Securing IIS Ardan vd Voort vd Kleij Technical Account Manager Microsoft Services
Hoe kan Operations de Business belemmeren? Prestaties Beschikbaarheid Veiligheid Kosten
Wat betekent veiligheid? Wat is er beveiligd? Waar is het tegen beveiligd? Voor hoe lang is het veilig? Hoe zware aanval kan het weerstaan? Voorbeeld: Is een beveiligde internet bank bestand tegen een autobom of de interne criminele ontwikkelaar? Veilig is zonder context een loze kreet.
Toen was het leven veel eenvoudiger … Centrale Computer Terminal toegang “Glass house” Fysieke veiligheid, beperkte connectiviteit
Toen was het leven veel eenvoudiger … Client-Server LAN connectiviteit File/print services Beperkte externe toegang
Toen was het leven veel eenvoudiger … Toen werd de wereld complex en moeilijk … Het Internet “Always on” , instant messaging Het Web eBurgers hebben persoonlijke POPs
Technologie, Proces, Mensen Wat zijn de uitdagingen? Producten komen beveiligings functionaliteit tekort Producten hebben onvolkomenheden Veel zaken zijn niet geadresseerd door technische standaarden Te moeilijk om up- to-date te blijven Ontwerp voor veiligheid Rollen & verantwoordelijkheden Audit, track, follow-up Calamiteitenplan Blijf up-to-date met beveiligings ontwikkeling Gebrek aan kennis Gebrek aan commitment Menselijke fout
Recente bedreigingen: Nimda, Code Red Nimda: verspreid door het browsen van een geïnfecteerde site of het openen van een geïnfecteerd bericht Code Red: geïnfecteerde Web servers en verkregen administratieve toegang Anderen: Denial of Service, defacement Sommigen weerstonden Nimda en Code Red: Organisaties die up-to-date waren met patches en security fixes bleven veilig Organisaties die hun systemen “locked down” hadden geconfigureerd, weerstonden deze aanvallen Microsoft heeft de verplichting tot een pro-actieve benadering van beveiliging
De Industrie heeft een verplichting naar haar klanten Software en gevoeligheden zijn inherent; dit is geen excuus voor Microsoft producten Recente gevoeligheden: Code Red, Nimda Beveiliging is een industrie-wijd onderwerp, Microsoft heeft een speciale verplichting naar haar klanten John McCormick, TechRepublic, Inc., September 24, 2001, based on data provided by Security Focus Bugtraq
Microsoft’s Commitment “To do everything possible to make certain that every customer can work, communicate, and transact securely over the Internet. “ Brian Valentine, Senior VP, Microsoft
Trustworthy Computing Strategic Technology Protection Program Secure Windows Initiative Microsoft Security Strategie
Secure Windows Initiative “Ontwerpen Voor Veiligheid” Doel: Elimineer elk Veiligheids Gevoeligheid voordat het Product beschikbaar komt MensenProcesTechnologie
Doel: Help Klanten Hun Windows Systemen Beveiligen MensenProcesTechnologie Strategic Technology Protection Program
Security Tools (Gratis, nu te downloaden) IIS (één knop) Lockdown Wizard URLscan tool DEMO HFNetCHK Baseline Security Analyzer (BSA) DEMO Microsoft Personal Security Advisor
Trustworthy Computing Doel: Maak apparatuur aangedreven door computers en software net zo betrouwbaar als apparatuur aangedreven door electriciteit.
Verdediging in lagen Firewall, port 80/443 DMZ, VLAN, Switches Access Policies; Public/Internal/Confidential SSL, Authentication Eliminate unnecessary applications and resources
Algemene Hacker methoden en preventieve middelen Verkennings technieken Beperk het scannen en verzamelen van waardevolle informatie Technieken om toegang en verhoogde privileges te krijgen Beperken van DoS aanvallen Voorkomen van achterdeur aanvallen Hoe hackers hun sporen proberen te verbergen
Best practices voor het beveiligen van IIS Hoofdpunten Beheer van bestanden en directories Permissie instellingen Configuratie opties betreffende netwerk toegang tot de IIS machine Disablen en verwijderen van onnodige componenten en directories Toepassen van hot fixes en patches
Permissies. Bestanden. Directories Permissies Directory browsing Beheersen van de scripts directory Beheersen van executable bestanden Configureren van passende ACL’s op Virtuele Directories Aanbevolen standaard ACL’s per bestands type IIS bestandssysteem aanbevelingen Configureren van passende ACL’s voor IIS log bestanden
Netwerk gerelateerde beveiliging Configureren van IP adressen/DNS adres beperkingen Bijwerken van root CA certificaten op de IIS Server Verbergen van de content locatie Beveiligen van het anonymous account
Disablen en verwijderen van elementen Disablen of verwijderen van alle voorbeeld applicaties Disablen of verwijderen van onnodige COM componenten Verwijderen van de IISADMPWD virtuele directory Verwijderen van ongebruikte script mappings Disablen van parent paden
Toepassen van patches en service packs Blijf up-to-date door je aan te melden bij de Security Notification Bulletin Service. Stuur een naar microsoft_security- HfNetChk.exe / Secure Baseline Analyzer Windows Update STK Windows Update Corporate Edition
Windows 2000 AD Ontwerp en beveiligings Policies Gebruik policies voor het toepassen van beveiliging DEMO Beveiligings sjabloon (HiSecWeb.adm DEMO ) Server verharden voor Internet Data Center (IDC) Blijf bij met Service Packs en hot fixes Beveilig het netwerk Beveilig het bestandssysteem Beveilig accounts Audit account toegang Disable services Controleer op listening poorten
Prescriptive Architectural Guidance Microsoft heeft de behoefte voor voorgeschreven handleidingen en architecturen omarmd om klanten te helpen te beveiligen Voorgeschreven architectuur handleidingen: Internet Data Center Guide, including Security and Firewall specific chapters (nu beschikbaar) Enterprise Data Center Guide, including Security and Firewall specific chapters (1H 2002) Windows 2000 Secure Operations Guide (1H 2002)
Demo IIS Lockdown Tool Demo
IIS Lockdown ResultatenLowMedium High Before* After** * Voor test Web server configuratie: Nieuwe Windows 2000 Advanced Server installatie Nieuwe Windows 2000 Advanced Server installatie Service Pack 2 Service Pack 2 ** Na test Web server configuration: Nieuwe Windows 2000 Advanced Server installatie Nieuwe Windows 2000 Advanced Server installatie Service Pack 2 Service Pack 2 IIS Lockdown Tool IIS Lockdown Tool Gevoeligheden geteld per prioriteit - Gevonden door het gebruik van Internet Security Systems’ Internet Scanner ® v
Microsoft Services Support Services Alliance Support Premier Support Professional Support Personal Support Consulting Services
Microsoft and Third-Party Resources Services via MCS and PSS available to help customers get secure Microsoft Security Response Center (MSRC) Works within framework of Microsoft Security Commitment Respond to every report within 24 hours, 7 days a week Investigate every claim Act as customer advocate within Microsoft Provide information and remediation to customers National Security Agency (NSA) Security Recommendation Guides Third-party consultants and training Microsoft Certified Partners (MSCP), Certified Training Education Center and other training
To locate a partner who can help with Microsoft security solutions: Microsoft Certified Providers Directory Microsoft Consulting Services For technical information: White Paper: Microsoft Security Response Center Security Bulletin Severity Rating System default.asp?url=/technet/security/topics/rating.asp default.asp?url=/technet/security/topics/rating.asp default.asp?url=/technet/security/topics/rating.asp ”CSI/FBI Computer Crimes and Security Survey 2001,” Computer Security Institute: ISA Server information: Books: Secrets & Lies – Digital Security in a Networked World; Bruce Schneier Hacking Exposed – Network Security Secrets & Solutions, 3 rd Edition; Joel Scambray, Stuart McClure, George Kurtz For training and certification questions: Microsoft Training and Certification For information about Microsoft security strategies and solutions: Primary resource: White Papers: Best Practices for Enterprise Security bpentsec.asp bpentsec.asp bpentsec.asp It’s Time to End Information Anarchy default.asp?url=/technet/columns/security/ noarch.asp default.asp?url=/technet/columns/security/ noarch.asp default.asp?url=/technet/columns/security/ noarch.asp The 10 Immutable Laws of Security: 10imlaws.asp 10imlaws.asp 10imlaws.asp The 10 Immutable Laws of Security Administration: TechNet/security/10salaws.asp TechNet/security/10salaws.asphttp:// TechNet/security/10salaws.asp
A Trust Taxonomy Availability At advertised levels Suitability Features fit function Integrity Against data loss or alteration Privacy Access authorized by end-user Reputation System and provider brand Security Resists unauthorized access Quality Performance criteria Dev Practices Methods, philosophy Operations Guidelines and benchmarks Business Practices Business model Policies Laws, regulations, standards, norms Intent Management assertions Risks What undermines intent, causes liability Implementation Steps to deliver intent Evidence Audit mechanisms GoalsMeansExecution