470 likes | 618 Views
Implementazione della protezione dei server su Windows 2000 e Windows Server 2003. Fabrizio Grossi. Prerequisiti della sessione. Familiarità con Windows 2000 Server o Windows Server 2003 Esperienza con gli strumenti di gestione Windows
E N D
ImplementazionedellaprotezionedeiserversuWindows2000eWindowsServer2003ImplementazionedellaprotezionedeiserversuWindows2000eWindowsServer2003 Fabrizio Grossi
Prerequisitidellasessione • FamiliaritàconWindows2000ServeroWindowsServer2003 • EsperienzaconglistrumentidigestioneWindows • ConoscenzadeiconcettirelativiadActiveDirectoryeCriteridigruppo Livello200
Agenda • Introduzioneallaprotezionedeiserver • Protezionedibasedeiserver • Protezione di ActiveDirectory • Protezioneavanzatadeiservermembri • Protezioneavanzatadeicontrollorididominio • Protezioneavanzatadeiserver dedicati • Protezioneavanzatadeiserverautonomi
ConsiderazionisullaprotezioneinaziendedipiccoleemediedimensioniConsiderazionisullaprotezioneinaziendedipiccoleemediedimensioni Risorselimitateperl'implementa-zione disoluzionidi protezione Serverconpiùruoli Utilizzodisisteminonaggiornati Minacciainternaoaccidentale Mancanzadiesperienzasullaprotezione L'accessofisicoimpediscemoltemisurediprotezione Conseguenzelegali
Riservatezza Principidellaprotezione Integrità Disponibilità Principidellaprotezionedeiserver • Lariservatezzaassicuralaprotezionedell'accessoalleinformazioni • L'integritàassicural'assenzadimodifichenelleinformazioni • Ladisponibilitàassicuralapossibilitàdiaccessoalleinformazioni
Valutazionedelleminacceecompromessi sulla protezione • Valutazionedelleminacce • Documentazionedell'ambiente • Eseguireun'analisidibasedeisistemiedelsoftware • UtilizzarediagrammiDFDperillustrareilflussodeidati,l'interazionedeisistemieleminacce • Separazionedeisistemi • Separareisistemiinbasearequisitidiapplicazionieprotezione • Assicurarsicheirequisitidiprotezionetrasistemiaffidabilisianoequivalenti • Assicurarsichelaprotezionedeisistemimenosensibilidipendadasistemipiùsensibili • Limitarel'ambienteeiprivilegi • Assegnareaccountconleautorizzazioniminimepossibili • Limitareeproteggerelacomunicazione • Disabilitareorimuovereleporteeiserviziinutilizzati • Compromessiperlaprotezione • Ènecessarioraggiungereuncompromessotraprotezioneeutilizzo
Agenda • Introduzioneallaprotezionedeiserver • Protezionedibasedeiserver • Protezione di ActiveDirectory • Protezioneavanzatadeiservermembri • Protezioneavanzatadeicontrollorididominio • Protezioneavanzatadeiserverdedicati • Protezioneavanzatadeiserverautonomi
Procedurediprotezionedibasedeiserver Applicareilservicepackpiùaggiornatoe tuttelepatchdiprotezionedisponibili UtilizzareCriteridiGruppoperlaprotezioneavanzatadeiserver -Disabilitareiservizinonrichiesti -Implementarecriteri per passwordsicure -Disabilitarel'autenticazioneLANManagereNTLMv1 Limitarel'accessofisicoedireteaiserver
Gestionedegliaggiornamentidelsoftware • Implementareunasoluzionedigestionedellepatch perlaprotezionecontrolevulnerabilità • Partecipareallasessionediformazionesullagestionedellepatchorivederelaguidaall'indirizzo: http://www.microsoft.com/technet/security/patch (inlinguainglese)
LivellidigravitàeintervalliditempoperladistribuzionedellepatchLivellidigravitàeintervalliditempoperladistribuzionedellepatch
Coerentie ripetibili Prodotti,strumenti eautomazione Competenze,ruoli eresponsabilità Gestioneefficientedellepatch Processi Personale Tecnologia
Consigliperlaprotezioneavanzatadeiserver • RinominaregliaccountAdministratoreGuest • Limitarel'accessodapartediaccountincorporatiediaccountdiservizionondelsistemaoperativo • Nonconfigurareunservizioperl'accessomedianteunaccountdidominio • UtilizzareNTFSperproteggerefileecartelle
Agenda • Introduzioneallaprotezionedeiserver • Protezionedibasedeiserver • Protezione di ActiveDirectory • Protezioneavanzatadeiservermembri • Protezioneavanzatadeicontrollorididominio • Protezioneavanzatadeiserverdedicati • Protezioneavanzatadeiserverautonomi
ComponentidiActiveDirectory • Foreste • Una Foresta svolge la funzione di confine di sicurezza in Active Directory • Dominio • Unitàorganizzativa • Criteridigruppo • Criteridigruppoèunostrumentochiaveperl'implementazioneelagestionedellaprotezionedirete
PianificazionedellaprotezioneActiveDirectory • Analizzarel'ambiente • CentrodatiIntranet • Ufficiodifiliale • CentrodatiExtranet • Analizzareleminacce • IndividuareleminacceadActiveDirectory • Individuareitipidiminacce • Individuareleoriginidelleminacce • Determinare le misure di protezione dalle minacce • Stabilirepianidiemergenza
Specificarelimitidiprotezioneeamministrativi ProgettareunastrutturadiActiveDirectorybasatasulleesigenzedidelega DefinizionedilimitidiprotezionediActiveDirectory ImplementarelimitidiprotezionebasatisuBestPracticeGuide
Potenziamentodelleimpostazionideicriterididominio Potenziare le impostazioni nell'oggetto Criterio predefinito di dominio o creare un nuovo oggetto Criteri di gruppo a livello di dominio Assicurarsicheicriteridipasswordeaccountsianoconformiairequisitidiprotezionedell'organizzazione Rivedereleimpostazionidicontrollosuglioggetti importanti di Active Directory
Criterididominio Progettazionedominio Dominio Servermembri Controllerdidominio Criteridibasedeiservermembri Criterideicontrollerdidominio Amministrazioneoperazioni Criterideiserverdistampa Serverdistampa Amministrazioneoperazioni Criterideifileserver Fileserver AmministrazioneservizioWeb CriterideiserverIIS ServerWeb Definizionediunagerarchiadelleunitàorganizzativebasatasuiruoli • Unagerarchiadelleunitàorganizzativebasatasuiruoli: • semplificaleproblematichedigestionedellaprotezione • consentediapplicareimpostazionideicriteridiprotezioneaserverealtrioggettiinciascunaunitàorganizzativa
ComecreareunagerarchiadiunitàorganizzativeperlagestioneelaprotezionedeiserverComecreareunagerarchiadiunitàorganizzativeperlagestioneelaprotezionedeiserver • Creareun'unitàorganizzativadenominataServermembri • Creareunitàorganizzativeall'internodell'unitàorganizzativaServermembriperogniruolodiserver • Spostareognioggettoservernell'unitàorganizzativaappropriataasecondadelruolo • Delegare il controllo di ogni unità organizzativa basata sul ruolo al gruppo di sicurezza appropriato
Procedureamministrativeconsigliate Distingueretraruolidiamministrazionedelservizioedeidati Stabilireprocedureprotetteperilserviziodidirectoryeperl'amministrazionedeidati Delegareleautorizzazioniminimenecessarie
Agenda • Introduzioneallaprotezionedeiserver • Protezionedibasedeiserver • Protezione di ActiveDirectory • Protezioneavanzatadeiservermembri • Protezioneavanzatadeicontrollorididominio • Protezione avanzata dei server dedicati • Protezione avanzata dei server autonomi
Serverdiinfrastruttura Fileservereserverdistampa Applicareimpostazioni di sicurezzaincrementalibasatesuiruoli ServerIIS Applicazionedeicriteridibase deiservermembri ProtezionediActiveDirectory Procedurediprotezioneavanzata ServerRADIUS(IAS) Serverdiservizicertificati Firewall Panoramicasullaprotezioneavanzatadeiserver • Applicareimpostazioni di sicurezzadibaseatuttiiservermembri • Applicareimpostazioniaggiuntivesecondolospecificoruolodelserver • UtilizzareGPResultperassicurarsicheleimpostazionivenganoapplicatecorrettamente
Modello di sicurezzaMemberServerBaseline • Modificareeapplicareilmodello di sicurezzaMemberServerBaselineatuttiiservermembri • Impostazionidelmodello di sicurezzaMemberServerBaseline: • Critericontrollo • Assegnazionedirittiutente • Opzionidiprotezione • Registroeventi • Servizi di sistema
Dimostrazione2UtilizzodiMBSAe applicazionediunmodellodiprotezioneUtilizzodiMBSAperprodurreunrapportoVisualizzazionedelmodello di sicurezzaMemberServerBaselineApplicazionedelmodello di sicurezzaMemberServerBaselineUtilizzodiMBSAperverificarechesiastatoapplicato ilmodello
Procedureconsigliateperl'utilizzodimodellidiprotezione Rivedereemodificareimodellidiprotezioneprimadiutilizzarli Utilizzareglistrumentidianalisieconfigurazionediprotezioneperrivedereleimpostazioniprimadiapplicarle Verificareinmodoapprofonditoimodelliprimadidistribuirli Memorizzareimodellidiprotezioneinunpercorsoprotetto
Agenda • Introduzioneallaprotezionedeiserver • Protezionedibasedeiserver • Protezione di ActiveDirectory • Protezioneavanzatadeiservermembri • Protezioneavanzatadeicontrollorididominio • Protezione avanzata dei server dedicati • Protezione avanzata dei server autonomi
Configurazionedellaprotezionepericontrollerdidominio Proteggerel'ambientedigenerazionedeicontrollerdidominio Stabilireproceduredigenerazionedeicontrollerdidominiochegarantiscanoprotezione Mantenerelasicurezzafisica
Dimostrazione3ProtezioneavanzatadeicontrollerdidominioApplicazionedelmodello di sicurezzaDomainController
ProcedureconsigliateperlaprotezioneavanzatadeicontrollerdidominioProcedureconsigliateperlaprotezioneavanzatadeicontrollerdidominio Utilizzaremetodidiprotezioneappropriatipercontrollarel'accessofisicoaicontrollerdidominio Implementareimpostazioniappropriatedicontrolloediregistroeventi UtilizzareCriteridigruppoperapplicareilmodello di sicurezzaDomainControlleratuttiicontrollerdidominio Disabilitareiservizinonrichiesti
Agenda • Introduzioneallaprotezionedeiserver • Protezionedibasedeiserver • Protezione di ActiveDirectory • Protezioneavanzatadeiservermembri • Protezioneavanzatadeicontrollorididominio • Protezioneavanzatadeiserverdedicati • Protezioneavanzatadeiserverautonomi
Utilizzodimodellidiprotezioneperruolidiserverspecifici • Iserverchesvolgonoruolispecificipossonoessereorganizzatiperunitàorganizzativaall'internodell'unitàorganizzativaServermembri • Innanzitutto,applicareilmodelloMemberServerBaselineall'unitàorganizzativaServermembro • Quindi,applicareilmodello di sicurezzaappropriatobasatosuiruoliaogniunitàorganizzativaall'internodell'unitàorganizzativaServermembri • Personalizzareimodellidiprotezioneperiservercheeseguonopiùruoli
Protezioneavanzatadeiserverdiinfrastruttura • Applicareleimpostazioni di sicurezzadelmodello di sicurezzaInfrastructureServer • Configuraremanualmenteleimpostazioniaggiuntivesuogniserverdiinfrastruttura • Configurarelaregistrazione degli eventi DHCP • DefinireprotezionicontrogliattacchiDHCPDoS • UtilizzareilsistemaDNSintegratoin ActiveDirectoryperlezone ActiveDirectory • Proteggeregliaccountdiservizio • AbilitaresololeportenecessarieperleapplicazioniserverutilizzandofiltriIPSec
Protezioneavanzatadeifileserver • Applicareleimpostazioni di sicurezzadelmodello di sicurezzaFileServer • Configuraremanualmenteleimpostazioniaggiuntivesuognifileserver • DisbilitareDFSeFRS,senonrichiesti • ProteggereifileelecartellecondiviseutilizzandoNTFSeleautorizzazionidicondivisione • Abilitareilcontrollodeifilecritici • Proteggeregliaccountdiservizio • AbilitaresoloportespecificheutilizzandofiltriIPSec
Protezioneavanzatadeiserverdistampa • Applicareleimpostazioni di sicurezzadelmodello di sicurezzaPrintServer • Configuraremanualmenteleimpostazioniaggiuntivesuogniserverdistampa • AssicurarsicheilservizioSpoolerdistampasiaabilitato • Proteggeregliaccount ben-conosciuti • Proteggeregliaccountdiservizio • AbilitaresoloportespecificheutilizzandofiltriIPSec
ProtezioneavanzatadeiserverIIS • Applicareleimpostazioni di sicurezzadelmodello di sicurezzaIISServer • ConfiguraremanualmenteogniserverIIS • InstallareIISLockdowneconfigurareURLScansututteleinstallazioniIIS5.0 • AbilitaresoloicomponentiIISessenziali • ConfigurareleautorizzazioniNTFSpertuttelecartellechecontengonocontenutoWeb • InstallareIISememorizzareilcontenutoWebsuunvolumedidiscodedicato • Sepossibile,nonabilitareentrambeleautorizzazionidiesecuzioneediscritturasullostessositoWeb • SuiserverIIS5.0,eseguireleapplicazioniutilizzandolaprotezioneapplicazionemediaoalta • UtilizzareifiltriIPSecperabilitaresololeporte80e443
Dimostrazione4ProtezioneavanzatadiruolidiserverspecificiRevisionedellaprotezioneIISpredefinitaApplicazionedelmodello di sicurezzaFileServer
ProcedureconsigliateperlaprotezioneavanzatadeiserverperruolispecificiProcedureconsigliateperlaprotezioneavanzatadeiserverperruolispecifici Proteggeregliaccountutenteben-conosciuti Abilitaresoloiservizirichiestidalruolo Abilitarelaregistrazionedeiserviziperacquisireleinformazionirelative UtilizzareifiltriIPSecperbloccareportespecificheinbasealruolodelserver Modificareimodellisecondolenecessitàperiserverconpiùruoli
Agenda • Introduzioneallaprotezionedeiserver • Protezionedibasedeiserver • Protezione di ActiveDirectory • Protezioneavanzatadeiservermembri • Protezioneavanzatadeicontrollorididominio • Protezioneavanzatadeiserverdedicati • Protezioneavanzatadeiserverautonomi
Protezioneavanzatadeiserverautonomi • Ènecessarioapplicaremanualmenteleimpostazioni di sicurezzaaogniserverautonomoanzichéutilizzareCriteridigruppo • Puòesserenecessariocreareunmodello di sicurezzapersonalizzatoperogniserverautonomo • UtilizzarelostrumentoAnalisieconfigurazionediprotezioneoSeceditperapplicareleimpostazionideimodellidiprotezione • Analisieconfigurazionediprotezione • Consenteilconfrontoel'applicazionedivarimodellidiprotezione • Secedit • VersionedellarigadicomandodellostrumentoAnalisieconfigurazionediprotezionecheconsentel'applicazionetramitescriptdeimodellidiprotezione
Dimostrazione5ProtezioneavanzatadiunserverautonomoConfrontodimodellidiprotezioneApplicazionediunmodello di sicurezzaaunserverautonomo
ComeutilizzareSeceditperlaprotezioneavanzatadeiserverautonomiComeutilizzareSeceditperlaprotezioneavanzatadeiserverautonomi • Configurareunmodello di sicurezzapersonalizzatoconleimpostazioni di sicurezzadesiderateperilserverautonomo • Aprireunpromptdeicomandisulserverautonomo • Creareundatabasediimpostazionidalmodello di sicurezzapersonalizzato,digitando: secedit/import/dbc:\security.sdb/cfgnomemodello di sicurezza • Applicareleimpostazionipresentineldatabasealserverautonomo,digitando: secedit/configure/dbc:\security.sdb
Procedureconsigliateperlaprotezioneavanzatadeiserverautonomi UtilizzarelostrumentoAnalisieconfigurazionediprotezioneperapplicaremodelliaiserverautonomi Configurareleimpostazionideiserviziinbaseairequisitidelruolodelserver Abilitarelaregistrazionedeiserviziperacquisireleinformazionirelative UtilizzareIPSecperfiltrareleporteinbasealruolodelserver
Riepilogodellasessione • Introduzioneallaprotezionedeiserver • Protezionedibasedeiserver • Protezione di ActiveDirectory • Protezioneavanzatadeiservermembri • Protezioneavanzatadeicontrollorididominio • Protezioneavanzatadeiserverdedicati • Protezioneavanzatadeiserverautonomi
Passaggisuccessivi • Peresseresempreaggiornatinelcampodellaprotezione • Abbonarsiaibollettinisullaprotezioneall'indirizzo: http://www.microsoft.com/security/security_bulletins/alerts2.asp(inlinguainglese) • InformazioniaggiornaterelativeallaprotezioneMicrosoftsonodisponibiliall'indirizzo: http://www.microsoft.com/security/guidance/ (in lingua inglese) • Accessoamaterialediformazioneaggiuntivosullaprotezione • Seminaridiformazioneon-lineeconistruttoresonodisponibiliall'indirizzo: http://www.microsoft.com/seminar/events/security.mspx(inlinguainglese) • PertrovareunCTECdizonacheoffrecorsidiformazionepratica,visitareilsitoWeball'indirizzo: http://www.microsoft.com/italy/traincert/Default.mspx
Ulterioriinformazioni • SitoMicrosoftdedicatoallaprotezione(pertuttigliutenti) • http://www.microsoft.com/italy/security/default.mspx • SitoTechNetdedicatoallaprotezione(perprofessionistiIT) • http://www.microsoft.com/italy/technet/sicurezza.asp • SitoMSDNdedicatoallaprotezione(persviluppatori) • http://msdn.microsoft.com/security(inlinguainglese)