De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Securing IIS Ardan vd Voort vd Kleij Technical Account Manager Microsoft Services.

Verwante presentaties


Presentatie over: "Securing IIS Ardan vd Voort vd Kleij Technical Account Manager Microsoft Services."— Transcript van de presentatie:

1 Securing IIS Ardan vd Voort vd Kleij Technical Account Manager Microsoft Services

2 Hoe kan Operations de Business belemmeren? Prestaties Beschikbaarheid Veiligheid Kosten

3 Wat betekent veiligheid? Wat is er beveiligd? Waar is het tegen beveiligd? Voor hoe lang is het veilig? Hoe zware aanval kan het weerstaan? Voorbeeld: Is een beveiligde internet bank bestand tegen een autobom of de interne criminele ontwikkelaar? Veilig is zonder context een loze kreet.

4 Toen was het leven veel eenvoudiger … Centrale Computer  Terminal toegang  “Glass house”  Fysieke veiligheid, beperkte connectiviteit

5 Toen was het leven veel eenvoudiger … Client-Server  LAN connectiviteit  File/print services  Beperkte externe toegang

6 Toen was het leven veel eenvoudiger … Toen werd de wereld complex en moeilijk … Het Internet  “Always on”  E-mail, instant messaging  Het Web  eBurgers hebben persoonlijke POPs

7 Technologie, Proces, Mensen Wat zijn de uitdagingen? Producten komen beveiligings functionaliteit tekort Producten hebben onvolkomenheden Veel zaken zijn niet geadresseerd door technische standaarden Te moeilijk om up- to-date te blijven Ontwerp voor veiligheid Rollen & verantwoordelijkheden Audit, track, follow-up Calamiteitenplan Blijf up-to-date met beveiligings ontwikkeling Gebrek aan kennis Gebrek aan commitment Menselijke fout

8 Recente bedreigingen: Nimda, Code Red Nimda: verspreid door het browsen van een geïnfecteerde site of het openen van een geïnfecteerd e-mail bericht Code Red: geïnfecteerde Web servers en verkregen administratieve toegang Anderen: Denial of Service, defacement Sommigen weerstonden Nimda en Code Red:  Organisaties die up-to-date waren met patches en security fixes bleven veilig  Organisaties die hun systemen “locked down” hadden geconfigureerd, weerstonden deze aanvallen Microsoft heeft de verplichting tot een pro-actieve benadering van beveiliging

9 De Industrie heeft een verplichting naar haar klanten Software en gevoeligheden zijn inherent; dit is geen excuus voor Microsoft producten  Recente gevoeligheden: Code Red, Nimda Beveiliging is een industrie-wijd onderwerp, Microsoft heeft een speciale verplichting naar haar klanten John McCormick, TechRepublic, Inc., September 24, 2001, based on data provided by Security Focus Bugtraq

10 Microsoft’s Commitment “To do everything possible to make certain that every customer can work, communicate, and transact securely over the Internet. “ Brian Valentine, Senior VP, Microsoft

11 Trustworthy Computing Strategic Technology Protection Program Secure Windows Initiative Microsoft Security Strategie

12 Secure Windows Initiative “Ontwerpen Voor Veiligheid” Doel: Elimineer elk Veiligheids Gevoeligheid voordat het Product beschikbaar komt MensenProcesTechnologie

13 Doel: Help Klanten Hun Windows Systemen Beveiligen MensenProcesTechnologie Strategic Technology Protection Program

14 Security Tools (Gratis, nu te downloaden) IIS (één knop) Lockdown Wizard URLscan tool DEMO HFNetCHK  Baseline Security Analyzer (BSA) DEMO Microsoft Personal Security Advisor http://www.microsoft.com/security

15 Trustworthy Computing Doel: Maak apparatuur aangedreven door computers en software net zo betrouwbaar als apparatuur aangedreven door electriciteit.

16 Verdediging in lagen Firewall, port 80/443 DMZ, VLAN, Switches Access Policies; Public/Internal/Confidential SSL, Authentication Eliminate unnecessary applications and resources

17 Algemene Hacker methoden en preventieve middelen Verkennings technieken Beperk het scannen en verzamelen van waardevolle informatie Technieken om toegang en verhoogde privileges te krijgen Beperken van DoS aanvallen Voorkomen van achterdeur aanvallen Hoe hackers hun sporen proberen te verbergen

18 Best practices voor het beveiligen van IIS Hoofdpunten Beheer van bestanden en directories Permissie instellingen Configuratie opties betreffende netwerk toegang tot de IIS machine Disablen en verwijderen van onnodige componenten en directories Toepassen van hot fixes en patches

19 Permissies. Bestanden. Directories Permissies Directory browsing Beheersen van de scripts directory Beheersen van executable bestanden Configureren van passende ACL’s op Virtuele Directories Aanbevolen standaard ACL’s per bestands type IIS bestandssysteem aanbevelingen Configureren van passende ACL’s voor IIS log bestanden

20 Netwerk gerelateerde beveiliging Configureren van IP adressen/DNS adres beperkingen Bijwerken van root CA certificaten op de IIS Server Verbergen van de content locatie Beveiligen van het anonymous account

21 Disablen en verwijderen van elementen Disablen of verwijderen van alle voorbeeld applicaties Disablen of verwijderen van onnodige COM componenten Verwijderen van de IISADMPWD virtuele directory Verwijderen van ongebruikte script mappings Disablen van parent paden

22 Toepassen van patches en service packs Blijf up-to-date door je aan te melden bij de Security Notification Bulletin Service.  Stuur een email naar microsoft_security- subscribe-request@announce.microsoft.com HfNetChk.exe / Secure Baseline Analyzer Windows Update Autoupdate @ STK Windows Update Corporate Edition

23 Windows 2000 AD Ontwerp en beveiligings Policies Gebruik policies voor het toepassen van beveiliging DEMO Beveiligings sjabloon (HiSecWeb.adm DEMO ) Server verharden voor Internet Data Center (IDC) Blijf bij met Service Packs en hot fixes Beveilig het netwerk Beveilig het bestandssysteem Beveilig accounts Audit account toegang Disable services Controleer op listening poorten

24 Prescriptive Architectural Guidance Microsoft heeft de behoefte voor voorgeschreven handleidingen en architecturen omarmd om klanten te helpen te beveiligen Voorgeschreven architectuur handleidingen:  Internet Data Center Guide, including Security and Firewall specific chapters (nu beschikbaar)  Enterprise Data Center Guide, including Security and Firewall specific chapters (1H 2002)  Windows 2000 Secure Operations Guide (1H 2002) http://www.microsoft.com/solutions/IDC/default.asp

25 Demo IIS Lockdown Tool Demo

26 IIS Lockdown ResultatenLowMedium High Before* After** * Voor test Web server configuratie: Nieuwe Windows 2000 Advanced Server installatie Nieuwe Windows 2000 Advanced Server installatie Service Pack 2 Service Pack 2 ** Na test Web server configuration: Nieuwe Windows 2000 Advanced Server installatie Nieuwe Windows 2000 Advanced Server installatie Service Pack 2 Service Pack 2 IIS Lockdown Tool IIS Lockdown Tool Gevoeligheden geteld per prioriteit - Gevonden door het gebruik van Internet Security Systems’ Internet Scanner ® v6.2 3 0 36 78 7 26

27 Microsoft Services Support Services  Alliance Support  Premier Support  Professional Support  Personal Support Consulting Services

28

29 Microsoft and Third-Party Resources Services via MCS and PSS available to help customers get secure Microsoft Security Response Center (MSRC)  Works within framework of Microsoft Security Commitment  Respond to every report within 24 hours, 7 days a week  Investigate every claim  Act as customer advocate within Microsoft  Provide information and remediation to customers National Security Agency (NSA) Security Recommendation Guides http://nsa2.www.conxion.com/ http://nsa2.www.conxion.com/ Third-party consultants and training  Microsoft Certified Partners (MSCP), http://mcspreferral.microsoft.com http://mcspreferral.microsoft.com  Certified Training Education Center and other training

30 To locate a partner who can help with Microsoft security solutions: Microsoft Certified Providers Directory http://mcspreferral.microsoft.com/ http://mcspreferral.microsoft.com/ Microsoft Consulting Services http://www.microsoft.com/BUSINESS/services/mcs.asp http://www.microsoft.com/BUSINESS/services/mcs.asp For technical information: White Paper: Microsoft Security Response Center Security Bulletin Severity Rating System http://www.microsoft.com/technet/treeview/ default.asp?url=/technet/security/topics/rating.asp http://www.microsoft.com/technet/treeview/ default.asp?url=/technet/security/topics/rating.asp http://www.microsoft.com/technet/treeview/ default.asp?url=/technet/security/topics/rating.asp ”CSI/FBI Computer Crimes and Security Survey 2001,” Computer Security Institute: http://www.gocsi.com/ http://www.gocsi.com/ ISA Server information: http://www.microsoft.com/isa http://www.microsoft.com/isa Books: Secrets & Lies – Digital Security in a Networked World; Bruce Schneier Hacking Exposed – Network Security Secrets & Solutions, 3 rd Edition; Joel Scambray, Stuart McClure, George Kurtz For training and certification questions: Microsoft Training and Certification http://www.microsoft.com/training http://www.microsoft.com/training For information about Microsoft security strategies and solutions: Primary resource: http://www.microsoft.com/security http://www.microsoft.com/security White Papers: Best Practices for Enterprise Security http://www.microsoft.com/technet/security/ bpentsec.asp http://www.microsoft.com/technet/security/ bpentsec.asp http://www.microsoft.com/technet/security/ bpentsec.asp It’s Time to End Information Anarchy http://www.microsoft.com/technet/treeview/ default.asp?url=/technet/columns/security/ noarch.asp http://www.microsoft.com/technet/treeview/ default.asp?url=/technet/columns/security/ noarch.asp http://www.microsoft.com/technet/treeview/ default.asp?url=/technet/columns/security/ noarch.asp The 10 Immutable Laws of Security: http://www.microsoft.com/TechNet/security/ 10imlaws.asp http://www.microsoft.com/TechNet/security/ 10imlaws.asp http://www.microsoft.com/TechNet/security/ 10imlaws.asp The 10 Immutable Laws of Security Administration:http://www.microsoft.com/ TechNet/security/10salaws.asp http://www.microsoft.com/ TechNet/security/10salaws.asphttp://www.microsoft.com/ TechNet/security/10salaws.asp

31 A Trust Taxonomy Availability At advertised levels Suitability Features fit function Integrity Against data loss or alteration Privacy Access authorized by end-user Reputation System and provider brand Security Resists unauthorized access Quality Performance criteria Dev Practices Methods, philosophy Operations Guidelines and benchmarks Business Practices Business model Policies Laws, regulations, standards, norms Intent Management assertions Risks What undermines intent, causes liability Implementation Steps to deliver intent Evidence Audit mechanisms GoalsMeansExecution


Download ppt "Securing IIS Ardan vd Voort vd Kleij Technical Account Manager Microsoft Services."

Verwante presentaties


Ads door Google