Ứng dụng truyền thông và an ninh thông tin harding win2k3

NAT and ICS• Network Address Translation NAT là một tiêu chuẩn Internet được xác định trong RFC 1631.NAT được sử dụng mặt nạ là IP riêng với địa chỉ IP của kết nối Internet bên ngoài.Mặc

HARDENING WINDOWS 2003

1

1 Windows 2003 Infrastructure Security

2 Windows 2003 Resource Security

3 Windows 2003 Authentication

4 Windows 2003 Auditing and Logging

5 Windows 2003 Security Congiguration Tools

6 Windows 2003 EFS

7 Windows 2003 Network Security

2

1 Windows 2003 Infrastructure Security

3

Windows 2003 Infrastructure Security

• Application Server (IIS, ASP.NET)

Windows 2003 Infrastructure Security

• Remote Access/VPN Server

• SharePoint Services Server

• Streaming Media Server

• Terminal Services Server

• WINS Server

5

Workgroup & Domain

6

Cấu trúc logic của Active Directory

Domain Domain

Tree & Forest

8

Shortcut trust

9

Cấu trúc vật lý của Active Directory

• Active Directory về mặt vật lý được cấu tạo từ Sites, các liên kết giữ site và Domain Controller.

Site

Domain Controllers WAN Link

Windows 2003 DNS

11

Group Policy Components

• Group policy là những chính sách được áp dụng cho các computers, domains, Ous

và sites.

12

13

Windows 2003 Infrastructure Security

14

File and Folder Security

• Để bảo mật file tốt nhất nên sử dụng NTFS.

• Các phân vùng trong Windows 2003 nên chuyển đổi sang NTFS để bảo mật tài nguyên tốt hơn

– Convert C: /FS:NTFS (C là phân vùng cần chuyển)

15

File and Folder Permission

16

Advance Permission

17

19

The NULL Session

• Null Session, được gọi là IPC$ trên máy chủ nền tảng Windows, là một dạng kết nối nặc danh tới một mạng chia sẻ cho phép người dùng trong mạng truy cập tự do.

• Kết nối IPC không chỉ cho phép truy cập không giới hạn vào máy tính, mà còn trao quyền truy cập vào tất cả các máy tính trên mạng, và đây là những gì mà tin tặc cần để xâm nhập

hệ thống.

20

The NULL Session

21

Windows 2003 Registry Security

22

Backup Registry

Start > Programs > Accessories > System Tools > Backup

23

Disabling Services

24

Security Configuration Wizard

• Vô hiệu hóa bất kỳ dịch vụ không cần thiết nào.

• Khóa bất kỳ port nào không sử dụng.

• Cho phép thêm nhiều địa chỉ rộng rãi và giới hạn bảo mật cho các port mở.

• Giảm bớt các giao thức Server Massage Block (SMB), LanMan và Lightweight Directory Access Protocol (LDAP).

25

Windows 2003 Authentication

26

27

SAM File

29

LM Authentication

30

LM Authentication

31

NTLM Authentication

32

NTLM Authentication

33

Disabling hash storage

34

Disabling NTLM variants

35

Disabling NTLM variants

• 0 : This allows the computer to send the older LM and NTLM response and to never use NTLMv2 session security

• 1 : Allows the computer to use NTLMv2 session security if negotiated.

• 2 : Allows the computer to send NTLM responses only

36

Disabling NTLM variants

• 3 : This allows the computer to send NTLMv2 responses only

• 4 : Causes domain controllers to refuse LM responses

• 5 : Causes domain controllers to refuse LM and NTLM responses

37

38

39

Configuring Kerberos

40

Windows 2003 Auditing

and Logging

41

Configuring Auditing

• Are both the success and failure of this event useful in determining what happened?

• What is the expected frequency of the event?

• What should happen when the Event Log is full?

42

Configuring auditing for domain controllers

43

Event Log settings

44

Event Log settings

45

WINDOWS 2003 SECURITY CONFIGURATION TOOLS

46

User And Group Security

*Có 2 loại account cơ bản là domain users và local users

*Khi mới cài đặt windows 2003 xong thì sẽ có 2 tài khoản Guest và Administrator

User And Group Security

Restricting Logon Hours

Sam file

Expiration Dates For User Accounts

Locking Down The Administrator Account

51

*Built-in Admin có những quyền hạn sau:

-Tên của tài khoản Build-in Admin là Administrator

-Trong quá trình cài đặt thì password có thể được bỏ trống

-Built-in Admin là thành viên của nhóm built-in Administrators

-Tài khoản Built-in Admin thì không thể bị khóa

Password Policy

52

Account Lockout Policy

53

4.Encrypting File System

Nguyên Lý EFS

Windows 2003 Network Security

56

NAT and ICS

NAT and ICS

• Network Address Translation (NAT) là một tiêu chuẩn Internet được xác định trong RFC 1631.NAT được sử dụng mặt nạ là IP riêng với địa chỉ IP của kết nối Internet bên ngoài.Mặc dù NAT không được thiết kế như một cơ chế an ninh, nhiều mạng cần NAT trong các chính sách an ninh của họ để thêm một lớp bổ sung giữa các Internet

và mạng nội bộ

59

NAT and ICS

60

NAT and ICS

61

Remote Access

Routing và Remote Access Service (RRAS) bao gồm:

• Network Address Translation (NAT)

• Giao thức định tuyến (RIP và OSPF)

• Remote Authentication Dial-In Service (RADIUS)

62

Remote Access

63

Hardening TCP/IP

Các giao thức TCP / IP trong Windows là một trong những thành phần có thể bị tấn công hầu hết các máy tính cá nhân Các cuộc tấn công thông thường bao gồm acttacks Demial dịch vụ (DoS) tấn công từ chối dịch vụ phân tán (DDos) tấn công, giả mạo, smurf, và Land attacks Có một số cấu hình có thể được thực hiện cho các Registry để đảm bảo vững chắc choTCP / IP trong Windows2003

64

Hardening TCP/IP

Syn Attack Defense

Dưới đây là các thông số của TCP/IP trong registry và bạn có thể cấu hình để nâng cao tính vững chắc cho giao thức TCP/IP khi máy tính của bạn kết nối trực tiếp tới Internet Tất cả các thông số của nó trong registry được lưu tại:

Hardening TCP/IP

Syn Attack Defense

Các thông số trong TCP có thể là truyền lại các gói tin trong dạng SYN-ACKS Khi bạn cấu hình thông số này, các kết nối sẽ nhanh trong bị time out hơn trong các vụ tấn công SYN (là

một dạng tấn công DoS)

Dưới đây là vài thông số bạn có thể sử dụng để thiết lập trong Registry:

66

Hardening TCP/IP

Syn Attack Defense

0 (tham số mặc định): Không bảo vệ trước các cuộc tấn công SYN

1: Thiết lập SynAttackProtect là 1 sẽ tốt hơn và nó sẽ bảo vệ hệ thống trước các cuộc tấn công SYN -ACKS Nếu bạn thiết lập tham số là 1, khi một kết nối sẽ có kết quả time out nhanh hơn nếu như hệ Tham số này có nghĩa, nếu là 0 thì hệ thống sẽ truyền lại thông tin SYNthống phát hiện thấy tấn công SYN

67

Hardening TCP/IP

Dead Gateway

Nhiều cổng có thể được cấu hình trong các thiết lập TCP / IP Tuy nhiên bạn có thể vô hiệu hóa chức năng này, vì một cuộc tấn công từ chối dịch vụ (hoặc khác) tấn công có thể gây ra máy tính của bạn để chuyển đổi cổng Các chi tiết cụ thể cho việc này được định nghĩa như sau:

• Value Name:DeadGWDetectDefault

• Key:Tcpip\Parameters

• Value Range:REG_DWORD

• Valid Range:0(False),1 (True)

• Default Value:1 (True)

68

Hardening TCP/IP

MTU Restrictions

Những kẻ tấn công có thể sử dụng tối đa để truyền đơn vị lực lượng mạng lưới để sử dụng các phân đoạn rất nhỏ Bằng cách sử dụng Path MTU Discovery, TCP sẽ cố gắng để xác định kích thước gói lớn nhất mà một con đường dẫn tới một máy chủ từ xa sẽ đáp ứng Ngược lại, khi được sử dụng không đúng cách, mạngcó thể bị ngập với các phân đoạn nhỏ.Các chi tiết cụ thể để điều chỉnh giá trị này được xác định như sau:

69

Hardening TCP/IP

MTU Restrictions

• Value Name:EnablePMTUDiscovery

• Key:Tcpip\Parameters

• Valid Range:0(False),1 (True)

• Default Value:1 (True)

70

TCP/IP Filtering

Một tính năng được xây dựng trong Windows 2003 bạn có thể thêm vào phương pháp của bạn một lớp bảo vệ là TCP / IP lọc được kiểm soát truy cập mạng trong nước cho một host Lọc TCP/IP độc lập của các quá trình khác, chẳng hạn như IPSec, và các dịch vụ khác, chẳng hạn như máy chủ và máy trạm dịch

vụ Để đi truy cập, bạn cần phải thực hiện định tuyến và truy cập từ xa các bộ lọc

72

TCP/IP Filtering

73

Windows Firewall

74

12 steps to hardening Windows Server 2003

75

• Step 1: Be rigid on passwords

Policy

76

• Step 6: Mandate SMB signing

77

THANK YOU

SO MUCH!

78