracalnego Ustawienia zabezpieczeo Włączony 30 dni 10 znaków 0 dni 10 pamiętanych haseł Wyłączony Konfiguracja komputera\ustawienia systemu Windows\Zasady konta\zasady blokady konta Zasady Czas trwania blokady konta Próg blokady konta Wyzeruj licznik blokady konta po Ustawienia zabezpieczeo 30 minut 10-15 nieudanych prób zalogowania 30 minut 29
Gpedit.msc Konfiguracja (2) Konfiguracja komputera\ustawienia systemu Windows\Zasady lokalne\przypisywanie praw użytkownika Zasady Odmawiaj logowania za pomocą usług terminalowych Odmowa dostępu do tego komputera z sieci Odmowa logowania lokalnego Uzyskiwanie dostępu do tego komputera z sieci Zezwalaj na logowanie lokalne Zezwalaj na logowanie za pomocą usługi pulpitu zdalnego Ustawienia zabezpieczeo Administratorzy, Gośd Wszyscy Gośd, Użytkownicy Użytkownicy Administratorzy, Operatorzy kopii zapasowych Użytkownicy pulpitu zdalnego 30
Gpedit.msc Konfiguracja (3) Konfiguracja komputera\ustawienia systemu Windows\Zasady lokalne\opcje zabezpieczeo Zasady Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów Dostęp sieciowy: ogranicz anonimowy dostęp do nazwanych potoków i udziałów Dostęp sieciowy: zezwalaj na stosowanie uprawnieo wszyscy do anonimowych użytkowników Konta: Stan konta administratora Konta: Stan konta gościa Konta: Zmieo nazwę konta administratora Konta: Zmieo nazwę konta gościa Ustawienia zabezpieczeo Włączony Włączony Włączony Wyłączony Wyłączony (do rozważenia) Wyłączony *własna nazwa konta+ *własna nazwa konta+ 31
Gpedit.msc Konfiguracja (4) Konfiguracja komputera\ustawienia systemu Windows\Zasady lokalne\opcje zabezpieczeo Kontrola konta użytkownika: przełącz na bezpieczny pulpit przy monitorowaniu o podniesienie uprawnieo Kontrola konta użytkownika: wykryj instalacje aplikacji i monituj o podniesienie uprawnieo Logowanie interakcyjne: monituj użytkownika o zmianę hasła przed jego wygaśnięciem Logowanie interakcyjne: nie wymagaj naciśnięcia klawiszy CTRL + ALT + DEL Logowanie interakcyjne: nie wyświetlaj nazwy ostatniego użytkownika Zamknięcie: wyczyśd plik stronicowania pamięci wirtualnej Zamknięcie: zezwalaj na zamykanie systemu bez konieczności zalogowania się Włączony Włączony 7 dni Wyłączony Włączony Włączony Włączony 32
Gpedit.msc Konfiguracja (5) Konfiguracja komputera\szablony administracyjne\składniki systemu Windows\NetMeeting Zasady Wyłączenie zdalnego udostępniania pulpitu Ustawienia zabezpieczeo Włączone Konfiguracja komputera\szablony administracyjne\składniki systemu Windows\Pomoc online Zasady Wyłącz pomoc aktywną Wyłącz niezaufaną zawartośd Ustawienia zabezpieczeo Włączone Włączone Konfiguracja komputera\szablony administracyjne\drukarki Zasady Zezwalaj na publikowanie drukarek Ustawienia zabezpieczeo Wyłączone 33
Gpedit.msc Konfiguracja (6) Konfiguracja komputera\szablony administracyjne\składniki systemu Windows\Zasady autoodtwarzania Zasady Wyłącz funkcję Autoodtwarzanie Ustawienia zabezpieczeo Włączone Konfiguracja komputera\szablony administracyjne\składniki systemu Windows\Zdalne zarządzanie systemem Windows (WinRM):,Klient usługi WinRM, Usługa WinRM} Zasady Zezwalaj na uwierzytelnianie podstawowe Zezwalaj na ruch niezaszyfrowany Ustawienia zabezpieczeo Wyłączone Wyłączone Konfiguracja komputera\szablony administracyjne\system\instalacja sterowników Zasady Zezwalaj, aby użytkownicy inni niż administratorzy instalowali sterowniki dla tych klas konfiguracji urządzeo Ustawienia zabezpieczeo Wyłączone 34
Gpedit.msc Konfiguracja (7) Konfiguracja komputera\szablony administracyjne\system\zarządzanie komunikacją internetową:,internetowe ustawienia komunikacyjne- Zasady Wyłącz zadanie Publikowanie w sieci WEB dla plików i folderów System Zdalne wywoływanie procedury Zasady Ograniczenia dla nieuwierzytelnionych klientów RPC Ustawienia zabezpieczeo Włączone Ustawienia zabezpieczeo Włączone, Uwierzytelniony bez wyjątków 35
AppLocker (1) 36
AppLocker (2) 37
AppLocker (3) Kontrolowanie następujących typów aplikacji: Pliki instalatora systemu Windows Pliki wykonywalne Skrypty Pliki DLL 38
AppLocker dodawanie reguł (1) Możliwośd tworzenia reguł domyślnych 39
AppLocker dodawanie reguł (2) Możliwośd przypisania reguł do: grupy zabezpieczeo indywidualnego użytkownika 40
AppLocker dodawanie reguł (3) Definiowanie reguł opartych na atrybutach plików pochodzących z podpisu cyfrowego, w tym wydawcy, nazwy produktu, nazwy pliku lub jego wersji 41
AppLocker dodawanie reguł (4) Tworzenie wyjątków od reguł. Możliwe jest, na przykład, utworzenie reguły, która zezwala na uruchamianie wszystkich procesów systemu Windows z wyjątkiem Edytora rejestru (Regedit.exe) 42
AppLocker dodawanie reguł (5) Użycie trybu Tylko inspekcja, przed zatwierdzeniem reguł 43
AppLocker zarządzanie (1) Importowanie i eksportowanie reguł 44
AppLocker zarządzanie (2) Możliwośd zarządzania przy użyciu Windows PowerShella: Przegląd zdarzeo (Get-AppLockerFileInformation) Get-AppLockerFileInformation EventLog Logname "Microsoft-Windows-AppLocker\EXE and DLL" EventType Allowed Statistics Testowanie zasad (Test-AppLockerPolicy) Get-AppLockerPolicy Effective XML > <PathofFiletoExport.XML> Get-ChildItem <DirectoryPathtoReview> -Filter <FileExtensionFilter> -Recurse Convert-Path Test-AppLockerPolicy XMLPolicy <PathToExportedPolicyFile> -User <domain\username> - Filter <TypeofRuletoFilterFor> Export-CSV <PathToExportResultsTo.CSV> 45
AppLocker Dzienniki zdarzeo Menedżer serwera\diagnostyka\podgląd zdarzeo\dzienniki aplikacji i usług\microsoft\windows\applocker\ Pliki EXE i DLL Pliki MSI i skrypty 46
BitLocker 47
BitLocker funkcje (1) Szyfrowanie całych dysków twardych Funkcja BitLocker To Go szyfrowanie dysków wymiennych Zalecane dla nośników nie znajdujących się w bezpiecznych lokalizacjach (gdzie jest możliwośd wyjęcia dysku przez nieuprawnione osoby) Możliwośd przechowywania haseł do szyfrowanych dysków w systemie 48
BitLocker funkcje (2) Opcja szyfrowania dysku systemowego Wymaganie wpisania klucza odzyskiwania, w przypadku wykrycia warunków mogących świadczyd o wystąpieniu zagrożeo bezpieczeostwa (np. zmiana w BIOS, zmian plików startowych) Wykorzystanie mikroukładu TPM do pieczętowania kluczy, służących do odblokowania zaszyfrowanego dysku systemu operacyjnego 49
BitLocker szyfrowanie dysku (1) 50
BitLocker szyfrowanie dysku (2) 51
BitLocker szyfrowanie dysku (3) 52
BitLocker zarządzanie szyfrowanym dyskiem 53
Utwardzanie Kontrolera Domeny Active Directory AD DC Rozważenie instalacji Windows 2008 R2 Server Core Instalacja RODC (Read-Only DC), gdy nie można zagwarantowad bezpieczeostwa fizycznego http://technet.microsoft.com/pl-pl/library/cc770627(ws.10).aspx Unikanie łączenia roli AD DS. z innymi rolami niż DNS Włączenie szyfrowania dysków za pomocą programu BitLocker (w tym partycji systemowej) 54
Utwardzanie AD DC GPO (1) Konfiguracja zróżnicowanych zasad zabezpieczeo dla różnych grup użytkowników domeny 55
Utwardzanie AD DC GPO (2) 56
Utwardzanie AD DC GPO (3) 57
Utwardzanie AD DC GPO (4) 58
Utwardzanie AD DC GPO (5) 59
Utwardzanie AD DC GPO (6) 60
Utwardzanie AD DC filtry (1) Ograniczenie przechowywania wrażliwych danych Definiowanie filtrów dla atrybutów dla RODC Definiowanie atrybutów jako poufnych 61
Utwardzanie AD DC filtry (2) 62
Utwardzanie AD DC filtry (3) 63
Utwardzanie AD DC filtry (4) Przypisywanie filtrów do zasad grupy 64
Utwardzanie DNS Rozważenie instalacji Windows 2008 R2 Server Core Powiązanie roli z AD DC na tym samym serwerze Połączenie z RODC, gdy nie można zagwarantowad bezpieczeostwa fizycznego Użycie zewnętrznego i wewnętrznego serwera DNS Rozważenie implementacji DNSSEC http://technet.microsoft.com/pl-pl/library/ee649268(ws.10).aspx 65
Utwardzanie DNS konfiguracja (1) Panel Sterowania -> Narzędzia administracyjne -> DNS 66
Utwardzanie DNS konfiguracja (2) 67
Utwardzanie DNS konfiguracja (3) Skonfigurowanie Bezpiecznych Dynamicznych Aktualizacji 68
Utwardzanie roli DNS pula portów (1) Używanie puli portów DNS rozmiar puli Uruchom edytor rejestru regedit.exe Otwórz gałąź rejestru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DNS\Parameters Jeśli klucz rejestru SocketPoolSize nie występuje, należy go utworzyd. Typ DWORD (32- bit) Wpisujemy wartośd dziesiętną z zakresu 0-10000 Uruchamiamy ponownie serwer DNS Uruchamiamy wiersz poleceo cmd.exe z uprawnieniami administratora Wpisujemy polecenie: dnscmd /Config /SocketPoolSize <wartość> Uruchamiamy ponownie serwer DNS 69
Utwardzanie roli DNS pula portów (2) Używanie puli portów DNS wykluczone porty Uruchom edytor rejestru regedit.exe Otwórz gałąź rejestru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DNS\Parameters Jeśli klucz rejestru SocketPoolExcludedPortRanges nie występuje, należy go utworzyd. Typ Wartość ciągu wielokrotnego Wpisujemy zakres portów, np. 3400-6000 Określa to procent czasu przydzielonego dla wpisu, na jaki jest on blokowany Uruchamiamy ponownie serwer DNS Uruchamiamy wiersz poleceo cmd.exe z uprawnieniami administratora Wpisujemy polecenie: dnscmd /Config /SocketPoolExcludedPortRanges <wykluczony zakres portów> Uruchamiamy ponownie serwer DNS 70
Utwardzanie roli DNS Cache locking Cache Locking Uruchom edytor rejestru regedit.exe Otwórz gałąź rejestru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DNS\Parameters Jeśli klucz rejestru CacheLockingPercent nie występuje, należy go utworzyd. Typ DWORD (32-bit) Wpisujemy wartośd dziesiętną z zakresu 0-100 Określa to procent czasu przydzielonego dla wpisu, na jaki jest on blokowany Uruchamiamy ponownie serwer DNS Uruchamiamy wiersz poleceo cmd.exe z uprawnieniami administratora Wpisujemy polecenie: dnscmd /Config /CacheLockingPercent <procent> Uruchamiamy ponownie serwer DNS 71
Utwardzanie Serwera sieci Web IIS (1) 72
Utwardzanie Serwera sieci Web IIS (2) Rozważenie instalacji Windows 2008 R2 Server Core (Nie obsługuje ASP.NET i rozszerzeo Frameworka.NET) Instalacja odpowiedniego środowiska developerskiego Instalacja rozszerzeo poprawiających poziom bezpieczeostwa (UrlScan) 73
Utwardzanie Serwera sieci Web IIS (3) Usuwanie niewykorzystywanych komponentów serwera IIS Menedżer internetowych usług informacyjnych (IIS) Serwer Moduły 74
Utwardzanie Serwera sieci Web IIS (4) Ustawienie odpowiedniego uwierzytelniania 75
Utwardzanie Serwera sieci Web IIS (5) Wyłączenie indeksowania katalogów Rozważenie włączenia szyfrowania SSL http://go.microsoft.com/fwlink/?linkid=103904 Przeniesienie katalogów głównych na inną partycję Ustawienie unikalnego powiązania 76
Utwardzanie Serwera sieci Web IIS (6) 77
Utwardzanie usługi Udostępniania plików (1) Rozważenie instalacji Windows 2008 R2 Server Core Usunięcie udziałów administracyjnych Regedit.exe - KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer "AutoShareServer"="0" 78
Utwardzanie usługi Udostępniania plików (2) Nadanie odpowiednich uprawnieo do udostępnionych zasobów Unikanie definiowania uprawnieo dla grupy Wszyscy 79
Utwardzanie usługi Udostępniania plików (3) Włączenie podpisywania pakietów Gpedit.msc konfiguracja komputera\ustawienia systemu Windows\Ustawienia zabezpieczeo\zasady lokalne\opcje zabezpieczeo Klient sieci Microsoft: Podpisuj komunikację cyfrową (zawsze) - Włączony Rozważenie wykorzystania BitLocker-a lub systemu EFS do szyfrowania plików Rozważenie wykorzystania kart inteligentnych w celu uzyskania dostępu do zasobów http://support.microsoft.com/kb/281245 80
Utwardzanie usługi Zdalnego pulpitu (1) Uwierzytelnianie na poziomie sieci Gpedit.msc Konfiguracja komputera\szablony administracyjne\składniki systemu Windows\Usługi pulpitu zdalnego\host sesji pulpitu zdalnego\zabezpieczenia Wymagaj uwierzytelniania użytkowników za pomocą uwierzytelniania na poziomie sieci dla połączeo zdalnych Włączone Zmiana domyślnego portu usługi Regedit.exe HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp "PortNumber ="00000D3D (numer portu w HEX) Rozważenie użycia kart inteligentnych do poświadczeo Użycie systemu plików NTFS gwarantuje odpowiednią kontrolę dostępu do zasobów 81
Utwardzanie usługi Zdalnego pulpitu (2) Ustawienie odpowiednich uprawnieo do zasobów Gpedit.msc Konfiguracja komputera\szablony administracyjne\składniki systemu Windows\Usługi pulpitu zdalnego\host sesji pulpitu zdalnego\przekierowanie urządzeo i zasobów Ustawienie poziomu szyfrowania Gpedit.msc Konfiguracja komputera\szablony administracyjne\składniki systemu Windows\Usługi pulpitu zdalnego\host sesji pulpitu zdalnego\zabezpieczenia Ustaw poziom szyfrowania połączeo klienta Włączone, Poziom Wysoki 82
Dzienniki zdarzeo (1) 83
Dzienniki zdarzeo (2) Zwiększenie rozmiaru dzienników Zmiana lokalizacji dziennika 84
Dzienniki zdarzeo (3) Konfiguracja subskrypcji odbieranie zdarzeo Panel Sterowanie\Narzędzia administracyjne\podgląd zdarzeo\dzienniki systemu Windows\ Właściwości wybranego dziennika systemowego 85
Dzienniki zdarzeo (4) 86
Dzienniki zdarzeo (5) 87
Microsoft Security Compliance Manager (1) 88
Microsoft Security Compliance Manager (2) Wykaz zalecanych konfiguracji w zależności od posiadanego produktu oraz funkcji serwera bądź stacji roboczej Definiowanie własnych polityk Importowanie polityk Porównywanie konfiguracji Możliwośd eksportu zasad grupy GPO 89
Microsoft Security Compliance Manager (3) Zawiera listę dokumentów związanych z bezpieczeostwem każdego z produktów 90
Podsumowanie Dobre praktyki administracyjne Minimalizacja powierzchni ataku Narzędzia wspomagające bezpieczeostwo Świadomośd zagrożeo Zewnętrzne audyty bezpieczeostwa Bezpieczeństwo to proces - wymaga pracy 91
Dyskusja, pytania? pawel.berus@man.poznan.pl marcin.jerzak@man.poznan.pl 92