Autore Luigi D'Amato luigidamato@securityinfos.com
Microsoft include un Toolkit di configurazione di sicurezza, ed una certa quantità di templates di sicurezza in Windows 2000, che ne faciliteranno l’installazione sicura.
DI seguito una checklist per l’installazione ottimale di Windows 2000 Professional o installazione di Server.
La lista è completa di tutti gli elementi conosciuti finora.
CHECKLIST
Considerazioni di base sulla sicurezza
Il maggior numero di violazioni all’interno delle aziende proviene proprio dall’interno delle stesse. Gli autori dei fatti possono essere utenti con certi poteri che agiscono in questo modo semplicemente per dare problemi ai colleghi o perché si occupano di spionaggio. Non vale la pena rendere fisicamente sicura ogni postazione di lavoro dell’azienda, ma è importante che i server non siano accessibili a chiunque, e che venga controllato chi è abilitato all’accesso. Sarebbe buona abitudine installare telecamere a circuito chiuso nel locale dove i server sono installati, e conservare le cassette registrate per 30 giorni. Per quanto riguarda i desktop, è meglio installare case che diano la possibilità di poter essere chiusi, con il sistema di chiusura conservato non in prossimità del computer.
Disabilitate il Guest Account
Windows 2000 disabilita il Guest Account per default, ma è in ogni caso meglio controllare che sia stato disabilitato. Per maggior sicurezza è meglio che all’account venga assegnata una password complessa, e che il logon sia limitato a 24x7.
Limitate il numero di account a quelli necessari
È buona abitudine eliminare ogni account doppio, di test, account suddivisi o di settore. Fa definita una linea di condotta per cui le autorizzazioni verranno concesse con dei presupposti ben precisi, e le stesse andranno verificate regolarmente. Questi account generici sono noti per avere delle password sciocche (e parecchi accessi) e sono i preferiti dagli hackers per la facilità con cui vi si può accedere. Questo può essere soprattutto un problema per le aziende di grosse dimensioni con staff informatici sottodimensionati, dove capita spesso che restino attivi per mesi accounts di utenti che non sono più collaboratori dell’azienda.
Create 2 account per gli amministratori del sistema
Può sembrare incongruente con le considerazioni fatte finora, ma questa è un’eccezione che va fatta. È bene che venga creato all’amministratore un account per la lettura della posta e altre attività di uso comune, ed un secondo account (con delle regole per l’impostazione della password molto più restrittive) con i privilegi classici dell’amministratore. Gli amministratori dovranno utilizzare il comando “Run As” per concedersi i privilegi di cui hanno necessità. Questo eviterà la diffusione dolosa di informazioni attraverso il network tramite l’utilizzo dei privilegi da amministratore.
Ridenominate l’account dell’amministratore
Nonostante questo non renda impossibile agli hacker, che utilizzeranno il SID per ovviare al problema, la deduzione del nome dell’account, renderà comunque difficoltoso il loro compito. Nel ridenominare l’account, è importante non usare il vocabolo “Admin”, andrebbe anzi preferito qualcosa che non faccia per nulla pensare ad un account che abbia dei diritti superiori.
Sarebbe ottimale la creazione di un account di Amministratore “finto”
Una buona strategia è quella di creare un account che si chiami “Administrator”, ed allo stesso non concedere alcun privilegio ma assegnare una password molto complessa di più di 10 caratteri. Questo renderebbe la vita parecchio difficile a chi cercasse di penetrarvi, e il controllo costante dell’account permetterebbe di venire a conoscenza di qualunque tentativo di violazione.
Sostituite l’”Everyone Group” con “Authenticated Users” nelle condivisioni di files
Nel contesto di Windows 2000, “Everyone” fa in modo che chiunque acceda al network abbia la possibilità di accedere anche ai dati. È quindi importante che la condivisione di dati venga permessa tramite “Authenticated Users” nell’ambito dell’azienda. Questo è di grande importanza soprattutto per le stampanti, che hanno l’”Everyone Group” assegnato per default.
Sicurezza delle password
Una buona politica in ambito password è di vitale importanza per la sicurezza del network. Deve essere richiesto l’utilizzo di password complesse che vanno cambiate ogni 60-90 giorni.
Password di protezione dello screen saver
Ancora una volta questo è un punto basilare della sicurezza che viene spesso aggirato dagli utenti. È importante che si faccia in modo che questa opzione sia abilitata in ogni workstation e server, alfine di evitare che chiunque possa accedere al sistema. Per risultati ottimali si dovrebbe scegliere blank screensaver o logon screensaver. Sarebbero da evitare OpenGL e programmi di grafica che utilizzerebbero inutilmente memoria e cicli di CPU. È importante che gli utenti prendano l’abitudine di bloccare la propria postazione di lavoro, e se fossero refrattari si potrà ovviare al problema facendo in modo che le postazioni si blocchino automaticamente se la postazione resta inattiva per 15 minuti o più.
Utilizzate NTFS su tutte le partizioni
I file system FAT e FAT32 File non possiedono un gran livello di sicurezza e aprono innumerevoli porte agli hacker per l’accesso al vostro sistema. È dunque importante che tutte le partizioni del sistema vengano formattate utilizzando NTFS.
Installate sempre un software Anti-Virus
Ancora una volta questo può sembrare inutile da sottolineare, ma sareste sorpresi nel sapere quante aziende non abbiano un antivirus installato nel sistema, o lo abbiano ma non si preoccupino di aggiornarlo. Gli antivirus odierni si occupano non solo di controllare i virus, ma verificano anche l’esistenza di codici “maliziosi”.
Misure di sicurezza di medio livello
Utilizzate il toolset di configurazione accluso a Windows 2000 per configurare la politica di sicurezza.
Il toolset fornito da Microsoft include dei templates per MMC che permettono di configurare facilmente le policies a dipendenza del livello di sicurezza che si voglia raggiungere. Il template comprende un gran numero di opzioni configurabili (di gran parte di queste si farà menzione nella guida) come pure un utile tool di analisi di sicurezza. Se la vostra workstation non fa parte di un dominio, si possono comunque abilitare le policies usando il programma Poledit.exe dal CD-ROM di Windows 2000 server. Per maggiori informazioni visitate il sito http://support.microsoft.com/support/kb/articles/q269/7/99.asp
Non ammettete modem non controllati nel vostro ambiente
Una delle vie più semplici per hackare consiste nel trovare il range di prefissi e suffissi dei numeri telefonici, che verranno provati fino a trovare un modem che raccolga il collegamento. Ogni PC collegato ad un modem è a rischio di sicurezza, si deve quindi essere certi che siano configurati in modo appropriato, e controllati regolarmente.
Non fate uso di servizi che non siano necessari
Windows 2000 propone Terminal Services, IIS e RAS che possono aprire buchi nei sistemi oprativi. Vale spesso la pena abilitare Terminal Services per permettere funzioni di controllo remoto da parte dell’help desk o server di amministrazione, ma ci si deve accertare della corretta configurazione. Esistono pure numerosi programmi “maliziosi” che possono tranquillamente girare come servizi senza che nessuno se ne accorga, si deve quindi fare in modo da conoscere i servizi che girano sul proprio server e controllarli periodicamente. I servizi di default per un installazione C2 sono:
Computer Browser
Microsoft DNS Server
Netlogon
NTLM SSP
RPC Locator
RPC Service
TCP/IP NetBIOS Helper
Spooler
Server
WINS
Workstation
Event Log
Chiudete le porte che non sono necessarie
Questa è una scelta da fare essendo a conoscenza dei propri bisogni e dei rischi nei quali si può incorrere. Le workstation non sono normalmente a rischio se protette da un firewall, ma non sono mai sicure al 100%. Gli hacker si servono abitualmente di port scanner. Potete facilmente rendervi conto delle porte aperte nel vostro sistema aprendo il file che si trova in %systemroot%\drivers\etc\services. Potete configurare le vostre porte attraverso il TCP/IP (pannello di controllo > Network e Dial Up Connections > Local Area Connection > Internet Protocol (TCP/IP) > Properties > Advanced > Options > TCP/IP Filtering). Per permettere unicamente connessioni TCP e ICMP, configurate mettendo l’opzione “permit only” sui protocolli UDP e IP e lasciando i campi in bianco. Una lista di porte di default per Windows 2000 Domain Controllers può essere trovata qui http://support.microsoft.com/support/kb/articles/Q289/2/41.ASP
Abilitate Auditing
La forma basilare di Intrusion Detection per Windows 2000 è l’abilitazione di Auditing. Questo vi metterà nella posizione di venire a conoscenza delle modifiche nelle policies di account, dei tentativi di hacking delle password, di accessi non autorizzati ai documenti, eccetera. Un gran numero di utenti non è nemmeno a conoscenza del tipo di porte che sono state lasciate aperte sulle postazioni di lavoro locali, e spesso se ne viene a conoscenza unicamente dopo che si sono avuti seri problemi di sicurezza. Le cose minimali da controllare sono le seguenti:
Account logon events
Success, failure
Account management
Success, failure
Logon events
Success, failure
Object access
Success
Policy change
Success, failure
Privilege use
Success, failure
System events
Success, failure
Settate permessi sui security event log
I file Event Log non sono protetti per default, cosicché si devono settare in modo che siano accessibili unicamente agli account di amministratore e di sistema.
Archiviate la maggioranza dei documenti su file di server
Nonostante al giorno d’oggi la gran parte delle workstation abbia drive piuttosto grossi, bisognerebbe eseguire l’archiviazione di tutti i documenti dell’utente (documenti di testo, progetti, cartelle di lavoro, eccetera) su un server, dove venga eseguito regolarmente il backup. Modificate i parametri di “My Documents” in modo che la macchina dell’utente salvi sempre su un server sicuro. Per utenti laptop, abilitate la funzione “Make available offline”.
Fate in modo che lo user name dell’ultimo log-in non appaia
Quando viene pressato Ctrl-Alt-Del appare una finestra che mostra il nome dell’ultimo utente che si è loggiato sul computer, da qui si può facilmente dedurre il modo in cui viene composto lo user name. Questa funzione può venir disabilitata in Registry Key HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName modificando il REG_SZ in valore “1”.
Verificate sempre sul sito web di Microsoft gli ultimi hotfixes
Come ben si sa, non si possono scrivere 30 milioni di righe di codici in modo perfetto, quindi i buchi di sicurezza vengono costantemente sistemati con update dei service packs e hotfixes, nonostante anche questi possano portare dei bugs. Controllate costantemente gli aggiornamenti sulla pagina Microsoft TechNet Security.
Settaggi di alta sicurezza
Settate le password di accensione
Questo dovrebbe essere una cosa fatta obbligatoriamente per utenti laptop, ma viene messa in pratica di rado per server e workstation nella maggior parte degli ambienti perché non permetterebbe l’accesso in remoto per fare il reboot in modo da poter eseguire un restart. Non bisogna però dimenticare che chiunque abbia fisicamente accesso al Computer Central Processing Unit (CPU) può fare in modo da disabilitare il power-on password, come pure installare momentaneamente un drive e caricare un altro OS, senza aver problemi con alcun settaggio di sicurezza. Se ciò potrebbe porre un problema per la sicurezza informatica della vostra azienda, valutate la possibilità di chiudere il case (se il modello lo permette), o di usare hard driver removibili che vengano poi conservati in un luogo sicuro ogni sera.
Disabilitate il DirectDraw
Questo eviterà accessi diretti a memoria e video hardware che è basilare per gli standard di sicurezza basici C2. La disabilitazione di DirectDraw potrebbe creare problemi per alcuni programmi che richiedono direct (giochi), ma non danno sicuramente problemi alla gran parte delle applicazioni usate per business.
Per disabilitare DirectDraw, in HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI
Settate il valore di timeout (REG_DWORD) a 0.
Disabilitate i Default Shares
Windows NT e Windows 2000 aprono hidden shares su qualunque installazione per l’uso del system account. (Si possono vedere tutte le cartelle condivise sul vostro computer digitando NET SHARE dal prompt di comando). La condivisione amministrativa di default può essere disabilitata in 2 modi. Il primo è disabilitando o fermando il Server service, che leva la possibilità di condivisione di cartelle sul proprio computer (ma permette di accedere alle cartelle condivise sugli altri computer). Quando disabilitate il Server service ( Control Panel > Administration Tools > Services), accertatevi che sia stato clikkato su Manual o Disabled, altrimenti l’opzione sarà nuovamente in funzione la prossima volta che verrà fatto un restart sul computer.
L’altro sistema è tramite il Registry, intervenendo su editing HKeyLocal Machine\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters. Per i server va messo valore 0 su REG_DWORD, mentre per le workstation AutoshareWks.
La disabilitazione delle condivisioni crea un alto livello di sicurezza, ma può dare problemi in alcune applicazioni, è quindi necessario che vengano eseguiti dei test prima di rilasciare la modifica in produzione.
Gli hidden shares di default sono:
Share
Path and Function
C$ D$ E$
Root di ogni partizione. Su computer Windows 2000 Professional queste cartelle condivise possono essere abilitate unicamente a amministratori e operatori di backup.
Su computer Windows 2000 Server possono esservi abilitati anche Operatori del Server.
ADMIN$
%SYSTEMROOT% questa condivisione è utilizzata dal sistema per l’amministrazione di un computer da remoto. Il suo path è sempre il path del root di Windows 2000 (la directory in cui è installato Windows 2000, ad esempio: C:\Winnt).
FAX$
SU server Windows 2000 è utilizzato nel processo di spedizione di fax. La cartella condivisa crea una cache temporanea del file per inserirlo nella cover page già presente sul server.
IPC$
Per connessioni temporanee fra server, è normalmente utilizzato in amministrazione da remoto, per la visualizzazione delle cartelle condivise.
NetLogon
Questa condivisione è utilizzata dal servizio net logon di un server Windows 2000 per processare la richiesta di domain logon.
PRINT$
%SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS Usato per l’amministrazione da remoto delle stampanti.
Disabilitate Dump File
Un dump file può essere utile quando il sistema o un’applicazione crashano e causano il famoso "Blue Screen of Death". Può anche dare la possibilità ad un hacker che possieda già delle informazioni rilevanti la possibilità di agire meglio.
Il Dump File può essere disabilitato in Control Panel > System Properties > Advanced > Startup and Recovery modificando l’opzione 'Write Debugging Information" in None. Se avete bisogno di servirvi di questa opzione per l’analisi di crash, potete rimetterla in funzione finché il problema non sia stato risolto, per poi disabilitarla nuovamente, cancellando pure i dump file salvati.
Abilitate EFS (Encrypting File System)
Windows 2000 ha un sistema di criptazione migliore, che aumenta la sicurezza di drive, cartelle e file. Questo aiuterà a prevenire l’attacco di un hacker che potrebbe accedere ai vostri files semplicemente installando un altro pc o un hard drive. L’encription va abilitata anche in Folders, non solo in Files, di modo che tutti i documenti salvati nella cartella vengano criptati.
Criptate il Temp Folder
Le applicazioni, per creare copie dei files mentre vengono modificati, usano la cartella temporanea, ma non sempre la puliscono dopo che le applicazioni siano state chiuse. Usando l’opzione Encrypt i files saranno al sicuro anche nella temporary.
Restringere i permessi del registro
In Windows 2000, solo Administrator e Backup Operators hanno per default accesso al registro di configurazione in remoto, tuttavia i permessi possono essere ridotti ulteriormente.
Pulite il Paging File quando si esegue lo shutdown
Il Pagefile è il file temporaneo di scambio che Windows NT e Windows 2000 usano per trattare la memoria e ottimizzare la performance. Ma ci sono delle parti che mettono in memoria le password non criptate, come pure altri dati. Si può pulire questo pagefile al momento dello shutdown in HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory, cambiando su ClearPageFileAtShutdown il valore in 1.
Disabilitate la possibilità di fare il boot da floppy o CD Rom su sistemi fisicamente sicuri
La terza parte delle utililty contiene buchi di sicurezza se usata via boot disk (incluso il reset della password di amministratore). Se la vostra sicurezza deve essere ad alto livello, considerate la possibilità di rimuovere completamente i drive del floppy e del CD. In alternativa, archiviate il CPU in un case esterno chiuso fisicamente, che permette comunque la necessaria ventilazione.
Una buona soluzione: una SmartCard o una Biometria invece della password
Tanto più restrittivo sarà il vostro regolamento in ambito password, quanto più i vostri utenti cominceranno ad avere appiccicati ovunque foglietti con scritta la stessa password. Quindi la possibilità di utilizzare una SmartCard potrebbe essere la soluzione al problema password.
Considerate la possibilità di mettere in funzione IPSec
IPSec mette in funzione un sistema di criptazione per sessioni network usando l’Internet Protocol (IP), e promette di offrire trasparenti e comunicazioni criptate in automatico per connessioni network.
Securityinfos 2002 Securityinfos, all rights reserved.
Totali
News presenti : 895 News estere presenti : 64352 Articoli presenti : 14 Comunicati Stampa : 306 Tools presenti : 0 Links presenti : 992 Annunci lavoro : 0 Libri : 120 Eventi presenti : 9 Aziende presenti : 12
Home
