Guide: passo per passo

Condividi:        

Ottimizzazioni
PREMESSA: se non conoscete il significato di qualche parola consultate il nostro Glossario.
3. Misure di sicurezza di medio livello

Utilizzare il Toolset di configurazione accluso a Win 2k per configurare la politica di sicurezza
Il Toolset fornito da Microsoft include dei templates per MMC (Microsoft Management Console), basta digitare dal Prompt dei comandi mmc, che permettono di configurare facilmente le Policies sulla dipendenza del livello di sicurezza che si voglia raggiungere. Il Template comprende un gran numero di opzioni come pure un utile Tool di analisi di sicurezza. Se la vostra Workstation non fa parte di un dominio, si possono comunque abilitare le Policies usando il programma Poledit.exe dal CD-ROM di Win 2k Server. Per maggiori informazioni visitate il sito http://support.microsoft. ... kb/articles/q269/7/99.asp

Sostituire l'Everyone Group con "Authenticated Users" nelle condivisioni di files
Nel contesto di Win 2k, "Everyone" fa in modo che chiunque acceda al network abbia la possibilità di accedere anche ai dati. È quindi importante che la condivisione di dati venga permessa tramite "Authenticated Users" nell'ambito dell'azienda. Questo è di grande importanza soprattutto per le stampanti, che hanno l'"Everyone Group" assegnato per default. Inoltre vanno impostate subito le restrizioni previste da NTFS. Questo discorso vale per le versioni di Win 2k Server.

Rinominare l'account dell'amministratore
Nonostante questo non renda impossibile agli hacker, che utilizzeranno il SID ( Security Identifier ) per ovviare al problema, la deduzione del nome dell'account, renderà comunque difficoltoso il loro compito. Nel rinominare l'account, è importante non usare il vocabolo "Admin" et similia, andrebbe anzi preferito qualcosa che non faccia per nulla pensare ad un account che abbia dei diritti superiori. Entrando su Utenti e Gruppi Locali basterà scegliere l'account Administrator e ciccare con il tasto destro del mouse scegliendo il metodo Rinomina. Oppure andando su:
Avvio/Programmi/Strumenti di Amministrazione/Criteri di Protezione Locale/Criteri locali/Opzioni di Protezione/Rinomina Account Amministratore.

Creazione di un account di Amministratore "finto"
Una buona strategia è quella di creare un account che si chiami "Administrator", ed allo stesso non concedere alcun privilegio ma assegnare una password complessa di più di 10 caratteri. Questo renderebbe la vita parecchio difficile a chi cercasse di penetrarvi, e il controllo costante dell'account permetterebbe di venire a conoscenza di qualunque tentativo di violazione.

Non usare servizi che non siano necessari
Win 2k propone Terminal Services, IIS e RAS che possono aprire buchi nei sistemi oprativi. Vale spesso la pena abilitare Terminal Services per permettere funzioni di controllo remoto da parte dell'Help Desk o Server di amministrazione, ma ci si deve accertare della corretta configurazione. Esistono pure numerosi programmi "maliziosi" che possono tranquillamente girare come servizi senza che nessuno se ne accorga, si deve quindi fare in modo da conoscere i servizi che girano sul proprio server e controllarli periodicamente. I servizi di default per un installazione C2 (livello sicuro) sono:

Computer Browser        TCP/IP NetBIOS Helper
Microsoft DNS Server    Spooler
Netlogon                Server
NTLM SSP                Server
RPC Locator             Workstation
RPC Service             Event Log


Abilitare la funzione di Auditing
La forma basilare di Intrusion Detection per Windows 2000 è l'abilitazione di Auditing, forse il Tool più interessante per la sicurezza del vostro PC. Per abilitare l'Auditing andate su:
Avvio/Programmi/Strumenti di Amministrazione/Criteri di Protezione Locale/Criteri locali/Criterio Controllo
qui dentro troverete ciò che ho messo nella figura. Questo vi metterà nella posizione di venire a conoscenza delle modifiche nelle policies di account, dei tentativi di hacking delle password, di accessi non autorizzati ai documenti, e molto altro. Un gran numero di utenti non è nemmeno a conoscenza del tipo di porte che sono state lasciate aperte sulle postazioni di lavoro locali, e spesso se ne viene a conoscenza unicamente dopo che si sono avuti seri problemi di sicurezza. Le cose minimali da controllare sono le seguenti:
Account logon events    Success, failure
Account Management    Success, failure
Logon events            Success, failure
Object access            Success
Policy change            Success, failure
Privilege use            Success, failure
System events            Success, failure


Settare permessi sui security event log
I file Event Log non sono protetti per default, cosicché si devono settare in modo che siano accessibili unicamente agli account di amministratore e di sistema. Il Visualizzatore lo trovate su:
Avvio/Programmi/Strumenti di Amministrazione/Visualizzatore Eventi.

Archiviare la maggioranza dei documenti su file di server
Nonostante al giorno d'oggi la gran parte delle Workstation abbia drive piuttosto grossi, bisognerebbe eseguire l'archiviazione di tutti i documenti dell'utente (documenti di testo, progetti, cartelle di lavoro, eccetera) su un Server, dove venga eseguito regolarmente il Backup. Modificate i parametri di "My Documents" in modo che la macchina dell'utente salvi sempre su un Server sicuro. Per utenti laptop (portatili per intenderci), abilitate la funzione "Make available offline".

Fare in modo che lo user name dell'ultimo login non appaia:
Quando viene premuta la combinazione Ctrl-Alt-Del appare una finestra che mostra il nome dell'ultimo utente che si è loggato sul computer, se sul PC è stata abilitata la finestra di Logon che vi consiglio fortemente di abilitare anche se siete i soli ad usarlo, da qui si può facilmente dedurre il modo in cui viene composto lo user name. Questa funzione può venir disabilitata in Registry Key:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName
modificando il REG_SZ in valore "1", oppure andando su Gestione Utenti o con MMC a settare le proprietà avanzate. Oppure andando su:
Avvio/Programmi/Strumenti di Amministrazione/Criteri di Protezione Locale/Criteri locali/Opzioni di Protezione/Non visualizzare l'ultimo nome utente nella schermata d'accesso.

Verificare sempre sul sito web di Microsoft gli ultimi Hotfixes
Come ben si sa, non si possono scrivere 30 milioni di righe di codici in modo perfetto, quindi i buchi di sicurezza vengono costantemente sistemati con update dei service packs e Hotfixes, nonostante anche questi possano portare dei bugs. Controllate costantemente gli aggiornamenti sulla pagina Microsoft TechNet Security o su Windows Update.


Ottimizzazioni: Sergio1983 [55 visite dal 20 Dicembre 04 @ 00:01 am]