09/06/2013
Endurecendo Servidores WEB
Microsoft
Fernando Bulhoes
Week-IT2013
Week-IT2013
AGENDA
1 O que é Server
Hardening
2 Recomendações
Internacionais
4 Preparação do ambiente
3 O que é Server Hardening
5 Infraestrutura recomendada
6 Políticas de
servidor
7 Removendo componentes do servidor e alterando Chaves de Registro
1
09/06/2013
Week-IT2013
Server Hardening
•É a ação de proteger um servidor.
•É um processo de melhoria das condições de segurança
do através de uma variedade de meios e ações,
resultando em um ambiente operacional muito mais
seguro.
•Devido às medidas de segurança avançadas postas em
prática dizemos que o processo é de endurecimento do
servidor.
Week-IT2013
Server Hardening - Ações
•Definir o ambiente apropriado para a instalação;
•Definir os componentes a serem instalados ou
adicionados;
•Levantar os componentes vulneráveis;
•Separar os espaços compartilhados e não
compartilhados;
•Definir permissões de acesso;
•Remover componentes desnecessários.
2
09/06/2013
Week-IT2013
Server Hardening – Need to Know
•Entender o Sistema Operacional.
•Arquitetura;
•Sistema de arquivos;
•Processo de boot.
Week-IT2013
Server Hardening – Need to Know
Windows Server 2003 User Mode
Windows Server 2003 Kernel Mode
3
09/06/2013
Week-IT2013
Recomendações Internacionais
Week-IT2013
Recomendações Internacionais
•Windows Server 2003 Security Baseline
•Microsoft Security Compliance Manager (SCM)
•As linhas de base com base em recomendações de segurança da Microsoft guia e
as melhores práticas da indústria. Linha de Base das melhores práticas.
•Recursos de gerenciamento centralizado de segurança da linha de base.
•Suporte Gold Master. Permite aplicar políticas avançadas ou criar o próprio
projeto.
•Configuração da máquina stand-alone. Usa um novo recurso de GPO emb para
máquinas fora do domínio.
•Guias de segurança Atualizado. Referências de melhores práticas, normatização e
Análise de risco.
•Comparações com as melhores práticas da indústria.
4
09/06/2013
Week-IT2013
Recomendações Internacionais
Week-IT2013
Preparação do ambiente
•Mídias originais.
•Atualização das correções de segurança
•Atualização de do software antivírus, engine, configurações
e últimos dats.
•Atualização de firmware controladoras e BIOS.
•Checklist atualizado.
•Script do Modelo de Segurança.
•Hardware está funcional.
•Drivers atualizados.
•O Servidor tem de estar desconectado da rede.
•A instalação é Standalone
5
09/06/2013
Week-IT2013
Infraestrutura recomendada
1. Ambiente isolado de toda a rede.
2. A alimentação de energia controlada a através de
3.
4.
5.
6.
7.
dispositivos de UPS e filtragem de problemas na linha.
Servidores projetados para essa finalidade.
O servidor deve estar em uma DMZ isolado da rede externa
e interna.
O Firewall deve permitir acesso apenas as portas especificas
de serviço web.
Os roteadores e switches devem ser configurados
especificamente para o acesso dos servidores em uma vlan.
As regras de acesso devem ser restritas e nunca
abrangentes.
Week-IT2013
Políticas de servidor - SO
8. A configuração de discos em RAID 5.
9. O disco físico deve ter, pelo menos, 3 partições
formatadas com NTFS, sendo que uma será usada para
pagefile, uma partição deve ser usada exclusivamente
como partição de boot, com o sistema operacional, e a
outra partição deve ser usada para hospedar as páginas
Web e todos os arquivos e pastas disponíveis para acesso
dos usuários, seja HTTP ou FTP. Avaliar corretamente os
espaços em disco porque os arquivos de logs ocupam
espaço crescente exigindo limpezas posteriores.
6
09/06/2013
Week-IT2013
Políticas de servidor - SO
8. A configuração de discos em RAID 5.
9. O disco físico deve ter, pelo menos, 3 partições
formatadas com NTFS, sendo que uma será usada para
pagefile, uma partição deve ser usada exclusivamente
como partição de boot, com o sistema operacional, e a
outra partição deve ser usada para hospedar as páginas
Web e todos os arquivos e pastas disponíveis para acesso
dos usuários, seja HTTP ou FTP. Avaliar corretamente os
espaços em disco porque os arquivos de logs ocupam
espaço crescente exigindo limpezas posteriores.
Week-IT2013
Políticas de servidor - SO
10. O servidor deve estar na rede interna, protegido por um
firewall.
11. Não colocar de forma nenhuma o servidor no domínio.
Não usar contas administrativas para copiar ou instalar
qualquer coisa no ambiente pela rede. Usar sempre CDs
com os arquivos de instalação ou fazer uma cópia dos
arquivos via ftp criando uma área temporária na unidade
diferente do sistema. Sempre colocar esses arquivos numa
pasta renomeada para com um nome temporário. Na
instalação inicial não deve ser criado nenhum usuário
novo e nem senha para conta administrativa, esse
procedimento deve ser realizado posteriormente, após o
primeiro boot do sistema.
7
09/06/2013
Week-IT2013
Políticas de servidor - SO
12. O servidor não deve pertencer a nenhum domínio ou
serviço de diretórios.
13. As configurações regionais devem ser configuradas de
acordo com as necessidades das aplicações.
14. No Explorer em tools_FolderOptions_View desativar as
seguintes opções: Do not Show Hiddem files and Folders,
Hide extensions for know files types, Hide protected
operation system files. Esse processo é importante porque
algumas permissões só são aplicadas se o explorer estiver
nesse formato.
15. Não instalar serviços não usados e inseguros.
Week-IT2013
Políticas de servidor - SO
8
09/06/2013
Week-IT2013
Políticas de servidor - SO
Week-IT2013
Políticas de servidor - SO
16. Os servidores web não devem ser instalados com serviços
desnecessários ou potencialmente inseguros. Caso ele
tenha sido instalado, por engano, com esses serviços,
recomenda-se a formatação e reinstalação do sistema
operacional da maneira correta.
17. Serviços que não devem ser instalados em servidores web:
DHCP, DNS, WINS.
18. Após a instalação remover todos os componentes que
não serão usados pelo ambiente.
19. Não instalar nenhum serviço de comunicação no servidor.
Remover da instalação: Chat e Hyperterminal em
Accessories e Utilities, Communications.
9
09/06/2013
Week-IT2013
Políticas de servidor - SO
20. Alguns serviços, que não são instalados na instalação
padrão, devem ser instalados durante o processo de
instalação do Windows: SNMP (obrigatório para gerência
do ambiente) e Internet Information Services 6 ou
superior, se for necessário.
21. Serviços e funcionalidades do Internet Information
Services 6 que são desnecessários não devem ser
instalados, como: SMTP, outros e documentação. Só é
necessária a instalação dos seguintes componentes:
Common Files e Intenet Information Service Manager. Esse
serviço é necessário para a administração das máquinas
hospedadas
Week-IT2013
Políticas de servido - SO
22. Após instalar o IIS apontar o servidor para a
23.
24.
25.
26.
unidade/pasta que irá hospedar o serviço web e apagar os
repositórios específicos da instalação original indicados
Apagar todo o diretório C:\Inetpub
Apagar o conteúdo do diretório
C:\WINDOWS\System32\LogFiles
Apagar os diretórios
C:\WINDOWS\System32\inetsrv\iisadmin e
C:\WINDOWS\System32\inetsrv\iisadmpwd
O serviço FTP, caso necessário, deve ser instalado apenas
para acesso das máquinas hospedeiras. Uma política de
IPSEC deve ser implementadas permitindo esse acesso.
10
09/06/2013
Week-IT2013
Políticas de servidor - SO
Week-IT2013
Políticas de servidor - SO
27. Testes de acesso aos serviços e sistemas hospedados no
servidor
28. Os sistemas e serviços devem ser testados antes das
configurações de segurança, para garantir que, caso haja
problema, não tenha sido causado pela segurança. Depois
da aplicação das configurações de segurança, as
aplicações e serviços devem ser todos testados
novamente.
11
09/06/2013
Week-IT2013
Políticas de servidor – Security
1. Colocar uma senha complexa para o usuário
2.
3.
4.
5.
administrador.
Aplicar os patches e service packs
O sistema operacional deve ser atualizado com o service
pack mais recente imediatamente depois da instalação.
O antivírus deve ser instalado e atualizado imediatamente
após a instalação do sistema operacional e do service
pack. Os patches relacionados com a segurança devem ser
instalados sem nenhuma restrição.
Colocar no servidor um endereço temporário da rede
interna Y.X.Z.W.
Week-IT2013
Políticas de servidor – Security
5. As equipes de hipermídia e CD devem indicar quais outros
recursos serão instalados no servidor incluindo patches de
segurança e atualizações devem ser refeitas, tanto para o
sistema operacional quanto para as aplicações instaladas.
6. Instalar o sincronismo de tempo.
7. Instalar o serviço de backup.
8. Configurar forma de iniciar os serviços da seguinte
maneira:
•
•
•
•
Alerter – desabilitar
Application Experience Lookup Service – desabilita
Application Layer Gateway Service – desabilitar
Application Management – desabilitar
12
09/06/2013
Week-IT2013
Políticas de servidor – Security
9. Mudar o nome da conta TSInternetuser
•
Essa conta deve ser renomeada para @_termservice, e deve ser
desabilitada, caso ela exista.
10. Criar uma conta de administrador
Deve ser criada uma conta, do tipo adm_web_nomeservidor, sem
senha, e adicionar ao grupo Administrators. Deve ser selecionada
a check box que indica que a senha nunca expira. A senha deste
usuário deve ser configurada posteriormente. Desativar a opção
de Enable Remote Control e Dial-up Deny access.
11. Desabilitar todas as contas de usuário desnecessárias
12. Desabilitar a conta guest, ou Convidado, e colocar uma senha, que
pode ser aleatória.
•
Week-IT2013
Políticas de servidor – Security
11. Desabilitar todas as contas de usuário desnecessárias
•
Desabilitar a conta guest, ou Convidado, e colocar uma senha,
que pode ser aleatória.
12. Criar as contas necessárias
•
•
Backup_nomeservidor (colocar como membro do grupo Backup
Operators).
Deverão ser criadas senhas complexas para cada uma das contas
13
09/06/2013
Week-IT2013
Políticas de servidor – Security
Week-IT2013
Políticas de servidor – Security
13. Desligar os clientes, protocolos e serviços de rede
desnecessários
•
•
•
•
•
•
•
Abrir Network Connections
Abrir a conexão criada para acesso à rede da SEFAZ
Abrir as propriedades da conexão com a rede
Desligar Client for Microsoft Networks
Desligar File and Printer Sharing for Microsoft Networks
Selecionar Internet Protocol (TCP/IP) e clicar em Properties, Em
Advanced, WINS, Selecionar Disable NetBIOS Over TCP/IP,
desmarcar LMHOSTS, lookup e clicar no botão Ok de todas as
janelas.
O único protocolo ou serviço que deve estar habilitado é o
Internet Protocol (TCP/IP).
14
09/06/2013
Week-IT2013
Políticas de servidor – Security
Week-IT2013
Políticas de servidor – Security
14. Configurar o serviço SNMP
15
09/06/2013
Week-IT2013
Políticas de servidor – Security
15. Cria uma pasta administrativa com o mesmo nome da
conta do administrador para repositório de scripts e
arquivos necessários para administração e manutenção do
servidor. Essa pasta deve estar na unidade com os
arquivos web e com permissões de acesso negado a todos
os usuários, essa pasta não pode ser montada nem ser
incluída na lista de execução.
16. Configurar as permissões que os usuários precisam ter nas
pastas, aplicar o script xacls.vbs.
Week-IT2013
Políticas de servidor – Security
18. Aplicar as permissões adequadas.
16
09/06/2013
Week-IT2013
Chaves de Registro - Root Keys
HKEY_CLASSES_ROOT (HKCR)
•
Contém informações para que o programa possa ser
corretamente aberto quando a execução de um arquivo no
Windows Explorer.
HKEY_CURRENT_USER (HKCU)
•
Contém o perfil (configurações, etc) dos usuários que estão
logados.
HKEY_LOCAL_MACHINE (HKLM)
•
Contém configurações de hardware em todo o sistema e
informações de configuração.
Week-IT2013
Chaves de Registro - Root Keys
HKEY_USERS (HKU)
•
•
Contém o root de todos os perfis de usuários que existem no
sistema. Contém informações específicas do computador sobre o
tipo de hardware instalado, configurações de software e outras
informações. Esta informação é usada para todos os usuários que
se conectam ao computador.
Contém informações sobre todos os usuários que fizerem logon
no computador, incluindo informações genéricas e específicas do
usuário. As definições genéricas estão disponíveis para todos os
usuários que fizerem logon no computador. A informação é
composta de configurações padrão para aplicativos e
configurações de desktop.
18. HKEY_CURRENT_CONFIG (HKCC)
•
Contém informações sobre o perfil de hardware usado pelo
computador durante a inicialização.
17
09/06/2013
Week-IT2013
Chaves de Registro – Data types
REG_SZ (string value) -- numbers and text
REG_MULTI_SZ (string array value) -- numbers and text
you can edit but not create
REG_EXPAND_SZ (expanded string value) -- usually points
to the location of files
REG_BINARY (binary values) -- binary data
REG_DWORD (DWORD values) -- a hexadecimal data type
Week-IT2013
Políticas de Grupo
18
09/06/2013
Week-IT2013
Event Viewer
Week-IT2013
Event Viewer
19
09/06/2013
Week-IT2013
Senhas e chaves seguras
•
Cada caráter adicional na senha a complexidade aumenta
exponencialmente. Por exemplo sete caracteres na senha
teremos 26^7 ou 1X10^7 possibilidades de combinação.
Se a senha for letras maiúsculas e minúsculas 46^7
combinações. Se for possível executar 1.000.000 por
segundo de tentativas por segundo, irá gastar
aproximadamente 40 dias para quebrar a senha.
Week-IT2013
Senhas e chaves seguras
20
09/06/2013
Week-IT2013
Referências
•Registry Forensics. SOMESH SAWHNEY. 2010.
•Microsoft Solution for Security and Compliance.
http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/operating
_systems.shtml. 2004.
•Windows Server 2003 Structure and Archutecture.
http://catalogue.pearsoned.co.uk/samplechapter/0201791064.pdf. 2004
•Windows Server 2003 Security Baseline. http://technet.microsoft.com/enus/library/cc163140.aspx. 2010.
•Microsoft Security Compliance Manager(SCM). http://technet.microsoft.com/ptbr/library/cc677002.aspx. 2010.
21