Opsætning af Windows 2000 som sikker arbejdsstation

Forord

Det følgende er en eksemplificeret case, et eksempel på sikring af en Windows 2000 arbejdsstation. Der er ikke tale om en guide-to-end-all- guides, og tro endelig ikke at du er 100% sikker fordi du har fulgt anvisningerne heri. Sikkerhed kommer først og fremmest gennem sikker opførsel. Det væsentligste element der skal være på plads er altså det der sidder ca. 40 cm fra skærmen. Læs derfor OSS'en afsnit om sikkerhed gennem brugeropførsel før du fortsætter.

Præmis

Følgende omhandler i al væsentlig opsætning og konfiguration af Windows 2000 Professional. Mange af de grundlæggende idéer er selvfølgelige gyldige både for andre versioner af Windows- operativsystemet og måske endda helt andre platforme. Den grundlæggende idé er, at opnå en W2K workstation der er så sikret (hardened) som muligt, uden at det går ud over den daglige brug. Det forudsættes endvidere at der IKKE er en Windows Domain Controller eller lignende på netværket der skal udstede konfigurationer mv. til vores workstation.

Før vi går igang: Vi forudsætter en nyinstalleret Windows 2000 Professional, der skal fungere primært som workstation, have adgang til Internet og eventuelt tilbyde enkelte services til et netværk. Er udgangspunktet ikke en nyinstallation, kan det naturligvis være svært at foretage sig ting før maskinen tilsluttes netværket som det anbefales nedenfor. Juster selv efter egne forhold. En væsentlig ting er dog: Har du med sikkerhed haft indtrængende der har haft adgang til filsystemet på din maskine, anbefales det som udgangspunkt altid at lave en komplet nyinstallation. For sikkerhedens skyld, bør W2K altid installeres med NTFS fremfor FAT32.

Inden du påbegynder konfigurationen anbefales det endvidere at du danner dig et indtryk af hvordan det præcise resultat du ønsker at opnå ser ud. Er brugervenlighed vigtigere end sikkerheden for dig? Hvilke services ved du med sikkerhed at du ikke vil kunne undvære? Hvor meget ekstra arbejde kan du acceptere i det daglige til gengæld for højere sikkerhed? Udarbejd gerne en sikkerhedspolitik - dette behøver ikke være så stor et arbejde som det lyder. For det lille hjemmenetværk drejer det sig primært om at gøre sig klart hvilke services og sikkerhedsidéer man stoler på og hvilke man ikke gør.

Fase I - Før netværkstilslutning

Allerede inden maskinen tilsluttes netværket bør de første skridt i sikringen være taget, således at man ikke uforvarende kommer til at blotte sårbarheder man efterfølgende vil rette. Stort set alt hvad der har med sikkerhed at gøre kan (og bør) konfigureres før netværkstilslutning og dette afsnit er derfor klart det længste.

Brugere - I windows 2000 findes som standard to brugere der oprettes ved installation: Administrator og Gæst. En af de allerførste ting man bør gøre, er at sikre disse. Find avanceret brugerstyring via kontrolpanel -> Brugere og adgangskoder -> Fanebladet Avanceret (nu du alligevel er her, så marker "brugere skal trykke CTRL-ALT-DEL" for logon)-> Knappen Avanceret. Deaktiver her profilen "Gæst" (højreklik, egenskaber, deaktiver). Gæstbrugeren er en klassisk angrebsvinkel og en kilde til information om maskinen. I lang tid blev her anbefalet at omdøbe profilen "Administrator" til noget andet (højreklik, omdøb). Der er absolut ingen sikkerhedsfordele ved det, og det er med dyb beklagelse at det nogensinde har været nævnt her.

[bemærk]: At deaktivere "Gæst" kan give problemer med windows file sharing hvis der skal deles med W95/98/ME maskiner.

Skal andre end du selv kunne anvende arbejdstationen? I så fald, så opret disse brugere nu og placer dem i gruppen "Brugere".

Sikkerhedsindstillinger: find sikkerhedsindstilligerne via kontrolpanel -> administration -> lokal sikkerhedspolitik

Definer her først en passende politik for adgangskoder. Her afhænger det selvfølgelig af, om der er andre brugere på systemet. Under alle omstændigheder er følgende et anbefalelsesværdigt minimum:

Definer derefter lockout (kontospærring). Det er vigtigt, at du som *minimum* definerer et tal for antal tilladte ugyldige logonforsøg. Denne funktion udgør en væsentlig sikring mod "brute force" angreb på dine brugeres adgangskoder. En lidt-over-minimumssikker løsning kunne være:

Definer herefter lokal overvågningspolitik.

Under overvågningspolitik kan logføring af diverse systemhændelser aktiveres. Her er det en afvejning mellem performance på systemet og sikkerhed der må afgøre hvad der bør slås til og hvad der ikke er nødvendigt. Et performance-venligt forslag:

Aktiver overvågning af Kontostyring: alt, Ændring af politik: alt, Logon: mislykkede, Kontologon: mislykkede.

Vær varsom med at aktivere overvågning af objektadgang - at gøre det kan lægge en *væsentlig* dæmper på performance.

Gå herefter "tildeling af brugerrettigheder" og "sikkerhedsindstillinger" under "lokale politiker" igennem. De fleste indstillinger her er ikke usikkert definerede som standard, men gå dem alligevel igennem og slå de funktioner mv. fra, som ikke giver mening for anvendelsen af netop din maskine.

En væsentlig ting er, at det er stærkt abefalelsesværdigt at fjerne brugergruppen "Alle" fra listen over brugere der har tilladelse til at tilgå maskinen over netværket. Har du brugere der skal kunne gøre dette, så giv dem eksplicit tilladelse enkeltvis i stedet. [advarsel: dette afviser fildeling til W95/98/ME maskiner hvor brugeren ikke er logget ind med samme brugernavn/adgangskode som de der er angivet for vedkommende på dit system]

Tjenester (services)

Et vigtigt sikkerhedselement er at sikre sig at der kun kører processer på maskinen der er brug for. Find "tjenester" under "administration". Gå listen over tjenester igennem. Vælg "Deaktiver" for de tjenester du med sikkerhed ved du ikke skal bruge (eksempel: fax-understøttelse hvis du ikke har en fax) og vælg "Manuelt" for de tjenester du ikke har brug for ved opstart.

Hvis du er lidt i tvivl om hvad du har brug for og ikke, så er her lidt idéer:

Hvis du ikke ved hvad disse er, har du ikke brug for dem:

Her, en liste (fra Symantec) over services du i hvert fald *ikke* bør stoppe:

Fjern unødvendige windows-komponenter - Nu er det jo ikke kun services der bør minimeres.

Find "tilføj/fjern programmer" i kontrolpanelet og klik "tilføj/fjern windows komponenter". Fjern de programmer du ikke skal bruge. Vigtig: Fjern under alle omstændigheder IIS. Også selvom du faktisk vil kunne servere web/ftp content via IIS (hvilket normalt ikke kan anbefales) - IIS bør aldrig startes før Windows er opdateret med de seneste patches/service-packs hvilket vi endnu ikke har gjort i denne guide. Du kan altid aktivere den igen senere, efter opdatering, hvis du virkelig mener at du har brug for den.

Netværket: Hvis du ikke allerede har gjort det, så installer nu netkort eller anden forbindelses-enhed (modem, atm-kort, whatever) i PC'en. Der er dog endnu et par ting der bør gøres før der forbindes til omverdenen (altså: sæt ikke stikket i endnu).

Start med at gå til "netværk og opkaldsforbindelser" (højreklik netværkssteder, vælg egenskaber).

Hvilken opsætning dit netværk bør have, afhænger af flere ting. Måske allermest vigtigt er, hvorvidt du skal kunne anvende windows fil- og udskriftsdeling. Skal du ikke det, er der ret mange sikkerhedsproblemer du kan slippe let udenom. Skal du derimod både deler filer på den måde og måske endda give andre brugere adgang til Internettet via "forbindelsesdeling", så bliver det straks lidt mere kompliceret.

For den forbindelse der giver adgang til Internettet, bør kun TCP/IP være aktiveret. Under denne forbindelse bør du også deaktivere NetBIOS. Klik på TCP/IP, egenskaber, avanceret, fanebladet WINS, marker "deaktiver NetBIOS". Skal du kommunikere med andre maskiner lokalt, så installer en separat netværksforbindelse hvor du åbner for andre protokoller. Dette kunne for eksempel være IPX til fil- og udskriftsdeling. En anden mulighed er at anvende TCP/IP men på et andet subnet - hvis din primære netværksforbindelse for eksempel tildeles IP adresser i 192.168.0.0/24 (subnet 255.255.255.0) så opret en tilsvarende forbindelse i 10.0.0.0/24 på dine maskiner og aktiver NetBIOS for denne. Dog skal det nok nævnes at ganske almindelig NAT forhindrer en stor del af problematikken omkring eksponering af NetBIOS mod nettet. Så længe dit NAT-device (router) ikke forwarder trafik til NetBIOS portene (135-139) udefra, er problemet begrænset. Er du derimod ikke bag et NAT-device, så er NetBIOS en væsentlig sikkerhedsrisiko.

Netværkskonfiguration er et større kapitel i sig selv, og i mange tilfælde er dk.edb.netvaerk en bedre gruppe at spørge i end dk.edb.sikkerhed.

Opdateringer / installation af Service Packs

Har du mulighed for det, så installer så vidt muligt windows- opdateringer og servicepacks allerede før tilslutningen til netværket. Dette kan gøres ved at hente de pågældene opdateringer (fra Microsofts hjemmeside) fra en anden PC og overføre installationsfilerne på CD eller lignende. På den måde ungår du at eksponere diverse sikkerhedsfejl der allerede er kendte rettelser til. Har du ikke mulighed for dette, så er der ikke andet at gøre end at gå til:

Fase 2 - W2K på netværket

Forbind maskinen til netværket. Når forbindelsen er etableret, så gå som de første du gør ind på Windowsupdate og installer eventuelle sikkerhedspatches og servicepacks. Gør det også selvom du for et øjeblik siden installerede disse fra et lokalt medie - der kan jo være kommet opdateringer siden de lokale opdateringer blev hentet.

Generelt er det meget væsentligt at holde sin W2K opdateret. Der kommer hele tiden nye exploits og findes nye sikkerhedsfejl og den eneste måde at beskytte sig effektivt mod disse er at sørge for at holde både sin Windows og sine øvrige programmer opdaterede til de nyeste versioner.

Installation af diverse software og services: her er det tid til at give noget mere frihjul, da det er svært at sige noget konkret uden at gå ud fra et bestemt stykke software. Dog lige et par ting der er værd at huske:

Fase 3 - Videre læsning

Denne guide har kun berørt en lille del af det samlede sikkerhedsbillede for din Windows 2000 workstation. Selvom ovenstående ganske givet giver en sikrere opsat W2K end en default installation, så er der stadig masser der ikke er dækket. Det kan derfor kraftigt anbefales at læse resten af nærværende OSS. Nedenfor et par Windows 2000-specfikke andre kilder: