Just nu i M3-nätverket
Jump to content

Säkra upp win 2k server


belini

Recommended Posts

Sitter här med en nyistallerad win 2kserver.

Jag har installerat servicepack 3 och nu undrar jag om det finns någon som har,vet var det finns en guide över hur man säkrar upp efter sina behov.Har sökt runt lite på nätet men kan inte hitta någon som passar mig.

 

Tack på förhand

 

//Belini

Link to comment
Share on other sites

Du kan ju alltid börja med att bestämma vilka services som servern ska tillhandahålla och stänga allt som du vet inte kommer att användas. Mycket är på i onödan per default. Ju färre services du exponerar desto svårare är det att attackera servern. Undvik programvara som är osäker och surfa aldrig med IE direkt från din server. Har du ingen brandvägg före internet så se till att skaffa en eller installera en mjukvarubrandvägg direkt på servern. Bäst och billigast är en NAT burk mellan internet och ditt nätverk. En linuxburk utan andra services än endast NAT (brandvägg/transparent proxy) är lika säker som en hårdvarubrandvägg.

 

Starta alla audits i w2k servern och ta backup på dessa med jämna mellanrum. Då kan du se vad som har gjorts på din server ifall nån lyckas komma in. Om du inte kan se det så blir du annars tvungen att installera om allt från början för att du ska kunna vara säker på att ingen backdörr eller liknande är kvar.

 

Se även till att undvika enkla passwords. Vanligaste sättet att komma in på säkrade system är att gissa passwords. Kommer man in som vanlig användare i windows utifrån så går det inte att stoppa en root exploit. Detta bla eftersom inget gjorts ännu för att stoppa shatter axploiten.

 

Link to comment
Share on other sites

Tor-Björn Wiktorsson

Du har ett par finna enkla och klara..

en som ryms på EN DISKETT!!!

www.freesco.org

 

Och en med lite mera lull lull

 

www.smoothwall.org

 

Link to comment
Share on other sites

Det bästa sättet i mitt tycke att säkra upp en 2000 server på, förutsatt att all extern säkerhet är bra) är med Security Templates från NSA. Man implementerar dessa med hjälp av Security Configuration Editorn. Det går fort och det blir ofta väldigt bra. Det är dessutom lätt att se vad man gjort samt man kan täta till sådant som man själv tycker bör tätas.

Mallarna samt instruktioner hittar du under: http://www.nsa.gov/snac/win2k/download.htm

 

Instämmer även med föregående talare att visa services ska man stänga av. Till exempel 'Remote Registry'.

 

Ett annat smart drag kan vara att flytta alla "farliga" filer (typ "cmd.exe" och liknande) från C:\winnt\system32 till en egen katalog på litet hemligt ställe som du Auditar och sätter mycket hårda rättigheter på.

 

Hoppas det hjälpte!

 

Mvh, Mathias Haas

 

[inlägget ändrat 2002-11-21 23:44:51 av Tac II]

Link to comment
Share on other sites

Eftersom det är en server antar jag att du tänker använda den som en sådan på nåt sätt och då är det ju frågan om till vad.

 

Microsoft har ju nåt lockdown-tool som stänger ner det mesta du inte behöver (även saker som man kan behöva, men kan man inte få igång det kanske man inte ska köra det :)).

 

Baseline Security Analyser är ju bra oxå som tidigare nämnts, och windowsupdate.com för att få de senaste patcharna.

 

URLScan, som är en del av lockdown-tool tror jag, låter dig ange vad som får köras på din IIS lite mer. Ta bort access för vissa filändelser o sånt.

 

http://support.microsoft.com/default.aspx?scid=KB;EN-US;q271071&ID=KB;EN-US;

Kan vara bra att kika på oxå. Minimum NTFS Permissions Required for IIS 5.0 to Work.

 

Link to comment
Share on other sites

Jag brukar använda rc firewall scriptet på:

 

http://www.e-infomax.com/ipmasq/

 

Man behöver då endast en linuxburk med kernel, grep iptables, awk,sed och

ifconfig.

 

Installera te.x. Redhat utan Xwindows och ladda ned rc.firewall. Lägg den i /etc/rc.d och ändra så att dina nätverkskort stämmer. Scriptet står i tydlig klartext så det är enkelt att ändra så det blir rätt. Med RedHat så ställer du in nätverkskort under installation så du behöver inte bry dig om dem efter installationen.

 

Installerar du utan några services alls, inte ens ssh, så har du en extremt säker brandvägg. Eftersom inga services finns finns det inget att attackera. En gammal 60mhz PC räcker mer än väl. Ca 8 mb minne krävs dessutom för att kunna routa 100 mb/s.

 

 

 

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...