Säkerhets i Windows server 2003

[Blaxtar]

Har lite funderingar angående säkerheten i Windows server 2003. Jag har en hårdvarubrandvägg i routern, och ska snart börja mixtra med m0nowall, så skyddet utifrån ska väl vara godkänt. Däremot så funderar jag på vad jag kan göra för att förstärka skyddet inifrån?

Använder servern som FTP- webb- & Fil-server.

 

1. Är det någon risk (och hur stor) för att servern ska infekteras av malware (läs; virus/trojaner/rootkits/maskar/spyware med mera) till exempel genom att någon tankar upp en fil innehållande virus genom FTPn?

 

2. Om jag har någon fil liggande i Arkiven på servern och har dessa arkiv anslutna till mina andra datorer med XP & Vista. Kan då datorn bli infekterad bara av att man har filen på hårddisken? Eller måste jag köra (alltså klicka på filen etc.) för att malwaret ska kunna aktiveras?

 

Fler frågor kommer nog, hemskt tacksam för svar och hjälp! :-)

 

[Cecilia]

Datorn påverkas inte av att det bara ligger en skadlig fil på hårddisken. Filen måste köras/öppnas/användas för att verkligen infektera datorn.

 

[Blaxtar]

Tack för svaret, det var det jag misstänkte. Då gör det alltså inget, varken om någon tankar upp en smittad fil till mig eller om det skulle råka ligga någon smittad fil i något av mina arkiv?

 

Skulle det fungera bra att köra ClamWin, som inte har någon realtimescan, och schemalägga en genomsökning varje natt?

Finns det några andra sätt att bli smittad på?

Och behöver jag någon mjukvarubrandvägg till servern?

 

[Cecilia]

Clamwin är inte ett särskilt bra antivirusprogram, det är i huvudsak inriktad på att hantera sådana skadliga program som skickas i spam och duger inte som generellt antivirusprogram.

 

Om det är en webbplats där folk kan lägga in material, t ex forum eller gästbok, så finns ju alltid risken med SQL-injections eller andra sorters intrång den vägen.

 

[Blaxtar]

Oj. nu fattade jag noll. Kan du förklara lite närmare vad du menar?

 

[Cecilia]

Jag gissar att din fråga gäller mitt andra stycke om SQL-injections, och eftersom jag inte är någon webbutvecklare så har jag svårt att förklara närmare men det står lite på http://sv.wikipedia.org/wiki/SQL-injektion och mer på http://en.wikipedia.org/wiki/SQL_injection

 

[Blaxtar]

Jo det gällde det andra stycket, nu har jag lite mer koll på det. Jag vet att Clamwin inte är särskilt bra då det upptäcker under 90% av alla hot, men det finns inte så mycket mer som går att köra på Windows server.

 

Men vad ska jag göra för att skydda min server?

[inlägget ändrat 2008-09-21 13:01:57 av Blaxtar]

[Cecilia]

Antivirusprogram för Windows Server 2003 finns det ju gott om, men det är möjligt att det inte finns några andra gratis eftersom Windows Server 2003 inte är tänkt att användas i hemmamiljö.

 

55% för Clamwin på http://www.virus.gr/portal/en/content/2008-06%2C-1-21-june

 

Vad vill du skydda datorn mot?

 

[Blaxtar]

Nej men det gör inget om jag behöver pröjsa lite för dem. Har provat de flesta men inte hittat någon som jag är nöjd med. Till exempel så fungerar Symantec Antivirus men inte tillfredsställande.

 

Jag litar på virusbullentin, http://www.virusbtn.com/news/2008/09_02.xml

 

Är ute för att skydda mig från angrepp utifrån, och infektioner av diverse slag. Hur gör de stora webbhotellföretagen med sin windowsservrar till exempel när det gäller antivirus och mjukvarubrandväggar?

 

[Cluster]

[...]vad jag kan göra för att förstärka skyddet inifrån?

Det första du bör göra är att köra Security Configuration Wizard

http://www.microsoft.com/windowsserver2003/technologies/security/configwiz/default.mspx

 

/Cluster

------------------------------------------------------

I do not fear computers. I fear the lack of them

--------> http://eforum.kicks-ass.net <---------

 

[Cecilia]

Jag litar på virusbullentin,

Hehe, jag brukar mest kolla på

http://www.av-comparatives.org/

 

Jag antar att webbhotellen liksom andra större företag har avancerade hårdvarubrandväggar. Men det var ju bra att du fick svar av Cluster för jag vet inte mycket om hur man säkrar upp miljön i företag på bästa sätt.

 

[Cluster]

Hur gör de stora webbhotellföretagen med sin windowsservrar till exempel när det gäller antivirus och mjukvarubrandväggar?

Svårt att svara på då det rimligtvis skiljer en hel del beroende på policy, tjänstens utformning och kompetens.

Hur som helst så är det förhoppningsvis inga av de seriösa aktörerna som använder sig av mjukvarubrandvägg

 

/Cluster

------------------------------------------------------

I do not fear computers. I fear the lack of them

--------> http://eforum.kicks-ass.net <---------

 

[Blaxtar]

Tack för tipset, ska verkligen prova på Security Configuration Wizard när jag får tid :-)

 

Några andra tips?

Behöver jag köra med en mjukvarubrandvägg över huvud taget om jag har en stark hårdvarubrandvägg? Och behöver jag ett antivirusprogram?

 

[Cecilia]

Om det är en hårdvarubrandvägg som man konfigurerar exakt för vad för trafik som får gå ut från datorn så behöver man inte en mjukvarubrandvägg. Vanliga hemmaroutrar kan inte konfigureras på det sättet.

 

Vill du att det ska kunna vara möjligt att lägga upp skadliga filer på datorn? Om inte så behöver du något som kan upptäcka dem, dvs antivirus- och antispionprogram. Allra säkrast är ju en HIPS (wikipedia) som specar exakt vilka processer och dll-filer som får köras på datorn.

 

http://www.idg.se/2.1085/1.181113

 

Vad som är viktigt är en väl genomtänkt backup-strategi så att den dagen det blir intrång i en annan form går att backa backa databaser, folks mappar etc till en tidpunkt innan intrånget utan att allt för mycket annat förloras.

 

[Blaxtar]

Nej, min hemmarouter är begränsad där man kan konfigurera vilka portar som ska vara öppna utåt. Thats it. Men som sagt så ska jag snart börja exprimentera med M0nowall, vilket ska kunna ersätta en brandvägg som kostar flera tiotusenlappar.

 

Jag funderar på att kika lite på Symantec Endpoint protection och se vad det kan ge för något. HIPS har jag provat men tycker att det blir för omständigt då det begränsar systemet för mycket.

 

Backup körs automatiskt varje natt mot filservern. Iofs så ersätter backupen de filer som gjordes en backup på natten före, men det ska väl inte spela så stor roll?

 

[Cecilia]

Backup körs automatiskt varje natt mot filservern. Iofs så ersätter backupen de filer som gjordes en backup på natten före, men det ska väl inte spela så stor roll?

Det beror ju på om du är säker på att du upptäcker ett intrång samma dygn som det sker. Samt om det gör något att alla filer som är gjorda under dygnet förloras.

 

[Cluster]

Är det någon risk [...] att servern ska infekteras av malware [...] genom att någon tankar upp en fil innehållande virus genom FTPn?

Så länge som inte servern exekverar eller aktivt använder filerna är risken att servern infekteras minimal (speciellt med ett skydd som enbart tillåter godkända processer enl. nedan). Däremot så kan naturligtvis andra som tankar ned eller använder filerna drabbas.

 

HIPS har jag provat men tycker att det blir för omständigt då det begränsar systemet för mycket.

En server som står och tillhandahåller en eller ett par tjänster skall systemmässigt vara väldigt statisk. Med andra ord så skall den vara starkt begränsad för att kunna erbjuda stabilitet och säkerhet.

Ett skydd som enbart låter förutbestämda processer och dll:er att köras kompletteras i ett sånt här system med fördel med ett antivirusprogram som regelbundet söker igenom de filer som laddas upp av användarna.

 

[...]ersätter backupen de filer som gjordes en backup på natten före, men det ska väl inte spela så stor roll?

Det beror väl på vad dina användare förväntar sig för service/möjligheter.

 

M0nowall har jag hört en del gott om men inte läst något riktigt bra test av, men det finns säkert massor att läsa på nätet.

 

Men vad ska jag göra för att skydda min server?

Utöver det som redan tagits upp här i tråden så finns det mängder av saker att tänka på både för själva windowssystemet (och alla dess tjänster) och för alla eventuella system och program som installeras och körs ovanpå.

Varje system har kända och okända sårbarheter. Det gäller att täppa till alla kända samt hålla sig uppdaterad på nya och skapa rutiner för att minimera risker som okända sårbarheter utgör.

När det gäller Windows så finns massor att beakta (rättigheter, loggning, patchning osv.) och mängder skrivet om olika sk. best practices på nätet, och i böcker.

Här är ett bra ställe att börja på:

http://www.microsoft.com/technet/security/prodtech/windowsserver2003.mspx

 

/Cluster

------------------------------------------------------

I do not fear computers. I fear the lack of them

--------> http://eforum.kicks-ass.net <---------

 

[Blaxtar]

Tusen tack både Cecilia & Cluster. Ska tänka på de förslag ni har lagt fram.

För det första så ska jag lägga om backupen så att den sparas i en månad eller två innan den ersätts. Kör SyncBackSE just nu, har ni något tips på ett annat program som bättre klarar av automatiska backuper för en server?

 

Vars kan jag få tag i ett HIPS-system som är lättkonfigurerat och fungerar bra? Har provat det inbyggda i Comodos brandvägg till Windows XP men det fungerar inte på Windows server. :-/

 

M0nowall rekommenderas av ICD, ett lokalt datorföretag som bland annat sätter upp IT-system för företag. Tillsammans med ALIX 2c0 KIT ska det ge ett mycket gott skydd enligt dem, men det är en del pillande för att få igång systemet.

http://www.icd.se/index.php?main_page=product_info&cPath=65_75&products_id=919&zenid=90640da55c6f1a964a816d0c01a17257

 

Angående mina användare så förväntar de sig inte särskilt mycket eftersom jag pysslar med det här mest för att lära mig själv.

 

Jag är mycket tacksam för er hjälp!