Sicherheitskonzept - ThomasGalliker.ch

Sicherheitskonzept
Windows Server 2003
Projekt :
Schule :
Klasse :
Modul :
Projektleiter:
Projektgruppe :
Sicherheitskonzept für Windows 2003 Dateiserver
Berufsbildungszentrum Sursee
INF4D
182
Reto Burger
Lukas Jost
Daniel Küchler
Thomas Galliker
Inhaltsverzeichnis
1.
2.
Einleitung ...................................................................................................................3
Checkliste Sicherungsvorgang ................................................................................3
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
3.
Installationsvorgang..................................................................................................5
3.1.
3.2.
3.3.
3.4.
3.5.
3.6.
3.7.
4.
5.
Vorbereitung ............................................................................................................................ 7
Methode 1: Bootpriorität für CD-Rom – Versuch #1 ............................................................ 7
Methode 2: Bootpriorität für CD-Rom – Versuch #2 ............................................................ 7
Methode 3: Manipulation der SAM Datenbank ..................................................................... 7
Anhang .......................................................................................................................9
6.1.
6.2.
7.
Windows Installation & Konfiguration................................................................................... 5
Standardkonten absichern ..................................................................................................... 5
Group Policy konfigurieren .................................................................................................... 5
Microsoft Baseline Security Analyzer ................................................................................... 5
Harddiskverschlüsselung ....................................................................................................... 5
Portblockierung über IPSec aktivieren.................................................................................. 5
Avast! Antivirus ....................................................................................................................... 5
Sicherheits-Check......................................................................................................6
Angriffsmethoden ......................................................................................................7
5.1.
5.2.
5.3.
5.4.
6.
Dienstkonten absichern .......................................................................................................... 3
Standardkonten absichern ..................................................................................................... 3
Portblockierung über IPSec-Filter ......................................................................................... 3
BIOS Modifikationen................................................................................................................ 4
Harddiskverschlüsselung ....................................................................................................... 4
Standardfreigabe ..................................................................................................................... 4
AntiVirus................................................................................................................................... 4
Anhang A – Group Policy Vorlagen....................................................................................... 9
Anhang B – IPSec Sicherheitsrichtlinien .............................................................................. 9
Quellenverzeichnis ..................................................................................................10
Sicherheitskonzept
Windows Server 2003
1. Einleitung
Die Absicherung von Dateiservern erfordert einige Massnahmen: Die wichtigsten Dienste, die von
Dateiservern angeboten werden, setzen die Verwendung von NetBIOS-bezogenen Protokollen voraus.
Über die Protokolle SMB und CFIS kann ein nicht autorisierter Benutzer jedoch viele Informationen
erlangen. Daher wird für Windows-Umgebungen mit hoher Sicherheit oft empfohlen, diese Protokolle zu
deaktivieren. Dies kann aber dazu führen, dass der Zugriff auf die Dateiserver sowohl für die Benutzer als
auch für die Administratoren schwierig wird.
2. Checkliste Sicherungsvorgang
2.1. Dienstkonten absichern
Jeder Dienst und jede Anwendung stellt einen möglichen Angriffspunkt dar. Daher sollten alle nicht
benötigten Dienste und Anwendungen entfernt oder deaktiviert werden.
Wenn es nicht absolut notwendig ist, sollen Dienste so konfiguriert werden, dass sie NIE unter dem
Sicherheitskontext von Domänenkonten ausgeführt werden. Wenn ein Server angegriffen wird, kann das
Passwort des Domänenkontos sehr einfach über eine Abfrage des LSA herausgefunden werden.
2.2. Standardkonten absichern
Unter Windows Server 2003 gibt es eine Reihe vordefinierter Standard-Benutzerkonten, die nicht
gelöscht, wohl aber umbenannt werden können. Zwei dieser allgemein bekannten Konten sind Gast und
Administrator.
Standardmässig ist das Gastkonto auf Mitgliedsservern und Domänencontrollern deaktiviert. Diese
Einstellung kann nicht geändert werden. Um zu verhindern, dass Angreifer einen Server über allgemein
bekannte Konten angreifen können, wird das Administratorkonto umbenannt und dessen Beschreibung
geändert.
Viele Varianten von schädlichem Programmcode verwenden das Standardkonto Administrator als
Startpunkt, um einen Server anzugreifen. Der Wert dieser Konfigurationsänderung hat allerdings in den
letzten Jahren nachgelassen. Es wurden Angriffswerkzeuge veröffentlicht, die einen Servereinbruch über
die SID des Administratorkontos durchführen, und so den tatsächlichen Namen herausfinden. Eine SID
ist ein Wert, der Benutzer, Gruppen, Computerkonten und Anmeldesitzungen im Netzwerk eindeutig
identifiziert. Es ist nicht möglich, die SID der Standartkonten zu ändern.
Nachfolgende Auflistung soll einen kurzen Überblick geben:
• Deaktivierung des Kontos „Gast“, falls dies nicht bereits der Fall ist.
• Umbenennung des Kontos „Administrator“. Zusätzlich muss das Passwort auf einen langen,
komplexen Wert geändert werden.
• Änderung der Beschreibungen der Konten. So wird eine einfache Identifizierung der Konten
vermieden.
2.3. Portblockierung über IPSec-Filter
Internet Protocol Security (IPSec) Filter stellen ein effektives Hilfsmittel zur Absicherung von Servern dar.
Die folgende Tabelle führt die IPSec-Filter auf, die auf dem Dateiserver erstellt werden können:
Dienst
CIFS Server
NetBIOS Server
OnePoint Client
Terminaldienste
Domänenmitglied
Domänenmitglied
Gesamter
Protokoll Quellport Zielport Quell-Adr. Ziel-Adr.
Aktion
Spiegeln
TCP
ALLE
445
ALLE
DIESER SERVER ZULASSEN
JA
UDP
ALLE
445
ALLE
DIESER SERVER ZULASSEN
JA
TCP
ALLE
137
ALLE
DIESER SERVER ZULASSEN
JA
UDP
ALLE
137
ALLE
DIESER SERVER ZULASSEN
JA
UDP
ALLE
138
ALLE
DIESER SERVER ZULASSEN
JA
TCP
ALLE
139
ALLE
DIESER SERVER ZULASSEN
JA
DIESER
ALLE
ALLE
ALLE
MOM Server
ZULASSEN
JA
SERVER
TCP
ALLE
3389
ALLE
DIESER SERVER ZULASSEN
JA
DIESER
ALLE
ALLE
ALLE
Domänencontroller ZULASSEN
JA
SERVER
DIESER Domänencontroller
ALLE
ALLE
ALLE
ZULASSEN
JA
SERVER
2
ALLE
ALLE
ALLE
ALLE
DIESER SERVER BLOCKIEREN
JA
©2006 Thomas Galliker
Seite 3 von 10
03.05.2006
Sicherheitskonzept
Windows Server 2003
eingehender
Verkehr
Das Script „PacketFilter_Datei.cmd“ erstellt die aufgelisteten IPSec-Richtlinien, weisst diese jedoch nicht
zu. Sie können das Snap-In IP-Sicherheitsverwaltung verwenden um IPSec-Filter anzuzeigen, zu
erstellen und zuzuweisen. Erst nach dem Zuweisen werden diese aktiv.
2.4. BIOS Modifikationen
•
•
•
BIOS Passwort definieren.
Diskettenlaufwerk, CD/DVD-Rom und USB deaktivieren.
Plug’n’Play Erkennung deaktivieren.
2.5. Harddiskverschlüsselung
Utimaco SafeGuardEasy Client zur Verschlüsselung aller lokalen Harddisks mit AES-256. Pre-Boot
Authentifizierung.
2.6. Standardfreigabe
Die administrativen Standardfreigaben werden deaktiviert.
2.7. AntiVirus
Als AntiVirus-Software wird die kostenlose Version von Avast! 4 eingesetzt.
©2006 Thomas Galliker
Seite 4 von 10
03.05.2006
Sicherheitskonzept
Windows Server 2003
3. Installationsvorgang
3.1. Windows Installation & Konfiguration
•
•
•
•
•
•
Windows Server 2003 installieren.
Service Pack 1 sowie sämtliche Patches und Hotfixes für Windows Server 2003 installieren.
Statische IP-Adresse zuweisen.
Passwort des Kontos „Administrator“ ändern. Æ Ab3raKadaberA$$
Neue Domäne „mostsecure.local“ einrichten. DNS Server einrichten.
Active Directory installieren und konfgurieren.
3.2. Standardkonten absichern
•
•
•
Active Directory Benutzerverwaltung öffnen.
Vordefiniertes Konto „Administrator“ umbenennen. Æ Administrator$$
Beschreibungen sämtlicher vordefinierten Konten löschen.
3.3. Group Policy konfigurieren
•
•
•
•
Group Policy Vorlagen aus Anhang A (Seite 9) nach „C:\Windows\Security\Templates“ kopieren.
GPedit.msc starten und unter „Computerkonfiguration“ Æ „Sicherheitsrichtlinien“ mit der rechten
Maustaste im Kontextmenü „Richtlinie importieren…“ wählen.
Neue Vorlagen importieren.
Mit Befehl „gpupdate /force“ wird die Gruppenrichtlinie aktualisiert.
3.4. Microsoft Baseline Security Analyzer
•
•
•
•
Setup von Microsoft Website herunterladen und installieren.
Nach der Installation wird MBSA gestartet und mit „Scan Computer“ ein Scanvorgang gestartet.
Als „Computer name“ wird der lokale Computer „MOSTSECURE\SERVER“ gewählt; Standard
Einstellungen.
MBSA findet fehlende Updates, Patches und Hotfixes. Fehlende Sicherheitsupdates müssen
dringend installiert werden.
3.5. Harddiskverschlüsselung
•
•
•
•
•
•
•
Utimaco SafeGuardEasy installieren.
Sicherheitsstufe „Bootschutz“ wählen.
Verschlüsselung für sämtliche Laufwerkstypen: AES256.
Schlüssel für sämtliche Laufwerkstypen automatisch generieren lassen („Zufallsschlüssel“).
Nur Laufwerkstyp „Festplattenlaufwerk“ verschlüsseln.
Neuer Benutzer „Administrator$$“ erstellen und Passwort definieren.
Nach dem Neustart wird die komplette Systemdisk verschlüsselt. Der Vorgang dauert (abhängig
von der Diskgrösse) ca. 1 Stunde.
3.6. Portblockierung über IPSec aktivieren
•
•
•
Script „PacketFilter_Datei.cmd“ aus Windows 2003 Server Sicherheitshandbuch starten. Siehe
Anhang B (Seite 9).
MMC starten und Snap-In “IP-Sicherheitsrichtlinien” anzeigen.
Unter “IP-Sicherheitsrichtlinien“ finden wir nun die Richtlinie „Packet Filters – File“. Mit
Rechtsklick Æ „Zuweisen“ wird diese Richtlinie aktiviert.
3.7. Avast! Antivirus
•
•
•
•
Setup von Herstellerseite herunterladen.
Avast! installieren.
Virendefinition aktualisieren.
System-Scan durchführen.
©2006 Thomas Galliker
Seite 5 von 10
03.05.2006
Sicherheitskonzept
Windows Server 2003
4. Sicherheits-Check
Prüfpunkt
Ausführen von Ping auf bekannte Ports.
Zugriff auf Standardfreigaben und
erstellte Netzwerkfreigaben.
MSBA Sicherheitstest.
Startversuch mit CD/DVD und USBDatenträger.
Versuch des Zugriffs auf das
verschlüsselte Dateisystem mittels Bart
PE.
©2006 Thomas Galliker
Ergebnis
Bemerkung
Positiv
Negativ
Keine Antwort, da ICMP geblockt
X
wird.
Erstellte Freigaben sind zugänglich.
X
Keine negative Rückmeldung, da
Sicherheitsupdates vollständig
ausgeführt wurden.
Nicht möglich. BIOS müsste entfernt
(„flashed“) werden.
PE Start erst möglich wenn BIOS CDStart entsperrt ist. Keine Festplatten
ersichtlich.
X
X
X
Seite 6 von 10
03.05.2006
Sicherheitskonzept
Windows Server 2003
5. Angriffsmethoden
Nachfolgende Methoden sollen auf das Zielsystem angewandt werden. Bei vollständiger
(unseresgleichen) Serversicherheit sollten sämtliche Methoden fehlschlagen. Sollten jedoch auf dem
Zielsystem nicht alle Sicherheitsvorkehrungen getroffen worden sein, könnte es uns gelingen durch eine
oder mehrere Angriffsmethoden die Kontrolle über das Fremdsystem zu übernehmen.
5.1. Vorbereitung
Folgende Vorbereitungsarbeiten müssen auf einem unabhängigen Entwicklungssystem vorgenommen
werden:
BartPE erstellen
• BartPE Builder herunterladen.
• Windows 2003 Server Quelle auf lokale Harddisk kopieren.
• BartPE installieren und konfigurieren.
•
BartPE erstellen via Schaltfläche „Build“.
PassRenew integrieren
• PassRenew 1.1 BETA herunterladen.
• Anwendung ins BartPE Image nach i386\System32 kopieren.
5.2. Methode 1: Bootpriorität für CD-Rom – Versuch #1
Ziel:
•
Boot-Reihenfolge verändern, dass von CD-Rom gestartet werden kann.
Vorgehen:
• Gesetztes BIOS Passwort durch herausnehmen der BIOS Batterie löschen.
• In BIOS das CD-Rom-Laufwerk als 1.Bootpriorität setzen.
Auswertung:
• Das Herausnehmen der BIOS Batterie war nicht erlaubt. Daher wurde Methode 2 angewandt.
5.3. Methode 2: Bootpriorität für CD-Rom – Versuch #2
Ziel:
•
Boot-Reihenfolge verändern, dass von CD-Rom gestartet werden kann.
Vorgehen:
• Systemdisk entfernen, da dann Bootpriorität 2 (Floppy) gestartet wird.
• Floppy Disk mit AMI BIOS Flash Software erstellen.
• BIOS überschreiben – Passwort fällt weg!
• In BIOS das CD-Rom-Laufwerk als 1.Bootpriorität setzen.
Auswertung:
• CD-Rom ist nun startbar!
5.4. Methode 3: Manipulation der SAM Datenbank
Ziel:
©2006 Thomas Galliker
Seite 7 von 10
03.05.2006
Sicherheitskonzept
•
Windows Server 2003
Die SAM Datenbank speichert sämtliche lokalen Benutzerkonten. In ihr werden sowohl
Benutzernamen als auch Passwort-Hashes gespeichert. Da das Entschlüsseln von
verschlüsselten Passwörtern nahezu aussichtslos ist, möchten wir mit geeigneter Software einen
neuen administrativen Benutzer erstellen und über diesen in das System eindringen.
Vorgehen:
• Start mit einem Preinstallation Environment (WinPE, BartPE oder ERD Commander).
• Mit geeignetem Software-Tool neuen Account erstellen.
• Erstelltes Konto muss administrative Privilege bekommen.
• Neustart.
• Einloggen mit erstelltem Benutzerkonto.
• Administratorkonto aus Administratorengruppe entfernen, ev. löschen.
• Beliebige Systemmanipulationen…
Auswertung
• Erfolgreich auf System eingeloggt… volle Systemkontrolle!
©2006 Thomas Galliker
Seite 8 von 10
03.05.2006
Sicherheitskonzept
Windows Server 2003
6. Anhang
6.1. Anhang A – Group Policy Vorlagen
Datei
Beschreibung
Vorlage für Sicherheitsrichtlinie
HS_Dateiserver.inf
Vorlage für Sicherheitsrichtlinie
HS_Domaenencontroller.inf
6.2. Anhang B – IPSec Sicherheitsrichtlinien
Datei
Beschreibung
Script zum Erstellen von IPSec
Sicherheitsrichtlinien.
PacketFilter_Datei.cmd
6.3. Anhang C – PassRenew 1.1 BETA
Datei
Beschreibung
PassRenew
PasswdRenew.exe
©2006 Thomas Galliker
Seite 9 von 10
03.05.2006
Sicherheitskonzept
Windows Server 2003
7. Quellenverzeichnis
URL
http://www.microsoft.com/downloads/details.aspx?FamilyID=8a2643c1-0685-4d89-b655521ea6c7b4db&DisplayLang=en
http://www.nsa.gov/home_html.cfm
http://www.microsoft.com/technet/security/prodtech/windowsserver2003/w2003hg/sgch00.mspx
http://www.petri.co.il/reset_domain_admin_password_in_windows_server_2003_ad.htm
http://www.nobodix.org/seb/win2003_adminpass.html
http://sala.pri.ee/?page_id=9
http://www.nu2.nu/pebuilder
©2006 Thomas Galliker
Seite 10 von 10
03.05.2006