Ich als eingefleischter Linux-Fan bin zwar, was dies betrifft etwas voreingenommen allerdings muss ich zugeben, dass man auch ein Windows-Server System hinreichend absichern kann. Auf meiner Arbeit gab es nämlich die Aufgabe eine neue Firewall-Lösung in das Netzwerk zu integrieren. Hier fiel die Entscheidung auf Microsoft ISA 2006. Und ich muss gestehen: Ich bin begeistert! Nahezu unendliche Möglichkeiten und trotzdem eine sehr einfache Bedienung. Aber darum soll es hier nicht gehen. Vielmehr geht es um die Grundlage: Microsoft Windows Server 2003 R2. In Zeiten von Windows 2008 wird der ein oder andere einwenden, wieso noch so ein altes Betriebssystem eingesetzt wird. Dies liegt schlicht und ergreifend daran, dass sich Microsoft ISA 2006 zwar unter Windows 2008 installieren lässt, aber die Dienste starten nicht und die Software ist somit nicht nutzbar.
Ich werde hier nun hier einen Hardening Guide für Windows Server 2003 R2 veröffentlichen.
Bitte beachte: Sicherheit ist kein Zustand sondern ein ständiger Prozess! Ein System, das heute noch als relativ sicher galt kann schon morgen durch die Veröffentlichung einer Sicherheitslücke unsicher sein. Somit bedarf es einer ständigen Überwachung der IT-Infrastruktur bezüglich möglicher Sicherheitsrisiken. Bei den genannten Sicherheitsrisiken ist meist der Mensch das schwächste Glied in der Kette. Denn z.B. sein Geburtsdatum als Passwort zu benutzen ist für jemanden der sich Zutritt verschaffen will so gut wie keine Hürde.
Sichere Installation des Windows 2003 Servers
Auch bei der Installation des Servers gibt es schon einige wichtige Dinge in Bezug auf Sicherheit zu beachten. Eine saubere Installation ist nämlich eine notwendige Basis für alle weiteren Schritte. Diese werden in diesem Kapitel behandelt.
Kein Standart-Installationsverzechnis verwenden
Anstelle von C:\Windows sollte z.B.: C:\Win2k3 verwendet werden. Somit laufen viele Viren, die ohne Systemvariablen arbeiten schon ins Leere ( Oldie but goodie :-) ).
NTFS-Dateisystem für alle Partitionen einsetzen
Es sollte das NTFS-Dateisystem verwendet werden, um grundlegende Sicherheitsmechanismen auf Dateiebene zu implizieren. Des Weiteren werden erst unter NTFS Dateien, die größer als 4 Gigabyte sind unterstützt.
Keine Installation von Client-Software
Es sollte auf dem Server keine Client-Software wie z.B. Microsoft Office installiert werden. Hierdurch erhöht sich nur das Risiko einer Sicherheitslücke in der verwendeten Software. Auch das Surfen im Internet vom Server aus sollte wenn möglich vermieden werden
Installation des aktuellsten Service Packs
Ein Service Pack ist die Zusammenfassung aller bis dahin erschienenen Patches. Die Installation eines Service Packs noch bevor der Server mit dem Internet verbunden wird ist unumgänglich. Der Server sollte ohnehin erst mit dem Internet verbunden werden, wenn alle Sicherheitsratschläge aus diesem Sicherheitskonzept angewendet wurden.
Konfiguration der automatischen Updates
Dieser Punkt sollte für jeden sicherheitsbewussten Administrator selbstverständlich sein. Allerdings empfiehlt es sich, größere Updates erst auf einem Testserver zu installieren um evtl. Fehlfunktionen oder Wechselwirkungen mit anderen Systemkomponenten feststellen zu können ohne das Produktivsystem zu gefährden. Weiterhin sollten Updates dokumentiert werden, um eine spätere Fehlersuche zu beschleunigen.
Konfigurieren der Domänenweiten Zeitsynchronisation
Das Missachten dieser Option stellt zwar kein unmittelbares Risiko dar, allerdings würden Logs möglicherweise falsche Informationen liefern. Dies gilt nur, wenn sich der Server in einer Domäne oder Netzwerk befindet.
Einschalten des Remote-Desktop Zugriffs
Rechtsklick auf Arbeitsplatz -> Eigenschaften -> Reiter „Remote“ -> Häkchen bei „Remotedesktop auf diesem Computer aktivieren“
Danach bei „Remotedesktopverbindung“ alle nicht benötigten Benutzer löschen.
Installation und Konfiguration eines Virenscanners
Hierbei sollte darauf geachtet werden, dass die Virendefinitionen mindestens 1-mal täglich automatisch aktualisiert werden.
Setzen eines starken Passwortes für den lokalen Administrator
Es gelten dieselben Sicherheitsbestimmungen für Passwörter, wie sie bereits hier erläutert wurden.
Hier gehts weiter mit Teil 2 des Guides
Ich werde hier nun hier einen Hardening Guide für Windows Server 2003 R2 veröffentlichen.
Bitte beachte: Sicherheit ist kein Zustand sondern ein ständiger Prozess! Ein System, das heute noch als relativ sicher galt kann schon morgen durch die Veröffentlichung einer Sicherheitslücke unsicher sein. Somit bedarf es einer ständigen Überwachung der IT-Infrastruktur bezüglich möglicher Sicherheitsrisiken. Bei den genannten Sicherheitsrisiken ist meist der Mensch das schwächste Glied in der Kette. Denn z.B. sein Geburtsdatum als Passwort zu benutzen ist für jemanden der sich Zutritt verschaffen will so gut wie keine Hürde.
Sichere Installation des Windows 2003 Servers
Auch bei der Installation des Servers gibt es schon einige wichtige Dinge in Bezug auf Sicherheit zu beachten. Eine saubere Installation ist nämlich eine notwendige Basis für alle weiteren Schritte. Diese werden in diesem Kapitel behandelt.
Kein Standart-Installationsverzechnis verwenden
Anstelle von C:\Windows sollte z.B.: C:\Win2k3 verwendet werden. Somit laufen viele Viren, die ohne Systemvariablen arbeiten schon ins Leere ( Oldie but goodie :-) ).
NTFS-Dateisystem für alle Partitionen einsetzen
Es sollte das NTFS-Dateisystem verwendet werden, um grundlegende Sicherheitsmechanismen auf Dateiebene zu implizieren. Des Weiteren werden erst unter NTFS Dateien, die größer als 4 Gigabyte sind unterstützt.
Keine Installation von Client-Software
Es sollte auf dem Server keine Client-Software wie z.B. Microsoft Office installiert werden. Hierdurch erhöht sich nur das Risiko einer Sicherheitslücke in der verwendeten Software. Auch das Surfen im Internet vom Server aus sollte wenn möglich vermieden werden
Installation des aktuellsten Service Packs
Ein Service Pack ist die Zusammenfassung aller bis dahin erschienenen Patches. Die Installation eines Service Packs noch bevor der Server mit dem Internet verbunden wird ist unumgänglich. Der Server sollte ohnehin erst mit dem Internet verbunden werden, wenn alle Sicherheitsratschläge aus diesem Sicherheitskonzept angewendet wurden.
Konfiguration der automatischen Updates
Dieser Punkt sollte für jeden sicherheitsbewussten Administrator selbstverständlich sein. Allerdings empfiehlt es sich, größere Updates erst auf einem Testserver zu installieren um evtl. Fehlfunktionen oder Wechselwirkungen mit anderen Systemkomponenten feststellen zu können ohne das Produktivsystem zu gefährden. Weiterhin sollten Updates dokumentiert werden, um eine spätere Fehlersuche zu beschleunigen.
Konfigurieren der Domänenweiten Zeitsynchronisation
Das Missachten dieser Option stellt zwar kein unmittelbares Risiko dar, allerdings würden Logs möglicherweise falsche Informationen liefern. Dies gilt nur, wenn sich der Server in einer Domäne oder Netzwerk befindet.
Einschalten des Remote-Desktop Zugriffs
Rechtsklick auf Arbeitsplatz -> Eigenschaften -> Reiter „Remote“ -> Häkchen bei „Remotedesktop auf diesem Computer aktivieren“
Danach bei „Remotedesktopverbindung“ alle nicht benötigten Benutzer löschen.
Installation und Konfiguration eines Virenscanners
Hierbei sollte darauf geachtet werden, dass die Virendefinitionen mindestens 1-mal täglich automatisch aktualisiert werden.
Setzen eines starken Passwortes für den lokalen Administrator
Es gelten dieselben Sicherheitsbestimmungen für Passwörter, wie sie bereits hier erläutert wurden.
Hier gehts weiter mit Teil 2 des Guides
Keine Kommentare:
Kommentar veröffentlichen
Hinweis: Nur ein Mitglied dieses Blogs kann Kommentare posten.