Windows 2000 Installed and Secured

Transcript

eWorld Network ReSearch - Windows 2000 Installed and Secured
eWorld Network ReSearch
Last update: 4/11/2003
by Alessandro Polo
Windows 2000 Professional Installed and Secured [version 1.0B]
30-40min
Installazione
sistema
Sorgenti possibili dell'installazione:
●
●
●
●
Installazione da CD, CD Bootable (avviabile) del sistema operativo, il BIOS deve supportare il boot dal
drive CD (tutti dopo 1996).
Dischetti di Installazione del Sistema operativo.
Aggiornamento da un Sistema operativo esistente.
Installazione da Rete (da Sistema DNS appropriatamente configurato e con i files immagine online).
Creazione dischetti di boot
Eseguire
D:\BOOTDISK\MAKEBOOT.EXE A:
Dove D:\ è l'unità CD-Rom con il CD di installazione di Windows2000 e A: è l'unità
floppy.
Aggiornamento
20-40min
base del
sistema
Ora si suppone che la rete sia operativa e che si disponga della maggior parte dei drivers e aggiornamenti su
un computer accessibile o almeno su CD.
Installazione Service Pack
Scaricate il Service Pack più recente dal sito della microsoft (microsoft.com/
windows2000/downloads/servicepacks/)
Eseguire il file Archivio e al termine riavviare il computer come richiesto.
Avviare REGEDIT (Start->Esegui, scrivere "regedit" e cliccare ok) selezionare la
cartella:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\WindowsUpdate\Auto Update
Modificare "AUOptions" ad 1.
Aggiungere il Valore DWORD "AUState" ed impostarlo a 7. [vedi foto]
oppure esegure il file di registro WinAutoUpdate_Fix.reg.
Installazione/Aggiornamento di Internet Explorer
(puo essere necessaria connessione a Internet)
Installare Internet Explorer 6.0 e l'ultimo aggiornamento disponibile:
http://www.microsoft.com/windows/ie/downloads/default.asp
http://www.microsoft.com/windows/ie/security/default.asp
Installazione dei Drivers del computer
Usate i drivers piu recenti (puo essere necessaria connessione a Internet), non
installateli più volte, riavviate sempre quando richiesto. Per la Gestione delle
perifefiche:
Desktop->Risorse del Computer->(tasto destro)->Gestisci
oppure
Desktop->Risorse del Computer->(tasto destro)->Proprietà->(scheda
Hardware)->Gestione Periferiche
oppure
Start->Impostazioni->Pannello di Controllo->Strumenti di
Ammisitrazione->Gestione Computer
Installazione DirectX
Scaricate e installate la versione piu recente:
http://www.microsoft.com/windows/directx/
Installazione Windows MediaPlayer
Scaricate e installate la versione piu recente:
http://www.microsoft.com/windows/windowsmedia/download/default.asp
Configurazioni Opzionali
Configurazione GUI "leggera"
Per computer dedicate a mansioni sever-like è consigliabile disabilitare una serie di
opzioni inulili e pesanti:
Desktop->(tasto destro)->Proprietà->(scheda effetti)->
Disabilitare tutto.
Desktop->(tasto destro)->Proprietà->(scheda impostazioni)->
Impostare la gamma di colori al massimo a 16bit e la risoluzione al max 1024x768.
Desktop->Risorse del Computer->(tasto destro)->Proprietà->(scheda avanzate)>Opzioni prestazioni->
per fare musica e per i server è fortemente consigliato impostare "Servizi in
background",
per l'uso comune impostare "Applicazioni".
Incrementare il file di paging (512Mb) e il file di registro (64Mb).
Auto-Completamento nel Prompt dei Comandi
Se siete affezzionati al Prompt del comandi o quando lo usate benedite i sistemi *NIX
che completano il nome del file/cartella premendo TAB, potete attivare questa
comoda opzione anche sui sistemi Windows 2000:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
Impostare la chiave CompletionChar a 9.
oppure esegure il file di registro Prompt_AutoComplete.reg
Visualizzare e personalizzare una finestra informativa al login
Per abilitare la finestra:
Strumenti di Amministrazione->Criteri di Protezione locali->Criteri locali>Opzioni di protezione
modificare i due valori in fondo alla lista "Testo del messaggio.."
oppure nel Registro di configurazione:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current
Version\Winlogon
Name: LegalNoticeCaption
Type: REG_SZ
Value: Inserire il messaggio della finestra.
Name: LegalNoticeText
Type: REG_SZ
Value: Inserire il titolo della finestra.
Disabilitare la visualizzazione dell'ultimo utente che ha effettuato il login
(accesso locale)
Per i sistemi domestici è molto utile non dover scrivere ogni volta il nome utente,
ognimodo per disabilitare l'opzione:
Version\Winlogon
Name: DontDisplayLastUserName
Type: REG_SZ
Value: 1
Opzione predefinita: 0 [visualizza nome utente]
Disabilitare il Shutdown del pc nella finestra di logon
Le workstation solitamente possono essere riavviate senza il login ma nel caso di
server è consigliabile disattivare la funzionalità, anche se si puo staccare la spina..
Version\Winlogon
Name: ShutdownWithoutLogon
Type: REG_SZ
Value: 0
Opzione predefinita: 0 [visualizza pulsante "Chiudi sessione.."]
Visualizzare la cartella Preferiti nel menu Start
Per visualizzare la cartella modificare:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
Name: StartMenuFavorites
Type: REG_DWORD
Value: 1
Opzione predefinita: 0
Modifica dello sfondo al Logon
Per modificare lo sfondo della finestra di logon di Windows:
HKEY_USERS\Default\Control Panel\Desktop
Name: Wallpaper
Type: REG_SZ
Value: <percorso e nome file>
Name: TileWallpaper
Type: REG_SZ
Value: <0 per ingrandimento automatico, 1 per originale>
Name: WallpaperStyle
Type: REG_SZ
Value: <0 per normale, 2 per immagine a tutto schermo>
Nota: E' necessario riavviare il sistema.
Configurazione Decalogo di suggerimenti per la sicurezza del sistema
base di
Sicurezza
01
Disabilitare il boot da CD e Floppy. Impostare una password sul BIOS.
000001
02
Se presente verificare la sicurezza del boot Menu.
000010
03
Verificare che tutte le partizioni siano formattate con file system NT (NTFS).
000011
04
Verificare che la password dell'Amministratore sia sicura e modificarla periodicamente. 000100
05
Disabilitare tutti i servizi non necessari.
000101
06
Disabilitare o cancellare gli account non necessari.
000110
07
Proteggere file e directory.
000111
08
Assicurarsi che l'account Guest sia disabilitato.
001000
09
Proteggere la registrazione dell'accesso anonimo.
001001
10
Applicare appropriate impostazioni di sicurezza (registry ACLs).
001010
11
Limitare l'accesso pubblico alle informazioni LSA (Local Security Authority).
001011
12
Impostare restrizioni sulle password (minimo numero di caratteri, ecc)
001100
13
Impostare la sicurezza e i permessi degli accounts.
001101
14
Configurare l'account dell'Amministratore.
001110
15
Negare il diritto di Debug agli utenti.
001111
16
Rimuovere tutte le condivisioni di rosorse non necessarie.
010000
17
Impostare permessi e sicurezza delle condivisioni (ACLs)
010001
18
Abilitare il Registro degli eventi (Auditing)
010010
Installare un software anti-virus e mantenerlo aggiornato (automaticamente se
010011
19
possibile) .
20
Installare periodicamente le versioni piu recenti di Service Pack e Patchs.
010100
21
Controllare il sistema con Baseline Security Analyzer (o HotFix Checker)
010101
Per mettere in pratica almeno la maggior parte dei consigli:
Servizi
Quanti più servizi sono operativi tanto più vulnerabile e lento è il sistema, è quindi fortemente cosigliabile
disabilitare tutti i servizi non necessari, in particolare alcuni sono soggetti a attacci DoS e di escalazione dei
privilegi.
Start->Impostazioni->Pannello di Controllo->Strumenti di Ammisitrazione->Servizi
oppure:
Desktop->Risorse del Computer->(tasto destro)->Gestisci->Servizi
oppure:
Start->Run->scrivere services.msc e cliccare ok
Windows 2000 Professional Services
Nome servizio
Processo
Alerter
Application Management
Automatic Updates
services.exe Workstation
services.exe
svchost.exe
System Event
Notification,
Remote
Procedure Call
(RPC),
svchost.exe Windows
Management
Instrumentation
Driver
Extension,
Workstation
clipsrv.exe Network DDE
Remote
svchost.exe Procedure Call
(RPC)
Server,
services.exe
Workstation
services.exe
Remote
services.exe Procedure Call
(RPC)
Remote
Procedure Call
msdtc.exe
(RPC), Security
Accounts
Manager
services.exe
services.exe
Plug and Play,
Print Spooler,
Remote
faxsvc.exe
Procedure Call
(RPC),
Telephony
IIS Admin
inetinfo.exe
Service
Protected
Storage,
inetinfo.exe Remote
Procedure Call
(RPC)
Remote
cisvc.exe
Procedure Call
(RPC)
Background Intelligent Transfer Service
ClipBook
COM+ Event System
Computer Browser
DHCP Client
Distributed Link Tracking Client
Distributed Transaction Coordinator
DNS Client
Event Log
Fax Service
FTP Publishing Service
IIS Admin Service
Indexing Service
Dipendenze
PredefinitoHomeNet ICS
Manuale
Disabilitato Disabilitato
Manuale
Manuale Manuale
Automatico Disabilitato Disabilitato
Manuale
Manuale
Manuale
Manuale
Disabilitato
Automatico AutomaticoManuale
Automatico AutomaticoAutomatico
Automatico Manuale
Disabilitato
Manuale
Disabilitato
Manuale
Automatico AutomaticoDisabilitato
Automatico AutomaticoAutomatico
Manuale
Opzionale
Opzionale
Manuale
Remote Access
svchost.exe Connection
Manuale
Manager
Remote
IPSEC Policy Agent
lsass.exe
Procedure Call Automatico
(RPC)
Logical Disk Manager
services.exe
Automatico
Logical Disk Manager Administrative Service dmadmin.exe
Manuale
Distributed
Transaction
Coordinator, NT
LM Security
Support
Provider,
Message Queuing
mqsvc.exe Protected
Opzionale
Storage,
Remote
Procedure Call
(RPC), Security
Accounts
Manager, Server
Remote
Procedure Call
Messenger
services.exe
Automatico
(RPC),
Workstation
Net Logon
lsass.exe
Workstation
Manuale
NetMeeting Remote Desktop Sharing
mnmsrvc.exe
Manuale
Remote
Network Connections
svchost.exe Procedure Call Manuale
(RPC)
Network DDE
Manuale
Network DDE
netdde.exe
DSDM
Network DDE DSDM
netdde.exe
Manuale
NT LM Security Support Provider
lsass.exe
Manuale
Performance Logs and Alerts
smlogsvc.exe
Manuale
Plug and Play
services.exe
Automatico
Remote
Print Spooler
spoolsv.exe Procedure Call Automatico
(RPC)
Remote
Protected Storage
services.exe Procedure Call Automatico
(RPC)
QoS RSVP
rsvp.exe
Manuale
Remote Access
Connection
Remote Access Auto Connection Manager svchost.exe
Manuale
Manager,
Telephony
Remote Access Connection Manager
svchost.exe Telephony
Manuale
(but everything
Automatico
Remote Procedure Call (RPC)
svchost.exe
depends on it)
Remote Procedure Call (RPC) Locator
locator.exe Workstation
Manuale
Remote Registry Service
regsvc.exe
Automatico
Remote
Removable Storage
svchost.exe Procedure Call Automatico
(RPC)
Remote
RIP Listener
svchost.exe Procedure Call Opzionale
(RPC)
NetBIOSGroup,
Remote
Routing and Remote Access
svchost.exe
Disabilitato
Procedure Call
(RPC)
RunAs Service
services.exe
Automatico
Security Accounts Manager
lsass.exe
Automatico
Server
services.exe
Automatico
Internet Connection Sharing
Disabilitato Automatico
Manuale
Disabilitato
AutomaticoDisabilitato
Manuale Disabilitato
AutomaticoAutomatico
Manuale
Disabilitato
Manuale Manuale
Manuale
Automatico
IIS Admin
Service
Opzionale
Simple Mail Transport Protocol (SMTP)
inetinfo.exe
Simple TCP/IP Services
Smart Card
Smart Card Helper
SNMP Service
SNMP Trap Service
tcpsvcs.exe
Opzionale
SCardSvr.exe Plug and Play Manuale
SCardSvr.exe
Manuale
snmp.exe
Event Log
Opzionale
snmptrap.exeEvent Log
Opzionale
COM+ Event
Automatico
svchost.exe
System
Remote
MSTask.exe Procedure Call Automatico
(RPC)
services.exe
Automatico
tcpsvcs.exe Print Spooler
Opzionale
Plug and Play,
Remote
Manuale
svchost.exe
Procedure Call
(RPC)
Remote
tlntsvr.exe Procedure Call Manuale
(RPC)
ups.exe
Manuale
UtilMan.exe
Manuale
msiexec.exe
Manuale
Remote
WinMgmt.exeProcedure Call Manuale
(RPC)
services.exe
Manuale
Remote
Procedure Call
nspm.exe
(RPC),
Opzionale
Windows Media
Station Service
services.exe
Manuale
Protected
Storage,
Remote
Procedure Call
svchost.exe (RPC),
Manuale
Windows
Management
Instrumentation
Driver Extension
services.exe
Automatico
IIS Admin
Opzionale
inetinfo.exe
Service
System Event Notification
Task Scheduler
TCP/IP NetBIOS Helper Service
TCP/IP Print Server
Telephony
Telnet
Uninterruptible Power Supply
Utility Manager
Windows Installer
Windows Management Instrumentation
WMI Driver Extension
Windows Media Program Service
Windows Time
Wireless Configuration
Workstation
World Wide Web Publishing Service
Manuale
Manuale
Disabilitato
Disabilitato
Manuale Manuale
Manuale
Manuale
Manuale
Manuale
Manuale
Disabilitato
Opzionale Opzionale
Le due configurazioni proposte sono:
●
●
HomeNet
Destinata a PC che fanno parte di una rete domestica (ip statico o dinamico) e che condivisono risorse.
La connessione a Internet puo essere condivisa solo tramite un proxy server installato sul Gateway
della rete.
ICS
Destinata a PC di una rete domestica come la precedente ma con la condivisione della connessione a
Internet abilitata.
(La configurazione del PC Gateway, volgarmente "server", è praticamente compatibile con le
WorkStation)
In entrambi i casi sono stati disabilitati tutti i servizi non strettamente necessari, ovviamente questa lista è
un template generale da modificare in caso di malfunzionamenti o necessità personali.
Impostazioni di Protezione Locale
( le seguenti impostazioni hanno validità generale, se fossero troppo restrittive modificare singolarmente i
parametri.)
Start->Impostazioni->Pannello di Controllo->Strumenti di Ammisitrazione->Criteri di Protezione locali [vedi
foto]
Criterio Password:
Modificare la lunghezza minima della password (8 o 10 caratteri)
Criterio di blocco account:
Blocca account per (30 minuti)
Limite di blocchi (5 tentativi..)
Reimposta account dopo (30 minuti)
Criterio Controllo:
Modificare sicuremente le voci "Controlla uso privilegi" e "Modifica del criterio di privilegi" in
modo che vengano schedate le operazioni riuscite e fallite, è consigliabile attivare per le altre
voci almeno la segnalazione degli eventi falliti. Se siete paranoci come il sottoscritto attivate
tutte le voci.
Assegnazione diritti utente:
Accesso Locale
Arresto forzato da un sistema remoto
Nega accesso al computer dalla rete
Togliere Guests
Nessuno
Accesso Anonimo, Guests
Opzioni di Protezione:
Cancella i file di paginazione di memoria virtuale all'arresto del
sistema
Consente di arrestare il sistema senza effettuare l'accesso
Limita accesso Floppy a utenti che hanno effettuato l'accesso locale
Non consente agli utenti di installare i driver della stampante
Non visualizzare l'ultimo nome utente nella schermata di accesso
Rinomina account Amministratore
Rinomina account Guests
Attivato
Attivato (da valutare)
Attivato
Attivato
Attivato (da valutare)
Inserire un nome diverso
Inserire un nome diverso
Limitare l'accesso Anonimo (Null Sessions)
L'impostazione predefinita di Windows 2000 permette a utenti anonimi e alle sessioni nulle di elencare una
serie di risorse e informazioni che possono essere usate per capire la struttura della rete e i punti deboli, in
ogni caso è consigliabile modifcare la chiave nel Registro di configurazione di ogni computer:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
Value: RestrictAnonymous
Value Type: REG_DWORD
Value Data: 0x2 (Hex) [2 dec]
E' necessario riavviare il PC perchè la modifica abbia effetto.
Nota: è vivamente consigliato di bloccare le porte NETBIOS, controllare la sezione Configurazione firewall e
la lista delle porte insicure.
Per testare la sicurezza alle sessioni Null:
WININFO 127.0.0.1
e
WININFO 127.0.0.1 -n
Wininfo è un utility freeware, disponibile nel pacchetto completo della guida o nel sito eWorld
Tools & Services.
Per una descrizione del programma consultare la sezione Comandi & Tools.
oppure
NET USE \\192.168.0.1\IPC$ "" /u:""
In questo modo si mappa l' IPC$ (Inter Process Communications) usando sessioni nulle (e
password nulla "")
Se il comando viene eseguito correttamente (significa che )e poi si esegue
NET VIEW \\192.168.0.1
Si avrà magicamente la lista delle condivisioni senza alcun autenticazione!
Fare riferimento a How to Use the RestrictAnonymous Registry Value in Windows 2000 (Q246261)
[keyword: kbenv kbhowto kbnetwork KB246261]
e a http://www.brown.edu/Facilities/CIS/CIRT/help/netbiosnull.html.
Configurazione di Internet Explorer
E' possible creare un collegamento che non apra la pagina defalut (Home Page) con il parametro -nohome.
Esempio: C:\Programmi\Internet Explorer\IEXPLORE.EXE –nohome
Aprire una finestra di Internet Explorer, selezionare la voce Opzioni Internet nell'ultimo menu Strumenti,
aprire la scheda Sicurezza e cliccare Personalizza.Disabilitare gli ActiveX non certificati, le operazioni di copia/
incolla e l'active Scripting.
Le installazioni di Internet Explorer e Outlook Express da riviste personalizzano una serie di parametri che è
consigliabile azzerare:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
Eliminare CompanyName
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
ModificareWindow Title
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Modificare User Agent
Nota: sconsiglio di modificare la stringa perchè alcuni siti potrebbero non essere più accessibili
correttamente.
Configurazione di Outlook
Se utilizzate Microsoft Outlook (express o completo) è necessario modificare alcune impostazioni che
limitano le vulnerabilità che sfruttano i Macro Virus: ActiveX, VBA e VBS.
Selezionare la voce Opzioni Internet nell'ultimo menu Strumenti, nella scheda lettura abilitare la lettura di
solo testo, in questo modo il testo delle email viene visualizzato come testo e non come HTML, i
componenti ActiveX e lo scripting non possono essere eseguiti perchè vengono trattati come "parole".
Gli allegati continuano ad essere pericolosi, l'esecuzione di allegati è potenzialmente dannosa anche se
apparentemente l'estensione del file è innocua.
Ecco un esempio, solo a scopo dimostrativo: hta_exploit.zip (da eseguire con gestione risorse)
Configurazione Firewall
Firewall software per Windows gratuiti, ovviamente solo per utenze domestiche:
■
■
■
ZoneAlarm
Sygate Personal Firewall
Tiny Firewall
Una lista delle porte insicure da proteggere e monitorare è disponibile nella sezione Informazioni Aggiuntive
sulla Sicurezza.
A scopo informativo, per utenze avanzate:
■
■
Comandi &
Tools
Cisco PIX Firewall
NetScreen Technologies
Command Line Tools - ipconfig
Per visualizzare molte interessanti informazioni sulla configurazione della rete di un
sistema Windows 2000 digitare in una Prompt dei comandi:
IPCONFIG /ALL
L'output del comando ipconfig /all > ipconfig_out.txt
IPCONFIG /? visualizza le opzioni.
Nota: Questo comando è disponibile ed eseguibile per default su tutte le installazioni
di Windows2000, per gli utenti con restrizioni (gruppi users, ecc.) non è possibile
tramite la GUI di Windows ottenere informazioni sui parametri della rete, ma se non
impostato dall'amministratore (rarissimo) è molto semplice leggere tutti i dati grazie a
ipconfig.
Command Line Tools - netstat
Netstat è un semplicissimo ma potente tool che elenca tutte le connessioni attive e le
porte di ascolto, le statistiche Ethernet o per protocollo, la tabella di Routing. Digitare
in una Prompt dei comandi:
NETSTAT -A per visualizzare le connessioni
NETSTAT -R per visualizzare la tabella di Routing
NETSTAT -S per visualizzare le statistiche
L'output del comando netstat /?> netstat_options.txt
Nota: Anche questo comando, come ipconfig, è per default disponibile su ogni
installazione e accessibile anche agli utenti.
Command Line Tools - net
Digitare in una Prompt dei comandi:
NET
Parametri disponibili:
ACCOUNTS | COMPUTER | CONFIG | CONTINUE | FILE | GROUP | HELP |
HELPMSG | LOCALGROUP | NAME | PAUSE | PRINT | SEND | SESSION |
SHARE | START | STATISTICS | STOP | TIME | USE | USER | VIEW
Il parametro NET HELP fornisce informazioni abbastanza chiare e dettagiate.
Command Line Tools - nbtstat
Visualizza le statistiche di protocollo e le connessioni TCP/IP correnti mediante NBT
(NetBIOS su TCP/IP).
NBTSTAT /?
Command Line Tools - route
Modifica le tabelle di routing della rete. [Attenzione, non usare questo comando senza
cognizione di causa]
ROUTE
Fare riferimento a TCP/IP Routing Basics for Windows NT [keyword: kbhowto
kbusage KB140859]
VCN
VCN è un tool gratuito e open source che permette di controllare un sistema remoto
tramite inferfaccia grafica.
In pratica le informazioni trasmesse sono le schermate del sistema remoto e le azioni
input dell'utente (tastiera/mouse).
http://www.realvnc.com/
o direttamente su eWorld Network: VNC 3.3.7 [Nov 2003] [4.2 Mb]
Altri Tools gratuiti sono disponibili su eWorld Tools & Services
Altri Tools Microsoft per Windows 2000:
http://www.microsoft.com/windows2000/downloads/tools/default.asp
1-15min
Connessione
alla rete locale
Se volete installare una rete domestica è necessario decidere consapevolmente come strutturare della rete,
segue una lista di argomenti da tenere in considerazione:
■
■
■
■
Budget [quanti soldi posso spendere, quali hardware aquistare, un hub?]
Come si usa la Rete [condivisione risorse(file e stampanti), condivisione connessione a
Internet, ecc]
Priorità di sicurezza [è importante la sicurezza di quali computer in particolare]
Scalabilità della rete [possibilità di usare diversi sistemi operativi, di aggiungere
computers..]
Ritengo inutile approfondire discorsi teorici sul design di reti, esistono molte guide anche gratuite a riguardo,
quindi seguono alcuni esempi di configurazioni diffuse o probabili nel campo delle reti domestiche.
Configurazione A: Server + WorkStations, IP statico.
In questo caso il computer "Server" è connesso a Internet (è mantiene la connessione
attiva), inoltre sono connessi N computer tramite N LAN. Il computer Server deve
essere configurato come pseudo-firewall (sarebbe meglio avere un computer dedicato
con sistema Linux, con due schede di rete: una connessa al router ADSL e l'altra al
Server)
I computers condividono le risorse (file e stampanti) e condividono la connessione a
Internet tramite un proxy software installato sul Server.
●
●
●
●
●
●
●
●
Installare le schede di rete, aggiungere i protocolli necessari.
Impostare l'indirizzo del Server a 192.168.0.1
Impostare l'indirizzo delle WorkStation a 192.168.0.X dove X è un numero
univoco per ogni pc (1<X<255).
Allineare il Gruppo di lavoro su tutti i computer.
Aggiungere le risorse condivise.
Installare l'HTTP Proxy server sul computer Server. [scarica da eWorld Tools &
Services]
Configurare Internet Explorer in modo che usi il proxy server [vedi foto]
Configurare i permessi di accesso alle risorse e alla rete. (attenzione perchè è
molto importante visto che non si dispone di un firewall dedicato)
Configurazione B: Server + WorkStations, IP dinamico: DHCP
La situazione è identica alla precedente ma gli indirizzi IP delle WorkStation non sono
configurati manualmente e non sono necessariamente gli stessi al riavvio del computer.
Il computer server assegna l'indirizzo IP automaticamente, questo è utile quando si
hanno piu computer nella rete o si utilizza un Hub.
●
●
●
Installare le schede di rete, aggiungere i protocolli necessari.
Impostare l'indirizzo del Server a 192.168.0.1
Impostare "Ottieni IP automaticamente", Ottieni DSN automaticamente" [vedi
foto]
e aggiungere il Gateway predefinito su tutte le workstation. [vedi foto]
Nota: E' necessario che su tutti i computer sia attivo (stato: automatico) il servizio
"Client DHCP".
Riassunto configurazione di una WorkStation con l'output di IPCONFIG /ALL
Riassunto configurazione del Server con l'output di IPCONFIG /ALL
Per testare manualmente il funzionamento dell'assegnazione automatica:
Aprire una Prompt dei comandi, digitare IPCONFIG /ALL per vedere le impostazioni
correnti, poi digitare
IPCONFIG /RELEASE
per rilasciare l'ip corrente assegnato al client, l'outpu dovrebbe essere:
"Rilascio dell'indirizzo IP per la scheda ** riuscito."
poi digitare:
IPCONFIG /RENEW
per ottenere dal server un nuovo IP, l'esecuzione corretta del comando
mostrerà il nuovo IP a video.
Nota: probabilmente l'IP assegnato è lo stesso del precedente se non ci
sono altre workstation che fanno una richiesta di assegnazione
contemporaneamente.
Esempio di design di una rete domestica con un Hub:
In questo caso il computer Host è il server (gateway) che configurato a dovere è
compie anche mansioni del firewall.
Condivisione Connessione a Internet
Questo sistema integrato in Windows 2000 permette di condividere la connessione a
Internet tra piu computers, praticamente viene effettuato un Routing a livello software
tra la rete locale e la rete collegata al modem.
La configurazione è piuttosto semplice ma rende molto vulnerabile la rete e ogni
computer che ne fa parte. Consiglio almeno di installare firewall sulle singole
workstation e configurare accuratamente il Server per non compromettere la sicurezza
di tutta la rete.
La configurazione della ICS (Internet Connection Sharing) è affrontata nella prossima
sezione.
Spiegazione dei singoli passi:
Configurazione scheda di Rete e IP Statico
Una scheda di rete 10/100Mbps comune costa sui 15 Euro.
Installazione hardware e software (drivers se non Plug & Play)
Start->Impostazioni->Reti e connessioni Remote->Connessione alla rete locale (LAN)->
(tasto destro)->Proprietà
Se la sheda di rete è collegata ad un router (adsl o isdn) connesso a Internet abilitare
solo il servizio TCP [vedi foto].
Se la scheda di rete è connessa alla rete domestica abilitare anche altri servizi come ad
esempio la condivisione di file e il client di reti microsoft che gestisce l'autenticazione.
[vedi foto]
Selezionare Protocollo Internet TCP, impostare IP statico (es 192.168.0.98) o dinamico,
lasciare la configurazione WINS vuota. Spuntare il CheckBox "Mostra icona sulla
barra..."
Allineamento del Gruppo di Lavoro
Desktop->Risorse del Computer(tasto destro)->Proprietà->(scheda Identificazione di
rete)->Proprietà
immettere nome del computer univoco e semplice (o comunque identificativo)
immettere nome del gruppo di lavoro unico per tutti i computer connessi. [vedi foto]
Sharing delle Cartelle e Sicurezza
Per verificare la connessione Aprire Esplora risorse, selezionare:
Tutta la rete->(tasto destro)->Cerca Computer
immettere il nome del computer.
Per condividere dati:
file/cartella/disco->(tasto destro)->Proprietà->(scheda Condivisione)>Condividi Cartella
immettere un commento e un numero di utenti ragionevole (8?) per la
vostra rete ma non eccessivo.
Cliccare su Autorizzazioni e consentire solo le operazioni necessarie.
Eventualmente rimuovere Everyone, Guest, accesso anonimo, IUSR_*,
Web *.
Aggiungere il gruppo "Authernicated Users". [vedi foto]
(Gli ultimi due gruppi contraddistinguono gli eventuali utenti web per i
server Web (con IIS)).
Inoltre è possibile aggiungere dischi virtuali al proprio computer:
Risorse del Computer->(tasto destro)->Connetti unità di rete.. [vedi foto]
[vedi foto]
Inserire la stringa \\"nome computer" \"nome condivisione"
10-15min
Collegamento
a Internet
Tramite Router ADSL/ISDN, Modem ADSL Ethernet/USB, Modem PSTN/ISDN, LAN.
Nota: Sconsiglio i modem ADSL USB, non sono ancora compatibii con Linux.
Installazione Connessione ADSL con Modem Ethernet
Se avete un modem ADSL è necessario configurare la rete tra il PC Firewall e il
modem, installare il driver PPPoE (PPP over Ethernet), ad esempio Alice di Tin
comprende nell'installazione i driver PPoE di Efficient Networks' Enternet 300.
Quando la connessione è operativa il driver PPPoE appare come una rete locale,
quindi in realtà si vedono due reti locali per la connessione a Internet (una vera con il
modem, una virtuale del driver) e una rete locale vefa con un altro pc o con un Hub.
[vedi foto]
Assicurarsi che l'unico protocollo attivo sulle due reti per Internet sia "Protocollo TCP".
[vedi foto]
Nota: La connessione con il modem ADSL è sicuramente a 10 Mbps mentre molto
probabilmente la rete con gli altri computer è a 100Mbps, questo puo' essere un
semplice sistema per riconoscere la rete Adsl durante l'installazione.
Condivisione Connessione a Internet (ICS)
L'impostazione predefinita del software che gestisce il PPPoE è incompatibile con ICS,
per modificarla aprire il software, sezionare "Settings", "Advanced" ed impostare
DHCP invece di Private API. [vedi foto]
Configurare la rete locale con IP dinamici (DHCP): configurare le WorkStation come
indicato della sezione Rete Locale.
Selezionare le proprietà della connessione PPPoE, selezionare la scheda Condivisione,
attivare la condivisione per la rete locale [vedi foto].
Il sistema notifica che è necessario attivare il server DHCP e configurare gli altri
computer della rete. Premere OK e riavviare il computer server, poi le workstation.
Riassunto configurazione di una WorkStation con l'output di IPCONFIG /ALL
Riassunto configurazione del Server con l'output di IPCONFIG /ALL
Configurazione finale della Condivisione
Se i passi sono stati eseguiti correttamente dovrebbe essere possibile navigare dalle
workstation.
Esiste un problema di basso livello tra il driver PPPoE e la rete locale che quasi
sicuramente impedirà l'accesso ad alcuni siti dalla workstation (mentre sul server
sono accessibili).
Il problema è l'incompatibilità della grandezza del MTU, l'impostazione predefinita in
Windows è 1500 mentre per il PPPoE è 1492 o 1454 o 1424. Ciò riguarda la
grandezza dei pacchetti, il PPPoE supporta pacchetti piu piccoli dell'impostazione
predefinita della rete di Windows quindi i pacchetti dovrebbero essere frammentati
(divisi):
Eseguire su una WorkStation in una Prompt dei Comandi:
PING -F -L 1500 192.168.0.1
Questo comando invia un pacchetto di lunghezza 1500 senza
frammentarlo.
Se il risultato è
"E' necessario frammentare il pacchetto ma DF è attivo."
Fate altre prove con i valori 1492, 1454, 1424.
Quando i pacchetti vengono inviati correttamente avete trovato la dimensione
massima corretta, normalmente il valore da applicare è 1424. [vedi foto]
Ora è necessario configurare ogni WorkStation in modo che il MTU sia quello corretto:
Aprire Regedit e accedere alla chiave
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ Tcpip\
Parameters\Interfaces
cercare l'interfaccia che contraddistingue la scheda di rete connessa alla
rete locale con condivisione Internet, si riconosce facilmente dalle
informazioni contenute (IP ad esempio).
Aggiugere una chiave DWORD con il valore decimale che si è trovato
prima. [vedi foto]
(es. 1424 in decimale = 590 esadecimale).
Riavviare le workstation riconfigurate.
AggiornamentoPer completare l'aggiornamento della sicurezza è necessara una connessione internet e alcuni tools disponibili
Sicurezza
sul sito della Microsoft o nel pacchetto pre-assemblato dal sottoscritto (aggiornato alla data di questo
documento).
Software Necessari
Scaricate e installate i seguenti tools dal sito della Microsoft:
■
■
Microsoft Baseline Security Analyzer Home Page
QChain (Updated)
sono disponibili anche nel pacchetto contenente questa guida, comprende inoltre gli
screenshots e i file linkati.
■
Windows 2000 Installed and Secured Packet [circa 5 Mb]
[vedi contenuto del pacchetto]
Altri Tools Microsoft per Windows 2000:
http://www.microsoft.com/windows2000/downloads/tools/default.asp
Controllo Vulnerabilità
Il primo programma da eseguire è Network Security Hotfix Checker 3.3, verrà
automaticamente scaricato il file che comprende gli ultimi controlli di sicurezza.
(Accettare il certificato)
(Ri)Eseguire il programma in una finestra di prompt (Start->Programmi->Acessori>Prompt dei comandi)
[consiglio: si puo trascinare il file eseguibile nella finestra, automaticamente si
traduce nel percorso]
HFNETCHK.EXE -V
Il tools di connette al sito della Microsoft e scarica il file XML contenente i controlli di
sicurezza aggiornati. [vedi foto]
E' disponibile una versione molto più complessa e dettagliata del softwar HotFix:
http://www.shavlik.com/
Il software aggiorna automaticamente i dati sulle vulnerabilità più recenti ed esegue
lo scan della rete.
Esiste una versione free leggermente limitata ma apprezzabile.
Download Patch necessarie
Scaricate dal sito della Microsoft tutte le patch che HotFix ha notificato:
http://www.microsoft.com/technet/security/current.asp
Inserire il codice della patch e scaricare la versione compatibile con la
lingua del sistema operativo.
Codice Patch
(es. 824141):
NON eseguite ancora le patch.
Go
Aggiornamento Sistema: QChain
QChain è un tool che permette di installare molte patch senza riavviare il computer
ripetutamente.
In pratica l'installazione dei file è virtuale e l'aggiornamento del sistema è effettuato
da QChain al riavvio confrontando le date delle patch in modo da non sovrascrivere
dati piu recenti.
Ora aprite una finestra di Prompt (Start->Programmi->Accessori->Prompt dei
comandi)
Accedete alla cartella dove avete salvato le patch ed eseguitele con il parametro -z -q
(-z prepara il lavoro a QChain e -q nasconde le finestre di dialogo sempre inutili).
Esempio: Q123456_w2k_sp2_x86.exe -z -q
Dopo aver eseguito tutte le patch con l'opzione -z eseguite
QCHAIN.EXE "Update_log.txt"
Riavviate il computer.
Il file "Update_log.txt" conterrà le informazioni sui file aggiornati ed eventuali errori.
Nel caso di patch non aggiornate correttamente, installatele manualmente e riavviate
il pc ad ogni installazione.
Per maggiori informazioni o problemi consultate Microsoft Knowledge Base Article Q296861
Controllo Vulnerabilità con BaseLine Security Analyser
Ora che la maggior parte delle vulnerabilità sono state eliminate è molto utile fare un
altro controllo con MSBA, questo tool con interfaccia grafica usa in realtà la stessa
tecnologia di HotFix Checker ma aggiunge una serie di controlli di carettere generico
molti utili per i novizi di sicurezza, inoltre fornisce dettagli sui singoli problemi e anche
il sistema per risolverli.
Controllo Vulnerabilità Online
Alcuni siti offrono gratuitamente un controllo preliminare di sicurezza:
■
■
■
■
■
http://securityresponse.symantec.com/
http://www.blackcode.com/scan/
http://scan.sygate.com/
http://www.auditmypc.com/freescan/prefcan.asp
http://tools-on.net/privacy.shtml
Configurazioni Questa sezione non è dedicata a utenti inesperti.
Avanzate
Vengono affrontate alcune configurazioni avanzate per Server o Firewall, assolutamente da non provare se
non si sa cosa si sta facendo.
Attivare TCP/IP Forwarding
Fare riferimento all'articolo Q230082.
Il forwarding è disattivato per default, per attivarlo aprire il Registro di configurazione:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
\Parameters
Name: IPEnableRouter
Type: REG_DWORD
Value: 1
Il valore 1 attiva il forwarding per tutte le connessioni sul pc.
Modificare il tipo di Nodo (NetBIOS Node type)
Le modifiche a questo parametro non sono valide per network basate su DHCP (cioè
modificandole non funziona l'assegnamento automatico). Fare riferimento a Q160177.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT
\Parameters
Name: IPEnableRouter
type: REG_DWORD
●
●
●
●
Usare
Usare
Usare
Usrae
0x00000008
0x00000004
0x00000002
0x00000001
per
per
per
per
hybrid node or h-node
mixed node or m-node
point-to-point WINS or p-node
broadcast node or b-node
Fare riferimento all'articolo Automatically Changing the Node Type of a Windows NT
Workstation (Q167640)
e TCP/IP and NBT Configuration Parameters for Windows 2000 or Windows NT
(Q120642)
Disabilitare la notifica della presenza di una Stampante
La condivisione di una stampante su una macchina Windows 2000/NT notifica alla
rete in modo broadcast la sua presenza ogni 10 minuti, è possibile disattivare la
trasmissione modificando:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print
Name: DisableServerThread
Type: REG_DWORD
Value: 1
Nota: Disattivando l'opzione la stampante non è più visibile navigando la rete interna,
ma è ancora accessibile manualmente tramite il nome che identifica la stampante.
Disabilitare il Media Sensing
Windows 2000 Media sensing è il sistema che determina lo stato dell'adattatore di
rete, è quindi alla base della gestione della sincronizzazione di cartelle condivise e
dello stato Online/Offline di una risorsa di rete. Per disattivarlo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
\Parameters
Name: DisableDHCPMediaSense
Type: REG_DWORD
Value: 1
Disabilitare le connessioni persistenti
Le connessioni persistenti sono quelle che vengono ripristinate all'avvio della
macchina, ad esempio, il "mapping" di un unità di rete. Per disattivarle:
HKEY_USERS\.Default\Software\Microsoft\Windows NT\Current Version
\Network\Persistent Connections
Name: SaveConnections
Type: REG_SZ
Value: no
Opzione predefinita: yes
Nota: E' necessario riavviare il sistema.
Disabilitare la protezione dei File di Sistema
La protezione impedisce che alcuni (parecchi in realtà) file di sistema non possano
essere sovrascritti, per disattivare la funzionalità:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion
\Winlogon
Name: SFCDisable
Type: REG_DWORD
Value: FFFFFF9D
Nascondere un sistema nella lista delle Risorse di rete
Questa modifica impedisce che un server di condivisione risponda alle query della
rete per la visualizzazione delle risorse, il server è sempre accessibile ma solo
manualmente.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
\LanmanServer\Parameters
Name: Hidden
Type: REG_DWORD
Value: 00000001
Disabilitare il Desktop
Per disabilitare e nascondere tutte le icone sul desktop modificare:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Policies\Explorer
Name: NoDesktop
Type: REG_DWORD
Value: 00000001
Mantere le connessioni RAS attive dopo il logout
Per non disconnettere le connessioni RAS quando si effettua il logout modificare:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion
\Winlogon
Name: KeepRasConnections
Type: REG_SZ
Value: 1
Opzione predefinita: 0 [chiude connessioni]
Abilitare l'auto-logon
Per abilitare l'opzione che esegue il login automaticamente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows NT
\CurrentVersion\Winlogon
Name: AutoAdminLogon
Type: REG_SZ
Value: 1
Name: DefaultDomainName
Type: REG_SZ
Value: <Nome dominio>
Name: DefaultUserName
Type: REG_SZ
Value: <Nome utente>
Name: DefaultPassword
Type: REG_SZ
Value: <Password per l'utente>
Nota: Username e Password vengono salvate come testo in chiaro!!!
Informazioni Questa sezione vuole fissare alcuni argomenti importanti per la sicurezza a prescindere dalle configurazioni
Aggiuntive
singole.
sulla Sicurezza
Lista Porte insicure
Queste porte sono da considerare relativamente pericolose a priori:
Servizio
Porta
ProtocolloPericolositàSpiegazione
(reserved)
(sscan
signature)
OS type probe
ttymux
echo
systat
unassigned
chargen
ftp
0
TCP/UDP Alta
Porte sorgenti
0-5
TCP
Alta
Porte sorgenti
0
1
7
11
15
19
21, 20
TCP/UDP
TCP
TCP/UDP
TCP
TCP
TCP/UDP
TCP
Alta
Alta
Alta
Alta
Alta
Alta
Bassa
ssh
22
TCP
Media
ssh
telnet
smtp
DNS
dhcpc
22
23
25
53
67
UDP
TCP
TCP
TCP
UDP
Bassa
Media
Alta
Alta
Bassa
tftpd
69
UDP
Media
finger
link
pop
79
87
110, 109
TCP
TCP
TCP
Bassa
Alta
Alta
sunrpc
111
TCP/UDP Alta
nntp
119
TCP
Media
ntp
123
UDP
Bassa
netbios
netbios
netbios
imap
137
138
139
143
TCP/UDP
TCP/UDP
TCP
TCP
Alta*
Alta*
Alta*
Alta
snmp
161, 162
UDP
Alta
xdmcp
177
UDP
Alta
rexec
biff
rlogin
who
rsh
syslog
printer
talk
ntalk
route
mount
socks
SQL
512
512
513
513
514
514
515
517
518
520
635
1080
1114
TCP
UDP
TCP
UDP
TCP
UDP
TCP
UDP
UDP
UDP
UDP
TCP
TCP
Alta
Alta
Media
Alta
Media
Alta
Alta
Media
Media
Alta
Alta
Alta
Alta
openwin
2000
TCP
Alta
broadcasts a 0.0.0.0/0
->probabile port scan
->probabile attacco UDP
informazioni sistema/utente
era netstat
->probabile attacco UDP
File Transfer Service
Secure Shell Service
(OpenSSh Bug)
vecchia porta di PC Anywhere
Remote Login
Send Mail Transfer Protocol
Domain Name Server
-> probabilmente un errore
FTP alternativo: raro quanto
insicuro
-> Informazioni sugli utenti
Terminal Link
Mail & News
NFS, NIS, servizi basati su
RPC
News (free/public)
Sincronizzazione orologio di
sistema
Windows Name Service
Windows Datagram Service
Windows Session Service
-> Bug molto famoso
Amministrazione
remotaremote network
administration
xdm: XDMCP, X Display
Manager
dedicato per intranet
Routing
Servizio NFS Mount
->potenziale attacco spam
->probabile port scan
OpenWindows windowing
system
Remote Filesystem Access
PC Anywhere
X Windows
NFS
2049
pcanywherestat 5632
X11
6000+n
TCP/UDP Alta
UDP
Bassa
TCP
Alta
NetBus
12345,
12346,
20034
TCP
Alta*
Back Orifice
31337
UDP
Alta*
UDP
Alta*
UDP
Bassa
Traceroute in entrata
Ping service
redirezione di routing in
entrata
Traceroute in uscita
Hack'a'Tack
traceroute
31790,
31789
3343433523
ping
8
ICMP
Bassa
redirect
5
ICMP
Alta
traceroute
11
ICMP
Bassa
->Troiano (sistema
assolutamente insicuro)
->Troiano (sistema
->Troiano (sistema
Un occhio di riguardo per le reti Microsoft alle porte del NetBIOS over IP, è necessario
che il firewall tra la rete e Internet le blocchi:
135 TCP DCE/RPC Portmapper
137 TCP/UDP NetBIOS Name Service
138 TCP/UDP NetBIOS Datagram Service
139 TCP NetBIOS Session Service
445 TCP Microsoft-DS (Windows 2000 CIFS/SMB)
E' anche disponibile una lista completa di tutte le porte in formato testo.
Lista delle 20 vulnerabilità più diffuse e importanti
Fonte : SANS-FBI
Version 4.0 October 8, 2003
Top Vulnerabilities to Windows Systems
●
●
●
●
●
●
●
●
●
●
W1 Internet Information Services (IIS)
W2 Microsoft SQL Server (MSSQL)
W3 Windows Authentication
W4 Internet Explorer (IE)
W5 Windows Remote Access Services
W6 Microsoft Data Access Components (MDAC)
W7 Windows Scripting Host (WSH)
W8 Microsoft Outlook and Outlook Express
W9 Windows Peer to Peer File Sharing (P2P)
W10 Simple Network Management Protocol (SNMP)
Top Vulnerabilities to UNIX Systems
●
●
●
●
●
●
●
●
U1 BIND Domain Name System
U2 Remote Procedure Calls (RPC)
U3 Apache Web Server
U4 General UNIX Authentication Accounts with No Passwords or Weak
Passwords
U5 Clear Text Services
U6 Sendmail
U7 Simple Network Management Protocol (SNMP)
U8 Secure Shell (SSH)
●
●
Bibliografia &
Links
U9 Misconfiguration of Enterprise Services NIS/NFS
U10 Open Secure Sockets Layer (SSL)
■
■
■
■
■
■
■
http://www.microsoft.com/technet/security/current.asp
eWorld News & Links: Windows Security Section
Altri links:
Practical Recommendations for Securing Internet-Connected Windows NT Systems
[keyword: kbinfo KB164882]
Microsoft Windows 2000 Security Configuration Guide
SANS (Resources)
http://www.wilsonmar.com/
http://www.blackviper.com/
All trademarks are property of their respective owners.
Any tools listed and available in zip package is free and was downloaded from the Internet.
You are authorized to copy, redistribute and print this paper, keeping Author's credits visible and without changing
the document's content.
Author is not responsible for any consequences or damages while upgrading your System.
Last update: 4/11/2003
ReSearch Home
open source 2003 | by Alessandro Polo
eWorld Network

Windows 2000 Installed and Secured

Transcript

Documenti analoghi

Cod. Articolo 59.123 INCOMEDIA WEBSITE X5

Installare Windows XP e il Service Pack 2 su un - AaLl86

Corso base Configurazione e supporto utenti Windows 8.1

Velocizzare Avvio e Windows XP

Installare Windows Media Player 11 su Windows XP

Resume (Median theme)