TechNet Szeminárium előadások 2002 tavasz 2002. 02. 20. SQL Server adatbázisok adminisztrációja 2002. 03. 06. Windows alapú webes alkalmazások 2002. 03.

Az előadások a következő témára: "TechNet Szeminárium előadások 2002 tavasz 2002. 02. 20. SQL Server adatbázisok adminisztrációja 2002. 03. 06. Windows alapú webes alkalmazások 2002. 03."— Előadás másolata:

1 TechNet Szeminárium előadások 2002 tavasz 2002. 02. 20. SQL Server adatbázisok adminisztrációja 2002. 03. 06. Windows alapú webes alkalmazások 2002. 03. 20. Biztonságos Windows 2002. 04. 03. Vállalati szintű projektmenedzsment 2002. 04. 17. Üzemeltetői konferencia 2002. 05. 08. A Windows.NET Server technikai újdonságai

2 Biztonságos Windows Szalontay Zoltán vezető rendszermérnök Microsoft Magyarország

3 Napirend  A Microsoft Solutions Offering (MSO) áttekintése  A Microsoft Solution Architecture Internet Datacenter (MSA IDC) nevű megoldás áttekintése  Az MSA IDC biztonsági kérdései  A biztonsági CD-kről

4 Mi az MSO?  Microsoft termékek és technológiák integrációja az ügyfelek problémáinak megoldására  A Microsoft Consulting Services (MCS) tervezi és az MCS, valamint minősített partnerei valósíthatják meg  A megoldás egy keretrendszer, amelyet a Prescriptive Architecture Guide (PAG) definiál  Mitől más ez, mintha dobozokból raknánk össze?  hardver is szerepel a csomagban  integrált tesztelés, dokumentáció, felügyelet, szolgáltatás és támogatás

5 Milyen megoldások készülnek?  Business Intelligence  Data Warehousing  Development  HIPAA  Internet Business  Intranet  Management  MS Systems Architecture  Mobile Communication  Office productivity  Platform  Project collaboration  Supplier enablement HIPAA: Health Insurance Portability and Accountability Act

6 A partnerek szepere, avagy a Solution Ecosystem  A Microsoft partnereinek szerepét definiálja egy megoldás megvalósítása során  Egy partner például kiindulhat az MSA-ból, de egy konkrét (vertikális) megoldásból is  Az ecosystem definiálja a Microsoft technológiákra épülő megoldás-fejlesztés életciklusát is

7 Mi az MSA?  Solution Architecture  Miből áll?  hardver  dobozos szoftver  „plumbing” avagy integrációs kód  dokumentumok  Egy konkrét megvalósítás a standard megoldáson alapul, de az ügyfél igényei szerint testre szabják

8 MSA IDC dokumentumok  Reference Architecture Guide  az MSA IDC arhitektúráját és tervezési szompontjait írja le  Prescriptive Architecture Guide  egy MSA IDC-nek megfelelő megoldás kiépítésének útmutatója  Operations Guide  az MSA IDC üzemeltetési útmutatója  Services Guide  a megoldás teljes életciklusát (tervezés, implementáció, üzemeltetés) felölelő üzemeltetési és támogatási útmutató  Support Guide  a megoldás támogatási ajánlata

9 Napirend  A Microsoft Solutions Offering (MSO) áttekintése  A Microsoft Solution Architecture Internet Datacenter (MSA IDC) nevű megoldás áttekintése  Az MSA IDC biztonsági kérdései  A biztonsági CD-kről

10 Microsoft Systems Architecture E-Business Infrastr uktúra Rendszer arhitektúra Fejlesztő eszközök CímtárBiztonság Mobilitás Extranet/ Internet Felügyelet E-Business Infrastruktúra Kapcsolódó ügyfelek Integrálódó üzeleti partnerek Hatékony munkatársak Feljesztés Rendszer Arhitektúra Internet Biz Beszállítók Céges portál HIPAA Üzleti Intelligencia Felügyleet Internet Biz Keresk. Egyéb gyártók Partnerek Szolgáltatások Támogatás TárolókKiszolgálók Hálózat Szoftver Microsoft Systems Architecture

11 MSA IDC tervezési célok Biztonságosság Alapvető tervezési szempont Skálázhatóság Felfelé és oldalra Rendelkezésre állás Nincs egypontos hibalehetőség Megbízhatóság Konzisztens viselkedés Menedzselhetőség Elejétől a végéig Szabványosság A kiépített infrastruktúra egységes Támogathatóság Egész megoldásként Implementáció Gyorsan megoldható Teljesítmény.NET A skálázhatósággal összhangban.NET-re kész

12 Az MSA 4 megoldást tartalmaz  Kulcs partnerek termékei az alkotóelemek  Compaq, Unisys / Nortel, Cisco / EMC / ComVault, Veritas / NetIQ, XTremesoft Tárolók, NAS, SAN, Switching Gear… Windows 2000 Serverek Hálózat Útválasztók, Switchek, Tűzfalak… Department Data Center Enterprise Data Center Internet Data Center Hosted Data Center Szoftver Menedzsment, Biztonság, Címtár…

13 Departmental Data Center  Egy osztály alap IT infrastruktúrája  Osztályok közötti együttműködést tesz lehetővé  Más nagyvállalati adatközpontok szolgáltatásaira épülhet  Példák: emberi erőforrás osztály, tervezés, könyvelés Munkaállomás Munkaállomás MunkaállomásMunkaállomás Intranet kiszolgáló Departmental Data Center

14 Enterprise Data Center  A nagyvállalatok és osztályaik átfogó számítástechnikai rendszere  Hálózat, címtár, biztonság, adatmentés és más infrastrukturális alapszolgáltatások  Belső kommunikáció és adatcsere  Több, egymással összekapcsolt telephely  Önellátó funkciók, mint pl. HR, ERP, CRM, belső vásárlás Enterprise Intranet kiszolgálók Enterprise Data Center

15 Internet Data Center  Széleskörű e-business funkciókat támogató web alapú infrastruktúra a külvilággal történő kapcsolódáshoz  Teljeskörű, skálázható, web alapú IT infrastruktúra  A három legfontosabb szempont: biztonság, rendelkezésre állás és megbízhatóság  Példák: online boltok, céges- vagy ügyfélkapcsolati webhelyek, fórumok, stb. Enterprise Intranet kiszolgálók Külső gyűrű Céges tűzfal Web szolgáltatások Internet Data Center

16 Hosted Data Center  A legmagasabb szintű rendelkezésre állásra tervezett (geo-fürtözés)  Provizionálás és elosztott rendszerek felügyelete  Cégek ezreit, felhasználók millióit tudja kiszolgálni egy ilyen rendszer  Példák: nagy kiterjedésű cégek központi felügyelettel, szolgáltató cégek HDC Hosted Data Center

17 Az MSA IDC felépítése

18 Napirend  A Microsoft Solutions Offering (MSO) áttekintése  A Microsoft Solution Architecture Internet Datacenter (MSA IDC) nevű megoldás áttekintése  Az MSA IDC biztonsági kérdései  A biztonsági CD-kről

19 Az MSA biztonsága Áttekintés  Hacker technikák és eszközök  Active Directory és Group Policy Objektumok tervezése  A Windows 2000 Server megerősítése  Az IIS megerősítése  Alkalmazások biztonsága (ajánlások)  ISA Server tűzfal tervezés

20 Hacker technikák és eszközök  Szkennerek (FScan, Superscan, nmap)  Ping Sweep (az alhálózat aktív eszközeihez)  TCP / UDP Port szkennerek (az alkalmazásokhoz)  Banner Grabbing (az OS-t azonosítja)  Denial of Service (DoS) támadások  Smurf (ICMP támadás)  elosztott Denial of Service – Tribe Flood Network  Kiskaput kihasználó támadások (Back Orifice)  Trójai falovak (I Love You)  Webes támadások (URL String támadások, puffer túlcsordulások, pl. Netmeeting)  Session eltérítés (Hunt/Kra, Achilles)  Jelszó próbálgatás (L0phtCrack/lc3)

21 Tipikus támadási pontok  Elfogadott és meghirdetett biztonsági házirend hiánya  Gyenge, könnyen kitalálható vagy közkézen forgó jelszavak  Rosszul konfigurált tűzfalak, útválasztók és egyéb eszközök  Rosszul kiadott fájl- és könyvtár jogosultságok  Az Administrator fiók fölösleges használata  Teszt fiókok fölöslegesen magas privilégiumai  A belső hálózatra csatlakoztatott “Auto-answer” üzemmódú modemek  A hálózat auditálásának és monitorozásának hiánya  Hibajavítások alkalmazása nem rendszeres

22 Az MSA biztonsága Áttekintés  Hacker technikák és eszközök  Active Directory és Group Policy Objektumok tervezése  A Windows 2000 Server megerősítése  Az IIS megerősítése  Alkalmazások biztonsága (ajánlások)  ISA Server tűzfal tervezés

23 Active Directory tervezés

24 Organizational Unit tervezés

25 Az MSA biztonsága Áttekintés  Hacker technikák és eszközök  Active Directory és Group Policy Objektumok tervezése  A Windows 2000 Server megerősítése  Az IIS megerősítése  Alkalmazások biztonsága (ajánlások)  ISA Server tűzfal tervezés

26 Windows 2000 megerősítése Hálózati és helyi erőforrások  A legfrissebb szervizcsomagok és frissítések alkalmazása  csak alapos tesztelés után!  TCP/IP beállítások a DMZ kiszolgálóin  biztonsági sablonban vannak  IP csomagszűrők alkalmazása (IPSec)  NetBIOS letiltása a DMZ kiszolgálóin  A fájlrendszer levédése  NTFS, XCACLS, alapértelmezett ($) megosztások letiltása

27 Windows 2000 megerősítése Helyi és tartományi felhasználók  Ne ugyanazt a helyi fiókot használjuk mindenhol  Nevezzük át az „Administrator”-t  A nevekben ne használjuk az „admin”-t vagy a cég nevét  Erős jelszavakat használjunk

28 Windows 2000 megerősítése Házirendekkel érjük el a biztonságot  Default Domain Policy  jelszóval kapcsolatos beállítások (nem lehet felülbírálni)  fiókok zárolása (kísérletek száma és a zárolás időtartama)  auditálási házirend és napló mérete (10MB, wrap)  Default Domain Controller Policy  a Default Domain Policy nem módosítja az auditálási beállításokat  módosítsuk a biztonsági beállításokat és tiltsuk le a fölösleges szervizeket!

29 Windows 2000 megerősítése Kiszolgáló specifikus házirendek  Felhasználói jogok  Logon locally - Administrators  Access from the network – Authenticated Users  Biztonsági beállítások registry értékei  „Restrict Access to Anonymous Account”  „NTLMv2 – Cluster Servers (Q272129)  Szervizek letiltása AlerterMessenger Browser Print Spooler Clipbook Task Scheduler DHCP ClientTelnet

30 Alapértelmezés szerinti biztonsági sablonok  %SystemRoot%\Security\Templates\*.inf  Alap sablonok  Basicwk – Windows 2000 Pro  Basicsv – Windows 2000 Server  Basicdc – Windows 2000 Domain Controller  Járulékos sablonok (az alapra telepítendő)  Securews – Windows 2000 Workstation vagy Server  Securedc – Windows 2000 Domain Controller  Hisecwks – Windows 2000 Workstation vagy Server  Hissecdc – Windows 2000 Domain Controller  Hisecwks  Windows 2000 Serverre  minden kiszolgáló Windows 2000 kell, hogy legyen  lebutítja a Power users csoportot

31 Az MSA biztonsága Áttekintés  Hacker technikák és eszközök  Active Directory és Group Policy Objektumok tervezése  A Windows 2000 Server megerősítése  Az IIS megerősítése  Alkalmazások biztonsága (ajánlások)  ISA Server tűzfal tervezés

32 Az IIS megerősítése  Alkalmazzuk a legfrissebb IIS javításokat  Hot Fix Checking Tool  Tiltsuk le a könyvtárak tallózását  Ellenőrizzük a virtuális könyvtárak jogosultságait  Védjük le az IIS naplóit és auditáljunk  Tiltsuk le vagy töröljük a minta alkalmazásokat  Töröljük ki a nem használt szkript megfeleltetéseket (script mapping)  Szedjük le a szülő könyvtárat („..”) a pathról

33 Néhány perc szünet…

34 Az MSA biztonsága Áttekintés  Hacker technikák és eszközök  Active Directory és Group Policy Objektumok tervezése  A Windows 2000 Server megerősítése  Az IIS megerősítése  Alkalmazások biztonsága (ajánlások)  ISA Server tűzfal tervezés

35 Alkalmazások biztonsága Hasznos tanácsok (1/2)  Használjunk adat titkosítást  Erős jelszavakat írjunk elő  Tiltsuk le a cookiekat  Az SSL-es oldalaknak legyen élettartamuk  A HTML és ASP oldalak ne tartalmazzanak bizalmas információt  Az állapotot SQL Serverben tároljuk  Ellenőrizzük a bevitt adatokat

36 Alkalmazások biztonsága Hasznos tanácsok (2/2)  Az üzleti logikai funckiókat tegyük COM komponensekbe  A fejlesztők ne írhassanak az éles rendszerbe  Használjunk „source control” eszközöket  Ne használjunk ftp-t és telnetet

37 Az MSA biztonsága Áttekintés  Hacker technikák és eszközök  Active Directory és Group Policy Objektumok tervezése  A Windows 2000 Server megerősítése  Az IIS megerősítése  Alkalmazások biztonsága (ajánlások)  ISA Server tűzfal tervezés

38 Külső ISA Server konfiguráció  Hálózati konfiguráció  több hálókártyás  statikus útvonalak minden belső VLAN-hoz  Telepítési opciók  standalone mód (nem címtár integrált)  integrált mód – tűzfal és gyorsítótár egyben  LAT konfiguráció  szervizcsomagok és egyéb javítások ( ISAHF63)  ISA tűzfal konfiguráció  nincs statikus szűrő (pl. webcat miatt)  Web Publishing 2 db IIS NLBS farmot publikálnak a hosts fájljaik alapján  Server Publishing

39 Szűrés állapot alapján SecureNAT esetén

40 Web publikálás SSL híd nélkül  Egy ISA NLBS farm mögött van két IIS NLBS farm  IIS NLBS „Single affinity” esetén  a NAT miatt a source IP minden esetben az ISA belső címe  minden SSL csomag az egyik farmhoz megy  IIS NLBS „No affinity” esetén  minden SSL csomag más IIS Serverhez megy  mindig újra kell építeni az SSL kapcsolatot (session key) – óriási terhelés

41 Web publikálás SSL híddal  Levenni az IIS-ről az SSL okozta terhelést  A tanusítványt minden ISA Serverre fel kell tenni  Az átmenő adatokat az ISA így már ellenőrizheti  SSL harveres gyorsítókártya javasolt nCipher, Rainbow, Atalla

42 Belső tűzfal  A belső kiszolgálók védelméhez egy újabb réteget ad  Cisco PIX, ISA Server  NetBIOS-t le kell tiltani (netbios.sys), hogy az AD- hoz szükséges SMB portot (445) átengedhesse  Hardveres terhelés elosztás szükséges a belülről kifelé menő forgalom egyenletes elosztásához  BigIP, Local Director  default gateway csak egy lehet  az NLBS egyszerre csak egy adapterhez köthető  a.NET Serverben már többhöz is lehet  Szűrés állapot alapján  Még magasabb szinten naplózhatunk

43 Belső tűzfal tervezés Az alkalmazások által használt portok Protokoll definíció PortProtokollMegjegyzés Alkalmazás (SQL Server) 1433TCPAz IIS-ek a VLAN12 SQL-einek IP címét DNS-sel kapják meg

44 Belső tűzfal tervezés A címtár által használt portok Protokoll definícióPortProtokoll Kerberos88UDP NTP123UDP RCP Endpoint Mapper135TCP LDAP389TCP, UDP SMB Direct Host115TCP DNS Query53UDP NTDS (más port: Q280132)1026TCP

45 Belső tűzfal tervezés A felügyelet által használt portok Protokoll definícióPortProtokoll App Manager Agent9979 9998 9999 +RPC TCP MOM Agent1270TCP Application Center Server4243 4244 TCP Terminal Services3389TCP

46 Split-split DNS konfiguráció

47 Napirend  A Microsoft Solutions Offering (MSO) áttekintése  A Microsoft Solution Architecture Internet Datacenter (MSA IDC) nevű megoldás áttekintése  Az MSA IDC biztonsági kérdései  A biztonsági CD-kről

48 Az előzmények  2001. nyarának elején a Microsoft Magyarország elérkezettnek látta az időt egy rendszeresen megjelenő biztonsági CD kiadványra  Biztonsági eszközlészlet CD  Ezzel egyidőben a Microsoft Corporation is meghirdetett egy programot (STPP), melynek szintén része egy biztonsági CD  Security Toolkit CD  A két CD nem pont ugyanazt a feladatot tölti be

49 Strategic Technology Protection Program (STPP)  Get secure  vírusfertőzésekkel kapcsolatos támogatás 1-866-PC SAFETY (1-866-727-2338)  ingyenesen rendelhető biztonsági CD Security Toolkit CD  a W2K SP3 elsődleges célja a biztonság fokozása  Stay secure  a Security Toolkit CD rendszeresen megjelenik  Windows 2000 kumulatív javítások kéthavonta  IT rendszerek biztonságával foglalkozó események  menedzselhető biztonság nagyvállalati eszközök, automatikus frissítés, stb.  http://www.microsoft.com/presspass/features/20 01/oct01/10-03securityqa.asp http://www.microsoft.com/presspass/features/20 01/oct01/10-03securityqa.asp

50 Security Toolkit CD  Angol és magyar változat  Milyen operációs rendszerhez jó?  Windows NT 4.0  Windows 2000  munkaállomásokhoz és kiszolgálókhoz egyaránt  Felteszi az összes ismert javítást  később leszedhetők  Speciális eszközök  IIS lockdown tool  URLScan  hfnetchk.exe  qchain.exe

51 IIS lockdown tool v2.1  Telepítéskor sablonok alapján állíthatjuk be az IIS biztonságát  most már OWA sablon is van és működik is ;-)  A telepítés során napló és a metabaseről másolat készül  Újbóli futtatáskor visszaállítja az eredeti állapotot

52 URLScan.dll  Az IIS lockdown tool is felteszi, de függetlenül is használható  ISAPI szűrő  A %windir%\system32\inetsrv\UrlScan\urlscan.ini alapján szűr  a HTTP request módjára  a HTTP kérésben lévő fejlécekre (request header)  a fájl kiterjesztésre  gyanús URL kódolásra  nem ASCII karakterekre  adott karaktersorozatra  Az URLScan.log-ba naplózza a letiltott kéréseket

53 hfnetchk.exe Shavlik Technologies  Leellenőrzi, hogy egy adott gépen fent vannak-e a legfrissebb javítások  Windows NT4, Windows 2000, Windows XP, IE, IIS, SQL  Nem minden termék javításait ellenőrzi  pl.: Exchange, Office nem  Több távoli gépen is futtatható  egy fájlban kell felsorolni az IP címeket  Egy XML fájlban van a javítások leíró információja  minden javítás megjelenésekor frissül az XML fájl

54 hfnetchk.exe kérdések  Mit csináljunk, ha nincs Internet kapcsolatunk?  http://download.microsoft.com/download/xml/security/1.0/ nt5/en-us/mssecure.cab http://download.microsoft.com/download/xml/security/1.0/ nt5/en-us/mssecure.cab  Honnét tölthetők le a javítások?  http://www.microsoft.com/technet/security/current.asp http://www.microsoft.com/technet/security/current.asp  Miért nem mutatja ki, hogy kell egy javítás, ha tudom, hogy kell?  függőségek lehetnek az egyes javítások és a szervizcsomagok között  Minden javasolt javítást tegyek fel?  célszerű egyesével végigolvasni a problémák leírását és csak tesztelés után feltenni a javítást

55 qchain.exe  Több javítás újraindítás nélküli, egyszerre történő telepítését teszi lehetővé  A javításokat „-z –m” opciókkal kell telepíteni  „silent” és „no reboot”  nem minden javításnak van ilyen opciója, pl.: ISA ;-)  A javítások telepítése után jöhet a qchain.exe  meggátolja, hogy egy régebbi javítás felülírjon egy újabbat  Csak szigorú tesztelést követően szabad éles gépen alkalmazni!

56 qcheck.exe  Kilistázza a telepített javításokat  Nem minden javítás jelenik meg  pl.: SP1 előtt ISA javítások ;-)  az ISA javítások a jövőben rendesen regisztrálják magukat le lehet őket szedni a Control Panelben látszanak, stb.  Nem mentesít a telepítési napló vezetése alól!

57 Biztonsági eszközkészlet CD  Alapvetően munkaállomások védelmére készült  Funkciói  a legfrissebb biztonsági javítások telepítése  különböző biztonsági szintekhez tartozó beállítások  biztonsági eszközök telepítése, futtatása  egyéb információk, szolgáltatások 1. változat – 2001. ősz  Windows 2000-hez  ha magyar változathoz használjuk, hozzunk létre egy Administrators csoportot és tegyük bele a Rendszergazdát 2. változat – 2002. eleje  Windows 2000-hez és Windows XP-hez  angol vagy magyar változathoz is

58 Biztonsági eszközkészlet CD Telepítés

59 Biztonsági eszközkészlet CD Biztonsági beállítások  Munkaállomás kiemelt funkciókkal  erős jelszavak, fiók kizárás, CRTL+Alt-Del kötelező, leállításhoz be kell jelentkezni, sikertelen bejelentkezést naplózza, helyileg csak az Administrators és a Power Users tagjai jelentkezhetnek be, erős hitelesítés, floppy és CD használat csak helyileg, aláírt meghajtók, registry és NTFS ACL vizsgálat  Munkaállomás tűzfal nélkül  Munkaállomás tűzfal mögött  Otthoni számítógép Internet hozzáféréssel  Otthoni számítógép Internet hozzáférés nélkül

60 További információ Weboldalak  Microsoft  MSA IDC http://www.microsoft.com/solutions/idc/  biztonság www.microsoft.com/security www.microsoft.com/technet/itsolutions/security  hfnetchk FAQ http://www.microsoft.com/business/solutions/default.asp  Egyéb  www.securityfocus.com www.securityfocus.com  http://www.rsasecurity.com/ http://www.rsasecurity.com/

61 További információ Könyvek  Michael Howard: Designing Secure Web- Based Applications for Microsoft Windows 2000 (ISBN: 0-7356-0753-2)  Joel Scambray: Hacking Exposed Second Edition (ISBN: 0-07-212748-1)  Joel Scambray: Hacking Exposed Windows 2000 (ISBN: 0-07-219262-3)

62 wheredoyouwanttogotoday?

63 Az MSA IDC felépítése