HARDENING WINDOWS 2003 1 1. 2. 3. 4. 5. 6. 7. Content Windows 2003 Infrastructure Security Windows 2003 Resource Security Windows 2003 Authentication Windows 2003 Auditing and Logging Windows 2003 Security Congiguration Tools Windows 2003 EFS Windows 2003 Network Security 2 1. Windows 2003 Infrastructure Security 3 Windows 2003 Infrastructure Security • • • • • • • Application Server (IIS, ASP.NET) DHCP Server DNS Server Domain Controller (Active Directory) File Server Mail Server (POP3, SMTP) Print Server 4 Windows 2003 Infrastructure Security • • • • • Remote Access/VPN Server SharePoint Services Server Streaming Media Server Terminal Services Server WINS Server 5 Workgroup & Domain 6 Cấu trúc logic của Active Directory Domain DomainTree Tree Domain Domain Domain Domain Domain Domain OU Objects Objects OU OU Domain Domain Organizational OrganizationalUnit Unit Forest Forest 7 Tree & Forest 8 Shortcut trust 9 Cấu trúc vật lý của Active Directory • Active Directory về mặt vật lý được cấu tạo từ Sites, các liên kết giữ site và Domain Controller. Site Site WAN WAN Link Link Site Site Domain Domain Controllers Controllers 10 Windows 2003 DNS 11 • Group Policy Components Group policy là những chính sách được áp dụng cho các computers, domains, Ous và sites. 12 GPO 13 Windows 2003 Infrastructure Security 14 File and Folder Security • • Để bảo mật file tốt nhất nên sử dụng NTFS. Các phân vùng trong Windows 2003 nên chuyển đổi sang NTFS để bảo mật tài nguyên tốt hơn – Convert C: /FS:NTFS (C là phân vùng cần chuyển) 15 File and Folder Permission 16 Advance Permission 17 Inheritance Inherit Inherit permissions permissions FolderA Read Read // Write Write FolderB Access to FolderB Prevent Prevent inheritance inheritance FolderA Read Read // Write Write FolderB FolderC No access to FolderB 18 Inheritance 19 The NULL Session • Null Session, được gọi là IPC$ trên máy chủ nền tảng Windows, là một dạng kết nối nặc danh tới một mạng chia sẻ cho phép người dùng trong mạng truy cập tự do. • Kết nối IPC không chỉ cho phép truy cập không giới hạn vào máy tính, mà còn trao quyền truy cập vào tất cả các máy tính trên mạng, và đây là những gì mà tin tặc cần để xâm nhập hệ thống. 20 The NULL Session 21 Windows 2003 Registry Security 22 Backup Registry Start > Programs > Accessories > System Tools > Backup 23 Disabling Services 24 Security Configuration Wizard • • • • Vô hiệu hóa bất kỳ dịch vụ không cần thiết nào. Khóa bất kỳ port nào không sử dụng. Cho phép thêm nhiều địa chỉ rộng rãi và giới hạn bảo mật cho các port mở. Giảm bớt các giao thức Server Massage Block (SMB), LanMan và Lightweight Directory Access Protocol (LDAP). 25 Windows 2003 Authentication 26 SSPI 27 Authentication Methods • • • LM NTLM / NTLMv2 Kerberos 28 SAM File 29 LM Authentication 30 LM Authentication 31 NTLM Authentication 32 NTLM Authentication 33 Disabling hash storage 34 Disabling NTLM variants 35 Disabling NTLM variants • 0 : This allows the computer to send the older LM and NTLM response and to never use NTLMv2 session security • 1 : Allows the computer to use NTLMv2 session security if negotiated. • 2 : Allows the computer to send NTLM responses only 36 Disabling NTLM variants • 3 : This allows the computer to send NTLMv2 responses only • 4 : Causes domain controllers to refuse LM responses • 5 : Causes domain controllers to refuse LM and NTLM responses 37 SYSKEY 38 KERBEROS 39 Configuring Kerberos 40 Windows 2003 Auditing and Logging 41 Configuring Auditing • Are both the success and failure of this event useful in determining what happened? • • What is the expected frequency of the event? What should happen when the Event Log is full? 42 Configuring auditing for domain controllers 43 Event Log settings 44 Event Log settings 45 WINDOWS 2003 SECURITY CONFIGURATION TOOLS 46 User And Group Security *Có 2 loại account cơ bản là domain users và local users *Khi mới cài đặt windows 2003 xong thì sẽ có 2 tài khoản Guest và Administrator User And Group Security 48 Restricting Logon Hours Sam file 49 piration Dates For User Accounts 50 Locking Down The Administrator Account *Built-in Admin có những quyền hạn sau: -Tên của tài khoản Build-in Admin là Administrator -Trong quá trình cài đặt thì password có thể được bỏ trống -Built-in Admin là thành viên của nhóm built-in Administrators -Tài khoản Built-in Admin thì không thể bị khóa 51 Password Policy 52 Account Lockout Policy 53 4.Encrypting File System 54 Nguyên Lý EFS 55 Windows 2003 Network Security 56 1 NAT and ICS 2 Remote Access 3 3 Hardening TCP/IP 3.1 Syn Attack Defense 3.2 Dead Gateway 57 3.3 3.4 4 5 MTU Restrictions Keep Alive 3 TCP/IP Filtering Windows Firewall 58 NAT and ICS • Network Address Translation (NAT) là một tiêu chuẩn Internet được xác định trong RFC 1631.NAT được sử dụng mặt nạ là IP riêng với địa chỉ IP của kết nối Internet bên ngoài.Mặc dù NAT không được thiết kế như một cơ chế an ninh, nhiều mạng cần NAT trong các chính sách an ninh của họ để thêm một lớp bổ sung giữa các Internet và mạng nội bộ 59 NAT and ICS 60 NAT and ICS 61 Remote Access Routing và Remote Access Service (RRAS) bao gồm: • • • Network Address Translation (NAT) Giao thức định tuyến (RIP và OSPF) Remote Authentication Dial-In Service (RADIUS) 62 Remote Access 63 Hardening TCP/IP Các giao thức TCP / IP trong Windows là một trong những thành phần có thể bị tấn công hầu hết các máy tính cá nhân. Các cuộc tấn công thông thường bao gồm acttacks Demial dịch vụ (DoS) tấn công từ chối dịch vụ phân tán (DDos) tấn công, giả mạo, smurf, và Land attacks... Có một số cấu hình có thể được thực hiện cho các Registry để đảm bảo vững chắc choTCP / IP trong Windows2003 64 Hardening TCP/IP Syn Attack Defense Dưới đây là các thông số của TCP/IP trong registry và bạn có thể cấu hình để nâng cao tính vững chắc cho giao thức TCP/IP khi máy tính của bạn kết nối trực tiếp tới Internet. Tất cả các thông số của nó trong registry được lưu tại: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services Value name: SynAttackProtect Key: Tcpip\Parameters Value Type: REG_DWORD Valid Range: 0,1 Default: 0 65 Hardening TCP/IP Syn Attack Defense Các thông số trong TCP có thể là truyền lại các gói tin trong dạng SYN-ACKS. Khi bạn cấu hình thông số này, các kết nối sẽ nhanh trong bị một time out hơn trong các vụ tấn công SYN (là dạng tấn công DoS). Dưới đây là vài thông số bạn có thể sử dụng để thiết lập trong Registry: 66 Hardening TCP/IP Syn Attack Defense 0 (tham số mặc định): Không bảo vệ trước các cuộc tấn công SYN 1: Thiết lập SynAttackProtect là 1 sẽ tốt hơn và nó sẽ bảo vệ hệ thống trước các cuộc tấn công SYN. -ACKS. Nếu bạn thiết lập tham số là 1, khi một kết nối sẽ có kết quả time out nhanh hơn nếu như hệ Tham số này có nghĩa, nếu là 0 thì hệ thống SYNthống phát hiện thấy tấn sẽ truyền lại thông tin công SYN. 67 Hardening TCP/IP Dead Gateway Nhiều cổng có thể được cấu hình trong các thiết lập TCP / IP. Tuy nhiên bạn có thể vô hiệu hóa chức năng này, vì một cuộc tấn công từ chối dịch vụ (hoặc khác) tấn công có thể gây ra máy tính của bạn để chuyển đổi cổng. Các chi tiết cụ thể cho việc này được định nghĩa như sau: • • • • • Value Name:DeadGWDetectDefault Key:Tcpip\Parameters Value Range:REG_DWORD Valid Range:0(False),1 (True) Default Value:1 (True) . 68 Hardening TCP/IP MTU Restrictions Những kẻ tấn công có thể sử dụng tối đa để truyền đơn vị lực lượng mạng lưới để sử dụng các phân đoạn rất nhỏ. Bằng cách sử dụng Path MTU Discovery, TCP sẽ cố gắng để xác định kích thước gói lớn nhất mà một con đường dẫn tới một máy chủ từ xa sẽ đáp ứng. Ngược lại, khi được sử dụng không đúng cách, mạngcó thể bị ngập với các phân đoạn nhỏ.Các chi tiết cụ thể để điều chỉnh giá trị này được xác định như sau: 69 Hardening TCP/IP MTU Restrictions • • • • Value Name:EnablePMTUDiscovery Key:Tcpip\Parameters Valid Range:0(False),1 (True) Default Value:1 (True) 70 3. Hardening TCP/IP 3.3 Keep Alive • • • • • Value Name:KeepAliveTime Key:Tcpip\Parameters Value Range:REG_DWORD (Giá trị này được tính bằng mili giây) Valid Range:1-0xFFFFFFFF Default Value:7,200,000 (2 giờ) 71 TCP/IP Filtering Một tính năng được xây dựng trong Windows 2003 bạn có thể thêm vào phương pháp của bạn một lớp bảo vệ là TCP / IP lọc được kiểm soát truy cập mạng trong nước cho một host. Lọc TCP/IP độc lập của các quá trình khác, chẳng hạn như IPSec, và các dịch vụ khác, chẳng hạn như máy chủ và máy trạm dịch vụ. Để đi truy cập, bạn cần phải thực hiện định tuyến và truy cập từ xa các bộ lọc 72 TCP/IP Filtering 73 Windows Firewall 74 12 steps to hardening Windows Server 2003 75 • • Step 1: Be rigid on passwords Step 2: Use Windows XP software restriction policies through Group Policy • • • Step 3: Enable Internet Connection Firewall (ICF) Step 4: Kill LM hashes Step 5: Strengthen TCP/IP stack 76 • • • • • • • Step 6: Mandate SMB signing Step 7: Harden network policies Step 8: Use Software Update Services (SUS) Step 9: Familiarize yourself with Ipsec Step 10: Using NTFS Step 11: Plan for audit Step 12: Encrypting File System 77 THANK YOU SO MUCH! 78 [...]... chính sách được áp dụng cho các computers, domains, Ous và sites 12 GPO 13 Windows 2003 Infrastructure Security 14 File and Folder Security • • Để bảo mật file tốt nhất nên sử dụng NTFS Các phân vùng trong Windows 2003 nên chuyển đổi sang NTFS để bảo mật tài nguyên tốt hơn – Convert C: /FS:NTFS (C là phân vùng cần chuyển) 15 File and Folder Permission 16 Advance Permission 17 Inheritance Inherit Inherit... Prevent inheritance inheritance FolderA Read Read // Write Write FolderB FolderC No access to FolderB 18 Inheritance 19 The NULL Session • Null Session, được gọi là IPC$ trên máy chủ nền tảng Windows, là một dạng kết nối nặc danh tới một mạng chia sẻ cho phép người dùng trong mạng truy cập tự do • Kết nối IPC không chỉ cho phép truy cập không giới hạn vào máy tính, mà còn trao quyền truy cập vào tất cả... Block (SMB), LanMan và Lightweight Directory Access Protocol (LDAP) 25 Windows 2003 Authentication 26 SSPI 27 Authentication Methods • • • LM NTLM / NTLMv2 Kerberos 28 SAM File 29 LM Authentication 30 LM Authentication 31 NTLM Authentication 32 NTLM Authentication 33 Disabling hash storage 34 Disabling NTLM variants 35 Disabling NTLM variants • 0 : This allows the computer to send the older LM and NTLM... máy tính trên mạng, và đây là những gì mà tin tặc cần để xâm nhập hệ thống 20 The NULL Session 21 Windows 2003 Registry Security 22 Backup Registry Start > Programs > Accessories > System Tools > Backup 23 Disabling Services 24 Security Configuration Wizard • • • • Vô hiệu hóa bất kỳ dịch vụ không cần thiết nào Khóa bất kỳ port nào không sử dụng Cho phép thêm nhiều địa chỉ rộng rãi và giới hạn bảo mật... Authentication 31 NTLM Authentication 32 NTLM Authentication 33 Disabling hash storage 34 Disabling NTLM variants 35 Disabling NTLM variants • 0 : This allows the computer to send the older LM and NTLM response and to never use NTLMv2 session security • 1 : Allows the computer to use NTLMv2 session security if negotiated • 2 : Allows the computer to send NTLM responses only 36 ... File and Folder Permission 16 Advance Permission 17 Inheritance Inherit Inherit permissions permissions FolderA Read Read // Write Write FolderB Access to FolderB Prevent Prevent inheritance... Disabling hash storage 34 Disabling NTLM variants 35 Disabling NTLM variants • : This allows the computer to send the older LM and NTLM response and to never use NTLMv2 session security • : Allows... SYSKEY 38 KERBEROS 39 Configuring Kerberos 40 Windows 2003 Auditing and Logging 41 Configuring Auditing • Are both the success and failure of this event useful in determining what happened? •