Hier findest Du Teil 2 des Guides [Hardening]
Wie bereits zu Anfang dieses Kapitels beschrieben, ist es unabdingbar für eine sichere IT-Infrastruktur nur das anzubieten, was wirklich benötigt wird. Dies wirkt sich nicht nur positiv auf die Performance des Systems aus, sondern minimiert auch die Einbruchchancen. Hierbei kann z.B. auf Systemkomponenten wie DHCP, WINS und RIS getrost verzichtet werden.
Es sollten folgende Windows Komponenten entfernt werden, da diese nicht benötigt werden:
Nach der erfolgreichen Installation von Windows Server 2003 sollte der Administrator-Account sowie der Gast-Account umbenannt werden. Ebenso darf nicht vergessen werden, die entsprechende Benutzerbeschreibung so zu ändern, dass nichts darauf hinweist, wer oder was sich hinter den geänderten Benutzernamen befindet.
Als weiteren Schritt sollte man einen weiteren administrativen Account erstellen und diesem ein sehr langes, kryptisches Passwort zuordnen, an denen sich Hacker dann mit Brute-Force Attacken austoben können.
Des Weiteren gilt für die tägliche Arbeit am Windows-Server, dass die Arbeit mit einem administrativen Account auf ein Minimum beschränkt werden sollte. Dies sollte nur geschehen, wenn es absolut notwendig ist. Weiterhin sollte das Surfen im Internet über den Windows Server möglichst vermieden werden, da die Rechte des aktuellen Benutzers sich auf einen evtl. eingefangenen Schädling vererben.
Erstellung und Einsatz von Sicherheitsvorlagen
Ein bewährtes Prinzip zur Sicherung einer Windows 2000 / 2003 Maschine nach einem festen Schema sind so genannte Sicherheitsvorlagen. Sicherheitsvorlagen sind strukturierte Textdateien (.INF Dateien) die als Basis für eine Sicherheitskonfiguration mit dem Security Configuration Editor (SCE) verwendet werden können. In den Sicherheitsvorlagen werden Einstellungen wie Kontenrichtlinien, Überwachungsrichtlinien, Registrierungseinstellungen, Konfiguration für Systemdienste uvm. definiert.
Nach erfolgter Definition kann man das aktuelle System anhand der Sicherheitsvorlage konfigurieren. Mit Hilfe der Sicherheitsvorlage ist sichergestellt, dass man immer ein und dieselbe Sicherheitskonfiguration auf Ihre Systeme anwendet.
Dies kann man konfigurieren, indem man Start > Verwaltung > Lokale Sicherheitsrichtlinie startet.
In dieser Konsole lassen sich nun sehr viele Sicherheitsaspekte einstellen und anschließend exportieren. Hier lassen sich z.B. auch einige empfohlene Einstellungen bezüglich der lokalen Accounts einstellen. Diese dienen primär dazu Brute-Force Attacken zu unterbinden.
Die folgenden Einstellungen bezüglich der Passwortsicherheit lassen sich einfach mit Hilfe des Tools „Lokale Sicherheitsrichtlinie“ ändern. Die folgenden Empfehlungen werden in Kontorichtlinien / Kennwortrichtlinien und Kontorichtlinien / Kontosperrungsrichtlinien gemacht.
Es sollten folgende Windows Komponenten entfernt werden, da diese nicht benötigt werden:
- Aktualisierung von Stammzertifikaten
- MSN Explorer
- Netzwerkdienste
- Outlook Express
- Windows Messenger
Nach der erfolgreichen Installation von Windows Server 2003 sollte der Administrator-Account sowie der Gast-Account umbenannt werden. Ebenso darf nicht vergessen werden, die entsprechende Benutzerbeschreibung so zu ändern, dass nichts darauf hinweist, wer oder was sich hinter den geänderten Benutzernamen befindet.
Als weiteren Schritt sollte man einen weiteren administrativen Account erstellen und diesem ein sehr langes, kryptisches Passwort zuordnen, an denen sich Hacker dann mit Brute-Force Attacken austoben können.
Des Weiteren gilt für die tägliche Arbeit am Windows-Server, dass die Arbeit mit einem administrativen Account auf ein Minimum beschränkt werden sollte. Dies sollte nur geschehen, wenn es absolut notwendig ist. Weiterhin sollte das Surfen im Internet über den Windows Server möglichst vermieden werden, da die Rechte des aktuellen Benutzers sich auf einen evtl. eingefangenen Schädling vererben.
Erstellung und Einsatz von Sicherheitsvorlagen
Ein bewährtes Prinzip zur Sicherung einer Windows 2000 / 2003 Maschine nach einem festen Schema sind so genannte Sicherheitsvorlagen. Sicherheitsvorlagen sind strukturierte Textdateien (.INF Dateien) die als Basis für eine Sicherheitskonfiguration mit dem Security Configuration Editor (SCE) verwendet werden können. In den Sicherheitsvorlagen werden Einstellungen wie Kontenrichtlinien, Überwachungsrichtlinien, Registrierungseinstellungen, Konfiguration für Systemdienste uvm. definiert.
Nach erfolgter Definition kann man das aktuelle System anhand der Sicherheitsvorlage konfigurieren. Mit Hilfe der Sicherheitsvorlage ist sichergestellt, dass man immer ein und dieselbe Sicherheitskonfiguration auf Ihre Systeme anwendet.
Dies kann man konfigurieren, indem man Start > Verwaltung > Lokale Sicherheitsrichtlinie startet.
In dieser Konsole lassen sich nun sehr viele Sicherheitsaspekte einstellen und anschließend exportieren. Hier lassen sich z.B. auch einige empfohlene Einstellungen bezüglich der lokalen Accounts einstellen. Diese dienen primär dazu Brute-Force Attacken zu unterbinden.
Die folgenden Einstellungen bezüglich der Passwortsicherheit lassen sich einfach mit Hilfe des Tools „Lokale Sicherheitsrichtlinie“ ändern. Die folgenden Empfehlungen werden in Kontorichtlinien / Kennwortrichtlinien und Kontorichtlinien / Kontosperrungsrichtlinien gemacht.
- Kontosperrdauer: 30 Minuten
- Kontosperrungsschwelle: 5 Falsche Loginversuche
- Zurücksetzung des Konto-sperrungszählers: 30 Minuten
- Erzwingen einer Passwortchronik: 24 Passwörter
- Maximales Kennwortalter: 60 Tage
- Minimales Kennwortalter: 2 Tage
- Minimale Kennwortlänge: 8 Zeichen
- Kennwortkomplexität: Username oder Teile davon verboten
- Zeichen, die verw. werden müssen: A-Z, a-z, 0-9
- Passwortverschlüsselung: Keine umkehrbare Verschlüsselung verwenden
Keine Kommentare:
Kommentar veröffentlichen
Hinweis: Nur ein Mitglied dieses Blogs kann Kommentare posten.