Säkra upp win 2k server

[belini]

Sitter här med en nyistallerad win 2kserver.

Jag har installerat servicepack 3 och nu undrar jag om det finns någon som har,vet var det finns en guide över hur man säkrar upp efter sina behov.Har sökt runt lite på nätet men kan inte hitta någon som passar mig.

 

Tack på förhand

 

//Belini

[Johan A.]

Tja, du kan ju alltid vara cool och kolla de på

http://www.nsa.gov/snac/win2k/index.html

 

[belini]

Där fanns det läsning för hela vintern.

Finns det inget mer kortfattat ?

//belini

 

 

[Telleluy]

Microsoft har nåt tool som heter 'Microsoft Baseline Security Analyzer' som går igenom alla inställningar på en maskin eller flera i en domän och ger dig en fin rapport på vad du kan/bör göra för att bli lite mer safe.

den hittar du här: http://support.microsoft.com/default.aspx?scid=KB;en-us;320454&

 

[|)@nn3 |-|]

Du kan ju alltid börja med att bestämma vilka services som servern ska tillhandahålla och stänga allt som du vet inte kommer att användas. Mycket är på i onödan per default. Ju färre services du exponerar desto svårare är det att attackera servern. Undvik programvara som är osäker och surfa aldrig med IE direkt från din server. Har du ingen brandvägg före internet så se till att skaffa en eller installera en mjukvarubrandvägg direkt på servern. Bäst och billigast är en NAT burk mellan internet och ditt nätverk. En linuxburk utan andra services än endast NAT (brandvägg/transparent proxy) är lika säker som en hårdvarubrandvägg.

 

Starta alla audits i w2k servern och ta backup på dessa med jämna mellanrum. Då kan du se vad som har gjorts på din server ifall nån lyckas komma in. Om du inte kan se det så blir du annars tvungen att installera om allt från början för att du ska kunna vara säker på att ingen backdörr eller liknande är kvar.

 

Se även till att undvika enkla passwords. Vanligaste sättet att komma in på säkrade system är att gissa passwords. Kommer man in som vanlig användare i windows utifrån så går det inte att stoppa en root exploit. Detta bla eftersom inget gjorts ännu för att stoppa shatter axploiten.

 

[belini]

Hej tack för tipsen !

Har du någon länk till hur man sätter upp en linux nat.

Tack

 

//Belini

 

[Tor-Björn Wiktorsson]

Du har ett par finna enkla och klara..

en som ryms på EN DISKETT!!!

www.freesco.org

 

Och en med lite mera lull lull

 

www.smoothwall.org

 

[r3deye]

Det bästa sättet i mitt tycke att säkra upp en 2000 server på, förutsatt att all extern säkerhet är bra) är med Security Templates från NSA. Man implementerar dessa med hjälp av Security Configuration Editorn. Det går fort och det blir ofta väldigt bra. Det är dessutom lätt att se vad man gjort samt man kan täta till sådant som man själv tycker bör tätas.

Mallarna samt instruktioner hittar du under: http://www.nsa.gov/snac/win2k/download.htm

 

Instämmer även med föregående talare att visa services ska man stänga av. Till exempel 'Remote Registry'.

 

Ett annat smart drag kan vara att flytta alla "farliga" filer (typ "cmd.exe" och liknande) från C:\winnt\system32 till en egen katalog på litet hemligt ställe som du Auditar och sätter mycket hårda rättigheter på.

 

Hoppas det hjälpte!

 

Mvh, Mathias Haas

 

[inlägget ändrat 2002-11-21 23:44:51 av Tac II]

[Marcus Berglund]

http://www.linuxrouter.org/

 

[Aeroba]

Eftersom det är en server antar jag att du tänker använda den som en sådan på nåt sätt och då är det ju frågan om till vad.

 

Microsoft har ju nåt lockdown-tool som stänger ner det mesta du inte behöver (även saker som man kan behöva, men kan man inte få igång det kanske man inte ska köra det ).

 

Baseline Security Analyser är ju bra oxå som tidigare nämnts, och windowsupdate.com för att få de senaste patcharna.

 

URLScan, som är en del av lockdown-tool tror jag, låter dig ange vad som får köras på din IIS lite mer. Ta bort access för vissa filändelser o sånt.

 

http://support.microsoft.com/default.aspx?scid=KB;EN-US;q271071&ID=KB;EN-US;

Kan vara bra att kika på oxå. Minimum NTFS Permissions Required for IIS 5.0 to Work.

 

[Per-Erik L]

Hej, ytterliggare mer information, främst för win2k och IIS:en.

 

http://www.lokboxsoftware.com/SecureWin2K/

 

 

 

[|)@nn3 |-|]

Jag brukar använda rc firewall scriptet på:

 

http://www.e-infomax.com/ipmasq/

 

Man behöver då endast en linuxburk med kernel, grep iptables, awk,sed och

ifconfig.

 

Installera te.x. Redhat utan Xwindows och ladda ned rc.firewall. Lägg den i /etc/rc.d och ändra så att dina nätverkskort stämmer. Scriptet står i tydlig klartext så det är enkelt att ändra så det blir rätt. Med RedHat så ställer du in nätverkskort under installation så du behöver inte bry dig om dem efter installationen.

 

Installerar du utan några services alls, inte ens ssh, så har du en extremt säker brandvägg. Eftersom inga services finns finns det inget att attackera. En gammal 60mhz PC räcker mer än väl. Ca 8 mb minne krävs dessutom för att kunna routa 100 mb/s.

 

 

 

 

[Network_Y2K]

Ja du kan ju alltid gå Securing Windows 2000 Servers Course hos Defcom

http://www.defcom.com/windows2000defweb.pdf