| | Hardening.

Slides:



Advertisements
Presentazioni simili
Amministrazione dei servizi di stampa. Sommario Introduzione ai servizi di stampa Introduzione ai servizi di stampa Terminologia della stampa Terminologia.
Advertisements

Principali caratterisitche di sicurezza
Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
Servizi integrati e completi per la piccola impresa Andrea Candian.
Architettura di Exchange Server 2003 Ivan Riservato Andrea Garattini.
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
ISA Server 2004 Configurazione di Accessi via VPN
Giorgio Quaranta ISV Account Manager
Visual Studio Tools For Office 2005 Fabio Santini. NET Senior Developer Evangelist Microsoft Italy.
La riduzione dei privilegi in Windows
Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft.
Introduzione ad Active Directory
Liberiamo(ci) (dal)le applicazioni con Softgrid
La sicurezza delle reti Wireless
Configuring Network Access
Attivazione Piergiorgio Malusardi IT Pro Evangelist
Gestione dell’inventario degli Asset aziendali con Systems Management Server 2003 Fabrizio Grossi.
ISA Server for the Enterprise. Clients Client Overview Internet ISA Server SecureNAT Client Do not require you to deploy client software or configure.
Sharepoint Gabriele Castellani
| | Microsoft Certificate Lifecycle Manager.
Branch office update – SP2. Agenda Messa in esercizio degli uffici remoti Compressione HTTP Differentiated Services Cache di BITS.
Overview Aldo Tuberty Vilà.
Windows XP SP 2 e Office 2003 I dati nel vostro PC sempre sicuri Come rendere sicuro il proprio computer… …ed ottenere la massima produttività Aldo Tuberty.
Il Consolidamento di Servizi Virtual Server 2005 PierGiorgio Malusardi Evangelist - IT Professional Microsoft.
Windows Server 2003 Service Pack 1 Anteprima Tecnica.
1 Smart Client distribuzione e aggiornamento Fabio Santini.
1 I KEYLOGGERS COSA SONO CONTROMISURE UN ESEMPIO.
Sicurezza e Policy in Active Directory
Installazione di Active Directory
Organizzazione di una rete Windows 2003
Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.
Amministrazione di una rete con Active Directory
Amministrazione di una rete con Active Directory.
Amministrazione di una rete con Active Directory
Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.
SEVER RAS.
Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006 SUS - WSUS per il Security Patch Management.
Il Client Windows98 Client nel dominio Windows 2000.
Test sul Cisco VPN Concentrator
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
Supporto nativo e avvio da dischi VHD
"Non-Admin" Developing "Non-Admin" Developing Fabio Santini.NET Senior Developer Evangelist Microsoft Italy.
Guida IIS 6 A cura di Nicola Del Re.
L’applicazione integrata per la gestione proattiva delle reti IT
Terminal Services. Sommario Introduzione al Terminal Services Introduzione al Terminal Services Funzioni di un Terminal Server in una rete Windows 2000.
Network Access Protection (NAP): la soluzione di policy enforcement in Windows Server 2008 R2 PierGiorgio Malusardi IT Pro Evangelist Microsoft Italia.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
Unique remote solutions Netop Remote Control 9.2 Novità nella versione 9.2?
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
Licenze Windows XP, Virtual PC, Office System e Project
Un problema importante
TechNet Security Workshop IV PierGiorgio Malusardi.
Configurazione di una rete Windows
Amministrazione della rete: web server Apache
Installazione Come tecnico, si potrebbe aver necessità di effettuare una installazione pulita di un sistema operativo. L'esecuzione di una installazione.
IPSec Fabrizio Grossi.
Francesca Di Massimo Security Lead Microsoft Italia Catania 22 settembre 2006 La Strategia Microsoft per la sicurezza dei sistemi.
A cura di: Huber Roberto, Zaharulko Nicola, Debernardi Daniele.
Distributed System ( )7 TCP/IP four-layer model.
Windows Server 2003 Integrazione di DNS in Strutture Esistenti PierGiorgio Malusardi – Microsoft.
TW Asp - Active Server Pages Nicola Gessa. TW Nicola Gessa Introduzione n Con l’acronimo ASP (Active Server Pages) si identifica NON un linguaggio di.
Distribuzione controllata del software con Systems Management Server 2003 Fabrizio Grossi.
Certificati e VPN.
Extension pack per IIS7 Piergiorgio Malusardi IT Pro Evangelist
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Prof. Giuseppe Mastronardi 1 SAM Security Account Manager debolezze ed hardening di Windows XP POLITECNICO DI BARI Sicurezza dei Sistemi Informatici.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Virtual Private Network SSL
Transcript della presentazione:

| | Hardening

Agenda Sicurezza del server ISA Server 2004 Gestione degli update Accesso fisico Hardening di Windows Gestione di Permessi e Ruoli Riduzione della superficie di attacco Lockdown mode Sicurezza della configurazione di ISA Server 2004 Monitoring

| | Sicurezza del server Gestione degli update Come ogni macchina della rete il server ISA deve essere mantenuto aggiornato: Aggiornare il sistema operativo Aggiornare ISA Server 2004 Aggiornare ogni componente addizionale installato: MSDE Office Web Component AD/AM (versione Enterprise) Altro (non ci dovrebbe essere, ma…)

| | Sicurezza del server Gestione degli update Se un cattivo ragazzo può accedere fisicamente al tuo computer, questo non è più il tuo computer Laccesso fisico al server può consentire: Spegnimenti indesiderati (DoS) Installazione di software pensato per aggirare la sicurezza Installazione di hardware pensato per aggirare la sicurezza

| | Sicurezza del server Domino vs Workgroup ISA 2004 (anche la EE) può essere installato in dominio o in workgroup Se ISA 2004 costituisce il punto di accesso ad Internet si consiglia: Installare ISA 2004 in una foresta separata da quella aziendale Creare una relazione di trust mono direzionale tra la foresta di ISA 2004 e quella aziendale Linstallazione in dominio consente la configurazione della sicurezza usando le group policy

| | Sicurezza del server Hardening di Windows – dove partire Lo strumento principe per configurare Windows Server 2003 su cui si installa ISA 2004 è Windows Server 2003 Security Guide Usare il template di sicurezza High Security – Bastion host Applicabile via group policy se il server ISA 2004 è in dominio Applicabile con secedit se il server ISA 2004 è in workgroup

| | Sicurezza del server Hardening di Windows – servizi necessari Nome del servizioRazionaleAvvio COM+ Event SystemCore operating systemManual Cryptographic ServicesCore operating system (sicurezza)Automatic Event LogCore operating systemAutomatic IPSec ServicesCore operating system (sicurezza)Automatic Logical Disk ManagerCore operating system (gestione dei dischi)Automatic Logical Disk Manager Administrative ServiceCore operating system (gestione dei dischi)Manual Microsoft FirewallRichiesto per il normale funzionamento di ISA ServerAutomatic Microsoft ISA Server ControlRichiesto per il normale funzionamento di ISA ServerAutomatic Microsoft ISA Server Job SchedulerRichiesto per il normale funzionamento di ISA ServerAutomatic Microsoft ISA Server StorageRichiesto per il normale funzionamento di ISA ServerAutomatic MSSQL$MSFWRichiesto quando MSDE è richiesto per I log ISA ServerAutomatic Network ConnectionsCore operating system (infrastruttura di rete)Manual NTLM Security Support ProviderCore operating system (sicurezza)Manual Plug and PlayCore operating systemAutomatic Protected StorageCore operating system (sicurezza)Automatic

| | Sicurezza del server Hardening di Windows – servizi necessari Nome del servizioRazionaleAvvio Protected StorageCore operating system (sicurezza)Automatic Remote Access Connection ManagerRichiesto per il normale funzionamento di ISA ServerManual Remote Procedure Call (RPC)Core operating systemAutomatic Secondary LogonCore operating system (sicurezza)Automatic Security Accounts ManagerCore operating systemAutomatic ServerRichiesto per lo share ISA Server Firewall Client (Togliere!!)Automatic Smart CardCore operating system (sicurezza)Manual SQLAgent$MSFWRichiesto quando MSDE è richiesto per I log ISA ServerManual System Event NotificationCore operating systemAutomatic TelephonyRichiesto per il normale funzionamento di ISA ServerManual Virtual Disk Service (VDS)Core operating system (gestione dei dischi)Manual Windows Management Instrumentation (WMI)Core operating system (WMI)Automatic WMI Performance AdapterCore operating system (WMI)Manual

| | Sicurezza del server Hardening di Windows – ruoli del server Il servizio server deve essere in Automatic quando: Share di FW Client sul server con ISA 2004 (sconsigliato) Si usa RRAS per configurare le VPN al posto di ISA 2004 Altre applicazioni o ruoli del server lo richiedono Ruolo del serverServizi richiestiAvvio Routing and Remote Access ServerRouting and Remote AccessManual Remote Access Connection ManagerManual TelephonyManual WorkstationAutomatic ServerAutomatic Terminal Server per lamministrazione via Remote Desktop ServerAutomatic Terminal ServicesManual

| | Demo: Creazione e applicazione di un template di sicurezza

| | Sicurezza del server Ruoli amministrativi e permessi Per lassegnazione dei permessi di esecuzione delle attività ISA 2004 sfrutta il concetto di ruoli amministrativi Assegnare un ruolo ad un utente significa assegnare i permessi di eseguire determinate operazioni

| | Sicurezza del server Ruoli amministrativi e permessi RuoloDescrizione ISA Server Basic Monitoring Gli utenti a cui è assegnato questo ruolo possono controllare lattività del server ISA e lattività di rete, ma non possono impostare nessuna delle funzionalità di firewall o del monitoring. ISA Server Extended Monitoring Gli utenti a cui è assegnato questo ruolo possono effettuare tutte le attività di monitoring inclusa la configurazione dei log, la definizione degli alert oltre a tutte le attività concesse al ruolo precedente. ISA Server Full Administrator Gli utenti a cui è assegnato questo ruolo possono effettuare qualsiasi operazione su ISA Server. Per default gli amministratori della macchina hanno questo ruolo.

| | Sicurezza del server Ruoli amministrativi e permessi AttivitàBasic MonitoringExtended MonitoringFull Administrator Controllo di Dashboard, alerts, connettività, sessioni, servizi XXX Accettazione degli alertXXX Controllo delle informazioni di logXX Creazione della definizione di alertXX Creazione di reportXX Avvio e arresto di servizi e sessioniXX Controllo delle policy di firewallXX Configurazione delle policy di firewallX Configurazione della cacheX Configurazione delle VPNX

| | Sicurezza del server Ruoli amministrativi e permessi – Buone pratiche Usare il principio dei minori privilegi Mantenere il gruppo Administrator con pochi elementi Fare logon al server con laccount con i minor privilegi necessari a svolgere loperazione Disabilitare laccount Guest

| | Sicurezza del server Ruoli amministrativi e permessi - DACL In fase di installazione ISA 2004 modifica le DACL per tener conto del suo funzionamento e dei ruoli amministrativi Le DACL sono modificate anche durante lassegnazione dei ruoli Non vengono impostate DACL su: Folder per i report File di configurazione creati in fase di export o backup File di log copiati in folder diversi dagli originari NON MODIFICARE A MANO LE DACL DI DEFAULT

| | Demo: Assegnazione dei ruoli

| | Sicurezza del server Riduzione della superficie di attacco Meno cè meglio è Non eseguire applicazioni o servizi non necessari sul server con ISA 2004 Disabilitare le funzioni di ISA 2004 che non si usano (VPN, Cache, Specifici add-in) Disabilitare le System policy che non servono in base alla propria modalità di gestione di ISA 2004 Applicare le System policy a specifiche entità di rete

| | Sicurezza del server Riduzione della superficie di attacco – System policy Servizi di rete Gruppo di configurazione Nome della regolaDescrizione della regola DHCPAllow DHCP requests from ISA Server to Internal Allow DHCP replies from DHCP servers to ISA Server Consente al server ISA laccesso alla rete interna con i protocolli DHCP (reply) e DHCP (request). DNSAllow DNS from ISA Server to selected servers Consente al server ISA di accedere a tutte le reti usando il protocollo DNS. NTPAllow NTP from ISA Server to trusted NTP servers Consente al server ISA laccesso ala rete interna usando il protocollo NTP (UDP).

| | Sicurezza del server Riduzione della superficie di attacco – System policy Servizi di autenticazione Gruppo di configurazione Nome della regolaDescrizione della regola Active DirectoryAllow access to directory services for authentication purposes Allow RPC from ISA Server to trusted servers Allow Microsoft CIFS from ISA Server to trusted servers Allow Kerberos authentication from ISA Server to trusted servers Consente al server con ISA 2004 laccesso alla rete interna con diversi protocolli LDAP, RPC (tutte le interfacce), diversi protocolli CIFS, diversi protocolli Kerberos, tutti usati da Active Directory. RSA SecurIDAllow SecurID authentication from ISA Server to trusted servers Consente al server con ISA 2004 laccesso alla rete interna con il protocollo RSA SecurID®. RADIUSAllow RADIUS authentication from ISA Server to trusted RADIUS servers Consente al server con ISA 2004 laccesso alla rete interna con il protocollo RADIUS. Certificate Revocation List Allow HTTP from ISA Server to all networks for CRL downloads Consente al server con ISA 2004 laccesso in HTTP a reti selezionate per scaricare le CRL.

| | Sicurezza del server Riduzione della superficie di attacco – System policy Gruppo di configurazione Nome della regolaDescrizione della regola Microsoft Management Console Allow remote management from selected computers using MMC Allow MS Firewall Control communication to selected computers Consente ai computer inseriti nel computer set Remote Management Computers di accedere al server con ISA con i protocolli MS Firewall Control e RPC (tutte le interfacce). Terminal serverAllow remote management from selected computers using Terminal Server Consente ai computer inseriti nel computer set Remote Management Computers di accedere al server con ISA usando il protocolli RDP (Terminal Services). ICMP (Ping)Allow ICMP (PING) requests from selected computers to ISA Server Consente ai computer inseriti nel computer set Remote Management Computers di accedere al server con ISA usando il protocollo ICMP, e vice versa. Gestione da remoto

| | Sicurezza del server Riduzione della superficie di attacco – System policy Controllo da remoto e log Gruppo di configurazione Nome della regolaDescrizione della regola Remote logging (NetBIOS) Allow remote logging to trusted servers using NetBIOS Consente al server con ISA 2004 di accedere alla rete interna con il protocollo NetBIOS. Remote Logging (SQL) Allow remote SQL logging from ISA Server to selected servers Consente al server con ISA 2004 di accedere alla rete interna con il protocollo Microsoft SQL. Remote Performance Monitoring Allow remote performance monitoring of ISA Server from trusted servers Consente ai computer nel computer set Remote Management Computers computer di accedere al server con ISA 2004 con il protocollo NetBIOS. Microsoft Operations Manager Allow remote monitoring from ISA Server to trusted servers, using Microsoft Operations Manager (MOM) Agent Consente al server con ISA 2004 laccesso alla rete interna usando lagent Microsoft Operations Manager.

| | Demo: System policy

| | Sicurezza del server Modalità Lockdown Una funzione critica dei firewall è reagire agli attacchi Una tecnica potrebbe essere isolare la rete difesa sconnettendosi dalla rete da cui parte lattacco: Non è un buon approccio! Gli attacchi devo essere gestiti per quanto possibile Lockdown mode

| | Sicurezza del server Modalità Lockdown Introdotta per combinare necessità di isolamento e necessità di rimanere connessi Attivata quando il servizio Firewall Viene spento in automatico Con la definizione degli alert è possibile configurare quali eventi provocano lo spegnimento del servizio Firewall Viene spento manualmente Disattivata al riavvio del servizio firewall

| | Sicurezza del server Modalità Lockdown Quando in lockdown mode: Il packet filter engine applica le policy di firewall Il traffico in uscita da localhost verso tutte le reti (e relative risposte in ingresso) è consentito Nessun traffico in ingresso è consentito salvo che sia consentito da una System policy Traffico DHCP da localhost a tutte le reti (e relative risposte) è sempre consentito Seguenti System policy sono sempre attive: Allow ICMP from trusted server to the local host Allow remote management of the firewall using MMC (RPC through port 3847) Allow remote management of the firewall using RDP Accessi in VPN negati (tutti i tipi) Ogni modifica alla configurazione diventa attiva solo dopo il riavvio del servizio firewall ISA 2004 alza nessun alert

| | Sicurezza della configurazione VPN – buone pratiche Si raccomando luso di L2TP su IPSec Adottare password complesse e lunghe si può togliere Account lockout Considerare la possibilità di forzare il SO usato sui client remoti Usare le reti di quarantena Usare autenticazione forte EAP-TLS o EAP-MS- CHAPv2

| | Sicurezza della configurazione Link traslation ISA Server effettua la link traslation degli header HTTP anche se non abitata esplicitamente Problema pubblicando un server Web con Any domain name come destinazione: Un attaccante può usare header con contenuto maligno Può essere fatto il poisonning dellheader della risposta inserendo un link al server dellattaccante Se messo in cache questo può essere inviato ad altri richiedenti

| | Sicurezza della configurazione Limite nelle connessioni ISA 2004 limita il numero di connessioni simultanee consentite: 1000 connessioni per secondo per regola 160 connessioni simultanee per client (TCP e non-TCP) Modificabili le connessioni per regola per UDP, ICMP e altri protocolli Raw IP Quando si raggiunge il limite vengono negate altre connessioni I limiti non si applicano a TCP Impostare il valore minimo che non impatta sulle funzionalità richieste

| | Demo: Limiti alle connessioni

| | Monitoring Buone pratiche I log consentono di controllare le attività di rete in essere e trascorse Verificare con regolarità i log Salvare i log su dischi NTFS diversi da quelli di sistema Imporre restrizioni di accesso ai file di log Se si usa SQL per i log Usare Windows Authentication IPSec per dialogo ISA 2004 – SQL Server Se lattività di log si interrompe attivare lockdown mode Configurare gli alert perché notifichino gli amministratori

| | Demo: Log e alert

| | Risorse Documento di riferimento: hardeningguide.mspx hardeningguide.mspx Sicurezza di Windows Server /w2003hg/sgch00.mspx 003/w2003hg/sgch00.mspx Sicurezza di Windows 2000 Server 6-A2C8-4C8F-A9D0-A0201F639A56&displaylang=en 6-A2C8-4C8F-A9D0-A0201F639A56&displaylang=en

| | © Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.