Projekt: Server-Hardening eines SBS 2003 Premium Edition

Soll Zustand:

• Server soll für die Planung der „Niedersachentage" mittels WSS im Internet genutzt werden!

Zusätzlich installierte Software :

• Virenscanner - NOD32 Standard Edition
  
• Microsoft Anti Spyware
  
• Alle verfügbaren Patches & Fixes über die Windows Update Seite
  

Domain Name:

• YYY.domäne.suffix - Administrationsdomäne (FQDN)
  
• Xxx.domäne.suffix - Web Domäne (FQDN)
  

1.)     Deinstallation der unbenötigten Dienste
·              NNTP Dienst deinstalliert
·              Bildschirmschoner deaktiviert und deinstalliert
·              WINS deinstalliert
·              Verbindungsmanager Verwaltungskit deinstalliert
·              Eingabehilfen Assistent deinstalliert
·              Telefondienste deinstalliert
·              Desktophintergründe deinstalliert
·              LMHOST Abfrage deaktiviert
·              Uhr deaktiviert

2.)     DNS Härtung
·               Zonenübertragung deaktiviert
·               WINS Forward deaktiviert
·               LAN Schnittstelle dediziert angegeben
·               Ereignisprotokollierung auf Fehler und Warnungen gestellt

3.)     Filesystem
·              Gruppe Authentifizierte User aufgenommen, auf allen Partitionen.
·              Gruppe Jeder alle Rechte entzogen.
·              Schreibrecht der Gruppe WSSUsers auf c:\Programme\Gemeinsame Dateien \MS Shared erteilt.

4.)     User anlegen für den Web Zugriff
·              Trick, Tick, Track, Donald, Minni

      4.1.) Gruppenhärtung
·               Gruppe Domänenadmins eingeschränkt.

5.)     Gruppe WSSUser eingeschränkt (Trick, Tick, Track, Donald, Minni)

6.)     allgemeine Schritte
·               HOST Datei schreibgeschützt.
·               Umbenennen des Standortes in FankfurtMain
·               Standardwebseite beendet
·               Remoteregistrierung deaktiviert
·               TAPI Dienst deaktiviert
·               Automatische Installation der Online Updates aktiviert
·               Virenscanner Einstellungen mit Passwort geschützt
·               Täglicher Full Scan durch den Virenscanner eingerichtet
·               Täglicher Full Scan durch die Anti Spyware Software eingerichtet
·               Anonymer Zugriff für die Interseiten deaktiviert

7.)     GPO Einstellungen
·               GPO SBS Windows Firewall - Userconfig deaktiviert
·               MMC Autorenmodus für User deaktiviert (DefDomPol)

8.)     SQL Server Einstellungen angepasst
·               User „sa" ein komplexes Passwort zugewiesen
·               Authentifizierung auf „Windows Integrated" gesetzt

9.)     Passworteinstellungen
·               Mindestlänge auf 9 Zeichen erhöht
·               Kennwortchronik 24 Passwörter
·               Mindestalter 12 Tage
·               Kennwortsperrschwelle 5 Falscheingaben
·               Kennwortsperrdauer : 30 Min

10.) ADS Härtung
·               Zugriff auf die MMC Snap-in's einegschränkt
·               Unnötige Konten deaktiviert
·               NT und NTLM Authentifizierung deaktiviert

Zeitplanung :
Benötigte Zeit für die Planung des hardening:               ca. 3 Stunden
Benötigte Zeit für die Analyse des Ist Zustandes:          ca. 4 Stunden
Benötigte Zeit für das Hardening:                                 ca. 2 Stunden
Benötigte Zeit für den Penetrationtest:                          ca. 6 Stunden

Eine Anmerkung in eigener Sache, Fragt bitte nicht nach Tools, Penetrationtest durchzuführen, dann muss ich auch nicht „Nein" sagen. Solche Art Test dürfen nur mit Zustimmung des Auftraggebers und Eigentümers der Server durchgeführt werden. Ausserdem muss man hinterher eine Lückenlose Dokumentation der Test und Ergebnisse anfertigen.

Alle User- und Domänennamen wurden mit Absicht deutlich verändert.

© 2005 by Frank Solinske, Unterwegs-im.net