Sikkerhet i henhold til Win2003server

[jocke]

Hei.

 

Sitter nå for dagene å venter på bredbåndet mitt. I mellomtiden leker jeg meg litt med win2003server. Ganske gøy egentlig, selv om jeg ikke liker windows noe særlig.

I huset skal jeg sette opp serverpark - som for det meste skal bestå av linux-burker (blant annet fordi jeg kan linux, samt at de ikke krever beist av maskinvare).

Men jeg vil allikevel ha 2 servere med win2003; èn som domeneserver, og en som exchange.

 

Jeg er nå i full gang med å blodskonfigurere win2003server som står som domenepålogging.

 

I den annledning lurer jeg på tips til sikkerhet, da denne servern kommer til å stå på 24/7 mot internett. Siden dette er en windows-maskin, er det mange sikkerhetsting å tenke på.

Alle tips mottas med takk Det være seg fra sider med stadig oppdaterte sikkerhetspatcher, samt små *pirkepirke* sikkerhetsting. URL'er er heller ikke å forakte.

 

(gjerne hold en seriøs tråd, da denne kanskje blir sticky - til hjelp for andre)

[ob1]

"Software don't make security, people do!". Windows server 2003 er jo første OS etter "trustworhty computing" ble lansert så default er den veldig sikker!

 

Hvilket nivå vil du ha tipsene på? Jeg kan ramse opp masse elementert som å ha lange passord, nekte anonym pålogging, anti-virus og brannmur. Eller skal jeg kommed litt mer dypere tips slik som Timestamp for Kerberos TGT, kryptering av outlook mot exchange etc? Tenker du på sikkerhet internt eller utenifra?

 

Nå er det alltid slik at hvis du har lite peiling på et system så kan det virke vanskelig å få den sikker, men tro meg når jeg sier at det er ikke så ille som man tror. Hvilke kunnskaper har du egentlig om Windows fra før da? Siden du kan Linux så kan du iallefall en del om pc og datakommunikajson regner jeg med.

 

Jeg kan sitte nesten i flere timer og ramse opp ting, men det gidder jeg neppe, men for å gi deg noen tips å begynne med.

 

* Group Policy inneholder jo nesten 1000 forskjellige innstillinger til å låse ned systemet. Dessverre kan de ikke brukes til å styre linux servere og klienter. Bla godt gjennom disse og se hvordan de kan låse ned serverene og komminkajsonen til/fra disse.

* Bruk Policy til å nekte anonym tilgang.

* Juster NTFS og share-rettigheterslik at man må ha brukernavn/passord for å komme inn.

* Med mindre noen linux maskiner trenger det, så kan du godt disable netbios. Registrer så alle maskinene dine i DNS istedetfor.

* Pass på at zone tranfer i DNS ikke går til hvilken server som helst. Mener det ikke gjør det som default, men du kan sjekke. Slå også av dynamic update eller sett den til "secure only".

* Rename administrator-brukeren og husk kompleks passord. Default krav til passord er forsåvidt godt nok.

* Automatic Update, anti-virus, anti-spyware og brannmur. Goes without saying!

* Default så logger Win2003 alle forsøk på pålogging til domenekontrollere så sjekk loggen regelmessig. Hvis du ikek sjekker logger så kan du bare skru av loggingen helt. Vanligvis går påloggingsforsøk av inntrengere på brukerkontoene "administrator", "admin" eller "root" så gi den et helt vanlig navn slik at det ikke går.

 

Tips utenom dette vil være å la Exchange serveren være en member server og ikke en domenekontroller.

 

Ja, du får si ifra om dette var noe du tenkte på.

 

edit: Bruk MBSA (Microsoft Baseline Security Analyzer) til å skanne windows-maskinene. Lastes ned gratis fra Microsoft.com/downloads

Endret 25. april 2004 av ob1