Windows XP Security Guide Dok-ID: Version: 0.8 Erstellungsdatum: Dez. 2003 Jan. 2004 Nachgeführt bis: 26.01.2004 Erstellt von: NetProtect AG: Kontakt: Oliver Münchow o.muenchow@netprotect.ch
1. Einführung Inhaltsverzeichnis 1. EINFÜHRUNG... 3 1.1 ZWECK DES DOKUMENTS... 3 1.2 ABLAGEINFORMATION... 3 2. SECURITY CHECKS... 4 2.1 SICHERN DER WINDOWSXP DIENSTE... 4 2.2 KONTROLLE DER GPO`S... 10 2.2.1 GPO: Benutzerrechte... 11 2.2.2 GPO: Passwort und Kontorichtlinien... 16 2.2.3 GPO: Audit Policies... 17 2.2.4 GPO: Kerberos Policies... 18 2.2.5 GPO: Lokale Sicherheitsoptionen... 19 2.2.6 GPO: Administrative Templates Internet Explorer: Computer & User Configuration Settings... 27 2.2.6 GPO: Administrative Templates Task Scheduler: Computer Configuration Settings... 32 2.2.7 GPO: Administrative Templates Windows Messenger: Computer Configuration Settings33 2.2.8 GPO: Administrative Templates Terminal Services : Computer Configuration Settings33 2.2.8 GPO: Administrative Templates Windows Explorer: User Configuration Settings... 35 2.2.9 GPO: Administrative Templates System : User and Computer Configuration Settings. 36 2.3 REGISTRY SETTINGS FÜR STAND-ALONE WINXP... 41 2.4 REGISTRY: BENUTZERRECHTE... 57 2.5 FILESYSTEM... 60 2.5.1 Filesystem: NTFS Berechtigungen... 60 2.5.2 Filesystem: Binaries schützen... 63 2.5.3 Filesystem: EFS... 67 2.6 DESIGN... 68 2.6.1 Design: Zugriff ins Internet... 68 2.6.2 Design: Mail Zugriff... 69 2.6.3 Design: Zugriffe auf interne Server... 70 2.6.4 Design: Zugriffe auf die Harddisk... 71 2.6.5 Design: Hardwareschnittstellen... 72 2.7 WEITERE SICHERHEITSCHECKS... 72 2.8 SOFTWARE-RESTRICTIONS... 74 2.9 SICHERE ADMINISTRATION... 77 2.9.1 Checkliste Administratoren-Accounts...77 2.9.2 Checkliste Administratoren-Accounts...78 2.9.3.1 Exkurs: Sichere TS Kommunikation...79 2.7.3.2 Attacken auf Terminalserver...79 3.2.4.3.2 Gegenmassnahmen zu Angriffen auf TS...79 2.9.3.3 Fortgeschrittene Sicherheitseinstellungen des Terminal-Servers...81 2.9.3.4 Installation TS via Open SSH...82 2.10 BIOS SICHERHEIT... 83 2.11 AUDITING & MONITORING... 84 2.11.1 Auditing von GPO`s auf DC`s... 84 2.11.2 Exkurs: Monitoring Art der zu überwachenden Events...87 2.11.3 Exkurs: Monitoring Zentralisierung...91 2.11.4 Exkurs: Löschfunktion von Windows verbessern...93 2.12 PATCHING... 94 2.13 SID FILTER... 94 Page 2
1. Einführung 1. Einführung 1.1 Zweck des Dokuments Die aus den oben beschriebenen Informationsquellen gewonnenen Daten wurden hinsichtlich der Sicherheit auf den folgenden Ebenen analysiert: Kommunikations-Protokolle Systemnahe Dienste und Applikationen, Lokale Einstellungen (Benutzer und Berechtigungen), System Settings (GPO`S & AD Struktur) Grobe Abdeckung von Sicherheitslücken in Standardapplikationen. 1.2 Ablageinformation Titel: Sicherheits-Guide Windows XP Speicherdatum: - Datei-Name: Kommentar: (Inhalt, Verwendungszweck) WinXP_SecurityGuide Demo Page 3
2.1 Sichern der WindowsXP Dienste Aus Erfahrungen vergangener Projekte der NetProtect AG zeigte sich, dass die genaue Identifikation der in Deutsch beschriebenen Dienste Probleme bereitet hat. Daher anbei die exakte Übersetzung aller Dienste. Ausserdem zeigten sich oft Probleme in der Umsetzung der Konfiguration der Dienste sofern den Anleitungen von SANS, NSA etc. gefolgt worden ist. Die folgenden Ausgangswerte sind Empfehlungen, welche eine Kombination der von Microsoft, SANS & NSA herausgegebenen Checklisten darstellen. Diese Einstellungen wurden jedoch nicht auf jeden Typ von System auf ihre Praxistauglichkeit überprüft. Daher kann keine Gewähr für die Funktionstüchtigkeit des Systems übernommen werden. Bestimmte Server bzw. Client Rollen erfordern Dienste, welche leider nicht zu den sichersten gehören. Service Beschreibung Empfehlung Ablagemappe / Clipbook Unterstützt die Ablagemappe und erlaubt Seiten auf Remoteablagemappen anzuzeigen. Anmeldedienst /Net Logon Arbeitsstationsdiens t E: workstation Automatische Updates Background Intelligent Transfer Service Application Management / Anwendungsverwaltung COM+- Ereignissystem E: Com+ Event System Com + System Application Computer-browser DHCP-Client Provides software installation services such as Assign, Publish, and Remove. Used when you modify an application i.e. Add/Remove. Bietet Softwareinstallationsdienste wie Zuweisung, Veröffentlichung, und Deinstallation. Unterstützt Durchsatzauthentifizierung von Kontoanmeldungsereignissen für Computer in einer Domäne. Bietet Netzwerkverbindungen und kommunikation Enables the download and installation of critical Windows updates. If the service is disabled, the operating system can be manually updated at the Windows Update Web site. Uses idle network bandwidth to transfer data. Stellt COM-Komponenten automatische Verteilung von Ereignissen zur Verfügung. (Supports System Event Notification Service (SENS), which provides automatic distribution of Object Model (COM) components. If the service is stopped, SENS will close and will not be able to provide logon and logoff notifications) Manages the configuration and tracking of Component Object Model (COM)+-based components. If the service is stopped, most COM+-based components will not function properly. If this service is disabled, any services that explicitly depend on it will fail to start. Führt eine aktuelle Liste der Computer im Netzwerk und gibt diese an Programme weiter. Verwaltet die Netzwerkkonfiguration, indem IP-Adressen und DNS-Namen registriert und aktualisiert werden. Automatisch Manuell Manuell Manuell Manuell Distributed Transaction Coordinator Programs such as Microsoft SQL Server, and Microsoft Message Queue Server (MSMQ) can use DTC when running on MSCS. In COM+ werden Transaktionen über den "Distributed Transaction Coordinator" (DTC) geregelt. Jede Komponente, die an einer Transaktion beteiligt ist, muß dem DTC melden, ob diese erfolgreich war, oder rückgängig gemacht werden soll. Anhand dieser Page 4
Service Beschreibung Empfehlung DNS-Client Meldungen kann der DTC anschließend entscheiden, wie verfahren werden soll. Die Änderungen während einer Transaktion müssen natürlich irgendwo gespeichert werden. Dazu werden "Ressourcenmanager" herangezogen. Ein Ressourcenmanager ist nichts anderes als eine Datenbank, daher können von COM+ renommierte Datenbanksysteme wie Oracle, MS SQL- Server oder IBM DB2 als Ressourcenmanager genutzt werden. Wertet DNS-Namen (Domain Name System) aus und speichert sie zwischen. Manuell Druckwarteschlange Lädt die Dateien in den Arbeitsspeicher, um sie später zu drucken. Eingabegerätezugan g Ereignisprotokoll E: Event Log Faxdienst Protokolliert von Programmen und Windows gesendete Ereignisnachrichten. Das Ereignisprotokoll beinhaltet Informationen, die zur Diagnose von Problemen hilfreich Automatisch sein können. Das Protokoll kann mit der Ereignisanzeige angesehen werden. Unterstützt Sie beim Senden und Empfangen von Faxen. Fehlerberichterstatt ungsdienst / Error Reporting FTP Publishing Service File Replication Gatewaydienst auf Applikationsebene /Application Layer Gateway Service Geschützter Speicher E: Protected Storage Hilfsprogramm- Manager / Help & Support IMAPI-CD-Brenn- COM-Dienste Indexdienst Internet Connection Firewall/Internet Connection Sharing IIS Admin Service IPSEC-Dienste Konfigurationsfreie drahtlose Verbindung Allows error reporting for services and applications running in non- standard environments. This is responsible for the box that pops up wanting you to report an application error or system crash to Microsoft. Dieser Service wird nicht per Default installiert. Wenn aber dieser nicht rund um die Uhr zwingend verfügbar sein muss sollte dieser Service deaktiviert werden. Provides support for 3rd party protocol plug-ins for Internet Connection Sharing and the Internet Connection Firewall. Bietet geschützten Speicherplatz für private Daten, wie z. B. private Schlüssel, um Zugriff durch nicht autorisierte Dienste, Prozesse oder Benutzer zu unterbinden. Startet und konfiguriert Eingabehilfen über einen zentralen Dialog. Manages CD recording using Image Mastering Applications Programming Interface (IMAPI). If this service is stopped, this computer will be unable to record CDs. Provides network address translation, addressing, name resolution and/or intrusion for a home or small office. Also part of the IIS suite of services, the IIS Admin Service gives remote, elevated access to the other IIS services. Verwaltet IP-Sicherheitsrichtlinien und startet den IKE- Treiber (ISAKMP/Oakley) und den IP-Sicherheitstreiber. Automatisch Page 5
Service Beschreibung Empfehlung Kryptografiedienste/ Cryptographic Services Leistungsdatenprotokolle und Warnungen / E:Performance Logs & Alerts MS Software Shadow Copy Provider Nachrichtendienst /Messenger NetMeeting- Remotedesktop- Freigabe Netzwerk-DDE- Dienst Netzwerk-DDE- Serverdienst Provides three management services: Catalog Database Service, which confirms the signatures of Windows files; Protected Root Service, which adds and removes Trusted Root Certification Authority certificates from this computer; and Key Service, which helps enroll this computer for certificates. If this service is stopped, these management services will not function properly. Konfiguriert Leistungsdatenprotokolle und Warnungen Manages software-based volume shadow copies taken by the Volume Shadow Copy service. Sendet und empfängt Nachrichten, die von Administratoren oder vom Warndienst übertragen wurden. Ermöglicht autorisierten Personen auf Ihren Windows- Desktop mit NetMeeting zuzugreifen. Netzwerktransport und Sicherheit für DDE (Dynamic Data Exchange.) Verwaltet den Austausch von gemeinsamen dynamischen Daten und wird vom Netzwerk-DDE verwendet. Automatic Manuell Netzwerkverbindungen NLA (Network Location Awareness) NT-LM- Sicherheitsdienst Verwaltet Objekte im Ordner Netzwerk- und DFÜ- Verbindungen, in dem sowohl LAN-, als auch WAN- Verbindungen angezeigt werden. Windows XP enthält Komponenten, die Informationen zum mit dem System verbundenen Netzwerk erkennen. Dadurch wird eine nahtlose Konfiguration des Netzwerkstapels für diesen Standort ermöglicht. Diese Informationen werden auch durch die Windows Sockets- API zur Verfügung gestellt, damit Anwendungen Informationen zum aktuellen Netzwerk abrufen oder bei Änderungen der Netzwerkinformationen benachrichtigt werden können. Windows XP-Komponenten verwenden den Netzwerkstandort, um die entsprechenden Dienste bereitzustellen. Der Netzwerkinstallations-Assistent beispielsweise verwendet die Standortinformationen für mehrere Adapter des Systems, um festzustellen, bei welchem Gerät es sich um die Verbindung mit dem Internet handelt. Auch die Gruppenrichtlinie für den Internetverbindungsfirewall berücksichtigt den Standort. Der Internetverbindungsfirewall überprüft, ob die Gruppenrichtlinie festgelegt ist und ermittelt anhand der Standortinformationen, wie die Richtlinie angewendet wird. Zu Windows XP wurden weitere Microsoft-Erweiterungen für Windows Sockets hinzugefügt. Dazu gehören die Erweiterungen ConnectEx(), mit der ein Datenblock nach dem Herstellen einer Verbindung gesendet wird, und TransmitPackets(), mit der Speicher- oder Dateidaten über ein verbundenes Socket übertragen werden. Weitere Informationen zu NLA und die Windows Sockets- API finden Sie in der Onlinehilfe zu Windows XP und im Microsoft Platform SDK. Bietet Sicherheit für Remoteprozeduraufrufe (RPC), die andere Transportwege als Named Pipes verwenden. Manuell (laut Microsoft kann auch deaktiviert sein) Page 6
Service Beschreibung Empfehlung Plug & Play QoS RSVP RAS-Verbindungsverwaltung Verwaltung für automatische RAS- Verbindung Verwaltet Geräteinstallationen sowie konfigurationen und informiert Programme über Geräteänderungen. Bietet Programmen und Systemsteuerungssymbolen, die QoS unterstützen, Installationsfunktionen zur Steuerung von Netzwerksignalen und lokalem Netzwerkverkehr. Stellt eine Netzwerkverbindung her. Erstellt immer eine Verbindung zu einem Remotenetzwerk her, wenn ein Programm eine Remote- DNS- oder NetBIOS-Adresse anspricht. Automatisch Remoteprozeduraufruf (RPC) Remote- Registrierungsdienst Endpunktzuordnung und andere verschiedene RPC- Dienste. Ermöglicht die Bearbeitung der Registrierung über das Netzwerk. Manuell Routing und RAS Bietet Routingdienste in LAN- und WAN- Netzwerkumgebungen. RPC-Locator Verwaltet die Datenbank für den RPC-Namensdienst. Automatisch Server Sekundäre Anmeldung / Secondary Logon Seriennummer der tragbaren Medien Sicherheitskontenverwaltung E: Security Accounts Manager Sitzungs-Manager für Remotedesktophilfe / Remote Desktop Help Session Manager Simple Mail Transport Protocol (SMTP) Simple Network Management Protocol (SNMP) Service Simple Network Management Protocol (SNMP) Trap Smartcard Bietet RPC-Unterstützung sowie Datei-, Drucker-, und Named Pipe-Freigabe. Enables starting processes under alternate credentials. Needed for "RunAs" Speichert Sicherheitsinformationen für lokale Benutzerkonten. Manages and controls Remote Assistance. If this service is stopped, Remote Assistance will be unavailable. Das Simple Management Protokoll galt lange Zeit als Standard für das Management von unterschiedlichsten Geräten (Router, Hubs, Unix, und Windows Rechner). In der Vergangenheit hat sich aber gezeigt dass es viele Schwachstellen aufweist und immer wieder ein beliebtes Ziel darstellte. Die Liste der verfügbaren Exploits ist bereits heute sehr lang. Ein weiterer Teil des SNMP Protokolls sind die SNMP Traps. Sie sollten ebenso wie der SNMP Service deaktiviert werden. Verwaltet und steuert Zugriff auf eine Smartcard, die sich in einem Smartcard-Leser befindet, das an den Computer angeschlossen ist. Automatisch Automatisch Disabled Page 7
Service Beschreibung Empfehlung Smartcard- Hilfsprogramm Unterstützt herkömmliche Smartcard-Leser, die an den Computer angeschlossen sind. SSDP-Suchdienst Used to locate UPnP devices on your network. System Event Notification Systemwiederherste llungsdienst / System Restore Service Taskplaner Systemereignisbenachrichtigung TCP/IP-NetBIOS- Hilfsprogramm Telefonie Telnet Terminaldienste Verfolgt Systemereignisse wie Windows-Anmeldungen sowie Netzwerk- und Stromversorgungsereignisse. Benachrichtigt außerdem COM+ Ereignissystembezieher von diesen Ereignissen. Creates system snap shots or restore points for returning to later. Ermöglicht es, ein Programm zu einer vorgegebenen Zeit auszuführen. Ermöglicht die Unterstützung vom NetBIOS-über- TCP/IP-Dienst (NetBT) und die NetBIOS- Namensauflösung. Bietet Telefonie-API-Unterstützung (TAPI) für Programme, die Telefoniegeräte steuern, sowie IPbasierte Sprachverbindungen am lokalen Computer und über das LAN, auf Servern, die diesen Dienst ebenfalls ausführen. Ermöglicht es einem Remotebenutzer, sich am System anzumelden und Konsolenprogramme unter der Verwendung der Befehlszeile auszuführen. Manuell gemäss SANS, (automatisch gemäss Micrsoft) Treibererweiterunge n für Windows- Verwaltungsinstrum entation / Windows Management Instrumentarium Überwachung verteilter Verknüpfungen / Distributed Link Tracking Client Universeller Plug & Play-Gerätehost Upload-Manager Unterbrechungsfreie Spannungsversorgung Sendet Benachrichtigungen über Dateien, die zwischen NTFS-Laufwerken in einer Netzwerkdomäne bewegt werden. Ermöglicht dem Clientdienst für die Überwachung verteilter Verknüpfungen innerhalb derselben Domäne eine zuverlässigere und effizientere Wartung von Verknüpfungen innerhalb der Domäne zur Verfügung zu stellen. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden. Provides support to host Universal Plug and Play devices. Manages synchronous and asynchronous file transfers between clients and servers on the network. If this service is stopped, synchronous and asynchronous file transfers between clients and servers on the network will not occur. Verwaltet eine an den Computer angeschlossene unterbrechungsfreie Spannungsversorgung (USV). Verwaltung logischer Datenträger / logical Disk Manager Überwachungsdienst für die Verwaltung logischer Datenträger Automatisch Page 8
Service Beschreibung Empfehlung Verwaltungsdienst für die Verwaltung logischer Datenträger Volumeschattenkopi e WebClient Windows Audio Verwaltungsdienst für Datenträgerverwaltungsanforderungen Manages and implements Volume Shadow Copies used for backup and other purposes. If this service is stopped, shadow copies will be unavailable for backup and the backup may fail. Enables Windows-based programs to create, access, and modify Internet-based files. Zeigt Systemverwaltungs-Informationen an Manuell Manual Automatisch Automatisch Wechselmedien /Removable Verwaltet austauschbare Medien, Geräte und Bibliotheken. Windows Installer Windows-Zeitgeber Windows- Verwaltungsinstrumentation WMI- Leistungsadapter World Wide Web Publishing Services Installiert, repariert und entfernt Software anhand von Anweisungen in.msi-dateien. Stellt die Systemuhr. Achtung: Zeitsynchronisation muss möglich sein; muss laufen; Abhängigkeiten von RPC beachten! Provides performance library information from WMI HiPerf providers. (ev. Manuell, sofern neue Apps installiert werden sollen!) Automatisch Page 9
2.2 Kontrolle der GPO`s Es gibt hinsichtlich der GPO Einstellungen verschiedenste Empfehlungen. NetProtect AG stützt sich bei Ihren Vorgaben auf die amerikanische Organisation NSA sowie auf den WindowsXP Hardening Guide von Microsoft. Es gilt auch hier zu bemerken, dass es keinen allgemein gültigen Sicherheitsstandard für GPO`s gibt. GPO`s müssen Schritt für Schritt entworfen und getestet werden. Ein Audit von GPO`s im nachhinein ist relativ komplex, sofern man nicht sehr gut mit der Umgebung vertraut ist. Auf den nachfolgenden Seiten werden ausgewählte GPO-Bereiche behandelt: Nr Typ Bemerkungen Kapitel/Seite 1 Benutzerrechte 2 Passwort-Policies 3 Audit Policies 4 Kerberos Policies Page 10
2.2.1 GPO: Benutzerrechte Nr Parameter Erklärung 1 Access this computer from the network Zugriff vom Netzwerk auf diesen Computer Act as part of the operating system 2 Als Teil des 3 Betriebssystems handeln Add workstations to domain Hinzufügen von Arbeitsstatione n zur Domäne Ermöglicht dem Benutzer über das Netzwerk auf den Computer zuzugreifen. Verwendet wird dies bei Server Message Block (SMB) Œ basierten Protokollen, NetBIOS, Common Internet File System (CIFS), Hypertext Transfer Protocol (HTTP) und Component Object Model Plus (COM+). Achtung: Falls auf dem System ein IIS Server installiert ist und das System gestoppt bzw. wieder gestartet wird erstellt W2K automatisch den Benutzer IUSR_<machine_name> und IWAM_<machine_name> mit dem Recht über das Netzwerk auf den Computer zuzugreifen. Erlaubt einem Prozess als sicheren Teil des Betriebssystems zu agieren. Einigen Sub-Systemen wird dieses Recht eingeräumt. Ermöglicht einem Benutzer eine Arbeitsstation einer bestimmten Domäne anzuschliessen. Dieses Recht spielt nur für Domänen-controller eine Rolle. NOTE: By default, Authenticated Users are given this right on Domain Controllers. Allowing users to add their own machines to a domain could pose securityrisks. Therefore, it is recommended that the Authenticated Users group not be granted this right. Sicherheitsstandard (NSA) Administrators & Authenticated Users (No one) (No one) Back up files and directories Erlaubt einem Benutzer Daten und Verzeichnisse zu sichern. 4 Sichern von Dateien und Verzeichnisse Achtung: Dieses Recht dominiert das gesetzte Recht auf den einzelnen Verzeichnissen/Dateien. Administrators 5 Bypass traverse checking Auslassen der durchsuchende n Überprüfung Erlaubt einem Benutzer die Rechte auf Daten und Verzeichnissen zu ändern obschon der Benutzer keine Rechte auf denjenigen Verzeichnissen hat. Authenticated Users (DCs only) Users (Member Servers only) Change the 6 system time Administrators Ändern der Systemzeit Page 11
Nr Parameter Erklärung Sicherheitsstandard (NSA) Create a 7 pagefile Erstellen einer Auslagerungsda tei Erlaubt einem Benutzer eine Auslagerungsdatei zu erstellen um das Virtuelle Memory zu konfigurieren. Administrators 8 Create a token object Erstellen eines Tokenobjekts Erlaubt einem Prozess ein Token zu erstellen welches für den lokalen Zugriff auf Ressourcen verwendet werden kann. Nur die Lokale Sicherheits-Autorität sollte einen solchen Token erstellen dürfen. None Create 9 permanent shared objects Erstellen von dauerhaft freigegebenen Erlaubt einem Benutzer spezielle permanente Directory Objekte zu erstellen so wie \\ Devices, die innerhalb des Win2K Objekt-Managers verwendet werden. None Objekten Debug 10 Programs Debuggen von Programmen Diese Funktion wird hauptsächlich für Softwareentwickler benötigt. None 11 Deny access to this computer from the network Zugriff vom Netzwerk Verhindert dass Benutzer bzw. Gruppen über das Netzwerk auf den Computer zugreifen. Diese Poicly dominiert in der Hierarchie die Policy Nr. 1 falls ein Konto Teil beider Policies ist. None verbieten Deny logon as a batch job Verhindert dass sich Benutzer bzw. Gruppen als 12 Anmeldung als Batchauftrag Batch Job anmelden. Auch hier dominiert diese Einstellung gegenüber der Policy Logon as a batch job. None 13 Deny access to this computer from the network Zugriff vom Netzwerk Verhindert dass Benutzer bzw. Gruppen über das Netzwerk auf den Computer zugreifen. Diese Poicly dominiert in der Hierarchie die Policy Nr. 1 falls ein Konto Teil beider Policies ist. None verbieten 14 Deny logon locally Lokale Anmeldung verweigern Verhindert dass sich Benutzer bzw. Gruppen lokal am Computer anmelden können. Diese Einstellung steht in der Hierarchie über der Einstellung Log on locally sofern ein Konto Teil beider Policies wird. None 15 Enable computer and user accounts to be trusted Ermöglicht einem Benutzer eine vertrauenswürdige Delegation auf dem Computer bzw. einem Objekt aufzubauen. Der Benutzer muss jedoch Schreibrechte besitzen. None Page 12
Nr Parameter Erklärung for delegation Sicherheitsstandard (NSA) Ermöglichen, dass Computerund Benutzerkonten für Delegierungszw ecke vertraut wird Force shutdown from a remote system 16 Erzwingen des Herunterfahren s von einem Remote-system aus Netzwerkbasiertes Shutdown von einem W2K Server None (NSA: Administrator) Generate security audits 17 Generieren von Erlaubt einem Prozess Sicherheitslogs zu erstellen None Sicherheitsüber wachungen 18 Increase quotas Anheben von Quoten Ermöglicht es einem Benutzer die Quote (Anteil an Rechenleistung) die der Prozessor für einen Prozess verwendet anzupassen. Administrator Increase scheduling 19 priority Ermöglicht dem Benutzer gewisse Tasks zu Priorisieren. Dies wird über das Task Manager Administrator Interface gesteuert. Load and 20 unload device drivers Laden und Entfernen von Ist erforderlich / batch File! Administrator Gerätetreibern 21 Lock pages in memory Sperren von Seiten im Ermöglicht es dem Benutzer Daten im Speicher zu blockieren so dass diese z.b. nicht in Pagefile.sys geschrieben werden in W2K überflüssig) None Speicher 22 Log on as a batch job Ermöglicht dem Benutzer sich innerhalb einer Batchverarbeitung anzumelden. Dies ist v.a. im Zusammenhang mit dem Task Scheduler None Page 13
Nr Parameter Erklärung Anmelden als Stapelverarbeit ungsauftrag obligatorisch. (NSA) 23 Log on as a service Als Dienst anmelden Erlaubt einem Prozess sich am System als Service anzumelden. Einige Applikationen wie z.b. Exchange benötigen ein Service Account welches dieses Recht erfordert! Wird benötigt! Network Service 24 Log on locally Lokal anmelden Erlaubt es einem Benutzer sich lokal am System anzumelden. Falls ein IIS 5.0 Server installiert ist erhalten die die Benutzer IUSR_<machine_name> und Administrators, Authenticated Users Manage auditing and security log 25 Verwalten von Überwachungs- 26 und Sicherheitsprot okollen Modify firmware environment values Verändern der Sicherheitsstandard Firmware- Variablen Ermöglicht es dem Benutzer Sicherheitslogs anzuschauen und diese zu löschen. Über dieses Recht definiert man ausserdem welche Art von Objekt Zugriffen (z.b. File Access) geloggt werden sollen. Kann ohnehin nicht gesehen werden (GPO) Ermöglicht es dem Benutzer Variablen welche im RAM gespeichert werden zu modifizieren. (kann nicht modifiziert werden GPO) Administrators Administrators Profile single Mit diesem Recht können z.b. Entwickler die 27 Process Erstellen eines Profils für einen Einzelprozess Performance eines Prozesses überwachen. NOTE: Software developers working on the system may need this right. Assign the right to developer Users /groups only when necessary. Administrators Remove 28 computer from docking station Entfernen des Computers von Ermöglicht es einem Benutzer ein Laptop aus der Dockingstation zu entfernen. Administrators, Authenticated Users Dockingstation Replace a 29 process level token Ersetzen eines Tokens auf Prozessebene Ermöglicht einem Benutzer einen Prozess Token zu modifizieren. Dieses Recht sollte ausschliesslich dem system vorbehalten sein Local Service, Network Service Restore files and directories 30 Wiederherstelle n von Dateien & Verzeichnisse NOTE: If the network makes use of the group to Restore backups, also assign this right to that group. Administrator Page 14
Nr Parameter Erklärung Shut down the system 31 Herunterfahren des Systems Sicherheitsstandard (NSA) Administrator, Authenticated Users Synchronize directory service data 32 Synchronisieren von Verzeichnisdien stdaten Take ownership of file or other objects 33 Übernehmen des Besitzes von Dateien und Objekten Gemäß der Dokumentation zum Ressorce-Kit findet diese Einstellung in der gegenwärtigen Version von Windows 2000 keine Anwendung. Erlaubt dem Benutzer die Berechtigungen für bestimmte Objekte wie z.b. Drucker, Verzeichnisse etc. zu erlangen. Dieses Recht überlagert das die auf den Objekten gesetzten Permissions None Administrator Page 15
2.2.2 GPO: Passwort und Kontorichtlinien Nr Wert Bemerkungen Soll MinimumPass wordage 2 MaximumPas swordage 3 MinimumPass wordlength 4 PasswordCom plexity 5 PasswordHist orysize 6 LockoutBadC ount 7 ResetLockout Count 8 LockoutDurat ion Das minimale Passwort-Alter spezifiziert den Zeitraum, in dem ein Benutzer sein Passwort nicht ändern darf. Normalerweise können Benutzer jederzeit die Passwörter ändern. Als Folge davon könnte ein Benutzer z.b. bei erzwungener Änderung des Passwortes ein neues Passwort eingeben und sofort nach Eingabe erneut das Passwort ändern und wieder das alte Passwort einsetzen. Die erlaubten Werte sind: 0: Das Passwort kann nie geändert werden 1-999: wobei die maximale Anzahl Tage auf 999 beschränkt ist Entspricht der maximalen Zeitperiode in welcher ein Benutzer ein Passwort behalten kann, bevor er gezwungen ist dieses zu behalten. Die erlaubten Werte sind: 0: Das Passwort kann nie geändert werden 1-999: wobei die maximale Anzahl Tage auf 999 beschränkt ist Blank-Passwörter können sofort von Cracking Tools herausgefunden werde. Dies gilt auch für bekannte Wörter. Auf die Passwortsicherheit wurde bereits im früheren Kapitel verwiesen. Bemerkung: Windows unterstützt Passwörter mit einer Maximallänge von bis zu 127 Zeichen! Innerhalb von Sicherheitstemplates können jedoch Passwörter mit einer Maximallänge von 14 Zeichen vergeben werden. Die passfilt.dll sorgt dafür dass strengere Passwortvorschriften durchgesetzt werden können. (bei W2K Server z.b. wird das DLL automatisch mitgeliefert) Bemerkung: Falls noch strengere Kontrollen der Passwortsicherheit gewünscht werden kann ausserdem das von der NSA zur Verfügung gestellte enpasflt.dll installieren und den entsprechenden Registry Key setzen: hklm\system\currentcontrolset\control\lsa\notificaton packages set to enpasflt Verhindert Brute Force Attacken auf das System durch Raten bzw. Durchprobieren von verschiedenen Passwörtern. Der Range reicht von 0 zu 999 Versuchen. Achtung: Dies betrifft nicht fehlerhafte Log-on Versuche bei einem mit einem Screensaver geschützten System. Setzt die Anzahl der Minuten bis der Logon Counter wieder auf Null gesetzt wird. Die Zeitspanne reicht von 1 bis 99999 Minuten. Setzt die Anzahl der Minuten bis das gesperrte Account wieder freigegeben wird. Die Zeitspanne reicht von 1 bis 99999 Minuten. Achtung: Per Default kann das Administratoren Account nicht ausgeschlossen werde. Diese Einstellung wird jedoch mittels der vorher erwähnten Systemänderungen möglich gemacht! 1 90 9 (NSA=12) 1 (Aktiviert) 24 3 15 15 Page 16
2.2.3 GPO: Audit Policies Nr Wert Bemerkung Soll 1 AuditSyste mevents 2 AuditLogon Events 3 AuditObject Access 4 AuditPrivile geuse 5 AuditPolicy Change 6 AuditAccou nt Manage 7 AuditProce ss Tracking 8 Audit Directory Access 9 AuditAccou ntlogon Erfasst alle Einträge die das gesammte System betreffen bzw. Den Audit Log. Zeichnet somit auch beispielsweise Neustarts bzw. Shutdowns auf. Erfasst alle Benutzer die sich An- bzw. Abgemeldet haben oder Benutzer die eine Netzwerkverbindung initiieren. Loggt außerdem den Typ des Logon-Request (interaktiv, Netzwerk oder Service) Achtung: Ein besonderes Augenmerk sollte bei diesen Logs auf die fehlgeschlagenen Einlogversuche gelegt werden. Es wird empfohlen, die Logs nach bestimmten Kriterien automatisiert auszuwerten und eine entsprechende Mitteilung zu generieren, sobald ein kritischer Event stattgefunden hat. Logt alle nicht erfolgreichen Versuche Privilegien zu erlangen. Privilegien sind Rechte, welche den Administratoren bzw. Power Usern zugedacht sind. Erfasst alle Benutzerrechte ausser: Bypass Traverse Checking, Debug Programs, Create a Token Object, Replace Process Level Token, Generate Security Audits, Back Up Files and Directories, Restore Files and Directories. Erfasst das detaillierte Verfolgen von Informationen für bestimmte Events. Beispiele sind die Aktivierung von Programmen bzw. Das Schliessen von Programmen. Achtung: Sofern man vermutet dass das System angegriffen wird bietet diese Option das Aufzeichnen von genauen Hinweisen über die Vorgehensweise des Angreifers. / Könnte logfiles zu stark belasten! The Audit directory service access setting can only be enabled to perform auditing on domain controllers NOT Xp Workstations! 3 Success & Failure 3 Success & Failure 2 Failure 3 Failure Success & Failure Success & Failure 2 Failure 2 Failure Success & Failure Page 17
2.2.4 GPO: Kerberos Policies Kerberos ist die Standard Authentisierungsmethode in W2K Active Directory. Da eine Active Directory Infrastruktur für eine Kerberos Authentisierung notwendig ist, sind diese Einstellungen nur für die Domain GPO relevant. Nr Wert Bemerkung Soll 1 Enforce user logon restrictions 2 Maximum lifetime for service ticket 3 Maximum lifetime for user ticket 4 Maximum lifetime for user ticket renewal 5 Maximum tolerance for computer clock synchroniz ation 6 Maximum lifetime for service ticket Forces the Key Distribution Center (KDC) to check if a user requesting a service ticket has either the Log on locally (for local machine service access) or Access this computer from the network user right on the machine running the requested service. If the user does not have the appropriate user right, a service ticket will not be issued. Enabling this option provides increased security, but may slow network access to servers. Determines the number of minutes a Kerberos service ticket is valid. Values must be between 10 minutes and the setting for Maximum lifetime for user ticket. This value is set to 600 minutes in the default domain GPO. NOTE: Expired service tickets are only renewed when making a new connection to a server. If a ticket expires during an established session, the session is not interrupted. Determines the number of hours a Kerberos ticket-granting ticket (TGT) is valid. Upon expiration of the TGT, a new one must be obtained or the old one renewed. This value is set to 10 hours in the default domain GPO. Sets the maximum number of days that a user s TGT can be renewed. This value is set to 7 days in the default domain GPO. Sets the maximum number of minutes by which the KDC and client machine s clocks can differ. Kerberos makes use of time stamps to determine authenticity of requests and aid in preventing replay attacks. Therefore, it is important that KDC and client clocks remain synchronized as closely as possible. This value is set to 5 minutes in the default domain GPO. Determines the number of minutes a Kerberos service ticket is valid. Values must be between 10 minutes and the setting for Maximum lifetime for user ticket. This value is set to 600 minutes in the default domain GPO. NOTE: Expired service tickets are only renewed when making a new connection to a server. If a ticket expires during an established session, the session is not interrupted. Enabled 600 minutes 10 hours 7 days 5 minutes 600 minutes Page 18
2.2.5 GPO: Lokale Sicherheitsoptionen Diese Policies erzeugen schlussendlich bestimmte Registry Einträge, welche sich auch direkt in der Registry setzen liessen. Die Security Option Settings können aber unter Windows XP auch am folgenden Ort konfiguriert werden: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options. Nr Wert Bemerkung Soll 1 Accounts: Limit local account use of blank passwords to console logon only 2 AccountS: Rename administrat or account 3 Accounts: Rename guest Account 4 Devices: Allow undock without having to log on 5 Devices: Allowed to format and eject removable media 6 Devices: Prevent The Accounts: Limit local account use of blank passwords to console logon only setting controls whether local accounts with blank passwords can be used to log on from locations other than the physical computer console. Enabling this setting prevents local accounts with blank passwords from being used to connect to computers across the network using either Windows Networking or Terminal Services. This setting only affects local accounts. It does not affect domain accounts. It is a best practice to avoid using accounts with blank passwords because they are vulnerable to attack. An attacker can easily compromise an account with a blank password because the attacker only has to determine the account name to use it. For these reasons, the Accounts: Limit local account use of blank passwords to console logon only setting is configured to Enabled in the two environments defined in this guide. Das Administratoren-Account wird Standardmässig erstellt bei der Installation von Windows XP. Wenn man das Administratoren Account mit einem anderen Namen belegt wird das einen potentiellen Angreifer von seinen primären Angriffszielen ablenken. Achtung: Nachdem man das Default Account umbenannt hat sollte man auch dessen Beschreibung löschen bzw. umbenennen! Auch das Gast Konto wird Standardmäßig von WinXP erstellt jedoch in einem nicht aktivierten Zustand belassen. Auch dieses Konto sollte lokal umbenannt werden. The Devices: Allow undock without having to log on setting determines if a user can remove a computer from a docking station without logging on to the system. Disabling this setting requires the user to log on before making a request to undock the computer. Once logged on, the user must have the user right for Remove computer from docking station in order to gracefully disconnect the computer from the network. This setting only applies to laptop computers with docking stations. This setting only pertains to the controlled undocking procedure in which some services are stopped when the computer is undocked. This setting does not prevent an attacker from simply ejecting the machine from the docking station without gracefully disconnecting it from the network. Disabling this setting requires laptop users to unlock their computers before removing them from the docking stations in your environment. The Devices: Allow to format and eject removable media setting determines who is allowed to format and eject removable media. Restricting this privilege prevents unauthorized users from removing media from one computer to access it from another computer in which they have local administrator privileges. For this reason, the Devices: Allow to format and eject removable media setting is restricted to the Administrators and Interactive Users groups in the Enterprise Client environment, and to the Administrators group only for added security in the High Security environment. Verhindert das bestimmte Treiber auf dem System installiert werden (da diese in einem privilegierten Kernel Modus laufen). Enabled Recommende d Recommende d Administrator s Disabled Page 19
Nr Wert Bemerkung Soll users from installing printer drivers 7 Devices: Restrict CD-ROM access to locally logged on user only 8 Devices: Restrict floppy access to locally logged on user only 9 Devices: Unsigned driver installation behavior 10 Domain member: Require strong (Windows 2000 or later) session key 11 Do not display last user name in logon screen 12 Disable CTRL+ALT +DEL requiremen t for logon 13 Message text for users attempting to log on Selbstverständlich muss diese Funktion deaktiviert werden sofern man einen Drucker anschliessen möchte! HKLM\System\CurrentControlSet\Control\Print\Providers\LanMa n Print Services\Servers\AddPrinterDrivers = 1 Standardmäßig ermöglicht WindowsXP jedem Programm auf Daten in einem CD-Drive zuzugreifen. Sofern diese Option aktiviert ist werden diese Devices aber nur dem Eingeloggten Benutzer zur Verfügung gestellt. Sobald sich der Benutzer ausloggt stehen die Datenträger nicht mehr zur Verfügung. Achtung: in Kombination mit der Installation von Office2000 von CD besteht ein Fehler welcher bei der Aktivierung dieser Einstellung auftritt: Error 1311: Source file not found. HKLM\Software\Microsoft\Windows NT\ CurrentVersion\Winlogon\ AllocateCDRoms = 1 Standardmäßig ermöglicht Windows2000 jedem Programm auf Daten in einem Floppy-Drive zuzugreifen. Sofern diese Option aktiviert ist werden diese Devices aber nur dem eingeloggten Benutzer zur Verfügung gestellt. Sobald sich der Benutzer ausloggt stehen die Datenträger nicht mehr zur Verfügung. HKLM\Software\Microsoft\Windows NT\ CurrentVersion\Winlogon\ AllocateFloppies = 1 Diese Option bestimmt die auszuführende Aktion wenn man versucht einen Treiber zu installieren, welcher nicht von WindowsXP zertifiziert wurde. Die verfügbaren Optionen sind: Silently succeed Warn but allow installation Do not allow installation HKLM\Software\Microsoft\Driver Signing\Policy = 1 When the Domain member: Require strong (Windows 2000 or later) session key setting is enabled, a Secure Channel may only be established with domain controllers capable of encrypting Secure Channel data using a strong (128 Œ bit) session key. In order to enable this setting, all domain controllers in the domain must be capable of encrypting Secure Channel data using a strong key. To encrypt data using the strong key, all domain controllers must be running Microsoft Windows 2000 or later. If communication to non Œ Windows 2000 domains is required, Microsoft recommends disabling this setting. For these reasons, the Domain member: Require strong (Windows 2000 or later) session key setting is configured to Enabled in the two environments defined in this guide. Standardmässig zeigt W2XP den Namen des zuletzt eingeloggten Benutzers an. Diese Option ist v.a. dann wichtig, wenn auch nicht authorisierte Personen physichen Zugriff auf die Rechner haben. HKLM\Software\Microsoft\Windows\CurrentVersion\ Policies\System\DontDisplayLastUsername= 1 Sofern diese Option aktiviert ist kann sich ein Benutzer auf dem System einloggen ohne CTRL+ALT+DEL zu betätigen. Standardmässig wird diese Option vom System deaktiviert. HKLM\Software\Microsoft\Windows\CurrentVersion\ Policies\System\DisableCAD = 0 Es wird empfohlen das beim Einloggen eine Warnung erscheint die auf die kritische Natur des Systems hinweist: ACHTUNG: Dieser Computer ist Eigentum der FIRMA XYZ. FIRMA XYZ behält sich vor alle Vorgänge aufzuzeichnen. Unbefugte Benutzung dieses Computers ist verboten. FIRMA Enabled Enabled Do not allow installation Enabled Solange NT 4.0 im Einsatz ist, kann dies hier nicht angepasst werden!! Enabled Disabled Recommende d Page 20