4. Settaggi di alta sicurezza

Settare le password di accensione
Questo dovrebbe essere una cosa fatta obbligatoriamente per utenti laptop, ma viene messa in pratica di rado per Server e Workstation nella maggior parte degli ambienti dato che non permetterebbe l'accesso in remoto per fare il Reboot, in modo da poter eseguire un Restart. Non bisogna però dimenticare che chiunque abbia fisicamente accesso al Computer può fare in modo di disabilitare il Power-on Password, come pure installare momentaneamente un drive e caricare un altro S.O., senza aver problemi con alcun settaggio di sicurezza. Se ciò ponesse un problema per la sicurezza informatica della vostra azienda, valutate la possibilità di chiudere il Case (se il modello lo permette), o di usare hard driver removibili che vengano poi conservati in un luogo sicuro ogni sera.

Chiudere tutte le porte che non sono necessarie
Questa è una scelta da fare essendo a conoscenza dei propri bisogni e dei rischi nei quali si può incorrere. Le Workstation non sono normalmente a rischio se protette da un Firewall, ma non sono mai sicure al 100%. Gli hacker si servono abitualmente di port scanner. Potete facilmente rendervi conto delle porte aperte nel vostro sistema aprendo il file che si trova in:
%systemroot%\system32\drivers\etc\services.
Potete configurare le vostre porte di comunicazione attraverso il TCP/IP
(Pannello di Controllo > Network e Dial Up Connections > Local Area Connection > Internet Protocol (TCP/IP) > Properties > Advanced > Options > TCP/IP
Filtering). Per permettere unicamente connessioni TCP e ICMP, configurate mettendo l'opzione "permit only" sui protocolli UDP e IP e lasciando i campi in bianco. Una lista di porte di default per Win 2k Domain Controllers può essere trovata qui: http://support.microsoft. ... kb/articles/Q289/2/41.ASP
Per Win 2k Pro vi consiglio vivamente di disabilitare il protocollo SNMP ( Simple Network management Protocol ) che lavora sulla porta 25 ed è attivo di default; usando il sistema di Autenticazione di Base è facile risalire alle User esistenti su quel PC; per fare ciò andate su:
Avvio/Programmi/Strumenti di Amministrazione/Servizi
e scegliete Servizio SNMP, tasto destro e quindi Arresta, poi mettetelo su Manuale altrimenti si riavvierà col sistema. Per chi deve monitorare il traffico di Rete e non può droppare ( stoppare in gergo ) il Servizio, sarà sua premura di usare un Firewall che lo controlli passo passo.

Disabilitare il DirectDraw
Questo eviterà accessi diretti a memoria e video hardware che è basilare per gli standard di sicurezza basici C2. La disabilitazione di DirectDraw potrebbe creare problemi per alcuni programmi che richiedono Direct (giochi), ma non danno sicuramente problemi alla gran parte delle applicazioni usate per business.
Per disabilitare DirectDraw, in:
HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI
Settate il valore di timeout (REG_DWORD) a 0.

Disabilitare i Default Shares
Windows NT e Win 2k aprono Hidden Shares (Condivisioni Nascoste)su qualunque installazione per l'uso del system account. (Si possono vedere tutte le cartelle condivise sul vostro computer digitando NET SHARE dal prompt di comando). La condivisione amministrativa di default può essere disabilitata in 2 modi. Il primo è disabilitando o fermando il Server Service, che elimina la possibilità di condivisione di cartelle sul proprio computer (ma permette di accedere alle cartelle condivise sugli altri computer). Quando disabilitate il Server service ( Control Panel > Administration Tools > Services), accertatevi che sia stato clikkato su Manual o Disabled, altrimenti l'opzione sarà nuovamente in funzione la prossima volta che verrà fatto un restart sul computer.
L'altro sistema è tramite il Registry, intervenendo su:
editing HKeyLocal Machine\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters. Per i Server va messo valore 0 su REG_DWORD, mentre per le Workstation AutoshareWks.
La disabilitazione delle condivisioni crea un alto livello di sicurezza, ma può dare problemi in alcune applicazioni, è quindi necessario che vengano eseguiti dei test prima di rilasciare la modifica in produzione.
Gli Hidden Shares di default sono:

Disabilitare Dump File
Un dump file può essere utile quando il sistema o un'applicazione crashano e causano il famoso "Blue Screen of Death". Può anche dare la possibilità ad un hacker che possieda già delle informazioni rilevanti, la possibilità di agire meglio.
Il Dump File può essere disabilitato in:
Control Panel > System Properties > Advanced > Startup and Recovery
modificando l'opzione 'Write Debugging Information" in None (opzione consigliata per la versione Server). Se avete bisogno di servirvi di questa opzione per l'analisi di crash, potete rimetterla in funzione finché il problema non sia stato risolto, per poi disabilitarla nuovamente, cancellando pure i dump file salvati.

Abilitare EFS (Encrypting File System)
Win 2k ha un sistema di criptazione migliore, sempre basato su Kerberos come in NT, che aumenta la sicurezza di drive, cartelle e file. Questo aiuterà a prevenire l'attacco di un hacker che potrebbe accedere ai vostri files semplicemente installando un altro PC o un hard drive. L'encription va abilitata anche in Folders, non solo in Files, di modo che tutti i documenti salvati nella cartella vengano criptati ( Solo per utenti esperti ).

Criptare il Temp Folder
Le applicazioni, per creare copie dei files mentre vengono modificati, usano la cartella temporanea, ma non sempre la puliscono dopo che le applicazioni siano state chiuse. Usando l'opzione Encrypt i files saranno al sicuro anche nella temporary (Solo per utenti esperti).

Restringere i permessi del registro
In Win 2k, solo Administrator e Backup Operators hanno per default accesso al registro di configurazione in remoto, tuttavia i permessi possono essere ridotti ulteriormente.
Per maggiori informazioni leggere:
http://support.microsoft. ... kb/articles/Q153/1/83.asp

Pulire il Paging File (File di Swap) quando si esegue lo shutdown
Il Pagefile è il file temporaneo di scambio che Windows NT e Win 2k usano per trattare la memoria e ottimizzare la performance. Ma ci sono delle parti che mettono in memoria le password non criptate, come pure altri dati. Si può pulire questo pagefile al momento dello shutdown in:

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory
cambiando su ClearPageFileAtShutdown il valore in 1.

Disabilitare la possibilità di fare il boot da floppy o CD Rom su sistemi fisicamente sicuri
La terza parte delle utililty contiene buchi di sicurezza se usata via boot disk (incluso il reset della password di amministratore). Se la vostra sicurezza deve essere ad alto livello, considerate la possibilità di rimuovere completamente i drive del floppy e del CD. In alternativa, archiviate il CPU in un case esterno chiuso fisicamente, che permette comunque la necessaria ventilazione.

Una buona soluzione: una SmartCard o una Biometria invece della password
Tanto più restrittivo sarà il vostro regolamento in ambito password, quanto più i vostri utenti cominceranno ad avere appiccicati ovunque foglietti con scritta la stessa password. Quindi la possibilità di utilizzare una SmartCard potrebbe essere la soluzione al problema password.

Considerare la possibilità di mettere in funzione IPSec
IPSec mette in funzione un sistema di criptazione per sessioni network usando l'Internet Protocol (IP), e promette di offrire trasparenti e comunicazioni criptate in automatico per connessioni network, L2TP (Layer 2 Tunneling Protocol) e VPN (Virtual Private Network) (Solo per utenti esperti).