Bezpieczeństwo Windows Server 2008 R2

Podobne dokumenty
Zabezpieczanie platformy Windows Server 2003

Zabezpieczanie platformy Windows Server 2003

T: Wbudowane i predefiniowane domenowe grupy lokalne i globalne.

Zasady zabezpieczeń lokalnych

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

Korzystanie z edytora zasad grupy do zarządzania zasadami komputera lokalnego w systemie Windows XP

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Konfigurowanie Windows 8

William R. Stanek. Vademecum Administratora 2012 R2. Windows Server. Podstawy i konfiguracja. Przekład: Leszek Biolik

Tworzenie i wdrażanie zasad bezpieczeństwa

Jak używać funkcji prostego udostępniania plików do udostępniania plików w systemie Windows XP

Zabezpieczanie platformy Windows Server 2003

Systemy operacyjne. Zasady lokalne i konfiguracja środowiska Windows 2000

Systemy operacyjne i sieci komputerowe Szymon Wilk Konsola MMC 1

Egzamin : zabezpieczanie systemu Windows Server 2016 / Timothy Warner, Craig Zacker. Warszawa, Spis treści

Wymagania do zdalnej instalacji agentów firmy StorageCraft

Zabezpieczanie systemu Windows Server 2016

Konta uŝytkowników. Konta uŝytkowników dzielą się na trzy grupy: lokalne konta uŝytkowników, domenowe konta uŝytkowników, konta wbudowane

Szkolenie autoryzowane. MS Administracja i obsługa Windows 7. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Laboratorium A: Zarządzanie ustawieniami zabezpieczeń/klucz do odpowiedzi

T: Zasady zabezpieczeń lokalnych.

Egzamin : administrowanie systemem Windows Server 2012 R2 / Charlie Russel. Warszawa, Spis treści

Zarządzanie lokalnymi kontami użytkowników

Instalacja Active Directory w Windows Server 2003

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

KONFIGURACJA INTERFEJSU SIECIOWEGO

Instalowanie i konfigurowanie Windows Server 2012 R2

Tomasz Greszata - Koszalin

ABC systemu Windows 2016 PL / Danuta Mendrala, Marcin Szeliga. Gliwice, cop Spis treści

Szkolenie autoryzowane. MS 6419 Konfiguracja, zarządzanie i utrzymanie systemów Windows Server 2008

1. Zakres modernizacji Active Directory

oprogramowania F-Secure

Instalacja systemów operacyjnych i tworzenie domeny

Microsoft Exchange Server 2013

1. Przygotowanie konfiguracji wstępnej Windows Serwer 2008 R2

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 1

Windows Server 2008 Standard Str. 1 Ćwiczenia. Opr. JK. I. Instalowanie serwera FTP w Windows Server 2008 (zrzuty ekranowe z maszyny wirtualnej)

Zespól Szkół Ponadgimnazjalnych Nr 17 im. Jana Nowaka - Jeziorańskiego Al. Politechniki 37 Windows Serwer 2003 Instalacja

Tomasz Greszata - Koszalin

Windows Serwer 2008 R2. Moduł 5. Zarządzanie plikami

Laboratorium 16: Udostępnianie folderów

Windows Server 2012 Active Directory

Spis treści Podziękowania Wprowadzenie 1 Instalacja, migracja lub uaktualnienie do systemu Windows 7 Lekcja 1: Instalacja systemu Windows 7

2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego

Zadanie 1 Treść zadania:

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa

Instalacja Webroot SecureAnywhere przy użyciu GPO w Active Directory

Fiery Remote Scan. Uruchamianie programu Fiery Remote Scan. Skrzynki pocztowe

Procedury techniczne modułu Forte Kontroling. Ustawienia IIS

Pracownia internetowa w szkole podstawowej (edycja jesień 2005)

Tomasz Greszata - Koszalin

Zapora systemu Windows Vista

Zanim zaczniesz. Warto ustawić kartę sieciową naszego serwera.

Kancelaria Prawna.WEB - POMOC

Sieciowa instalacja Sekafi 3 SQL

Szkolenie autoryzowane. MS Konfigurowanie Windows 8. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Instalacja i konfiguracja Symfonia.Common.Server oraz Symfonia.Common.Forte

Windows Serwer 2008 R2. Moduł 8. Mechanizmy kopii zapasowych

11. Autoryzacja użytkowników

1 Implementowanie i konfigurowanie infrastruktury wdraŝania systemu Windows... 1

10.2. Udostępnianie zasobów

Praca w sieci równorzędnej

1 Powłoka programu Windows PowerShell Skrypty programu Windows PowerShell Zarządzanie dziennikami... 65

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

Pracownia internetowa w każdej szkole (edycja jesień 2005)

Laboratorium Systemów Operacyjnych

Zasady grup w Windows. Na czym polegają Zasady grup

DESlock+ szybki start

Dokonaj instalacji IIS opublikuj stronę internetową z pierwszych zajęć. Ukaże się kreator konfigurowania serwera i klikamy przycisk Dalej-->.

Zajęcia specjalizacyjne Administrowanie sieciowymi systemami operacyjnymi (360 godz.)

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu ftp.

Windows 8 PL : zaawansowana administracja systemem / Andrzej Szeląg. Gliwice, cop Spis treści

Rozdział 8. Sieci lokalne

Tytuł: Projekt realizacji prac prowadzących do zlokalizowania i usunięcia usterek systemu komputerowego.

Temat: Administracja kontami użytkowników

INSTRUKCJA KONFIGURACJI KLIENTA POCZTOWEGO

Tworzenie oraz zarządzanie użytkownikami w AD -Win Serwer 2008

Szczegółowy opis przedmiotu zamówienia

Ćwiczenie Nr 6 Przegląd pozostałych najważniejszych mechanizmów systemu operacyjnego Windows

Ćwiczenie 2. Instalacja i konfiguracja serwera Windows Serwer 2008 cz. 1

William R. Stanek. Vademecum Administratora. Microsoft 2012 R2. Windows Server. Przechowywanie danych, bezpieczeństwo i sieci. Przekład: Leszek Biolik

- w związku ze stwierdzoną usterką właściciel firmy wezwał serwis komputerowy w celu jej zdiagnozowania i usunięcia,

Podziękowania... xv. Wstęp... xvii

Problemy techniczne SQL Server

Instrukcja użytkownika

4. Podstawowa konfiguracja

AM 331/TOPKATIT Wsparcie techniczne użytkowników i aplikacji w Windows 7

Ustawienia personalne

Graficzny terminal sieciowy ABA-X3. część druga. Podstawowa konfiguracja terminala

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Laboratorium A: Korzystanie z raportów zasad grupy/klucz do odpowiedzi

Instrukcjaaktualizacji

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Pracownia internetowa w każdej szkole (edycja jesień 2005)

Transkrypt:

Bezpieczeństwo Windows Server 2008 R2 Paweł Berus, Marcin Jerzak Zespół Bezpieczeństwa PCSS Poznań, 19.07.2011 MIC Summer School 1

Agenda Dobre praktyki bezpieczeostwa Szablony zabezpieczeo Kreator konfiguracji zabezpieczeo Dodatkowe narzędzia wspomagające Zarządzanie użytkownikami Konfigurowanie zasad grup Utwardzanie ról Podsumowanie 2

Bezpieczeostwo dobre praktyki Bezpieczeostwo fizyczne Serwery w strefach z ograniczonym dostępem Aktualizacje Po instalacji systemu natychmiast instalujemy poprawki Minimalizacja powierzchni ataku Aplikacje Usługi Urządzenia 3

Minimalizacja powierzchni ataku (1) Protokoły IPv4, IPv6 instalowane domyślnie Konta użytkowników Omówione szczegółowo w dalszej części prezentacji Pliki i foldery Usuwamy niepotrzebne pliki oraz foldery Sprawdzanie uprawnieo dla grupy Wszyscy (usuwamy, w przypadku wystąpienia) Udziały Usuwamy niepotrzebne udziały Sprawdzamy uprawnienia do udziałów 4

Minimalizacja powierzchni ataku (2) Secure by default Konfiguracja zabezpieczeo Kreator Konfiguracji Zabezpieczeo GPO Zapora systemu Windows Analizujemy otwarte porty Blokujemy niewykorzystywane porty Server Core 5

Szablony zabezpieczeo Definiowanie szablonu zabezpieczeo Start Uruchom mmc Przystawka Szablony Zabezpieczeo 6

Aplikowanie szablonów (1) Do zasad lokalnych mmc Przystawka Konfiguracja i analiza zabezpieczeń Otwieranie bazy danych + <Nowa_Nazwa> 7

Aplikowanie szablonów (2) Do zasad lokalnych c.d. Import wybranego szablonu, np. MIC.inf Konfiguruj komputer 8

Kreator konfiguracji zabezpieczeo Komponent domyślnie niezainstalowany Kreator tworzenia polityki Wyłączenie zbędnych usług Zamknięcie niepotrzebnych portów Logowanie zdarzeo Import szablonów zabezpieczeo 9

Enhanced Mitigation Experience Toolkit

Aktualizacje Windows Update Aktualizacje baz sygnatur wirusów Microsoft Security Bulletin *Full Disclosure *Buqtraq 11

Microsoft Baseline Security Analyzer

MBSA

Użytkownicy (1) Im mniej, tym lepiej Silne hasła (najlepiej wymuszone zasadami grupy) gpedit.msc Konfiguracja komputera\ustawienia systemu Windows\Zasady konta\zasady haseł Ustawienie zasad blokowania konta gpedit.msc Konfiguracja komputera\ustawienia systemu Windows\Zasady konta\zasady blokady konta 14

Użytkownicy (2) Wyłączone konto Administratora oraz Gościa gpedit.msc Konfiguracja komputera\ustawienia systemu Windows\Zasady lokalne\opcje zabezpieczeo Zmiana nazw kont domyślnych (Gośd, Administrator) gpedit.msc Konfiguracja komputera\ustawienia systemu Windows\Zasady lokalne\opcje zabezpieczeo Brak kont z pustymi hasłami Zalecane: maksymalnie 2 konta o uprawnieniach administracyjnych 15

Użytkownicy (3) Ograniczamy możliwośd logowania zdalnego do użytkowników z ograniczeniami gpedit.msc Konfiguracja komputera\ustawienia systemu Windows\Zasady lokalne\przypisywanie praw użytkownika Wyłączamy logowanie anonimowe (Null session) regedit.exe [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] Opis Wyłączenie wszystkich anonimowych połączeo włączono Wyłączenie anonimowego dostępu do udziałów SAM włączono Konfiguracja "restrictanonymous"=dword:00000002 "restrictanonymoussam"=dword:00000001 16

Użytkownicy (4) Konfiguracja zasad inspekcji, dla dostępu do obiektów poszczególnych użytkowników, bądź grup użytkowników Wyłączamy lub usuwamy współdzielone konta administracyjne Pracujemy na koncie z ograniczonymi uprawnieniami!!! 17

Lokalne zasady grupy gpedit.msc 18

Lokalne zasady grupy (1) Dobry punkt wyjścia do ręcznego konfigurowania systemu Podstawowa konfiguracja zebrana w jednym miejscu Konfiguracja komputera Konfiguracja użytkownika Zintegrowana konfiguracja zasad bezpieczeostwa secpol.msc Wygodny i przejrzysty interfejs użytkownika Możliwośd importowania i eksportowania zasad 19

Lokalne zasady grupy (2) Szczegółowe objaśnienia dla każdej opcji konfiguratora 20

Zasady inspekcji systemu (1) Konfiguracja komputera\ustawienia systemu Windows\Ustawienia zabezpieczeo\zasady lokalne\zasady inspekcji 21

Zasady inspekcji systemu (2) Możliwośd przeprowadzania inspekcji dla zdarzeo: Logowanie na kontach Zarządzanie kontami Szczegółowe śledzenie Dostęp do usługi katalogowej (AD DS) Logowanie / wylogowanie Dostęp do obiektów 22

Zasady inspekcji systemu (3) Zmiana zasad Wykorzystanie uprawnieo System Inspekcja globalnego dostępu do obiektów Akcje Sukces Niepowodzenie Definicja własnych zasad inspekcji 23

Definiowanie zasad inspekcji dla obiektów (1) Tworzymy obiekt (np. folder) Z menu kontekstowe -> właściwości Zabezpieczenia -> opcje zaawansowane Przechodzimy do zakładki Inspekcja, gdzie definiujemy zasady 24

Definiowanie zasad inspekcji dla obiektów (2) 25

Definiowanie zasad inspekcji dla obiektów (3) 26

Definiowanie zasad inspekcji dla obiektów (4) Zdarzenia znajdują się w dzienniku Zabezpieczenia 27

Gpedit.msc Zaawansowane zasady inspekcji systemu Konfiguracja komputera\ustawienia systemu Windows\Ustawienia zabezpieczeo\konfiguracja zaawansowanych zasad inspekcji 28

Gpedit.msc Konfiguracja (1) Konfiguracja komputera\ustawienia systemu Windows\Zasady konta\zasady haseł Zasady Hasło musi spełniad wymagania co do złożoności Maksymalny okres ważności hasła Minimalna długośd hasła Minimalny okres ważności hasła Wymuszaj tworzenie historii haseł Zapisz hasła korzystając z szyfrowania odwracalnego Ustawienia zabezpieczeo Włączony 30 dni 10 znaków 0 dni 10 pamiętanych haseł Wyłączony Konfiguracja komputera\ustawienia systemu Windows\Zasady konta\zasady blokady konta Zasady Czas trwania blokady konta Próg blokady konta Wyzeruj licznik blokady konta po Ustawienia zabezpieczeo 30 minut 10-15 nieudanych prób zalogowania 30 minut 29

Gpedit.msc Konfiguracja (2) Konfiguracja komputera\ustawienia systemu Windows\Zasady lokalne\przypisywanie praw użytkownika Zasady Odmawiaj logowania za pomocą usług terminalowych Odmowa dostępu do tego komputera z sieci Odmowa logowania lokalnego Uzyskiwanie dostępu do tego komputera z sieci Zezwalaj na logowanie lokalne Zezwalaj na logowanie za pomocą usługi pulpitu zdalnego Ustawienia zabezpieczeo Administratorzy, Gośd Wszyscy Gośd, Użytkownicy Użytkownicy Administratorzy, Operatorzy kopii zapasowych Użytkownicy pulpitu zdalnego 30

Gpedit.msc Konfiguracja (3) Konfiguracja komputera\ustawienia systemu Windows\Zasady lokalne\opcje zabezpieczeo Zasady Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów Dostęp sieciowy: ogranicz anonimowy dostęp do nazwanych potoków i udziałów Dostęp sieciowy: zezwalaj na stosowanie uprawnieo wszyscy do anonimowych użytkowników Konta: Stan konta administratora Konta: Stan konta gościa Konta: Zmieo nazwę konta administratora Konta: Zmieo nazwę konta gościa Ustawienia zabezpieczeo Włączony Włączony Włączony Wyłączony Wyłączony (do rozważenia) Wyłączony *własna nazwa konta+ *własna nazwa konta+ 31

Gpedit.msc Konfiguracja (4) Konfiguracja komputera\ustawienia systemu Windows\Zasady lokalne\opcje zabezpieczeo Kontrola konta użytkownika: przełącz na bezpieczny pulpit przy monitorowaniu o podniesienie uprawnieo Kontrola konta użytkownika: wykryj instalacje aplikacji i monituj o podniesienie uprawnieo Logowanie interakcyjne: monituj użytkownika o zmianę hasła przed jego wygaśnięciem Logowanie interakcyjne: nie wymagaj naciśnięcia klawiszy CTRL + ALT + DEL Logowanie interakcyjne: nie wyświetlaj nazwy ostatniego użytkownika Zamknięcie: wyczyśd plik stronicowania pamięci wirtualnej Zamknięcie: zezwalaj na zamykanie systemu bez konieczności zalogowania się Włączony Włączony 7 dni Wyłączony Włączony Włączony Włączony 32

Gpedit.msc Konfiguracja (5) Konfiguracja komputera\szablony administracyjne\składniki systemu Windows\NetMeeting Zasady Wyłączenie zdalnego udostępniania pulpitu Ustawienia zabezpieczeo Włączone Konfiguracja komputera\szablony administracyjne\składniki systemu Windows\Pomoc online Zasady Wyłącz pomoc aktywną Wyłącz niezaufaną zawartośd Ustawienia zabezpieczeo Włączone Włączone Konfiguracja komputera\szablony administracyjne\drukarki Zasady Zezwalaj na publikowanie drukarek Ustawienia zabezpieczeo Wyłączone 33

Gpedit.msc Konfiguracja (6) Konfiguracja komputera\szablony administracyjne\składniki systemu Windows\Zasady autoodtwarzania Zasady Wyłącz funkcję Autoodtwarzanie Ustawienia zabezpieczeo Włączone Konfiguracja komputera\szablony administracyjne\składniki systemu Windows\Zdalne zarządzanie systemem Windows (WinRM):,Klient usługi WinRM, Usługa WinRM} Zasady Zezwalaj na uwierzytelnianie podstawowe Zezwalaj na ruch niezaszyfrowany Ustawienia zabezpieczeo Wyłączone Wyłączone Konfiguracja komputera\szablony administracyjne\system\instalacja sterowników Zasady Zezwalaj, aby użytkownicy inni niż administratorzy instalowali sterowniki dla tych klas konfiguracji urządzeo Ustawienia zabezpieczeo Wyłączone 34

Gpedit.msc Konfiguracja (7) Konfiguracja komputera\szablony administracyjne\system\zarządzanie komunikacją internetową:,internetowe ustawienia komunikacyjne- Zasady Wyłącz zadanie Publikowanie w sieci WEB dla plików i folderów System Zdalne wywoływanie procedury Zasady Ograniczenia dla nieuwierzytelnionych klientów RPC Ustawienia zabezpieczeo Włączone Ustawienia zabezpieczeo Włączone, Uwierzytelniony bez wyjątków 35

AppLocker (1) 36

AppLocker (2) 37

AppLocker (3) Kontrolowanie następujących typów aplikacji: Pliki instalatora systemu Windows Pliki wykonywalne Skrypty Pliki DLL 38

AppLocker dodawanie reguł (1) Możliwośd tworzenia reguł domyślnych 39

AppLocker dodawanie reguł (2) Możliwośd przypisania reguł do: grupy zabezpieczeo indywidualnego użytkownika 40

AppLocker dodawanie reguł (3) Definiowanie reguł opartych na atrybutach plików pochodzących z podpisu cyfrowego, w tym wydawcy, nazwy produktu, nazwy pliku lub jego wersji 41

AppLocker dodawanie reguł (4) Tworzenie wyjątków od reguł. Możliwe jest, na przykład, utworzenie reguły, która zezwala na uruchamianie wszystkich procesów systemu Windows z wyjątkiem Edytora rejestru (Regedit.exe) 42

AppLocker dodawanie reguł (5) Użycie trybu Tylko inspekcja, przed zatwierdzeniem reguł 43

AppLocker zarządzanie (1) Importowanie i eksportowanie reguł 44

AppLocker zarządzanie (2) Możliwośd zarządzania przy użyciu Windows PowerShella: Przegląd zdarzeo (Get-AppLockerFileInformation) Get-AppLockerFileInformation EventLog Logname "Microsoft-Windows-AppLocker\EXE and DLL" EventType Allowed Statistics Testowanie zasad (Test-AppLockerPolicy) Get-AppLockerPolicy Effective XML > <PathofFiletoExport.XML> Get-ChildItem <DirectoryPathtoReview> -Filter <FileExtensionFilter> -Recurse Convert-Path Test-AppLockerPolicy XMLPolicy <PathToExportedPolicyFile> -User <domain\username> - Filter <TypeofRuletoFilterFor> Export-CSV <PathToExportResultsTo.CSV> 45

AppLocker Dzienniki zdarzeo Menedżer serwera\diagnostyka\podgląd zdarzeo\dzienniki aplikacji i usług\microsoft\windows\applocker\ Pliki EXE i DLL Pliki MSI i skrypty 46

BitLocker 47

BitLocker funkcje (1) Szyfrowanie całych dysków twardych Funkcja BitLocker To Go szyfrowanie dysków wymiennych Zalecane dla nośników nie znajdujących się w bezpiecznych lokalizacjach (gdzie jest możliwośd wyjęcia dysku przez nieuprawnione osoby) Możliwośd przechowywania haseł do szyfrowanych dysków w systemie 48

BitLocker funkcje (2) Opcja szyfrowania dysku systemowego Wymaganie wpisania klucza odzyskiwania, w przypadku wykrycia warunków mogących świadczyd o wystąpieniu zagrożeo bezpieczeostwa (np. zmiana w BIOS, zmian plików startowych) Wykorzystanie mikroukładu TPM do pieczętowania kluczy, służących do odblokowania zaszyfrowanego dysku systemu operacyjnego 49

BitLocker szyfrowanie dysku (1) 50

BitLocker szyfrowanie dysku (2) 51

BitLocker szyfrowanie dysku (3) 52

BitLocker zarządzanie szyfrowanym dyskiem 53

Utwardzanie Kontrolera Domeny Active Directory AD DC Rozważenie instalacji Windows 2008 R2 Server Core Instalacja RODC (Read-Only DC), gdy nie można zagwarantowad bezpieczeostwa fizycznego http://technet.microsoft.com/pl-pl/library/cc770627(ws.10).aspx Unikanie łączenia roli AD DS. z innymi rolami niż DNS Włączenie szyfrowania dysków za pomocą programu BitLocker (w tym partycji systemowej) 54

Utwardzanie AD DC GPO (1) Konfiguracja zróżnicowanych zasad zabezpieczeo dla różnych grup użytkowników domeny 55

Utwardzanie AD DC GPO (2) 56

Utwardzanie AD DC GPO (3) 57

Utwardzanie AD DC GPO (4) 58

Utwardzanie AD DC GPO (5) 59

Utwardzanie AD DC GPO (6) 60

Utwardzanie AD DC filtry (1) Ograniczenie przechowywania wrażliwych danych Definiowanie filtrów dla atrybutów dla RODC Definiowanie atrybutów jako poufnych 61

Utwardzanie AD DC filtry (2) 62

Utwardzanie AD DC filtry (3) 63

Utwardzanie AD DC filtry (4) Przypisywanie filtrów do zasad grupy 64

Utwardzanie DNS Rozważenie instalacji Windows 2008 R2 Server Core Powiązanie roli z AD DC na tym samym serwerze Połączenie z RODC, gdy nie można zagwarantowad bezpieczeostwa fizycznego Użycie zewnętrznego i wewnętrznego serwera DNS Rozważenie implementacji DNSSEC http://technet.microsoft.com/pl-pl/library/ee649268(ws.10).aspx 65

Utwardzanie DNS konfiguracja (1) Panel Sterowania -> Narzędzia administracyjne -> DNS 66

Utwardzanie DNS konfiguracja (2) 67

Utwardzanie DNS konfiguracja (3) Skonfigurowanie Bezpiecznych Dynamicznych Aktualizacji 68

Utwardzanie roli DNS pula portów (1) Używanie puli portów DNS rozmiar puli Uruchom edytor rejestru regedit.exe Otwórz gałąź rejestru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DNS\Parameters Jeśli klucz rejestru SocketPoolSize nie występuje, należy go utworzyd. Typ DWORD (32- bit) Wpisujemy wartośd dziesiętną z zakresu 0-10000 Uruchamiamy ponownie serwer DNS Uruchamiamy wiersz poleceo cmd.exe z uprawnieniami administratora Wpisujemy polecenie: dnscmd /Config /SocketPoolSize <wartość> Uruchamiamy ponownie serwer DNS 69

Utwardzanie roli DNS pula portów (2) Używanie puli portów DNS wykluczone porty Uruchom edytor rejestru regedit.exe Otwórz gałąź rejestru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DNS\Parameters Jeśli klucz rejestru SocketPoolExcludedPortRanges nie występuje, należy go utworzyd. Typ Wartość ciągu wielokrotnego Wpisujemy zakres portów, np. 3400-6000 Określa to procent czasu przydzielonego dla wpisu, na jaki jest on blokowany Uruchamiamy ponownie serwer DNS Uruchamiamy wiersz poleceo cmd.exe z uprawnieniami administratora Wpisujemy polecenie: dnscmd /Config /SocketPoolExcludedPortRanges <wykluczony zakres portów> Uruchamiamy ponownie serwer DNS 70

Utwardzanie roli DNS Cache locking Cache Locking Uruchom edytor rejestru regedit.exe Otwórz gałąź rejestru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DNS\Parameters Jeśli klucz rejestru CacheLockingPercent nie występuje, należy go utworzyd. Typ DWORD (32-bit) Wpisujemy wartośd dziesiętną z zakresu 0-100 Określa to procent czasu przydzielonego dla wpisu, na jaki jest on blokowany Uruchamiamy ponownie serwer DNS Uruchamiamy wiersz poleceo cmd.exe z uprawnieniami administratora Wpisujemy polecenie: dnscmd /Config /CacheLockingPercent <procent> Uruchamiamy ponownie serwer DNS 71

Utwardzanie Serwera sieci Web IIS (1) 72

Utwardzanie Serwera sieci Web IIS (2) Rozważenie instalacji Windows 2008 R2 Server Core (Nie obsługuje ASP.NET i rozszerzeo Frameworka.NET) Instalacja odpowiedniego środowiska developerskiego Instalacja rozszerzeo poprawiających poziom bezpieczeostwa (UrlScan) 73

Utwardzanie Serwera sieci Web IIS (3) Usuwanie niewykorzystywanych komponentów serwera IIS Menedżer internetowych usług informacyjnych (IIS) Serwer Moduły 74

Utwardzanie Serwera sieci Web IIS (4) Ustawienie odpowiedniego uwierzytelniania 75

Utwardzanie Serwera sieci Web IIS (5) Wyłączenie indeksowania katalogów Rozważenie włączenia szyfrowania SSL http://go.microsoft.com/fwlink/?linkid=103904 Przeniesienie katalogów głównych na inną partycję Ustawienie unikalnego powiązania 76

Utwardzanie Serwera sieci Web IIS (6) 77

Utwardzanie usługi Udostępniania plików (1) Rozważenie instalacji Windows 2008 R2 Server Core Usunięcie udziałów administracyjnych Regedit.exe - KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer "AutoShareServer"="0" 78

Utwardzanie usługi Udostępniania plików (2) Nadanie odpowiednich uprawnieo do udostępnionych zasobów Unikanie definiowania uprawnieo dla grupy Wszyscy 79

Utwardzanie usługi Udostępniania plików (3) Włączenie podpisywania pakietów Gpedit.msc konfiguracja komputera\ustawienia systemu Windows\Ustawienia zabezpieczeo\zasady lokalne\opcje zabezpieczeo Klient sieci Microsoft: Podpisuj komunikację cyfrową (zawsze) - Włączony Rozważenie wykorzystania BitLocker-a lub systemu EFS do szyfrowania plików Rozważenie wykorzystania kart inteligentnych w celu uzyskania dostępu do zasobów http://support.microsoft.com/kb/281245 80

Utwardzanie usługi Zdalnego pulpitu (1) Uwierzytelnianie na poziomie sieci Gpedit.msc Konfiguracja komputera\szablony administracyjne\składniki systemu Windows\Usługi pulpitu zdalnego\host sesji pulpitu zdalnego\zabezpieczenia Wymagaj uwierzytelniania użytkowników za pomocą uwierzytelniania na poziomie sieci dla połączeo zdalnych Włączone Zmiana domyślnego portu usługi Regedit.exe HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp "PortNumber ="00000D3D (numer portu w HEX) Rozważenie użycia kart inteligentnych do poświadczeo Użycie systemu plików NTFS gwarantuje odpowiednią kontrolę dostępu do zasobów 81

Utwardzanie usługi Zdalnego pulpitu (2) Ustawienie odpowiednich uprawnieo do zasobów Gpedit.msc Konfiguracja komputera\szablony administracyjne\składniki systemu Windows\Usługi pulpitu zdalnego\host sesji pulpitu zdalnego\przekierowanie urządzeo i zasobów Ustawienie poziomu szyfrowania Gpedit.msc Konfiguracja komputera\szablony administracyjne\składniki systemu Windows\Usługi pulpitu zdalnego\host sesji pulpitu zdalnego\zabezpieczenia Ustaw poziom szyfrowania połączeo klienta Włączone, Poziom Wysoki 82

Dzienniki zdarzeo (1) 83

Dzienniki zdarzeo (2) Zwiększenie rozmiaru dzienników Zmiana lokalizacji dziennika 84

Dzienniki zdarzeo (3) Konfiguracja subskrypcji odbieranie zdarzeo Panel Sterowanie\Narzędzia administracyjne\podgląd zdarzeo\dzienniki systemu Windows\ Właściwości wybranego dziennika systemowego 85

Dzienniki zdarzeo (4) 86

Dzienniki zdarzeo (5) 87

Microsoft Security Compliance Manager (1) 88

Microsoft Security Compliance Manager (2) Wykaz zalecanych konfiguracji w zależności od posiadanego produktu oraz funkcji serwera bądź stacji roboczej Definiowanie własnych polityk Importowanie polityk Porównywanie konfiguracji Możliwośd eksportu zasad grupy GPO 89

Microsoft Security Compliance Manager (3) Zawiera listę dokumentów związanych z bezpieczeostwem każdego z produktów 90

Podsumowanie Dobre praktyki administracyjne Minimalizacja powierzchni ataku Narzędzia wspomagające bezpieczeostwo Świadomośd zagrożeo Zewnętrzne audyty bezpieczeostwa Bezpieczeństwo to proces - wymaga pracy 91

Dyskusja, pytania? pawel.berus@man.poznan.pl marcin.jerzak@man.poznan.pl 92

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres