Verwendung von Microsoft Security Tools
GET secure, STAY secure!
Microsoft Exchange Server 2000
Mario Bono
Agenda
Q & A
Sicherheitskonzept Get secure
Stay secure
Microsoft Security Tool KitChecklisten
Dienste
MS WUPD
MSBSA
Hotfixes
Tools
Patch Management
MSUSSecurity Operations Guides (W2K/E2K)
Securing E2K & OWA Server Security (Firewalls/DMZ)
Netzwerk Traffic
Client Zugriff
Sicherheitskonzept
Programm – integriert Microsoft Produkte, Support und
Dienstleistungen (Microsoft Security Tool Kit)
Phase 1: GET secure Unterstützung für Windows NT 4.0 und Windows 2000 Enthält Tools und Richtlinien zum sicheren Betreiben eines Servers der am Internet angeschlossen ist
Phase 2: STAY secure Tools, Updates Patches, Consulting
Microsoft Security Tool Kit
http://www.microsoft.com/technet/
treeview/default.asp?url=/
technet/security/tools/Default.asp
Microsoft Security Tool Kit
Arbeitsstationen und
Server Security Checklisten Security Vorlagen
Hot Fixes Windows Update Microsoft Base Security
Analyzer HFNetCheck QChain Critical Update
Notification
IIS Dienste
IIS Checklisten
IIS Lockdown Tool
URLScan
Checklisten / Vorlagen
Vorhanden für:Vorhanden für:
Windows NT 4.0Windows NT 4.0
Windows NT 4.0 Terminal ServerWindows NT 4.0 Terminal Server
Windows 2000 Windows 2000
Windows XPWindows XP
IIS Dienste
Das Toolkit enthält Checklisten zum Sicheren Das Toolkit enthält Checklisten zum Sicheren betreiben von Internet Information Server und betreiben von Internet Information Server und
Internet ExplorerInternet Explorer
IE (für alle Versionen)IE (für alle Versionen)
IIS 5.0IIS 5.0
IIS 4.0IIS 4.0
IIS TOOLS
IIS Lockdown Wizard
Konfiguriert IIS auf Windows NT 4.0 oder Windows 2000 Server
URLScan
Windows 2000 SP1 oder später Analysiert vom IIS empfangene HTTP Anfragen
Hotfixes - MS Windows Update
Update bei Publikation der Sicherheits Bulletins
Voraussetzungen:
Internet Explorer muss Cookies und ActiveX Controls erlauben Lokale Administrator Berechtigungen
MS Baseline Security Analyzer
Unterstützte Plattformen:
Windows 2000 Professional/Server Windows XP Home Edition/Professional
Voraussetzungen:
Lokale Administrator Berechtigungen Mehr Sicherheits-Checks als Microsoft Windows Update Unterstützung Remoter Workstations und Server
MS Baseline Security Analyzer
Überprüfung folgender Produkte/Services:
Windows NT 4.0 Workstation/Server Windows 2000 Professional/Server Windows XP Home Edition/Professional IIS 4.0/5.0 SQL 7.0/2000 Erkennt SQL Server Instanzen IE 5.01+
MS Baseline Security Analyzer
Überprüfung folgender Produkte/Services
Fortsetzung:
Exchange und Windows Media Player Office 97, 2000, XP Support für Software Update Services (SUS)
http://www.microsoft.com/technet/http://www.microsoft.com/technet/
security/tools/Tools/mbsahome.aspsecurity/tools/Tools/mbsahome.asp
The Hotfix Network Checker
Anwendung für Server und Client Workstations Remote Unterstützung Mehr Security-Checks als Windows Update
o Windows 2000, IIS 4.0, IIS 5.0, SQL Server 7.0, SQL Server 2000, Internet Explorer 5.01 and later
Download verfügbarer Updates und Fixes als .XML
Zusätzliche Funktionalität in der Pro und LT Version Download der LT Version http://www.shavlik.com
Hotfix
Allgemeine Überlegungen
Viele Neustarts Reihenfolge Hotfix Installation
beachten
Lösung
Windows Critical Update Notification Security Tool Kit: QChain Tool
QChain verwenden
In BetriebssystemIntegriert
Seit SP3 integriert
QChain verwenden
QChain Entscheidungs Baum
BetriebssystemBetriebssystemWindows NT 4.0?Windows NT 4.0?
BetriebssystemBetriebssystemWindows XP?Windows XP?
BetriebssystemBetriebssystemWindows 2000 SP3 Windows 2000 SP3
oder späteroder später
QChain Tool - Funktionsweise
FalscheVersionFalscheVersion
RichtigeVersionRichtigeVersion
Hotfix B
X.dll (v3)
Hotfix A
X.dll (v1)
Hotfix C
X.dll (v2)X.dll (v2)
Hotfix B
X.dll (v3)
Hotfix A
X.dll (v1)
Hotfix C
X.dll (v2)
X.dll (v3)
Server
QChain ToolQChain ToolQChain ToolQChain Tool
QChain Tool für Windows NT 4.0
@echo off
setlocal
set PATHTOFIXES=E:\Hotfix
%PATHTOFIXES%\Q123456i.exe -z -m
%PATHTOFIXES%\Q123321i.exe -z -m
%PATHTOFIXES%\Q123789i.exe -z -m
%PATHTOFIXES%\qchain.exe
@echo off
setlocal
set PATHTOFIXES=E:\Hotfix
%PATHTOFIXES%\Q123456i.exe -z -m
%PATHTOFIXES%\Q123321i.exe -z -m
%PATHTOFIXES%\Q123789i.exe -z -m
%PATHTOFIXES%\qchain.exe
Switch – Z unterdrückt den Neustart
Switch – Z unterdrückt den Neustart
Switch – MUnattended Mode
Switch – MUnattended Mode
QChain Tool für Windows 2000
@echo off
setlocal
set PATHTOFIXES=E:\hotfix
%PATHTOFIXES%\Q123456_w2k_sp2_x86.exe -z -m
%PATHTOFIXES%\Q123321_w2k_sp2_x86.exe -z -m
%PATHTOFIXES%\Q123789_w2k_sp2_x86.exe -z -m
%PATHTOFIXES%\qchain.exe
@echo off
setlocal
set PATHTOFIXES=E:\hotfix
%PATHTOFIXES%\Q123456_w2k_sp2_x86.exe -z -m
%PATHTOFIXES%\Q123321_w2k_sp2_x86.exe -z -m
%PATHTOFIXES%\Q123789_w2k_sp2_x86.exe -z -m
%PATHTOFIXES%\qchain.exe
HotfixWindows 2000
HotfixWindows 2000
Critical Update Notification Service
Informiert über neue Updates
Drei Optionen:
Automatischer Download und Benachrichtigung über Installation
Benachrichtigung bei Download und Installation Manuell
Unternehmensweites Patch Management
Windows Update Site – Permission Denied
Keine Tests = keine Installation; Unternehmensweite Sicherheitsrichtlinien
Lösung:
Microsoft Software Update Services (SUS)
SUS Komponenten
MSUS Server
Wird im Intranet zur Verfügung gestellt Synchronisation mit Windows Update Site Kontrolle über Update und Hotfix Verteilung
Auto Update Client
Beruht auf Windows XP Auto Update Check Intranet und öffentliche Windows Update Site Zentralisierte Konfiguration Auto-Download und Installation
Microsoft Software Update Services
Microsoft Windows Microsoft Windows Update ServerUpdate Server
AAAA
BBBB
CCCC
InternetInternet
MSUS ServerMSUS Server
ServerServer
WorkstationsWorkstations
AAAA
BBBB
CCCC
Administrator definiertUpdates
Konfiguration und VerteilungPer Group Policy
Download GEPRÜFTER GEPRÜFTER Updates
MSUS Überlegungen
Kann verwendet werden für:
Rollout von Hotfixes undSecurity Updates
Keine Unterstützung für:
Service Packs
o Verteilung über Group Policies
Security Operations Guide For Windows 2000 Server
Chapter 1 - Introduction Chapter 2 - Understanding Security Risk Chapter 3 - Managing Security with Windows 2000
Group Policy Chapter 4 - Securing Servers Based on Role Chapter 5 - Patch Management Chapter 6 - Auditing and Intrusion Detection Chapter 7 - Responding to Incidents
http://www.microsoft.com/technet/http://www.microsoft.com/technet/security/prodtech/windows/security/prodtech/windows/windows2000/staysecure/windows2000/staysecure/
Sicherheitsvorlagen …
Serverrolle Beschreibung Sicherheitsvorlagen
Windows 2000-
Domänencontroller
Ein Active Directory-
Domänencontroller
BaselineDC.inf
Windows 2000-
Anwendungsserver
Ein gesperrter
Mitgliedsserver, auf dem ein
Dienst, beispielsweise
Exchange 2000, installiert
werden kann. Damit der
Dienst ordnungsgemäß
funktioniert, muss die
Sicherheit gelockert werden.
Baseline.inf
Windows 2000-Datei- und -
Druckserver
Ein gesperrter Datei- und
Druckserver
Baseline.inf und File and
Print Incremental.inf
Windows 2000-
Infrastrukturserver
Ein gesperrter DNS-, WINS-
(Windows Internet Name
Service) und DHCP-Server
Baseline.inf und
Infrastructure
Incremental.inf
Windows 2000-IIS-Server Ein gesperrter IIS-Server Baseline.inf und IIS
Incremental.inf
Tool
EventComb
Zentralisierte Auswertung der Event Logs
multi-threaded
Speicherung und Weiterverarbeitung per CSV Text File
Security Operations Guide For Exchange 2000 Server
Chapter 1 – Introduction
Chapter 2 – Securing your Exchange 2000 Environment
Chapter 3 – Securing Exchange 2000 Servers based on Role
Chapter 4 – Securing Exchange Communications
http://www.microsoft.com/technet/security/http://www.microsoft.com/technet/security/prodtech/mailexch/opsguide/default.aspprodtech/mailexch/opsguide/default.asp
Sicherheit: E2K & OWA
Zuerst – Sicherheit beim Zugriff auf Server! Firewalls/DMZ Virus Protection
Netzwerkzugriffe zwischen Servern Protokolle Ports Spoofing usw.
Clientzugriffe sichern MAPI – OUTLOOK OWA
Serverzugriffe
Hardening Windows 2000 - siehe Sicherheitsvorlagen
Unnötige Dienste deaktivieren
Firewalls Deaktivieren nicht benötigter Ports ISA server versus Hardwarelösungen
o Spezial HW bietet weniger Angriffspunkte– Teurer in der Anschaffung
o ISA server– Integration mit Microsoft Server & Backoffice Familie
– Günstigere Anschaffung
Einfache Firewall
FirewallFirewallOffene Ports: Offene Ports: 443, 993, 995443, 993, 995
Exchange 2000Exchange 2000Front-EndFront-EndServerServer
Active DirectoryActive DirectoryGlobal Catalog ServerGlobal Catalog Server
Exchange 2000Exchange 2000ServerServer
Exchange 2000Exchange 2000ServerServer
InternetInternet
HTTP, IMAPHTTP, IMAPoder POP3 Clientoder POP3 Client
Typische DMZ Konfiguration
FirewallFirewallOffene Offene Ports:Ports:443, 993, 443, 993, 995995
Exchange Exchange 20002000Front-EndFront-EndServersServers
Exchange 2000Exchange 2000ServerServer
Active DirectoryActive DirectoryGlobal Catalog ServerGlobal Catalog Server
Exchange 2000Exchange 2000ServerServer
Internet Internet
FirewallFirewallOffeneOffenePorts: 80Ports: 80143, 110,143, 110,LDAP, …LDAP, …
DMZDMZ
HTTP, IMAPHTTP, IMAPoder POP3 Clientoder POP3 Client
Firewalls und Client Zugriffe
Zugriff auf “Internen” (Firewall) Exchange Server
vom Internet Inbound RPC Zugriff auf Firewall Typisches Szenario für Roaming Users
Zugriff auf Exchange Server (DMZ) von Intern Untypisches Szenario Outbound RPC Zugriff erlauben
Best Practice: VPN´s = keine Probleme mehr
(HTTP, IMAP, POP) DMZ Überlegungen
FE und BE müssen dem gleichen Forest angehören
FE benötigt Zugriff auf DNS Server
FE benötigt RPC beim Zugriff auf AD nur wenn Authentisierung eingeschalten ist
RPCs in der DMZ
IIS verwendet RPCs für Authentisierung
Vor SP2, RPCs zum Auffinden von DCs
RPC nicht erforderlich; Einschränkungen: Explizites Logon erforderlich
http://server/exchange/user
Kein Load Balancing für Öffentliche Ordner
Port Filtering in der DMZBenötigte Ports
Client Mail Zugriff 443 TCP vom Internet (HTTPS) 80 TCP zum Intranet (HTTP)
LDAP 389 TCP und UDP 3268 TCP (Globaler Catalog)
Kerberos 88 TCP und UDP
DNS (oder DNS Server in DMZ) 53 TCP und UDP
Port Filtering in der DMZBenötigte Ports …
IPsec (optional) Kerberos Ports
• Securing Kerberos with IPSec on DCs broken in Win2K SP2 (Q309304) oder SP3
500 UDP: Internet Key Exchange (IKE) ESP (Encapsulating Security Payload ):
Port 50 AH (Authentication Header):
Port 51
RPCs (optional) 135 und 1024 oder.. 135 und Single Port (Konfiguration, Q224196)
Überlegungen zu SPAM Relaying
Was ist SPAM Relaying?
““Evil SpammerEvil Spammer””
MAIL FROM: <[email protected]>RCPT TO: <[email protected]> OO
550 5.7.1 Unable to relay for <[email protected]>
Bono.toBono.to
Überlegungen zu SMTP
Definition SPAM Relaying?
““EVIL SpammerEVIL Spammer””
MAIL FROM: <[email protected]>RCPT TO: <[email protected]>
Bono.toBono.to
Falsch “Von:”Falsch “Von:” Richtig “An:” Richtig “An:” NachrichtNachricht Filter greifen nicht?Filter greifen nicht?
SMTP Server Einstellungen
Relay Einstellungen
Best Practice: Default!
Anti-Spoofing: ResolveP2
Problem: irgend jemand übermittelt eine Nachricht
Von: [email protected]
Beim Öffnen dieser erscheint: Von: Mario Bono Betreff: DU BIST GEFEUERT
Eigenschaften des Senders anzeigen Name wird aufgelöst
ResolveP2
Was ist “P2”? X.400 Name für “Body” der Nachricht Envelope (Umschlag) ist P1 Bei SMTP, P2 entspricht dem „Body“ nach RFC 2822 Anzeige der Clients immer in Form von
Von: und An: oder P2
Was bedeutet “resolve”? Werden Informationen die bei Zustellung einer Nachricht
zum Server und Abruf durch MAPI Clients mit dem Adressbuch abgeglichen?
Ja, wenn Übereinstimmungen gefunden werden sieht die E-Mail wie von “Intern” aus.
ResolveP2 History
Exchange 5.0 Default: “resolve everything” Regkey zum Deaktivieren
Exchange 5.5: Default: “resolve nothing” Regkey zum Aktivieren
Exchange 2000 Default: “resolve everything”,
keine Kontrolle bei E2K RTM Exchange 2000 SP1: ResolveP2 Regkey
Exchange 2000 SP1+ ResolveP2
Registry Key für ResolveP2 Siehe KB-Artikel Q288635
Outlook XP Erweiterungen Vorschaufenster unterscheidet zwischen
unaufgelösten Adressen ohne die Nachricht zu öffnen
Bei Antworten; nicht aufgelöste Adressen werden als <[email protected]>Name dargestellt
Allgemeine Überlegungen zu SMTP
Internet Mail ist nicht sicher! Ausnahme Verschlüsselung
Jeder kann E-Mails an jeden senden
“Evil People” Können immer mit Ihrer Adresse als Absender
auftreten! Aber nicht über Ihren Server, wenn Relaying
ausgeschalten ist!
Authentisierung zwischen Servern im Netzwerk
Automatische Server zu Server Authentisierung mit X-EXPS Kerberos/NTLM Default SMTP Protokoll Erweiterungen in
Exchange 2000
SMTP AUTH (RFC 2554) Verbindung zu externen Systemen,
wird am SMTP Connector eingestellt
Verschlüsselung zwischen Servern im Netzwerk
IPSec Einfache Konfiguration Über Group Policy Einstellung: “erfordert
Verschlüsselung des Inbound Traffics, Port 25” auf allen Exchange Servernhttp://www.microsoft.com/windows2000/techinfo/planning/security/ipsecsteps.asp
Einsatz von IPSec Accelerator Ethernet Cards
Client Zugriff
Outlook (MAPI) Clients
Outlook Web Access (HTTP) Clients
Netzwerk Sicherheit mit Outlook Clients
Verschlüsselung in Mail Einstellungen
ändern
MAPI RPC Am FE keine Mailboxen Verwendet UDP vom
Server zum Client für Benachrichtigung über neue E-Mail
OWA Verschlüsselung zwischen Servern
Traffic von FE zu BE Isolierte Netzwerke IPSec? (RFCs 1825, 1826, 1827)
• Internet Key Exchange (IKE): RFC 2409
• Encapsulating Security Payload (ESP) oder Authentication Header (AH)
• Client (respond only) policy
• ISA can inspect IPSec’d traffic
OWA Authentisierung am Server
(Optional) FE Authentisierung aktiviert Erfordert RPC Deaktivieren anonymer Anfragen auf BE
SMTP Domain auf virtuellem Server Benutzer benötigt E-Mail Adresse der Domain um
sich anzumelden
OWA Verschlüsselung vom Client zum Server
SSL 128-Bit Encryption „erfordert SSL“ ist konfigurierbar Client benötigt entsprechende 128-Bit Browser
Version
Stärkste Authentisierung verwenden...
Zusammenfassung
Zuviel INFO für zuwenig ZeitWhite Papers und KB´s lesen (Consulting?)!
GET secure mit:Betriebssystem und Server sichern
Zugriff auf Server sichernClients sichern
STAY secure mit:MSUS
QCHAIN
...
Referenzen
Exchange 2000 Security Recommendationshttp://www.microsoft.com/exchange/techinfo/deployment/2000/BestConfig.asp
Windows VPN Security White Paperhttp://www.microsoft.com/ntserver/techresources/commnet/VPN/VPNSecurity.asp http://www.microsoft.com/technet/treeview/default.asp?url=/TechNet/columns/security/essays/10salaws.asp
Hardening Windows 2000: http://www.systemexperts.com/win2k
NSA Guide to Securing Windows 2000 http://www.nsa.gov
Referenzen…
Security Operations Guide for Windows 2000http://www.microsoft.com/technet/security/prodtech/windows/windows2000/staysecure/
Security Operations Guide for Exchange 2000http://www.microsoft.com/technet/security/prodtech/mailexch/opsguide/default.asp
Front-End/Back End Deployment paperhttp://www.microsoft.com/exchange/techinfo/deployment/2000/E2KFrontBack.asp
General Security infohttp://www.microsoft.com/technet/itsolutions/security/secthret.asp
Q & A
Mario Bono EDV Dienstleistungen und Beratung
Münzgasse 3/25, A-1030 Wien
[email protected] http://www.bono.to
Tel. +43699/10801341
Top Related