Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Verwendung von Microsoft Security Tools GET secure, STAY secure! Microsoft Exchange Server 2000 Mario Bono.

Ähnliche Präsentationen


Präsentation zum Thema: "Verwendung von Microsoft Security Tools GET secure, STAY secure! Microsoft Exchange Server 2000 Mario Bono."—  Präsentation transkript:

1 Verwendung von Microsoft Security Tools GET secure, STAY secure! Microsoft Exchange Server 2000 Mario Bono

2 Agenda Q & A Sicherheitskonzept Get secure Stay secure Microsoft Security Tool Kit Checklisten Dienste MS WUPD MSBSA Hotfixes Tools Patch Management MSUS Security Operations Guides (W2K/E2K) Securing E2K & OWA Server Security (Firewalls/DMZ) Netzwerk Traffic Client Zugriff

3 Sicherheitskonzept Programm – integriert Microsoft Produkte, Support und Dienstleistungen (Microsoft Security Tool Kit) Phase 1: GET secure Unterstützung für Windows NT 4.0 und Windows 2000 Enthält Tools und Richtlinien zum sicheren Betreiben eines Servers der am Internet angeschlossen ist Phase 2: STAY secure Tools, Updates Patches, Consulting

4 Microsoft Security Tool Kit treeview/default.asp?url=/ technet/security/tools/Default.asp

5 Microsoft Security Tool Kit Arbeitsstationen und Server Security Checklisten Security Vorlagen Hot Fixes Windows Update Microsoft Base Security Analyzer HFNetCheck QChain Critical Update Notification IIS Dienste IIS Checklisten IIS Lockdown Tool URLScan

6 Checklisten / Vorlagen Vorhanden für: Windows NT 4.0 Windows NT 4.0 Windows NT 4.0 Terminal Server Windows NT 4.0 Terminal Server Windows 2000 Windows 2000 Windows XP Windows XP

7 IIS Dienste Das Toolkit enthält Checklisten zum Sicheren betreiben von Internet Information Server und Internet Explorer IE (für alle Versionen) IE (für alle Versionen) IIS 5.0 IIS 5.0 IIS 4.0 IIS 4.0

8 IIS TOOLS IIS Lockdown Wizard Konfiguriert IIS auf Windows NT 4.0 oder Windows 2000 Server URLScan Windows 2000 SP1 oder später Analysiert vom IIS empfangene HTTP Anfragen

9 Hotfixes - MS Windows Update Update bei Publikation der Sicherheits Bulletins Voraussetzungen: Internet Explorer muss Cookies und ActiveX Controls erlauben Lokale Administrator Berechtigungen

10 MS Baseline Security Analyzer Unterstützte Plattformen: Windows 2000 Professional/Server Windows XP Home Edition/Professional Voraussetzungen: Lokale Administrator Berechtigungen Mehr Sicherheits-Checks als Microsoft Windows Update Unterstützung Remoter Workstations und Server

11 MS Baseline Security Analyzer Überprüfung folgender Produkte/Services: Windows NT 4.0 Workstation/Server Windows 2000 Professional/Server Windows XP Home Edition/Professional IIS 4.0/5.0 SQL 7.0/2000 Erkennt SQL Server Instanzen IE 5.01+

12 MS Baseline Security Analyzer Überprüfung folgender Produkte/Services Fortsetzung: Exchange und Windows Media Player Office 97, 2000, XP Support für Software Update Services (SUS)http://www.microsoft.com/technet/security/tools/Tools/mbsahome.asp

13 The Hotfix Network Checker Anwendung für Server und Client Workstations Remote Unterstützung Mehr Security-Checks als Windows Update oWindows 2000, IIS 4.0, IIS 5.0, SQL Server 7.0, SQL Server 2000, Internet Explorer 5.01 and later Download verfügbarer Updates und Fixes als.XML Zusätzliche Funktionalität in der Pro und LT Version Download der LT Version

14 Hotfix Allgemeine Überlegungen Viele Neustarts Reihenfolge Hotfix Installation beachten Lösung Windows Critical Update Notification Security Tool Kit: QChain Tool

15 QChain verwenden In Betriebssystem Integriert Seit SP3 integriert QChain verwenden QChain Entscheidungs Baum Betriebssystem Windows NT 4.0? Betriebssystem Windows XP? Betriebssystem Windows 2000 SP3 oder später

16 QChain Tool - Funktionsweise Falsche Version Falsche Version Richtige Version Richtige Version Hotfix B X.dll (v3) Hotfix A X.dll (v1) Hotfix C X.dll (v2) Hotfix B X.dll (v3) Hotfix A X.dll (v1) Hotfix C X.dll (v2) X.dll (v3) Server QChain Tool

17 QChain Tool für Windows NT off setlocal set PATHTOFIXES=E:\Hotfix %PATHTOFIXES%\Q123456i.exe -z -m %PATHTOFIXES%\Q123321i.exe -z -m %PATHTOFIXES%\Q123789i.exe -z -m off setlocal set PATHTOFIXES=E:\Hotfix %PATHTOFIXES%\Q123456i.exe -z -m %PATHTOFIXES%\Q123321i.exe -z -m %PATHTOFIXES%\Q123789i.exe -z -m %PATHTOFIXES%\qchain.exe Switch – Z unterdrückt den Neustart Switch – Z unterdrückt den Neustart Switch – M Unattended Mode Switch – M Unattended Mode

18 QChain Tool für Windows off setlocal set PATHTOFIXES=E:\hotfix %PATHTOFIXES%\Q123456_w2k_sp2_x86.exe -z -m %PATHTOFIXES%\Q123321_w2k_sp2_x86.exe -z -m %PATHTOFIXES%\Q123789_w2k_sp2_x86.exe -z -m %PATHTOFIXES%\qchain.exe Hotfix Windows 2000

19 Critical Update Notification Service Informiert über neue Updates Drei Optionen: Automatischer Download und Benachrichtigung über Installation Benachrichtigung bei Download und Installation Manuell

20 Unternehmensweites Patch Management Windows Update Site – Permission Denied Keine Tests = keine Installation; Unternehmensweite Sicherheitsrichtlinien Lösung: Microsoft Software Update Services (SUS)

21 SUS Komponenten MSUS Server Wird im Intranet zur Verfügung gestellt Synchronisation mit Windows Update Site Kontrolle über Update und Hotfix Verteilung Auto Update Client Beruht auf Windows XP Auto Update Check Intranet und öffentliche Windows Update Site Zentralisierte Konfiguration Auto-Download und Installation

22 Microsoft Software Update Services Microsoft Windows Update Server AA BB CC Internet MSUS Server Server Workstations AA BB CC Administrator definiert Updates Konfiguration und Verteilung Per Group Policy DownloadGEPRÜFTER Updates

23 MSUS Überlegungen Kann verwendet werden für: Rollout von Hotfixes und Security Updates Keine Unterstützung für: Service Packs oVerteilung über Group Policies

24 Security Operations Guide For Windows 2000 Server Chapter 1 - Introduction Chapter 2 - Understanding Security Risk Chapter 3 - Managing Security with Windows 2000 Group Policy Chapter 4 - Securing Servers Based on Role Chapter 5 - Patch Management Chapter 6 - Auditing and Intrusion Detection Chapter 7 - Responding to Incidents security/prodtech/windows/ windows2000/staysecure/

25 Sicherheitsvorlagen …

26 Tool EventComb Zentralisierte Auswertung der Event Logs multi-threaded Speicherung und Weiterverarbeitung per CSV Text File

27 Security Operations Guide For Exchange 2000 Server Chapter 1 – Introduction Chapter 2 – Securing your Exchange 2000 Environment Chapter 3 – Securing Exchange 2000 Servers based on Role Chapter 4 – Securing Exchange Communications prodtech/mailexch/opsguide/default.asp

28 Sicherheit: E2K & OWA Zuerst – Sicherheit beim Zugriff auf Server! Firewalls/DMZ Virus Protection Netzwerkzugriffe zwischen Servern Protokolle Ports Spoofing usw. Clientzugriffe sichern MAPI – OUTLOOK OWA

29 Serverzugriffe Hardening Windows siehe Sicherheitsvorlagen Unnötige Dienste deaktivieren Firewalls Deaktivieren nicht benötigter Ports ISA server versus Hardwarelösungen oSpezial HW bietet weniger Angriffspunkte –Teurer in der Anschaffung oISA server –Integration mit Microsoft Server & Backoffice Familie –Günstigere Anschaffung

30 Einfache Firewall Firewall Offene Ports: 443, 993, 995 Exchange 2000 Front-End Server Active Directory Global Catalog Server Exchange 2000 Server Server Internet HTTP, IMAP oder POP3 Client

31 Typische DMZ Konfiguration Firewall Offene Ports: 443, 993, 995 Exchange 2000 Front-End Servers Exchange 2000 Server Active Directory Global Catalog Server Exchange 2000 Server Internet Firewall Offene Ports: , 110, LDAP, … DMZ HTTP, IMAP oder POP3 Client

32 Firewalls und Client Zugriffe Zugriff auf Internen (Firewall) Exchange Server vom Internet Inbound RPC Zugriff auf Firewall Typisches Szenario für Roaming Users Zugriff auf Exchange Server (DMZ) von Intern Untypisches Szenario Outbound RPC Zugriff erlauben Best Practice: VPN´s = keine Probleme mehr

33 (HTTP, IMAP, POP) DMZ Überlegungen FE und BE müssen dem gleichen Forest angehören FE benötigt Zugriff auf DNS Server FE benötigt RPC beim Zugriff auf AD nur wenn Authentisierung eingeschalten ist

34 RPCs in der DMZ IIS verwendet RPCs für Authentisierung Vor SP2, RPCs zum Auffinden von DCs RPC nicht erforderlich; Einschränkungen: Explizites Logon erforderlich Kein Load Balancing für Öffentliche Ordner

35 Port Filtering in der DMZ Benötigte Ports Client Mail Zugriff 443 TCP vom Internet (HTTPS) 80 TCP zum Intranet (HTTP) LDAP 389 TCP und UDP 3268 TCP (Globaler Catalog) Kerberos 88 TCP und UDP DNS (oder DNS Server in DMZ) 53 TCP und UDP

36 Port Filtering in der DMZ Benötigte Ports … IPsec (optional) Kerberos Ports Securing Kerberos with IPSec on DCs broken in Win2K SP2 (Q309304) oder SP3 500 UDP: Internet Key Exchange (IKE) ESP (Encapsulating Security Payload ): Port 50 AH (Authentication Header): Port 51 RPCs (optional) 135 und 1024 oder und Single Port (Konfiguration, Q224196)

37 Überlegungen zu SPAM Relaying Was ist SPAM Relaying? Evil SpammerEvil Spammer MAIL FROM: RCPT TO: O Unable to relay for Bono.to

38 Überlegungen zu SMTP Definition SPAM Relaying? EVIL SpammerEVIL Spammer MAIL FROM: RCPT TO: Bono.to Falsch Von: Falsch Von: Richtig An: Richtig An: Nachricht Nachricht Filter greifen nicht? Filter greifen nicht?

39 SMTP Server Einstellungen Relay Einstellungen Best Practice: Default!

40 Anti-Spoofing: ResolveP2 Problem: irgend jemand übermittelt eine Nachricht Von: Beim Öffnen dieser erscheint: Von: Mario Bono Betreff: DU BIST GEFEUERT Eigenschaften des Senders anzeigen Name wird aufgelöst

41 ResolveP2 Was ist P2? X.400 Name für Body der Nachricht Envelope (Umschlag) ist P1 Bei SMTP, P2 entspricht dem Body nach RFC 2822 Anzeige der Clients immer in Form von Von: und An: oder P2 Was bedeutet resolve? Werden Informationen die bei Zustellung einer Nachricht zum Server und Abruf durch MAPI Clients mit dem Adressbuch abgeglichen? Ja, wenn Übereinstimmungen gefunden werden sieht die E- Mail wie von Intern aus.

42 ResolveP2 History Exchange 5.0 Default: resolve everything Regkey zum Deaktivieren Exchange 5.5: Default: resolve nothing Regkey zum Aktivieren Exchange 2000 Default: resolve everything, keine Kontrolle bei E2K RTM Exchange 2000 SP1: ResolveP2 Regkey

43 Exchange 2000 SP1+ ResolveP2 Registry Key für ResolveP2 Siehe KB-Artikel Q Outlook XP Erweiterungen Vorschaufenster unterscheidet zwischen unaufgelösten Adressen ohne die Nachricht zu öffnen Bei Antworten; nicht aufgelöste Adressen werden als Name dargestellt

44 Allgemeine Überlegungen zu SMTP Internet Mail ist nicht sicher! Ausnahme Verschlüsselung Jeder kann s an jeden senden Evil People Können immer mit Ihrer Adresse als Absender auftreten! Aber nicht über Ihren Server, wenn Relaying ausgeschalten ist!

45 Authentisierung zwischen Servern im Netzwerk Automatische Server zu Server Authentisierung mit X-EXPS Kerberos/NTLM Default SMTP Protokoll Erweiterungen in Exchange 2000 SMTP AUTH (RFC 2554) Verbindung zu externen Systemen, wird am SMTP Connector eingestellt

46 Verschlüsselung zwischen Servern im Netzwerk IPSec Einfache Konfiguration Über Group Policy Einstellung: erfordert Verschlüsselung des Inbound Traffics, Port 25 auf allen Exchange Servern planning/security/ipsecsteps.asp Einsatz von IPSec Accelerator Ethernet Cards

47 Client Zugriff Outlook (MAPI) Clients Outlook Web Access (HTTP) Clients

48 Netzwerk Sicherheit mit Outlook Clients Verschlüsselung in Mail Einstellungen ändern MAPI RPC Am FE keine Mailboxen Verwendet UDP vom Server zum Client für Benachrichtigung über neue

49 OWA Verschlüsselung zwischen Servern Traffic von FE zu BE Isolierte Netzwerke IPSec? (RFCs 1825, 1826, 1827) Internet Key Exchange (IKE): RFC 2409 Encapsulating Security Payload (ESP) oder Authentication Header (AH) Client (respond only) policy ISA can inspect IPSec d traffic

50 OWA Authentisierung am Server (Optional) FE Authentisierung aktiviert Erfordert RPC Deaktivieren anonymer Anfragen auf BE SMTP Domain auf virtuellem Server Benutzer benötigt Adresse der Domain um sich anzumelden

51 OWA Verschl ü sselung vom Client zum Server SSL 128-Bit Encryption erfordert SSL ist konfigurierbar Client benötigt entsprechende 128-Bit Browser Version Stärkste Authentisierung verwenden...

52 Zusammenfassung Zuviel INFO für zuwenig Zeit White Papers und KB´s lesen (Consulting?)! GET secure mit: Betriebssystem und Server sichern Zugriff auf Server sichern Clients sichern STAY secure mit: MSUS QCHAIN...

53 Referenzen Exchange 2000 Security Recommendations 2000/BestConfig.asp Windows VPN Security White Paper VPN/VPNSecurity.asp columns/security/essays/10salaws.asp Hardening Windows 2000: NSA Guide to Securing Windows 2000

54 Referenzen… Security Operations Guide for Windows windows2000/staysecure/ Security Operations Guide for Exchange mailexch/opsguide/default.asp Front-End/Back End Deployment paper 2000/E2KFrontBack.asp General Security info security/secthret.asp

55 Q & A Mario Bono EDV Dienstleistungen und Beratung Münzgasse 3/25, A-1030 Wien Tel /


Herunterladen ppt "Verwendung von Microsoft Security Tools GET secure, STAY secure! Microsoft Exchange Server 2000 Mario Bono."

Ähnliche Präsentationen


Google-Anzeigen