Повышение безопасности серверов и рабочих станций Presenter Name Job Title Microsoft

Содержание Основы безопасности серверов и рабочих станций Основы безопасности серверов и рабочих станций Настройка безопасности серверов Настройка безопасности серверов Методики настройки IIS Методики настройки IIS Настройка безопасности рабочих станций Настройка безопасности рабочих станций Методики обеспечения безопасности мобильных клиентов Методики обеспечения безопасности мобильных клиентов

Основные правила безопасности Active Directory Определите границы безопасности Active Directory Ужесточите политики безопасности в домене Используйте ролевую иерархию OU Обеспечьте безопасность администраторских функций Защитите DNS

Основные правила безопасности серверов Установите последний пакет исправлений и дополнений и все исправления безопасности Используйте групповые политики для защиты серверов - Отключите все ненужные службы - Включите строгие пароли - Отключите аутентификацию по протоколу LAN Manager и NTLMv1 Ограничьте физический доступ к серверам и сетевому оборудованию

Основные правила безопасности рабочих станций Установите последний пакет исправлений и дополнений и все исправления безопасности Используйте групповые политики для защиты рабочих станций - Отключите все ненужные службы - Применяйте шаблоны безопасности - Настройте безопасность Internet Explorer Применяйте антивирусное ПО Обучайте пользователей

Содержание Основы безопасности серверов и рабочих станций Основы безопасности серверов и рабочих станций Настройка безопасности серверов Настройка безопасности серверов Методики настройки IIS Методики настройки IIS Настройка безопасности рабочих станций Настройка безопасности рабочих станций Методики обеспечения безопасности мобильных клиентов Методики обеспечения безопасности мобильных клиентов

Системные службы, которые можно отключить Службы ClipBook Error Reporting Service HTTP SSL IMAPI CD- Burning COM Service Indexing Service Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) Messenger Microsoft POP3 Service ® NetMeeting ® Remote Desktop Sharing Remote Access Auto Connection Manager Remote Access Connection Manager World Wide Web Publishing Service

Необходимые системные службы Службы Cryptographic Services DHCP Client DNS Client Event Log IPSec Services Netlogon NTLM Security Support Provider Plug and Play Protected Storage Remote Procedure Call (RPC) Remote Registry Service Security Accounts Manager Server System Event Notification TCP/IP NetBIOS Helper Windows Installer Windows Management Instrumentation Windows Time Workstation

Определение зависимости служб Выясните зависимости между службами перед отключением Выясните зависимости между службами перед отключением Специальная оснастка в консоли Computer Management Специальная оснастка в консоли Computer Management

Настройка служб на серверах, выполняющих несколько ролей Шаблоны безопасности содержат настройки, которые определяют работу служб Шаблоны безопасности содержат настройки, которые определяют работу служб Настройки и ролевые шаблоны удобнее всего распространять с помощью групповых политик Настройки и ролевые шаблоны удобнее всего распространять с помощью групповых политик

Использование фильтрации IPSec Общее правило – блокируйте весь трафик, кроме того, для обработки которого сервер предназначен Общее правило – блокируйте весь трафик, кроме того, для обработки которого сервер предназначен Проверяйте политику IPSec перед внедрением Проверяйте политику IPSec перед внедрением Используйте оснастку IP Security Policy Management, Group Policy, или скрипты для настройки фильтров IPSec Используйте оснастку IP Security Policy Management, Group Policy, или скрипты для настройки фильтров IPSec Настройте фильтры для каждой используемой роли сервера Настройте фильтры для каждой используемой роли сервера

Фильтры IPSec для контроллеров домена СлужбаПротоколИсходный порт Целевой порт Исходный адрес Целевой адрес ДействиеСимметрия CIFS/SMB Server TCPЛюбой445ЛюбойMeРазрешитьДа UDPЛюбой445ЛюбойMeРазрешитьДа RPC ServerTCPЛюбой135ЛюбойMeРазрешитьДа UDPЛюбой135ЛюбойMeРазрешитьДа NetBIOS Server TCPЛюбой137ЛюбойMeРазрешитьДа UDPЛюбой137ЛюбойMeРазрешитьДа UDPЛюбой138ЛюбойMeРазрешитьДа TCPЛюбой139ЛюбойMeРазрешитьДа Monitoring Client Любой MeMOM ServerРазрешитьДа Terminal Services Server TCPЛюбой3389ЛюбойMeРазрешитьДа Global Catalog Server TCPЛюбой3268ЛюбойMeРазрешитьДа TCPЛюбой3269ЛюбойMeРазрешитьДа

Фильтры IPSec для контроллеров домена (продолжение) СлужбаПротоколИсходный порт Целевой порт Исходный адрес Целевой адрес ДействиеСимметрия DNS ServerTCPЛюбой53ЛюбойMeРазрешитьДа UDPЛюбой53ЛюбойMeРазрешитьДа Kerberos Server TCPЛюбой88ЛюбойMeРазрешитьДа UDPЛюбой88ЛюбойMeРазрешитьДа LDAP ServerTCPЛюбой389ЛюбойMeРазрешитьДа UDPЛюбой389ЛюбойMeРазрешитьДа TCPЛюбой636ЛюбойMeРазрешитьДа UDPЛюбой636ЛюбойMeРазрешитьДа NTP ServerTCPЛюбой123Me РазрешитьДа UDPЛюбой123MeРазрешитьДа Predefined RPC Range TCPЛюбой ЛюбойMeРазрешитьДа DC CommsЛюбой MeКонтроллер домена 1 РазрешитьДа DC CommsЛюбой MeКонтроллер домена 2 РазрешитьДа ICMP Любой MeЛюбойРазрешитьДа Все входящие соединения Любой MeЗапретитьДа

Использование реестра для настройки безопасности на контроллерах домена При использовании фильтров IPSec на контроллерах домена: При использовании фильтров IPSec на контроллерах домена: Откройте небольшое количество динамических RPC портов для регистрации клиентов Откройте небольшое количество динамических RPC портов для регистрации клиентов Ограничьте количество динамических RPC портов путем настройки параметров реестра на всех контроллерах домена Ограничьте количество динамических RPC портов путем настройки параметров реестра на всех контроллерах домена

Как создать политику безопасности IP 1. Откройте GPMC 2. Отредактируйте необходимый объект GPO для применения политики 3. Создайте списки фильтров IPSec 4. Определите действия для фильтров 5. Создайте политику безопасности IP 6. Внутри политики IP создайте правило безопасности IP для каждого из созданного списка фильтров 7. Назначьте готовую политику безопасности IP

Демонстрация Создание политики безопасности IP Использование GPMC для создания и назначения политики безопасности IP

Аудит безопасности Администраторы должны установить политику аудита Администраторы должны установить политику аудита При создании политики аудита: При создании политики аудита: Проанализируйте модель угроз Проанализируйте модель угроз Учтите возможности пользователей и систем Учтите возможности пользователей и систем Тестируйте и постоянно совершенствуйте политику Тестируйте и постоянно совершенствуйте политику Рассмотрите возможность централизованного хранения журналов событий безопасности Рассмотрите возможность централизованного хранения журналов событий безопасности

Microsoft Audit Collection Services (MACS) WMI Рабочие станции Серверы с аудитом SQLCollector События для анализаАудиторы контролируют процессы Журналы Приложения обнаружения вторжения Анализ Система управления

Рекомендуемые настройки политики для серверов Политика аудитаРекомендуемые настройки Audit account logon eventsSuccess Audit account managementSuccess Audit directory service access Только если требуется в соответствии с моделью угроз Audit logon eventsSuccess Audit object access Только если требуется в соответствии с моделью угроз Audit policy changeSuccess Audit privilege useNo auditing Audit process tracking Только если требуется в соответствии с моделью угроз Audit system eventsSuccess

Демонстрация Аудит Использование EventCombMT для просмотра журнала событий

Содержание Основы безопасности серверов и рабочих станций Основы безопасности серверов и рабочих станций Настройка безопасности серверов Настройка безопасности серверов Методики настройки IIS Методики настройки IIS Настройка безопасности рабочих станций Настройка безопасности рабочих станций Методики обеспечения безопасности мобильных клиентов Методики обеспечения безопасности мобильных клиентов

Инструмент IIS Lockdown Tool IIS Lockdown Tool выключает все ненужные возможности для снижения пространства атак в IIS 4.0, IIS 5.0, и IIS 5.1 Для усиления защиты Lockdown Tool включает также URLScan, который содержит шаблоны для настроек для каждой роли сервера

IIS Lockdown Results (X - включено)

URLScan URLScan помогает предотвратить потенциально опасные запросы к серверу URLScan помогает предотвратить потенциально опасные запросы к серверу URLScan ограничивает типы запросов HTTP, которые может обработать IIS: URLScan ограничивает типы запросов HTTP, которые может обработать IIS: Слишком длинные URL Слишком длинные URL Запросы запрещенных методов Запросы запрещенных методов Запросов удовлетворяющих другим критериям опасности Запросов удовлетворяющих другим критериям опасности

Защитите ОС и установите все исправления безопасности Удалите ненужные компоненты Запустите IIS Lockdown Tool Настройте URLScan Храните содержимое сайтов на отдельном разделе NTFS Защитите файлы минимальными правами Зашифруйте важный трафик Если возможно, не разрешайте одновре- менно Execute и Write на одном сайте Запускайте приложения в режимах Medium или High Application Protection Настройте фильтрацию IPSec для нужного трафика к веб-серверу (HTTP и HTTPS) 10 самых важных шагов для защиты IIS 5.x

Новое в безопасности IIS 6.0 IIS 6.0 является защищенным сразу же после завершения установки с самыми строгими ограничениями и настройками ВозможностьОписание Закрыт по умолчанию IIS 6.0 не устанавливается по умолчанию. После установки позволяет обрабатывать только статический контент Список расширений По умолчанию не позволяет компилировать, исполнять и обслуживать динамическое наполнение сайта Работает с учетной записью с низкими привилегиями Процессы IIS запускаются со значительно пониженными привилегиями используя пользователя NETWORK SERVICE Авторизация Аутентификация по URL с авторизацией через Authorization Manager. Условная и делегируемая аутентификация Проверка URL Настраиваемые тайм-ауты и длина URL. Проверка существования файла до попытки его запустить. Виртуальные каталоги с запретом запуска Изоляция процессов Новая «песочница» для приложений. Код работает только в worker process, повторное использование ресурсов.

Пулы приложений в IIS 6.0 Пулы приложений – изолированные набор приложений и рабочих процессов, которые их обслуживают Пулы приложений – изолированные набор приложений и рабочих процессов, которые их обслуживают Если приложение сбоит, это не влияет на приложения из других пулов Если приложение сбоит, это не влияет на приложения из других пулов Создайте пулы для приложений, которые не зависят друг от друга Создайте пулы для приложений, которые не зависят друг от друга

Демонстрация Настройка IIS 6.0 Настройка пулов приложений

Безопасность IIS: итоги Новая архитектура IIS 6.0 для высокой безопасности и надежности Новая архитектура IIS 6.0 для высокой безопасности и надежности Применяйте новые инструменты, руководства и обновления безопасности для своего веб- сервера Применяйте новые инструменты, руководства и обновления безопасности для своего веб- сервера Следите за информацией и обновляйте системы своевременно Следите за информацией и обновляйте системы своевременно

Содержание Основы безопасности серверов и рабочих станций Основы безопасности серверов и рабочих станций Настройка безопасности серверов Настройка безопасности серверов Методики настройки IIS Методики настройки IIS Настройка безопасности рабочих станций Настройка безопасности рабочих станций Методики обеспечения безопасности мобильных клиентов Методики обеспечения безопасности мобильных клиентов

Политики ограничения используемого ПО Запуск неподконтрольных программ пользователями представляет собой серьезный риск Запуск неподконтрольных программ пользователями представляет собой серьезный риск Политика управления использованием ПО запрещают пользователям запускать вредоносные программы: Политика управления использованием ПО запрещают пользователям запускать вредоносные программы: Применяются к исполнимым файлам, компонентам и скриптам Применяются к исполнимым файлам, компонентам и скриптам Может быть внедрена с помощью групповых политик Может быть внедрена с помощью групповых политик

Применение политик ограничения запуска программ Определите настройки по умолчанию: Разрешено или запрещено Определите исключения из правил по умолчанию: Правила на хеш Правила на сертификаты Правила на путь Правила зон безопасности Internet Определите сколько правил будет применяться: Используйте приоритет правил

Настройте ограничения на использование ПО РекомендуемПравило Запретить определенную версию программы Hash rule Запретить программу, которая стоит в одном и том же каталоге Path rule и переменные окружения Запретить программу, которая может быть установлена где угодно на рабочей станции Registry path rule Определить список разрешенных скриптов на центральном сервере Path rule Запретить все файлы типа.vbs, кроме тех, что в папке logon со скриптами Path rule и *.vbs Определить список скриптов, которые могут запускаться откуда угодно Certificate rule Разрешить установку ПО с доверенного сервера в Интернет Zone rule Дополнительные настройки: Проверка DLL, определение правил для администраторов, настройка типов файлов

Создание политики Domain Department OU Secured XP Users OU Windows XP OU Desktop OU Laptop OU Domain SRP Secured XP Users SRP Laptop SRP Desktop SRP GPO или локальная политика GPO или локальная политика Для пользователя или компьютера Для пользователя или компьютера Уровень по умолчанию Уровень по умолчанию Настройка правил Настройка правил Настройка параметров Настройка параметров Привязка политики к сайту, домену или OU Привязка политики к сайту, домену или OU

Демонстрация Применение политик по ограничению используемого ПО Настройка политик ограничений

Использование шаблонов ОбластиОписание Account PoliciesPassword Policy, Account Lockout Policy, и Kerberos Policy Local PoliciesAudit Policy, User Rights Assignment, и Security Options Event LogApplication, system, и security Event Log settings Restricted GroupsMembership of security-sensitive groups System ServicesStartup and permissions for system services RegistryPermissions for registry keys File SystemPermissions for folders and files Шаблоны – текстовые файлы, которые определяют настройки политики безопасности для защиты компьютеров, работающих на Windows

Использование политик на уровне домена Политики применяются к контроллерам домена для всех пользователей в домене НастройкаУязвимостьПротиводействиеСложности Enforce password history Повторное исполь- зование паролей Настроить на максимум Будут записывать старые пароли Passwords must meet complexity requirements Простые пароли легко подобрать Включение заставляет вводить сложные пароли Будут чаще забывать пароли Minimum password age Могут сменить пароль несколько раз за день чтобы оставить старый Минимум 2 дня в настройке Если администратор меняет пароль, то пользователь сменит только через 2 дня Enforce user logon restrictions Пользователь получает доступ к неавторизованным серверам Снизте таймауты для валидности билетов доступа Повышение трафика, возможное отсутствие доступа к серверам Domain Account Policies Kerberos Policies Account Lockout Policies

Внедрение шаблонов безопасности НастройкиВ шаблонеТребуетсяИзмененный шаблон Access this computer from the network Administrators, Users Только для некоторых пользователей Ограничьте доступ для конкретной группы Backup files and directoriesAdministrators Пользователи ноутбуков должны выполнять не будучи администраторами Дайте права пользователям ноутбуков Interactive Logon: Require smart card Not Configured Для подключения к рабочим станциям администраторов требуется смарт-карта Включите настройку Внедряйте с использованием групповых политик Внедряйте с использованием групповых политик Изучите шаблоны в руководстве по безопасности для Windows XP Изучите шаблоны в руководстве по безопасности для Windows XP Импортируйте настройки по умолчанию в шаблонах в GPO и отредактируйте по необходимости Импортируйте настройки по умолчанию в шаблонах в GPO и отредактируйте по необходимости

Обеспечение безопасности старых версий ОС Рабочие станции на базе Windows 2000 могут использовать шаблоны безопасности при применении групповой политики Рабочие станции на базе Windows 2000 могут использовать шаблоны безопасности при применении групповой политики Другие клиенты могут использовать скрипты и файлы политик: Другие клиенты могут использовать скрипты и файлы политик: Скрипты при регистрации в системе Скрипты при регистрации в системе Системные политики Системные политики Дополнительные скрипты Дополнительные скрипты

Сценарии внедрения Тип рабочей станции Как используетсяНастройки безопасности Windows XP Professional (не в домене) Для доступа к Интернету Запрет других приложений кроме Internet Explorer Используется шаблон high-security Используются локальные политики безопасности Windows XP Professional (В домене) В холле для всех кому хочется + терминальный клиент Политика запрещает все приложения кроме IE и Remote Desktop Connection Применен шаблон high-security Политики определены в GPO и назначаются к OU Windows XP и 2000 Professional (в домене) Закрытый офис для бизнес- задач Политика разрешает только определенные приложения Используется шаблон для рабочей станции Политики определены в GPO и назначаются к OU Windows XP Professional (в домене) Машина администратора Политика запрещает все приложения (но не применяется для администраторов) Используется модифицированный шаблон high- security Политики определены в GPO и назначаются к OU

Что говорить пользователям Выбирайте сложные пароли* Защищайте пароли Блокируйте компьютеры когда не работаете* Не работайте с высокими привилегиями* Запускайте только разрешенное ПО* Не открывайте подозрительных вложений* Не верьте никому на слово Ознакомьтесь с правилами в организации Не пытайтесь бороться с настройками* Сообщайте о возможных проблемах * Данные настройки могут быть полностью или частично управляться централизованно

Содержание Основы безопасности серверов и рабочих станций Основы безопасности серверов и рабочих станций Настройка безопасности серверов Настройка безопасности серверов Методики настройки IIS Методики настройки IIS Настройка безопасности рабочих станций Настройка безопасности рабочих станций Методики обеспечения безопасности мобильных клиентов Методики обеспечения безопасности мобильных клиентов

Типы удаленных клиентов модем Интернет LAN VPN OWA Wireless клиенты VPN клиенты Удаленные клиенты почты

Проблемы применения политик для удаленных пользователей Могут быть не членами домена: Могут быть не членами домена: Не применяются групповые политики Не применяются групповые политики Использование VPN с ограниченным доступом к сети Использование VPN с ограниченным доступом к сети Возможно, необходимо создать управление карантином для доступа к сети Возможно, необходимо создать управление карантином для доступа к сети Групповые политики могут обновляться только при подключении рабочих станций к сети Групповые политики могут обновляться только при подключении рабочих станций к сети Возможно снижение производительности при применении групповых политик по медленным каналам Возможно снижение производительности при применении групповых политик по медленным каналам

Доступ к почте для удаленных клиентов Используйте Outlook Access Используйте Outlook Access RPC через HTTP RPC через HTTP Microsoft Office Outlook Web Access (OWA): Microsoft Office Outlook Web Access (OWA): Методы аутентификации Методы аутентификации Шифрация Шифрация POP, IMAP, и SMTP POP, IMAP, и SMTP Outlook Mobile Access Outlook Mobile Access

Настройка клиентов Wireless Windows XP: Windows XP: Поддерживается 802.1x Поддерживается 802.1x Windows 2000: Windows 2000: 802.1x по умолчанию выключен 802.1x по умолчанию выключен Требует утилит третьих фирм Требует утилит третьих фирм Не поддерживаются профили для пользователей Не поддерживаются профили для пользователей Нельзя использовать групповые политики для настройки параметров подключения Нельзя использовать групповые политики для настройки параметров подключения

Правила безопасности для удаленных пользователей При работе с Terminal Services требуйте установки шифрованного VPN соединения Используйте многофакторную аутентификацию если возможно Проводите аудит журналов Обязательно нужна аутентификация для 802.1x клиентов беспроводных сетей

Итоги Основы безопасности серверов и рабочих станций Основы безопасности серверов и рабочих станций Настройка безопасности серверов Настройка безопасности серверов Методики настройки IIS Методики настройки IIS Настройка безопасности рабочих станций Настройка безопасности рабочих станций Методики обеспечения безопасности мобильных клиентов Методики обеспечения безопасности мобильных клиентов

Дальнейшие шаги 1. Будьте в курсе новостей Подпишитесь на рассылку бюллетеней безопасности: Подпишитесь на рассылку бюллетеней безопасности: Загрузите себе свежие руководства по безопасности: Загрузите себе свежие руководства по безопасности: 2. Пройдите дополнительное обучение На семинарах Microsoft: На семинарах Microsoft: В учебных центрах CTEC: В учебных центрах CTEC:

Дополнительная информация Сайт Microsoft по безопасности Сайт Microsoft по безопасности Для администраторов Для администраторов Для разработчиков Для разработчиков

Вопросы и ответы