Freitag, 8. Mai 2009

Auch Windows kann sicher sein! [ Teil 2: Hardening ]

Hier findest Du Teil 1 des Guides

Wenn Du alle Rätschläge befolgt hast, die ich hier gegeben habe, befolgt hast kann das eigentliche Hardening nun beginnen. Ich hoffe, Du lässt dich von dem Umfang des Guides nicht abschrecken. Es lohnt sich! Das Ergebnis ist ein sicherer Windows Server.

Beginnen wir nun mit den Basics.

Physikalische Sicherheit
Für einen sicheren ISA Server Betrieb muss man sich auch um die physikalische Sicherheit der Systeme kümmern. Unter den Begriff "Physikalische Sicherheit" fallen:
  • Zugangsschutz zum Serverraum / IT-Infrastruktur (verstärkte Türen, Sicherheitsglas, Bewegungsmelder uvm.)
  • Zutrittsschutz zum Serverraum / EDV-Raum (z. B. Zahlenschloss).
  • Diebstahlschutz für die Server (zum Beispiel Montage in Racks mit abschließbaren Türen, spezieller Diebstahlschutz für Server)
Es gilt der Grundsatz: Kein System ist vor Angreifern sicher, wenn für den Angreifer ein physikalischer Zugriff auf die Systeme besteht.

Systemupdates für ISA und Windows
Der erste Schritt einer erfolgreichen Verteidigungslinie gegen potentielle Angriffe auf unsere Infrastruktur ist das zeitnahe einspielen von Updates sowohl für WindowS Server 2003 als auch für die darauf laufende Software wie z.B. den ISA Server. Diese Updates sollten zuerst auf einem Testserver überprüft werden, bevor sie auf dem Produktivsystem eingespielt werden. Desweiteren sollten die Updates dokumentiert werden um evtl. auftretende Probleme leichter eingrenzen zu können.

Deaktivierung nicht benötigter Dienste
Ein Grundsatz im Betrieb von Servern ist: Biete nichts an, dass du nicht wirklich brauchst. Dies wurde leider von Microsoft nicht konsequent umgesetzt und es werden viele Dienste angeboten, die nicht gebraucht werden und nur die Angriffsfläche erhöhen. Es folgt nun eine Liste von Diensten, die auf keinen Fall deaktiviert werden dürfen, da sie für das funktionieren des Systems unerlässlich sind.

  • COM+ Event Manager
  • Cryptographic Services
  • Event Log
  • IPSec Services
  • Logical Disk Manager
  • Logical Disk Manager Administrative Service
  • Microsoft Firewall
  • Micros. ISA Server Control
  • Micros. ISA Server Job Scheduler
  • Micros. ISA Server Storage
  • MSSQL$MSFW
  • Network Connections
  • NTLM Security Support Provider
  • Plug and Play
  • Protected Storage
  • Remote Access Connection Manager
  • Remote Procedure Call (RPC)
  • Secondary Logon
  • Security Accounts Manager
  • Server
  • Smartcard
  • SQLAgent$MSFW
  • System Event Notification
  • Telephony
  • Virtual Disk Service (VDS)
  • Windows Management Instrumentation (WMI)
  • WMI Performance Adapter
Es gilt das Prinzip: deaktivieren, um die Angriffsfläche und unnötige Risiken zu minimieren. Möglicherweise sinkt dadurch die Flexibilität von Windows Server 2003 und der Administrationsaufwand steigt. Aus Sicherheitsgründen sollten deaktivierte Funktionen trotzdem nur mit entsprechender Begründung bzw. Dokumentation wieder aktiviert werden. Es sollte genau überlegt werden, welche Funktionen für den konkreten Einsatz eines Windows Servers 2003 benötigt werden, so dass nur diese aktiviert werden.


Hier gehts weiter mit Teil 3 des Guides

Eingestellt von um

Keine Kommentare:

Kommentar veröffentlichen

Hinweis: Nur ein Mitglied dieses Blogs kann Kommentare posten.

Abonnieren Kommentare zum Post (Atom)