Windows 2000 Installed and Secured
Transcript
Windows 2000 Installed and Secured
eWorld Network ReSearch - Windows 2000 Installed and Secured eWorld Network ReSearch Last update: 4/11/2003 by Alessandro Polo Windows 2000 Professional Installed and Secured [version 1.0B] 30-40min Installazione sistema Sorgenti possibili dell'installazione: ● ● ● ● Installazione da CD, CD Bootable (avviabile) del sistema operativo, il BIOS deve supportare il boot dal drive CD (tutti dopo 1996). Dischetti di Installazione del Sistema operativo. Aggiornamento da un Sistema operativo esistente. Installazione da Rete (da Sistema DNS appropriatamente configurato e con i files immagine online). Creazione dischetti di boot Eseguire D:\BOOTDISK\MAKEBOOT.EXE A: Dove D:\ è l'unità CD-Rom con il CD di installazione di Windows2000 e A: è l'unità floppy. Aggiornamento 20-40min base del sistema Ora si suppone che la rete sia operativa e che si disponga della maggior parte dei drivers e aggiornamenti su un computer accessibile o almeno su CD. Installazione Service Pack Scaricate il Service Pack più recente dal sito della microsoft (microsoft.com/ windows2000/downloads/servicepacks/) Eseguire il file Archivio e al termine riavviare il computer come richiesto. Avviare REGEDIT (Start->Esegui, scrivere "regedit" e cliccare ok) selezionare la cartella: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \WindowsUpdate\Auto Update Modificare "AUOptions" ad 1. Aggiungere il Valore DWORD "AUState" ed impostarlo a 7. [vedi foto] oppure esegure il file di registro WinAutoUpdate_Fix.reg. Installazione/Aggiornamento di Internet Explorer eWorld Network ReSearch - Windows 2000 Installed and Secured (puo essere necessaria connessione a Internet) Installare Internet Explorer 6.0 e l'ultimo aggiornamento disponibile: http://www.microsoft.com/windows/ie/downloads/default.asp http://www.microsoft.com/windows/ie/security/default.asp Installazione dei Drivers del computer Usate i drivers piu recenti (puo essere necessaria connessione a Internet), non installateli più volte, riavviate sempre quando richiesto. Per la Gestione delle perifefiche: Desktop->Risorse del Computer->(tasto destro)->Gestisci oppure Desktop->Risorse del Computer->(tasto destro)->Proprietà->(scheda Hardware)->Gestione Periferiche oppure Start->Impostazioni->Pannello di Controllo->Strumenti di Ammisitrazione->Gestione Computer Installazione DirectX Scaricate e installate la versione piu recente: http://www.microsoft.com/windows/directx/ Installazione Windows MediaPlayer Scaricate e installate la versione piu recente: http://www.microsoft.com/windows/windowsmedia/download/default.asp Configurazioni Opzionali Configurazione GUI "leggera" Per computer dedicate a mansioni sever-like è consigliabile disabilitare una serie di opzioni inulili e pesanti: Desktop->(tasto destro)->Proprietà->(scheda effetti)-> Disabilitare tutto. Desktop->(tasto destro)->Proprietà->(scheda impostazioni)-> Impostare la gamma di colori al massimo a 16bit e la risoluzione al max 1024x768. Desktop->Risorse del Computer->(tasto destro)->Proprietà->(scheda avanzate)>Opzioni prestazioni-> per fare musica e per i server è fortemente consigliato impostare "Servizi in background", per l'uso comune impostare "Applicazioni". Incrementare il file di paging (512Mb) e il file di registro (64Mb). Auto-Completamento nel Prompt dei Comandi eWorld Network ReSearch - Windows 2000 Installed and Secured Se siete affezzionati al Prompt del comandi o quando lo usate benedite i sistemi *NIX che completano il nome del file/cartella premendo TAB, potete attivare questa comoda opzione anche sui sistemi Windows 2000: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor Impostare la chiave CompletionChar a 9. oppure esegure il file di registro Prompt_AutoComplete.reg Visualizzare e personalizzare una finestra informativa al login Per abilitare la finestra: Strumenti di Amministrazione->Criteri di Protezione locali->Criteri locali>Opzioni di protezione modificare i due valori in fondo alla lista "Testo del messaggio.." oppure nel Registro di configurazione: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon Name: LegalNoticeCaption Type: REG_SZ Value: Inserire il messaggio della finestra. Name: LegalNoticeText Type: REG_SZ Value: Inserire il titolo della finestra. Disabilitare la visualizzazione dell'ultimo utente che ha effettuato il login (accesso locale) Per i sistemi domestici è molto utile non dover scrivere ogni volta il nome utente, ognimodo per disabilitare l'opzione: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon Name: DontDisplayLastUserName Type: REG_SZ Value: 1 Opzione predefinita: 0 [visualizza nome utente] Disabilitare il Shutdown del pc nella finestra di logon Le workstation solitamente possono essere riavviate senza il login ma nel caso di server è consigliabile disattivare la funzionalità, anche se si puo staccare la spina.. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon Name: ShutdownWithoutLogon Type: REG_SZ Value: 0 Opzione predefinita: 0 [visualizza pulsante "Chiudi sessione.."] Visualizzare la cartella Preferiti nel menu Start eWorld Network ReSearch - Windows 2000 Installed and Secured Per visualizzare la cartella modificare: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Explorer\Advanced Name: StartMenuFavorites Type: REG_DWORD Value: 1 Opzione predefinita: 0 Modifica dello sfondo al Logon Per modificare lo sfondo della finestra di logon di Windows: HKEY_USERS\Default\Control Panel\Desktop Name: Wallpaper Type: REG_SZ Value: <percorso e nome file> Name: TileWallpaper Type: REG_SZ Value: <0 per ingrandimento automatico, 1 per originale> Name: WallpaperStyle Type: REG_SZ Value: <0 per normale, 2 per immagine a tutto schermo> Nota: E' necessario riavviare il sistema. Configurazione Decalogo di suggerimenti per la sicurezza del sistema base di Sicurezza 01 Disabilitare il boot da CD e Floppy. Impostare una password sul BIOS. 000001 02 Se presente verificare la sicurezza del boot Menu. 000010 03 Verificare che tutte le partizioni siano formattate con file system NT (NTFS). 000011 04 Verificare che la password dell'Amministratore sia sicura e modificarla periodicamente. 000100 05 Disabilitare tutti i servizi non necessari. 000101 06 Disabilitare o cancellare gli account non necessari. 000110 07 Proteggere file e directory. 000111 08 Assicurarsi che l'account Guest sia disabilitato. 001000 09 Proteggere la registrazione dell'accesso anonimo. 001001 10 Applicare appropriate impostazioni di sicurezza (registry ACLs). 001010 11 Limitare l'accesso pubblico alle informazioni LSA (Local Security Authority). 001011 12 Impostare restrizioni sulle password (minimo numero di caratteri, ecc) 001100 13 Impostare la sicurezza e i permessi degli accounts. 001101 14 Configurare l'account dell'Amministratore. 001110 15 Negare il diritto di Debug agli utenti. 001111 16 Rimuovere tutte le condivisioni di rosorse non necessarie. 010000 17 Impostare permessi e sicurezza delle condivisioni (ACLs) 010001 18 Abilitare il Registro degli eventi (Auditing) 010010 Installare un software anti-virus e mantenerlo aggiornato (automaticamente se 010011 19 possibile) . 20 Installare periodicamente le versioni piu recenti di Service Pack e Patchs. 010100 21 Controllare il sistema con Baseline Security Analyzer (o HotFix Checker) 010101 Per mettere in pratica almeno la maggior parte dei consigli: eWorld Network ReSearch - Windows 2000 Installed and Secured Servizi Quanti più servizi sono operativi tanto più vulnerabile e lento è il sistema, è quindi fortemente cosigliabile disabilitare tutti i servizi non necessari, in particolare alcuni sono soggetti a attacci DoS e di escalazione dei privilegi. Start->Impostazioni->Pannello di Controllo->Strumenti di Ammisitrazione->Servizi oppure: Desktop->Risorse del Computer->(tasto destro)->Gestisci->Servizi oppure: Start->Run->scrivere services.msc e cliccare ok Windows 2000 Professional Services Nome servizio Processo Alerter Application Management Automatic Updates services.exe Workstation services.exe svchost.exe System Event Notification, Remote Procedure Call (RPC), svchost.exe Windows Management Instrumentation Driver Extension, Workstation clipsrv.exe Network DDE Remote svchost.exe Procedure Call (RPC) Server, services.exe Workstation services.exe Remote services.exe Procedure Call (RPC) Remote Procedure Call msdtc.exe (RPC), Security Accounts Manager services.exe services.exe Plug and Play, Print Spooler, Remote faxsvc.exe Procedure Call (RPC), Telephony IIS Admin inetinfo.exe Service Protected Storage, inetinfo.exe Remote Procedure Call (RPC) Remote cisvc.exe Procedure Call (RPC) Background Intelligent Transfer Service ClipBook COM+ Event System Computer Browser DHCP Client Distributed Link Tracking Client Distributed Transaction Coordinator DNS Client Event Log Fax Service FTP Publishing Service IIS Admin Service Indexing Service Dipendenze PredefinitoHomeNet ICS Manuale Disabilitato Disabilitato Manuale Manuale Manuale Automatico Disabilitato Disabilitato Manuale Disabilitato Disabilitato Manuale Disabilitato Disabilitato Manuale Manuale Disabilitato Automatico AutomaticoManuale Automatico AutomaticoAutomatico Automatico Manuale Disabilitato Manuale Disabilitato Manuale Automatico AutomaticoDisabilitato Automatico AutomaticoAutomatico Manuale Disabilitato Disabilitato Opzionale Disabilitato Disabilitato Opzionale Disabilitato Disabilitato Manuale Disabilitato Disabilitato eWorld Network ReSearch - Windows 2000 Installed and Secured Remote Access svchost.exe Connection Manuale Manager Remote IPSEC Policy Agent lsass.exe Procedure Call Automatico (RPC) Logical Disk Manager services.exe Automatico Logical Disk Manager Administrative Service dmadmin.exe Manuale Distributed Transaction Coordinator, NT LM Security Support Provider, Message Queuing mqsvc.exe Protected Opzionale Storage, Remote Procedure Call (RPC), Security Accounts Manager, Server Remote Procedure Call Messenger services.exe Automatico (RPC), Workstation Net Logon lsass.exe Workstation Manuale NetMeeting Remote Desktop Sharing mnmsrvc.exe Manuale Remote Network Connections svchost.exe Procedure Call Manuale (RPC) Network DDE Manuale Network DDE netdde.exe DSDM Network DDE DSDM netdde.exe Manuale NT LM Security Support Provider lsass.exe Manuale Performance Logs and Alerts smlogsvc.exe Manuale Plug and Play services.exe Automatico Remote Print Spooler spoolsv.exe Procedure Call Automatico (RPC) Remote Protected Storage services.exe Procedure Call Automatico (RPC) QoS RSVP rsvp.exe Manuale Remote Access Connection Remote Access Auto Connection Manager svchost.exe Manuale Manager, Telephony Remote Access Connection Manager svchost.exe Telephony Manuale (but everything Automatico Remote Procedure Call (RPC) svchost.exe depends on it) Remote Procedure Call (RPC) Locator locator.exe Workstation Manuale Remote Registry Service regsvc.exe Automatico Remote Removable Storage svchost.exe Procedure Call Automatico (RPC) Remote RIP Listener svchost.exe Procedure Call Opzionale (RPC) NetBIOSGroup, Remote Routing and Remote Access svchost.exe Disabilitato Procedure Call (RPC) RunAs Service services.exe Automatico Security Accounts Manager lsass.exe Automatico Server services.exe Automatico Internet Connection Sharing Disabilitato Automatico Manuale Disabilitato AutomaticoDisabilitato Manuale Disabilitato Disabilitato Disabilitato Disabilitato Disabilitato Disabilitato Disabilitato Disabilitato Disabilitato AutomaticoAutomatico Manuale Disabilitato Manuale Disabilitato Manuale Manuale Manuale Disabilitato AutomaticoAutomatico AutomaticoDisabilitato AutomaticoAutomatico Disabilitato Disabilitato Manuale Automatico Disabilitato Automatico AutomaticoAutomatico Manuale Disabilitato Disabilitato Disabilitato Disabilitato Disabilitato Disabilitato Disabilitato Disabilitato Disabilitato Disabilitato Disabilitato AutomaticoDisabilitato AutomaticoAutomatico eWorld Network ReSearch - Windows 2000 Installed and Secured IIS Admin Service Opzionale Simple Mail Transport Protocol (SMTP) inetinfo.exe Simple TCP/IP Services Smart Card Smart Card Helper SNMP Service SNMP Trap Service tcpsvcs.exe Opzionale SCardSvr.exe Plug and Play Manuale SCardSvr.exe Manuale snmp.exe Event Log Opzionale snmptrap.exeEvent Log Opzionale COM+ Event Automatico svchost.exe System Remote MSTask.exe Procedure Call Automatico (RPC) services.exe Automatico tcpsvcs.exe Print Spooler Opzionale Plug and Play, Remote Manuale svchost.exe Procedure Call (RPC) Remote tlntsvr.exe Procedure Call Manuale (RPC) ups.exe Manuale UtilMan.exe Manuale msiexec.exe Manuale Remote WinMgmt.exeProcedure Call Manuale (RPC) services.exe Manuale Remote Procedure Call nspm.exe (RPC), Opzionale Windows Media Station Service services.exe Manuale Protected Storage, Remote Procedure Call svchost.exe (RPC), Manuale Windows Management Instrumentation Driver Extension services.exe Automatico IIS Admin Opzionale inetinfo.exe Service System Event Notification Task Scheduler TCP/IP NetBIOS Helper Service TCP/IP Print Server Telephony Telnet Uninterruptible Power Supply Utility Manager Windows Installer Windows Management Instrumentation WMI Driver Extension Windows Media Program Service Windows Time Wireless Configuration Workstation World Wide Web Publishing Service Disabilitato Disabilitato Manuale Disabilitato Disabilitato Disabilitato Disabilitato Disabilitato Disabilitato Disabilitato Disabilitato Disabilitato AutomaticoAutomatico AutomaticoAutomatico Manuale Manuale Disabilitato Disabilitato Disabilitato Automatico Disabilitato Disabilitato Disabilitato Disabilitato Disabilitato Disabilitato Manuale Manuale Manuale Manuale Manuale Manuale Manuale Disabilitato Disabilitato Disabilitato Disabilitato Disabilitato AutomaticoAutomatico Opzionale Opzionale Le due configurazioni proposte sono: ● ● HomeNet Destinata a PC che fanno parte di una rete domestica (ip statico o dinamico) e che condivisono risorse. La connessione a Internet puo essere condivisa solo tramite un proxy server installato sul Gateway della rete. ICS Destinata a PC di una rete domestica come la precedente ma con la condivisione della connessione a Internet abilitata. (La configurazione del PC Gateway, volgarmente "server", è praticamente compatibile con le WorkStation) In entrambi i casi sono stati disabilitati tutti i servizi non strettamente necessari, ovviamente questa lista è un template generale da modificare in caso di malfunzionamenti o necessità personali. Impostazioni di Protezione Locale eWorld Network ReSearch - Windows 2000 Installed and Secured ( le seguenti impostazioni hanno validità generale, se fossero troppo restrittive modificare singolarmente i parametri.) Start->Impostazioni->Pannello di Controllo->Strumenti di Ammisitrazione->Criteri di Protezione locali [vedi foto] Criterio Password: Modificare la lunghezza minima della password (8 o 10 caratteri) Criterio di blocco account: Blocca account per (30 minuti) Limite di blocchi (5 tentativi..) Reimposta account dopo (30 minuti) Criterio Controllo: Modificare sicuremente le voci "Controlla uso privilegi" e "Modifica del criterio di privilegi" in modo che vengano schedate le operazioni riuscite e fallite, è consigliabile attivare per le altre voci almeno la segnalazione degli eventi falliti. Se siete paranoci come il sottoscritto attivate tutte le voci. Assegnazione diritti utente: Accesso Locale Arresto forzato da un sistema remoto Nega accesso al computer dalla rete Togliere Guests Nessuno Accesso Anonimo, Guests Opzioni di Protezione: Cancella i file di paginazione di memoria virtuale all'arresto del sistema Consente di arrestare il sistema senza effettuare l'accesso Limita accesso Floppy a utenti che hanno effettuato l'accesso locale Non consente agli utenti di installare i driver della stampante Non visualizzare l'ultimo nome utente nella schermata di accesso Rinomina account Amministratore Rinomina account Guests Attivato Attivato (da valutare) Attivato Attivato Attivato (da valutare) Inserire un nome diverso Inserire un nome diverso Limitare l'accesso Anonimo (Null Sessions) L'impostazione predefinita di Windows 2000 permette a utenti anonimi e alle sessioni nulle di elencare una serie di risorse e informazioni che possono essere usate per capire la struttura della rete e i punti deboli, in ogni caso è consigliabile modifcare la chiave nel Registro di configurazione di ogni computer: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA Value: RestrictAnonymous Value Type: REG_DWORD Value Data: 0x2 (Hex) [2 dec] E' necessario riavviare il PC perchè la modifica abbia effetto. Nota: è vivamente consigliato di bloccare le porte NETBIOS, controllare la sezione Configurazione firewall e la lista delle porte insicure. Per testare la sicurezza alle sessioni Null: eWorld Network ReSearch - Windows 2000 Installed and Secured WININFO 127.0.0.1 e WININFO 127.0.0.1 -n Wininfo è un utility freeware, disponibile nel pacchetto completo della guida o nel sito eWorld Tools & Services. Per una descrizione del programma consultare la sezione Comandi & Tools. oppure NET USE \\192.168.0.1\IPC$ "" /u:"" In questo modo si mappa l' IPC$ (Inter Process Communications) usando sessioni nulle (e password nulla "") Se il comando viene eseguito correttamente (significa che )e poi si esegue NET VIEW \\192.168.0.1 Si avrà magicamente la lista delle condivisioni senza alcun autenticazione! Fare riferimento a How to Use the RestrictAnonymous Registry Value in Windows 2000 (Q246261) [keyword: kbenv kbhowto kbnetwork KB246261] e a http://www.brown.edu/Facilities/CIS/CIRT/help/netbiosnull.html. Configurazione di Internet Explorer E' possible creare un collegamento che non apra la pagina defalut (Home Page) con il parametro -nohome. Esempio: C:\Programmi\Internet Explorer\IEXPLORE.EXE –nohome Aprire una finestra di Internet Explorer, selezionare la voce Opzioni Internet nell'ultimo menu Strumenti, aprire la scheda Sicurezza e cliccare Personalizza.Disabilitare gli ActiveX non certificati, le operazioni di copia/ incolla e l'active Scripting. Le installazioni di Internet Explorer e Outlook Express da riviste personalizzano una serie di parametri che è consigliabile azzerare: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main Eliminare CompanyName HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main ModificareWindow Title [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings Modificare User Agent Nota: sconsiglio di modificare la stringa perchè alcuni siti potrebbero non essere più accessibili correttamente. Configurazione di Outlook Se utilizzate Microsoft Outlook (express o completo) è necessario modificare alcune impostazioni che limitano le vulnerabilità che sfruttano i Macro Virus: ActiveX, VBA e VBS. Selezionare la voce Opzioni Internet nell'ultimo menu Strumenti, nella scheda lettura abilitare la lettura di solo testo, in questo modo il testo delle email viene visualizzato come testo e non come HTML, i componenti ActiveX e lo scripting non possono essere eseguiti perchè vengono trattati come "parole". Gli allegati continuano ad essere pericolosi, l'esecuzione di allegati è potenzialmente dannosa anche se apparentemente l'estensione del file è innocua. Ecco un esempio, solo a scopo dimostrativo: hta_exploit.zip (da eseguire con gestione risorse) eWorld Network ReSearch - Windows 2000 Installed and Secured Configurazione Firewall Firewall software per Windows gratuiti, ovviamente solo per utenze domestiche: ■ ■ ■ ZoneAlarm Sygate Personal Firewall Tiny Firewall Una lista delle porte insicure da proteggere e monitorare è disponibile nella sezione Informazioni Aggiuntive sulla Sicurezza. A scopo informativo, per utenze avanzate: ■ ■ Comandi & Tools Cisco PIX Firewall NetScreen Technologies Command Line Tools - ipconfig Per visualizzare molte interessanti informazioni sulla configurazione della rete di un sistema Windows 2000 digitare in una Prompt dei comandi: IPCONFIG /ALL L'output del comando ipconfig /all > ipconfig_out.txt IPCONFIG /? visualizza le opzioni. Nota: Questo comando è disponibile ed eseguibile per default su tutte le installazioni di Windows2000, per gli utenti con restrizioni (gruppi users, ecc.) non è possibile tramite la GUI di Windows ottenere informazioni sui parametri della rete, ma se non impostato dall'amministratore (rarissimo) è molto semplice leggere tutti i dati grazie a ipconfig. Command Line Tools - netstat Netstat è un semplicissimo ma potente tool che elenca tutte le connessioni attive e le porte di ascolto, le statistiche Ethernet o per protocollo, la tabella di Routing. Digitare in una Prompt dei comandi: NETSTAT -A per visualizzare le connessioni NETSTAT -R per visualizzare la tabella di Routing NETSTAT -S per visualizzare le statistiche L'output del comando netstat /?> netstat_options.txt Nota: Anche questo comando, come ipconfig, è per default disponibile su ogni installazione e accessibile anche agli utenti. Command Line Tools - net eWorld Network ReSearch - Windows 2000 Installed and Secured Digitare in una Prompt dei comandi: NET Parametri disponibili: ACCOUNTS | COMPUTER | CONFIG | CONTINUE | FILE | GROUP | HELP | HELPMSG | LOCALGROUP | NAME | PAUSE | PRINT | SEND | SESSION | SHARE | START | STATISTICS | STOP | TIME | USE | USER | VIEW Il parametro NET HELP fornisce informazioni abbastanza chiare e dettagiate. Command Line Tools - nbtstat Visualizza le statistiche di protocollo e le connessioni TCP/IP correnti mediante NBT (NetBIOS su TCP/IP). NBTSTAT /? Command Line Tools - route Modifica le tabelle di routing della rete. [Attenzione, non usare questo comando senza cognizione di causa] ROUTE Fare riferimento a TCP/IP Routing Basics for Windows NT [keyword: kbhowto kbusage KB140859] VCN VCN è un tool gratuito e open source che permette di controllare un sistema remoto tramite inferfaccia grafica. In pratica le informazioni trasmesse sono le schermate del sistema remoto e le azioni input dell'utente (tastiera/mouse). http://www.realvnc.com/ o direttamente su eWorld Network: VNC 3.3.7 [Nov 2003] [4.2 Mb] Altri Tools gratuiti sono disponibili su eWorld Tools & Services Altri Tools Microsoft per Windows 2000: http://www.microsoft.com/windows2000/downloads/tools/default.asp 1-15min Connessione alla rete locale Se volete installare una rete domestica è necessario decidere consapevolmente come strutturare della rete, segue una lista di argomenti da tenere in considerazione: ■ ■ ■ ■ Budget [quanti soldi posso spendere, quali hardware aquistare, un hub?] Come si usa la Rete [condivisione risorse(file e stampanti), condivisione connessione a Internet, ecc] Priorità di sicurezza [è importante la sicurezza di quali computer in particolare] Scalabilità della rete [possibilità di usare diversi sistemi operativi, di aggiungere computers..] Ritengo inutile approfondire discorsi teorici sul design di reti, esistono molte guide anche gratuite a riguardo, eWorld Network ReSearch - Windows 2000 Installed and Secured quindi seguono alcuni esempi di configurazioni diffuse o probabili nel campo delle reti domestiche. Configurazione A: Server + WorkStations, IP statico. In questo caso il computer "Server" è connesso a Internet (è mantiene la connessione attiva), inoltre sono connessi N computer tramite N LAN. Il computer Server deve essere configurato come pseudo-firewall (sarebbe meglio avere un computer dedicato con sistema Linux, con due schede di rete: una connessa al router ADSL e l'altra al Server) I computers condividono le risorse (file e stampanti) e condividono la connessione a Internet tramite un proxy software installato sul Server. ● ● ● ● ● ● ● ● Installare le schede di rete, aggiungere i protocolli necessari. Impostare l'indirizzo del Server a 192.168.0.1 Impostare l'indirizzo delle WorkStation a 192.168.0.X dove X è un numero univoco per ogni pc (1<X<255). Allineare il Gruppo di lavoro su tutti i computer. Aggiungere le risorse condivise. Installare l'HTTP Proxy server sul computer Server. [scarica da eWorld Tools & Services] Configurare Internet Explorer in modo che usi il proxy server [vedi foto] Configurare i permessi di accesso alle risorse e alla rete. (attenzione perchè è molto importante visto che non si dispone di un firewall dedicato) Configurazione B: Server + WorkStations, IP dinamico: DHCP La situazione è identica alla precedente ma gli indirizzi IP delle WorkStation non sono configurati manualmente e non sono necessariamente gli stessi al riavvio del computer. Il computer server assegna l'indirizzo IP automaticamente, questo è utile quando si hanno piu computer nella rete o si utilizza un Hub. ● ● ● Installare le schede di rete, aggiungere i protocolli necessari. Impostare l'indirizzo del Server a 192.168.0.1 Impostare "Ottieni IP automaticamente", Ottieni DSN automaticamente" [vedi foto] e aggiungere il Gateway predefinito su tutte le workstation. [vedi foto] Nota: E' necessario che su tutti i computer sia attivo (stato: automatico) il servizio "Client DHCP". Riassunto configurazione di una WorkStation con l'output di IPCONFIG /ALL Riassunto configurazione del Server con l'output di IPCONFIG /ALL Per testare manualmente il funzionamento dell'assegnazione automatica: Aprire una Prompt dei comandi, digitare IPCONFIG /ALL per vedere le impostazioni correnti, poi digitare IPCONFIG /RELEASE per rilasciare l'ip corrente assegnato al client, l'outpu dovrebbe essere: "Rilascio dell'indirizzo IP per la scheda ** riuscito." poi digitare: IPCONFIG /RENEW per ottenere dal server un nuovo IP, l'esecuzione corretta del comando mostrerà il nuovo IP a video. Nota: probabilmente l'IP assegnato è lo stesso del precedente se non ci sono altre workstation che fanno una richiesta di assegnazione contemporaneamente. eWorld Network ReSearch - Windows 2000 Installed and Secured Esempio di design di una rete domestica con un Hub: In questo caso il computer Host è il server (gateway) che configurato a dovere è compie anche mansioni del firewall. Condivisione Connessione a Internet Questo sistema integrato in Windows 2000 permette di condividere la connessione a Internet tra piu computers, praticamente viene effettuato un Routing a livello software tra la rete locale e la rete collegata al modem. La configurazione è piuttosto semplice ma rende molto vulnerabile la rete e ogni computer che ne fa parte. Consiglio almeno di installare firewall sulle singole workstation e configurare accuratamente il Server per non compromettere la sicurezza di tutta la rete. La configurazione della ICS (Internet Connection Sharing) è affrontata nella prossima sezione. Spiegazione dei singoli passi: Configurazione scheda di Rete e IP Statico Una scheda di rete 10/100Mbps comune costa sui 15 Euro. Installazione hardware e software (drivers se non Plug & Play) Start->Impostazioni->Reti e connessioni Remote->Connessione alla rete locale (LAN)-> (tasto destro)->Proprietà Se la sheda di rete è collegata ad un router (adsl o isdn) connesso a Internet abilitare solo il servizio TCP [vedi foto]. Se la scheda di rete è connessa alla rete domestica abilitare anche altri servizi come ad esempio la condivisione di file e il client di reti microsoft che gestisce l'autenticazione. [vedi foto] Selezionare Protocollo Internet TCP, impostare IP statico (es 192.168.0.98) o dinamico, lasciare la configurazione WINS vuota. Spuntare il CheckBox "Mostra icona sulla barra..." Allineamento del Gruppo di Lavoro Desktop->Risorse del Computer(tasto destro)->Proprietà->(scheda Identificazione di rete)->Proprietà immettere nome del computer univoco e semplice (o comunque identificativo) immettere nome del gruppo di lavoro unico per tutti i computer connessi. [vedi foto] Sharing delle Cartelle e Sicurezza eWorld Network ReSearch - Windows 2000 Installed and Secured Per verificare la connessione Aprire Esplora risorse, selezionare: Tutta la rete->(tasto destro)->Cerca Computer immettere il nome del computer. Per condividere dati: file/cartella/disco->(tasto destro)->Proprietà->(scheda Condivisione)>Condividi Cartella immettere un commento e un numero di utenti ragionevole (8?) per la vostra rete ma non eccessivo. Cliccare su Autorizzazioni e consentire solo le operazioni necessarie. Eventualmente rimuovere Everyone, Guest, accesso anonimo, IUSR_*, Web *. Aggiungere il gruppo "Authernicated Users". [vedi foto] (Gli ultimi due gruppi contraddistinguono gli eventuali utenti web per i server Web (con IIS)). Inoltre è possibile aggiungere dischi virtuali al proprio computer: Risorse del Computer->(tasto destro)->Connetti unità di rete.. [vedi foto] [vedi foto] Inserire la stringa \\"nome computer" \"nome condivisione" 10-15min Collegamento a Internet Tramite Router ADSL/ISDN, Modem ADSL Ethernet/USB, Modem PSTN/ISDN, LAN. Nota: Sconsiglio i modem ADSL USB, non sono ancora compatibii con Linux. Installazione Connessione ADSL con Modem Ethernet Se avete un modem ADSL è necessario configurare la rete tra il PC Firewall e il modem, installare il driver PPPoE (PPP over Ethernet), ad esempio Alice di Tin comprende nell'installazione i driver PPoE di Efficient Networks' Enternet 300. Quando la connessione è operativa il driver PPPoE appare come una rete locale, quindi in realtà si vedono due reti locali per la connessione a Internet (una vera con il modem, una virtuale del driver) e una rete locale vefa con un altro pc o con un Hub. [vedi foto] Assicurarsi che l'unico protocollo attivo sulle due reti per Internet sia "Protocollo TCP". [vedi foto] Nota: La connessione con il modem ADSL è sicuramente a 10 Mbps mentre molto probabilmente la rete con gli altri computer è a 100Mbps, questo puo' essere un semplice sistema per riconoscere la rete Adsl durante l'installazione. Condivisione Connessione a Internet (ICS) eWorld Network ReSearch - Windows 2000 Installed and Secured L'impostazione predefinita del software che gestisce il PPPoE è incompatibile con ICS, per modificarla aprire il software, sezionare "Settings", "Advanced" ed impostare DHCP invece di Private API. [vedi foto] Configurare la rete locale con IP dinamici (DHCP): configurare le WorkStation come indicato della sezione Rete Locale. Selezionare le proprietà della connessione PPPoE, selezionare la scheda Condivisione, attivare la condivisione per la rete locale [vedi foto]. Il sistema notifica che è necessario attivare il server DHCP e configurare gli altri computer della rete. Premere OK e riavviare il computer server, poi le workstation. Riassunto configurazione di una WorkStation con l'output di IPCONFIG /ALL Riassunto configurazione del Server con l'output di IPCONFIG /ALL Configurazione finale della Condivisione Se i passi sono stati eseguiti correttamente dovrebbe essere possibile navigare dalle workstation. Esiste un problema di basso livello tra il driver PPPoE e la rete locale che quasi sicuramente impedirà l'accesso ad alcuni siti dalla workstation (mentre sul server sono accessibili). Il problema è l'incompatibilità della grandezza del MTU, l'impostazione predefinita in Windows è 1500 mentre per il PPPoE è 1492 o 1454 o 1424. Ciò riguarda la grandezza dei pacchetti, il PPPoE supporta pacchetti piu piccoli dell'impostazione predefinita della rete di Windows quindi i pacchetti dovrebbero essere frammentati (divisi): Eseguire su una WorkStation in una Prompt dei Comandi: PING -F -L 1500 192.168.0.1 Questo comando invia un pacchetto di lunghezza 1500 senza frammentarlo. Se il risultato è "E' necessario frammentare il pacchetto ma DF è attivo." Fate altre prove con i valori 1492, 1454, 1424. Quando i pacchetti vengono inviati correttamente avete trovato la dimensione massima corretta, normalmente il valore da applicare è 1424. [vedi foto] Ora è necessario configurare ogni WorkStation in modo che il MTU sia quello corretto: Aprire Regedit e accedere alla chiave HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ Tcpip\ Parameters\Interfaces cercare l'interfaccia che contraddistingue la scheda di rete connessa alla rete locale con condivisione Internet, si riconosce facilmente dalle informazioni contenute (IP ad esempio). Aggiugere una chiave DWORD con il valore decimale che si è trovato prima. [vedi foto] (es. 1424 in decimale = 590 esadecimale). Riavviare le workstation riconfigurate. eWorld Network ReSearch - Windows 2000 Installed and Secured AggiornamentoPer completare l'aggiornamento della sicurezza è necessara una connessione internet e alcuni tools disponibili Sicurezza sul sito della Microsoft o nel pacchetto pre-assemblato dal sottoscritto (aggiornato alla data di questo documento). Software Necessari Scaricate e installate i seguenti tools dal sito della Microsoft: ■ ■ Microsoft Baseline Security Analyzer Home Page QChain (Updated) sono disponibili anche nel pacchetto contenente questa guida, comprende inoltre gli screenshots e i file linkati. ■ Windows 2000 Installed and Secured Packet [circa 5 Mb] [vedi contenuto del pacchetto] Altri Tools Microsoft per Windows 2000: http://www.microsoft.com/windows2000/downloads/tools/default.asp Controllo Vulnerabilità Il primo programma da eseguire è Network Security Hotfix Checker 3.3, verrà automaticamente scaricato il file che comprende gli ultimi controlli di sicurezza. (Accettare il certificato) (Ri)Eseguire il programma in una finestra di prompt (Start->Programmi->Acessori>Prompt dei comandi) [consiglio: si puo trascinare il file eseguibile nella finestra, automaticamente si traduce nel percorso] HFNETCHK.EXE -V Il tools di connette al sito della Microsoft e scarica il file XML contenente i controlli di sicurezza aggiornati. [vedi foto] E' disponibile una versione molto più complessa e dettagliata del softwar HotFix: http://www.shavlik.com/ Il software aggiorna automaticamente i dati sulle vulnerabilità più recenti ed esegue lo scan della rete. Esiste una versione free leggermente limitata ma apprezzabile. Download Patch necessarie Scaricate dal sito della Microsoft tutte le patch che HotFix ha notificato: http://www.microsoft.com/technet/security/current.asp Inserire il codice della patch e scaricare la versione compatibile con la lingua del sistema operativo. Codice Patch (es. 824141): NON eseguite ancora le patch. Go eWorld Network ReSearch - Windows 2000 Installed and Secured Aggiornamento Sistema: QChain QChain è un tool che permette di installare molte patch senza riavviare il computer ripetutamente. In pratica l'installazione dei file è virtuale e l'aggiornamento del sistema è effettuato da QChain al riavvio confrontando le date delle patch in modo da non sovrascrivere dati piu recenti. Ora aprite una finestra di Prompt (Start->Programmi->Accessori->Prompt dei comandi) Accedete alla cartella dove avete salvato le patch ed eseguitele con il parametro -z -q (-z prepara il lavoro a QChain e -q nasconde le finestre di dialogo sempre inutili). Esempio: Q123456_w2k_sp2_x86.exe -z -q Dopo aver eseguito tutte le patch con l'opzione -z eseguite QCHAIN.EXE "Update_log.txt" Riavviate il computer. Il file "Update_log.txt" conterrà le informazioni sui file aggiornati ed eventuali errori. Nel caso di patch non aggiornate correttamente, installatele manualmente e riavviate il pc ad ogni installazione. Per maggiori informazioni o problemi consultate Microsoft Knowledge Base Article Q296861 Controllo Vulnerabilità con BaseLine Security Analyser Ora che la maggior parte delle vulnerabilità sono state eliminate è molto utile fare un altro controllo con MSBA, questo tool con interfaccia grafica usa in realtà la stessa tecnologia di HotFix Checker ma aggiunge una serie di controlli di carettere generico molti utili per i novizi di sicurezza, inoltre fornisce dettagli sui singoli problemi e anche il sistema per risolverli. Controllo Vulnerabilità Online Alcuni siti offrono gratuitamente un controllo preliminare di sicurezza: ■ ■ ■ ■ ■ http://securityresponse.symantec.com/ http://www.blackcode.com/scan/ http://scan.sygate.com/ http://www.auditmypc.com/freescan/prefcan.asp http://tools-on.net/privacy.shtml eWorld Network ReSearch - Windows 2000 Installed and Secured Configurazioni Questa sezione non è dedicata a utenti inesperti. Avanzate Vengono affrontate alcune configurazioni avanzate per Server o Firewall, assolutamente da non provare se non si sa cosa si sta facendo. Attivare TCP/IP Forwarding Fare riferimento all'articolo Q230082. Il forwarding è disattivato per default, per attivarlo aprire il Registro di configurazione: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip \Parameters Name: IPEnableRouter Type: REG_DWORD Value: 1 Il valore 1 attiva il forwarding per tutte le connessioni sul pc. Modificare il tipo di Nodo (NetBIOS Node type) Le modifiche a questo parametro non sono valide per network basate su DHCP (cioè modificandole non funziona l'assegnamento automatico). Fare riferimento a Q160177. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT \Parameters Name: IPEnableRouter type: REG_DWORD ● ● ● ● Usare Usare Usare Usrae 0x00000008 0x00000004 0x00000002 0x00000001 per per per per hybrid node or h-node mixed node or m-node point-to-point WINS or p-node broadcast node or b-node Fare riferimento all'articolo Automatically Changing the Node Type of a Windows NT Workstation (Q167640) e TCP/IP and NBT Configuration Parameters for Windows 2000 or Windows NT (Q120642) Disabilitare la notifica della presenza di una Stampante La condivisione di una stampante su una macchina Windows 2000/NT notifica alla rete in modo broadcast la sua presenza ogni 10 minuti, è possibile disattivare la trasmissione modificando: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print Name: DisableServerThread Type: REG_DWORD Value: 1 Opzione predefinita: 0 Nota: Disattivando l'opzione la stampante non è più visibile navigando la rete interna, ma è ancora accessibile manualmente tramite il nome che identifica la stampante. Disabilitare il Media Sensing eWorld Network ReSearch - Windows 2000 Installed and Secured Windows 2000 Media sensing è il sistema che determina lo stato dell'adattatore di rete, è quindi alla base della gestione della sincronizzazione di cartelle condivise e dello stato Online/Offline di una risorsa di rete. Per disattivarlo: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip \Parameters Name: DisableDHCPMediaSense Type: REG_DWORD Value: 1 Opzione predefinita: 0 Disabilitare le connessioni persistenti Le connessioni persistenti sono quelle che vengono ripristinate all'avvio della macchina, ad esempio, il "mapping" di un unità di rete. Per disattivarle: HKEY_USERS\.Default\Software\Microsoft\Windows NT\Current Version \Network\Persistent Connections Name: SaveConnections Type: REG_SZ Value: no Opzione predefinita: yes Nota: E' necessario riavviare il sistema. Disabilitare la protezione dei File di Sistema La protezione impedisce che alcuni (parecchi in realtà) file di sistema non possano essere sovrascritti, per disattivare la funzionalità: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion \Winlogon Name: SFCDisable Type: REG_DWORD Value: FFFFFF9D Opzione predefinita: 0 Nascondere un sistema nella lista delle Risorse di rete Questa modifica impedisce che un server di condivisione risponda alle query della rete per la visualizzazione delle risorse, il server è sempre accessibile ma solo manualmente. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \LanmanServer\Parameters Name: Hidden Type: REG_DWORD Value: 00000001 Disabilitare il Desktop eWorld Network ReSearch - Windows 2000 Installed and Secured Per disabilitare e nascondere tutte le icone sul desktop modificare: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer Name: NoDesktop Type: REG_DWORD Value: 00000001 Mantere le connessioni RAS attive dopo il logout Per non disconnettere le connessioni RAS quando si effettua il logout modificare: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion \Winlogon Name: KeepRasConnections Type: REG_SZ Value: 1 Opzione predefinita: 0 [chiude connessioni] Abilitare l'auto-logon Per abilitare l'opzione che esegue il login automaticamente: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows NT \CurrentVersion\Winlogon Name: AutoAdminLogon Type: REG_SZ Value: 1 Name: DefaultDomainName Type: REG_SZ Value: <Nome dominio> Name: DefaultUserName Type: REG_SZ Value: <Nome utente> Name: DefaultPassword Type: REG_SZ Value: <Password per l'utente> Nota: Username e Password vengono salvate come testo in chiaro!!! eWorld Network ReSearch - Windows 2000 Installed and Secured Informazioni Questa sezione vuole fissare alcuni argomenti importanti per la sicurezza a prescindere dalle configurazioni Aggiuntive singole. sulla Sicurezza Lista Porte insicure Queste porte sono da considerare relativamente pericolose a priori: Servizio Porta ProtocolloPericolositàSpiegazione (reserved) (sscan signature) OS type probe ttymux echo systat unassigned chargen ftp 0 TCP/UDP Alta Porte sorgenti 0-5 TCP Alta Porte sorgenti 0 1 7 11 15 19 21, 20 TCP/UDP TCP TCP/UDP TCP TCP TCP/UDP TCP Alta Alta Alta Alta Alta Alta Bassa ssh 22 TCP Media ssh telnet smtp DNS dhcpc 22 23 25 53 67 UDP TCP TCP TCP UDP Bassa Media Alta Alta Bassa tftpd 69 UDP Media finger link pop 79 87 110, 109 TCP TCP TCP Bassa Alta Alta sunrpc 111 TCP/UDP Alta nntp 119 TCP Media ntp 123 UDP Bassa netbios netbios netbios imap 137 138 139 143 TCP/UDP TCP/UDP TCP TCP Alta* Alta* Alta* Alta snmp 161, 162 UDP Alta xdmcp 177 UDP Alta rexec biff rlogin who rsh syslog printer talk ntalk route mount socks SQL 512 512 513 513 514 514 515 517 518 520 635 1080 1114 TCP UDP TCP UDP TCP UDP TCP UDP UDP UDP UDP TCP TCP Alta Alta Media Alta Media Alta Alta Media Media Alta Alta Alta Alta openwin 2000 TCP Alta broadcasts a 0.0.0.0/0 ->probabile port scan ->probabile attacco UDP informazioni sistema/utente era netstat ->probabile attacco UDP File Transfer Service Secure Shell Service (OpenSSh Bug) vecchia porta di PC Anywhere Remote Login Send Mail Transfer Protocol Domain Name Server -> probabilmente un errore FTP alternativo: raro quanto insicuro -> Informazioni sugli utenti Terminal Link Mail & News NFS, NIS, servizi basati su RPC News (free/public) Sincronizzazione orologio di sistema Windows Name Service Windows Datagram Service Windows Session Service -> Bug molto famoso Amministrazione remotaremote network administration xdm: XDMCP, X Display Manager dedicato per intranet dedicato per intranet dedicato per intranet dedicato per intranet dedicato per intranet dedicato per intranet dedicato per intranet dedicato per intranet dedicato per intranet Routing Servizio NFS Mount ->potenziale attacco spam ->probabile port scan OpenWindows windowing system Remote Filesystem Access PC Anywhere X Windows NFS 2049 pcanywherestat 5632 X11 6000+n TCP/UDP Alta UDP Bassa TCP Alta eWorld Network ReSearch - Windows 2000 Installed and Secured NetBus 12345, 12346, 20034 TCP Alta* Back Orifice 31337 UDP Alta* UDP Alta* UDP Bassa Traceroute in entrata Ping service redirezione di routing in entrata Traceroute in uscita Hack'a'Tack traceroute 31790, 31789 3343433523 ping 8 ICMP Bassa redirect 5 ICMP Alta traceroute 11 ICMP Bassa ->Troiano (sistema assolutamente insicuro) ->Troiano (sistema assolutamente insicuro) ->Troiano (sistema assolutamente insicuro) Un occhio di riguardo per le reti Microsoft alle porte del NetBIOS over IP, è necessario che il firewall tra la rete e Internet le blocchi: 135 TCP DCE/RPC Portmapper 137 TCP/UDP NetBIOS Name Service 138 TCP/UDP NetBIOS Datagram Service 139 TCP NetBIOS Session Service 445 TCP Microsoft-DS (Windows 2000 CIFS/SMB) E' anche disponibile una lista completa di tutte le porte in formato testo. Lista delle 20 vulnerabilità più diffuse e importanti Fonte : SANS-FBI Version 4.0 October 8, 2003 Top Vulnerabilities to Windows Systems ● ● ● ● ● ● ● ● ● ● W1 Internet Information Services (IIS) W2 Microsoft SQL Server (MSSQL) W3 Windows Authentication W4 Internet Explorer (IE) W5 Windows Remote Access Services W6 Microsoft Data Access Components (MDAC) W7 Windows Scripting Host (WSH) W8 Microsoft Outlook and Outlook Express W9 Windows Peer to Peer File Sharing (P2P) W10 Simple Network Management Protocol (SNMP) Top Vulnerabilities to UNIX Systems ● ● ● ● ● ● ● ● U1 BIND Domain Name System U2 Remote Procedure Calls (RPC) U3 Apache Web Server U4 General UNIX Authentication Accounts with No Passwords or Weak Passwords U5 Clear Text Services U6 Sendmail U7 Simple Network Management Protocol (SNMP) U8 Secure Shell (SSH) eWorld Network ReSearch - Windows 2000 Installed and Secured ● ● Bibliografia & Links U9 Misconfiguration of Enterprise Services NIS/NFS U10 Open Secure Sockets Layer (SSL) ■ ■ ■ ■ ■ ■ ■ http://www.microsoft.com/technet/security/current.asp eWorld News & Links: Windows Security Section Altri links: Practical Recommendations for Securing Internet-Connected Windows NT Systems [keyword: kbinfo KB164882] Microsoft Windows 2000 Security Configuration Guide SANS (Resources) http://www.wilsonmar.com/ http://www.blackviper.com/ All trademarks are property of their respective owners. Any tools listed and available in zip package is free and was downloaded from the Internet. You are authorized to copy, redistribute and print this paper, keeping Author's credits visible and without changing the document's content. Author is not responsible for any consequences or damages while upgrading your System. Last update: 4/11/2003 ReSearch Home open source 2003 | by Alessandro Polo eWorld Network