Software Update Service Windows Update Web sites and
Werbung
Microsoft Security Tools Christian Thor Systems Engineer Microsoft GmbH Agenda Windows Security IIS Security Security Tools Windows 2000 Windows XP MBSA IIS Lockdown URLScan HFNetChk Software Update Service Window Security Security Checklist Alle Partitionen sind NTFS Partitionen Admin Account hat ein “Strong Password” deaktivieren nicht benötigter Dienste deaktivieren nicht benötigter Accounts entfernen nicht genutzter File Shares ACL’S auf Files, Shares & Registry Security Policies UptoDate mit Services Packs & Fixes Anti-Virus Software http://www.microsoft.com/technet/tools/ demo Windows 2000/XP Security Windows 2000 •Sichern der Registry •Sichern der LSA •Security Templates und Configuration Editor Windows XP •Personal Firewall •Software Restriction Policies Agenda Windows Security Windows 2000 Windows XP IIS Security Security Tools MBSA IIS Lockdown URLScan HFNetChk Software Update Service IIS Security Step by Step ACL’s auf virtuelle Verzeichnisse ACL’s auf die IIS Log-Files Logging aktivieren entfernen des ”iisadmpwd” Verzeichnisses entfernen nicht genutzter Script Mappings Prüfen der Authentifizierungs Methoden Installieren der minimalen Internet Dienste deaktivieren von RDS IIS Security ACL Basis Empfehlung Datei Typ CGI (.exe, .dll, .cmd, .pl) Scripts (.asp) Include Files (.inc, .shtm, .shtml) Statischer Content (.txt, .gif, .jpg, .html) Zugriff Everyone (X) Administrators (Full Control) System (Full Control) Everyone (X) Administrators (Full Control) System (Full Control) Everyone (X) Administrators (Full Control) System (Full Control) Everyone (R) Administrators (Full Control) System (Full Control) IIS Security Empfehlung für virtuelle Verzeichnisse Erstellen der Verzeichnisstruktur nach Dateityp ACLs auf die Verzeichnisse effektiver als ACLs auf die einzelnen Dateien bei SMTP oder FTP Nutzung beschränken des Zugriffs via ACLs C:\inetpub\ftproot C:\inetpub\mailroot IIS Security Script Mappings Wenn nicht benötigt… entfernen Web-based Passwords .htr Internet Database Connector .idc Server-Side Includes Internet Printing Index Server .stm, .shtm, shtml .printer .htw, .ida, idq IIS Security Beispiel Applikationen Beispiel Applikation Virtuelles Verzeichnis Physikalisches Verzeichnis IIS Samples \IISSamples c:\inetpub\iissamples IIS Documentation \IISHelp c:\winnt\help\iishelp Data Access \MSADC C:\program files\common files\system\Msadc demo IIS Security •einrichten von ACLs auf die virtuellen Verzeichnisse •Logging aktivieren •entfernen nicht genutzter Script Mappings Agenda Windows Security Windows 2000 Windows XP IIS Security Security Tools MBSA IIS Lockdown URLScan HFNetChk Software Update Service Security Tools IIS Lockdown Wizard Assistent zum Security Check Setzt IIS 4.0 und IIS 5.0 Konfiguration http://www.microsoft.com/technet/treeview/ default.asp?url=/technet/security/tools/ locktool.asp Express Mode Advanced Mode Hilfe Dateien/ Dokumentation Security Tools URLScan http://www.microsoft.com/technet/security/ tools/URLscan.asp Rule Based Filtering Screent alle eingehenden Requests an den Webserver Security Tools Hfnetchk überprüft Machinen auf installierte Patches Command Line Tool Netzwerkfähig - Admin Rechte Überprüft Status Windows NT 4.0 / 2000 SQL 7.0/2000 System Dienste IE 5.01 und höher Q303215 – Download “-nosum” Parameter für lokalisierte Server Security Tools Baseline Security Advisor Überprüft die Security Konfiguration Passwort Sicherheit Basiert auf HFNetChk Grafisch und CommandLine Tool Netzwerkfähig Überprüft: Windows NT 4.0 / 2000/ XP SQL 7.0/2000 IIS 4.0/5.0 IE 5.01 und höher Office 2000/ 2002 http://www.microsoft.com/technet/ security/tools/Tools/mbsahome.asp Security Tools Bulletins und Updates Windows Update/ Office Update Security Bulletins - Download Center Automatisierte Updates http://www.microsoft.com/technet/security/ Bulletin Newsletter und Critical Alerts EMail Notification Service demo Security Tools •IIS Lockdown •URL Scan •HfNetChk •MBSA Wizard Agenda Windows Security Windows 2000 Windows XP IIS Security Security Tools MBSA IIS Lockdown URLScan HFNetChk Software Update Service Software Update Service BITS – Background Intelligent Transfer Service Im Intranet stehender Update Server Admin entscheidet über Updates und stellt diese über intern stehenden Server zur Verfügung Clients holen sich Updates vom internen Server Spart Bandbreite Z.Z. nur MS Software Noch nicht im .NET Server vorhanden Als Webdownload auch für Windows 2000 (SP2) Software Update Service Windows QFEs, feature WHQL Microsoft Software Device Drivers Windows Update Internet Web sites and Download Servers Signed Cabs XML & SOAP Software Update Server Intranet Automatic Update Dynamic Update Device Manager XML & SOAP Client Computer Software Update Service Software Update Service Software Update Service User Configuration\Administrative Templates\Windows Components\Windows Update Software Update Service Software Update Service Software Update Service Summary Nutzen der Security Checklist Anwenden der aktuellen Patches und Service Packs Prozess zum regelmäßigen Überprüfen der Netzwerksicherheit www.microsoft.com/technet/ security/bulletin/notify.asp MS Press Information für IT Professionals © 2002 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
