technet szeminárium előadások 2002 tavasz

TechNet Szeminárium előadások TechNet Szeminárium előadások 2002 tavasz2002 tavasz2002. 02. 20. SQL Server adatbázisok adminisztrációja

2002. 03. 06. Windows alapú webes alkalmazások

2002. 03. 20. Biztonságos Windows

2002. 04. 03. Vállalati szintű projektmenedzsment

2002. 04. 17. Üzemeltetői konferencia

2002. 05. 08. A Windows .NET Server technikai újdonságai

Biztonságos WindowsBiztonságos Windows

Szalontay Zoltánvezető rendszermérnökMicrosoft Magyarország

NapirendNapirend

A Microsoft Solutions Offering (MSO) áttekintése

A Microsoft Solution Architecture Internet Datacenter (MSA IDC) nevű megoldás áttekintése

Az MSA IDC biztonsági kérdéseiA biztonsági CD-kről

Mi az MSO?Mi az MSO? Microsoft termékek és technológiák integrációja

az ügyfelek problémáinak megoldására A Microsoft Consulting Services (MCS) tervezi és

az MCS, valamint minősített partnerei valósíthatják meg

A megoldás egy keretrendszer, amelyet a Prescriptive Architecture Guide (PAG) definiál

Mitől más ez, mintha dobozokból raknánk össze? hardver is szerepel a csomagban integrált tesztelés, dokumentáció, felügyelet, szolgáltatás

és támogatás

Milyen megoldások készülnek?Milyen megoldások készülnek? Business Intelligence Data Warehousing Development HIPAA Internet Business Intranet Management

MS Systems Architecture

Mobile Communication

Office productivity Platform Project collaboration Supplier enablement

HIPAA: Health Insurance Portability and Accountability Act

A partnerek szepere, avagy a A partnerek szepere, avagy a Solution EcosystemSolution EcosystemA Microsoft partnereinek szerepét

definiálja egy megoldás megvalósítása során

Egy partner például kiindulhat az MSA-ból, de egy konkrét (vertikális) megoldásból is

Az ecosystem definiálja a Microsoft technológiákra épülő megoldás-fejlesztés életciklusát is

Mi az MSA?Mi az MSA?

Solution ArchitectureMiből áll?

hardverdobozos szoftver „plumbing” avagy integrációs kóddokumentumok

Egy konkrét megvalósítás a standard megoldáson alapul, de az ügyfél igényei szerint testre szabják

MSA IDC MSA IDC dokumentumokdokumentumok Reference Architecture Guide

az MSA IDC arhitektúráját és tervezési szompontjait írja le Prescriptive Architecture Guide

egy MSA IDC-nek megfelelő megoldás kiépítésének útmutatója

Operations Guide az MSA IDC üzemeltetési útmutatója

Services Guide a megoldás teljes életciklusát (tervezés, implementáció,

üzemeltetés) felölelő üzemeltetési és támogatási útmutató Support Guide

a megoldás támogatási ajánlata

NapirendNapirend




Microsoft Systems ArchitectureMicrosoft Systems ArchitectureE

-Bu

siness

Infrastru

ktúr

aR

end

szer

ar

hit

ektú

ra

Fejlesztő eszközökFejlesztő eszközök

CímtárCímtár BiztonságBiztonság MobilitásMobilitás Extranet/ Extranet/ InternetInternetFelügyeletFelügyelet

E-BusinessE-BusinessInfrastruInfrastruktúraktúra

KapcsolódóKapcsolódóügyfelekügyfelek

IntegrálódóIntegrálódó üzeleti püzeleti partnerartnerekek

Hatékony Hatékony munkatársakmunkatársak

Feljesztés RendszerArhitektúra

InternetBiz

Beszállítók Céges portál

HIPAA ÜzletiIntelligenciaFelügyleet Internet Biz

Keresk.

Egyéb gyártók

PartnerekSSzo

lgál

tatá

sok

zolg

álta

táso

kT

ámo

gatás

Tám

og

atás

TárolókTárolókKiszolgálókKiszolgálókHálózatHálózatSzoftverSzoftver

Microsoft SystemsMicrosoft SystemsArchitectureArchitecture

MSA IDC MSA IDC tervezési céloktervezési célok Biztonságosság Alapvető tervezési szempont

Skálázhatóság Felfelé és oldalra

Rendelkezésre állás Nincs egypontos hibalehetőség

Megbízhatóság Konzisztens viselkedés

Menedzselhetőség Elejétől a végéig

Szabványosság A kiépített infrastruktúra egységes

Támogathatóság Egész megoldásként

Implementáció Gyorsan megoldható

Teljesítmény

.NET

A skálázhatósággal összhangban

.NET-re kész

Az MSA 4 megoldást tartalmazAz MSA 4 megoldást tartalmaz

Kulcs partnerek termékei az alkotóelemekKulcs partnerek termékei az alkotóelemek Compaq, Unisys / Nortel, Cisco / EMC / ComVault, Veritas / Compaq, Unisys / Nortel, Cisco / EMC / ComVault, Veritas /

NetIQ, XTremesoftNetIQ, XTremesoft

Tárolók,Tárolók, NAS, SAN, NAS, SAN,

Switching Gear…Switching Gear…

WindowWindows 2000s 2000ServerekServerek

HálózatHálózat ÚtválasztókÚtválasztók, ,

SwitcheSwitchekk, , TűzfalakTűzfalak……

DepartmentDepartmentData CenterData Center

EnterpriseEnterpriseData CenterData Center

InternetInternetData CenterData Center

HostedHostedData CenterData Center

SSzzoftoftverver MMenedzsmentenedzsment, ,

BiztonságBiztonság,,CímtárCímtár……

Departmental Data CenterDepartmental Data Center Egy osztály alap IT infrastruktúrája Osztályok közötti együttműködést tesz lehetővé Más nagyvállalati adatközpontok szolgáltatásaira

épülhet Példák: emberi erőforrás osztály, tervezés, könyvelés

MunkaállomásMunkaállomás MunkaállomásMunkaállomás

MunkaállomásMunkaállomás MunkaállomásMunkaállomás

IntranetIntranet kiszolgálókiszolgáló

DepartmentalDepartmentalData CenterData Center

Enterprise Data CenterEnterprise Data Center A nagyvállalatok és osztályaik átfogó számítástechnikai rendszere Hálózat, címtár, biztonság, adatmentés és más infrastrukturális

alapszolgáltatások Belső kommunikáció és adatcsere Több, egymással összekapcsolt telephely Önellátó funkciók, mint pl. HR, ERP, CRM, belső vásárlás

Enterprise Enterprise Intranet Intranet

kiszolgálókkiszolgálókEnterprise Enterprise Data CenterData Center

Internet Data CenterInternet Data Center Széleskörű e-business funkciókat támogató web alapú

infrastruktúra a külvilággal történő kapcsolódáshoz Teljeskörű, skálázható, web alapú IT infrastruktúra A három legfontosabb szempont: biztonság,

rendelkezésre állás és megbízhatóság Példák: online boltok, céges- vagy ügyfélkapcsolati

webhelyek, fórumok, stb.

Enterprise Enterprise Intranet Intranet

kiszolgálókkiszolgálókKülső gyűrűKülső gyűrű

Céges Céges tűzfaltűzfal

Web Web szolgáltatásokszolgáltatások

Internet Data Internet Data CenterCenter

Internet Internet Data CenterData Center

Hosted Data CenterHosted Data Center A legmagasabb szintű rendelkezésre állásra tervezett (geo-fürtözés) Provizionálás és elosztott rendszerek felügyelete Cégek ezreit, felhasználók millióit tudja kiszolgálni egy ilyen rendszer Példák: nagy kiterjedésű cégek központi felügyelettel, szolgáltató cégek

HDC

HostedHostedData CenterData Center

Az MSA IDC felépítéseAz MSA IDC felépítése

NapirendNapirend




Az MSA biztonságaAz MSA biztonságaÁttekintésÁttekintés

Hacker technikák és eszközökActive Directory és Group Policy

Objektumok tervezéseA Windows 2000 Server megerősítéseAz IIS megerősítéseAlkalmazások biztonsága (ajánlások)ISA Server tűzfal tervezés

Hacker Hacker technikák és eszközöktechnikák és eszközök Szkennerek (FScan, Superscan, nmap)

Ping Sweep (az alhálózat aktív eszközeihez) TCP / UDP Port szkennerek (az alkalmazásokhoz) Banner Grabbing (az OS-t azonosítja)

Denial of Service (DoS) támadások Smurf (ICMP támadás) elosztott Denial of Service – Tribe Flood Network

Kiskaput kihasználó támadások (Back Orifice) Trójai falovak (I Love You) Webes támadások (URL String támadások, puffer

túlcsordulások, pl. Netmeeting) Session eltérítés (Hunt/Kra, Achilles) Jelszó próbálgatás (L0phtCrack/lc3)

Tipikus támadási pontokTipikus támadási pontok Elfogadott és meghirdetett biztonsági házirend hiánya Gyenge, könnyen kitalálható vagy közkézen forgó

jelszavak Rosszul konfigurált tűzfalak, útválasztók és egyéb

eszközök Rosszul kiadott fájl- és könyvtár jogosultságok Az Administrator fiók fölösleges használata Teszt fiókok fölöslegesen magas privilégiumai A belső hálózatra csatlakoztatott “Auto-answer”

üzemmódú modemek A hálózat auditálásának és monitorozásának hiánya Hibajavítások alkalmazása nem rendszeres

Active Directory Active Directory tervezéstervezés

D MZ VL AN

W e b Fa rm Se rve rsD o ma in Me mb e rs

Ac tiv e D ire ctory D e s ign

D o main C o n tro lle rG lob a l C a ta lo g

In fra stru ctu re Ma ste rR ID Ma s te r

DN S

D o ma in C on tro lle rG lo b a l Ca ta lo gSch e ma Ma ste r

D o ma in N a ming Ma ste rPD C Emula to r

D N S

Ap p lica tion Se rve rs

In fra stru ctu re VL AN

AD 0 1 AD 0 2

Organizational Unit Organizational Unit tervezéstervezés

Windows 2000 Windows 2000 megerősítésemegerősítéseHálózati és helyi erőforrásokHálózati és helyi erőforrások

A legfrissebb szervizcsomagok és frissítések alkalmazása csak alapos tesztelés után!

TCP/IP beállítások a DMZ kiszolgálóin biztonsági sablonban vannak

IP csomagszűrők alkalmazása (IPSec)NetBIOS letiltása a DMZ kiszolgálóinA fájlrendszer levédése

NTFS, XCACLS, alapértelmezett ($) megosztások letiltása

Windows 2000 Windows 2000 megerősítésemegerősítéseHelyi és tartományi felhasználókHelyi és tartományi felhasználók

Ne ugyanazt a helyi fiókot használjuk mindenhol

Nevezzük át az „Administrator”-tA nevekben ne használjuk az „admin”-t

vagy a cég nevétErős jelszavakat használjunk

Windows 2000 Windows 2000 megerősítésemegerősítéseHázirendekkel érjük el a biztonságotHázirendekkel érjük el a biztonságotDefault Domain Policy

jelszóval kapcsolatos beállítások (nem lehet felülbírálni)

fiókok zárolása (kísérletek száma és a zárolás időtartama)

auditálási házirend és napló mérete (10MB, wrap)

Default Domain Controller Policy a Default Domain Policy nem módosítja az

auditálási beállításokat módosítsuk a biztonsági beállításokat és tiltsuk le

a fölösleges szervizeket!

Windows 2000 Windows 2000 megerősítésemegerősítéseKiszolgáló specifikus házirendekKiszolgáló specifikus házirendek Felhasználói jogok

Logon locally - Administrators Access from the network – Authenticated Users

Biztonsági beállítások registry értékei „Restrict Access to Anonymous Account” „NTLMv2 – Cluster Servers (Q272129)

Szervizek letiltása• Alerter Messenger• Browser Print Spooler• Clipbook Task Scheduler• DHCP ClientTelnet

Alapértelmezés szerintiAlapértelmezés szerintibiztonsági sablonokbiztonsági sablonok%SystemRoot%\Security\Templates\*.infAlap sablonok

Basicwk – Windows 2000 Pro Basicsv – Windows 2000 Server Basicdc – Windows 2000 Domain Controller

Járulékos sablonok (az alapra telepítendő) Securews – Windows 2000 Workstation vagy Server Securedc – Windows 2000 Domain Controller Hisecwks – Windows 2000 Workstation vagy Server Hissecdc – Windows 2000 Domain Controller

Hisecwks Windows 2000 Serverre minden kiszolgáló Windows 2000 kell, hogy legyen lebutítja a Power users csoportot

Az Az IISIIS megerősítése megerősítése

Alkalmazzuk a legfrissebb IIS javításokat Hot Fix Checking Tool

Tiltsuk le a könyvtárak tallózását Ellenőrizzük a virtuális könyvtárak jogosultságait Védjük le az IIS naplóit és auditáljunk Tiltsuk le vagy töröljük a minta alkalmazásokat Töröljük ki a nem használt szkript

megfeleltetéseket (script mapping) Szedjük le a szülő könyvtárat („..”) a pathról

Néhány perc szünet…Néhány perc szünet…

Alkalmazások biztonságaAlkalmazások biztonságaHasznos tanácsok (1/2)Hasznos tanácsok (1/2)

Használjunk adat titkosítástErős jelszavakat írjunk előTiltsuk le a cookiekatAz SSL-es oldalaknak legyen élettartamukA HTML és ASP oldalak ne tartalmazzanak

bizalmas információtAz állapotot SQL Serverben tároljukEllenőrizzük a bevitt adatokat

Alkalmazások biztonságaAlkalmazások biztonságaHasznos tanácsok (2/2)Hasznos tanácsok (2/2)

Az üzleti logikai funckiókat tegyük COM komponensekbe

A fejlesztők ne írhassanak az éles rendszerbe

Használjunk „source control” eszközöketNe használjunk ftp-t és telnetet

Külső Külső ISA Server ISA Server kkonfiguronfigurációáció Hálózati konfiguráció

több hálókártyás statikus útvonalak minden belső VLAN-hoz

Telepítési opciók standalone mód (nem címtár integrált) integrált mód – tűzfal és gyorsítótár egyben LAT konfiguráció szervizcsomagok és egyéb javítások (ISAHF63)

ISA tűzfal konfiguráció nincs statikus szűrő (pl. webcat miatt) Web Publishing

• 2 db IIS NLBS farmot publikálnak a hosts fájljaik alapján Server Publishing

Szűrés állapot alapján Szűrés állapot alapján SecureNATSecureNAT esetén esetén

Web publikálás SSL híd nélkülWeb publikálás SSL híd nélkül

Egy ISA NLBS farm mögött van két IIS NLBS farm

IIS NLBS „Single affinity” eseténa NAT miatt a source IP minden esetben az ISA

belső címeminden SSL csomag az egyik farmhoz megy

IIS NLBS „No affinity” eseténminden SSL csomag más IIS Serverhez megymindig újra kell építeni az SSL kapcsolatot

(session key) – óriási terhelés

Web Web publikáláspublikálás SSL SSL híddal híddal

Levenni az IIS-ről az SSL okozta terhelést A tanusítványt minden ISA Serverre fel kell tenni Az átmenő adatokat az ISA így már ellenőrizheti SSL harveres gyorsítókártya javasolt

• nCipher, Rainbow, Atalla

Belső tűzfalBelső tűzfalA belső kiszolgálók védelméhez egy újabb

réteget ad Cisco PIX, ISA Server

NetBIOS-t le kell tiltani (netbios.sys), hogy az AD-hoz szükséges SMB portot (445) átengedhesse

Hardveres terhelés elosztás szükséges a belülről kifelé menő forgalom egyenletes elosztásához BigIP, Local Director default gateway csak egy lehet az NLBS egyszerre csak egy adapterhez köthető a .NET Serverben már többhöz is lehet

Szűrés állapot alapjánMég magasabb szinten naplózhatunk

Belső tűzfal tervezésBelső tűzfal tervezésAz alkalmazások által használt portokAz alkalmazások által használt portok

Protokoll definíció

Port Protokoll Megjegyzés

Alkalmazás(SQL Server)

1433 TCP Az IIS-ek a VLAN12 SQL-einek IP címét DNS-sel kapják meg

Belső tűzfal tervezésBelső tűzfal tervezésA címtárA címtár által használt portokáltal használt portok

Protokoll definíció Port Protokoll

Kerberos 88 UDP

NTP 123 UDP

RCP Endpoint Mapper 135 TCP

LDAP 389 TCP, UDP

SMB Direct Host 115 TCP

DNS Query 53 UDP

NTDS (más port: Q280132) 1026 TCP

Belső tűzfal tervezésBelső tűzfal tervezésA felügyelet által használt portokA felügyelet által használt portok

Protokoll definíció Port Protokoll

App Manager Agent 9979

9998

9999

+RPC

TCP

MOM Agent 1270 TCP

Application Center Server 4243

4244

TCP

Terminal Services 3389 TCP

Split-split DNS konfigurációSplit-split DNS konfiguráció

ISA Server ISA Server

IIS IISIIS

Multi-LayerSwitch

DNSResolver

DNSResolver

VLAN 22

SQL Cluster has port1433 published on ISA

VLAN21

IIS

VLAN 23

DCDNS

DCDNS

Internal Domain DNSzone is copied to bothDNS Resolver Serversand modified

VLAN 13VLAN 12

SQL SQL

Internet

Both domain controllersports server published onISA’s external interface

192.168.11.250192.168.11.249

VLAN 11

InternalISA

Firewalls

Split/Split DNS Design

DNSAdvertiser

DNSAdvertiser

VLAN21

Multi-LayerSwitch

VLAN 15

NapirendNapirend




Az előzményekAz előzmények2001. nyarának elején a Microsoft

Magyarország elérkezettnek látta az időt egy rendszeresen megjelenő biztonsági CD kiadványraBiztonsági eszközlészlet CD

Ezzel egyidőben a Microsoft Corporation is meghirdetett egy programot (STPP), melynek szintén része egy biztonsági CDSecurity Toolkit CD

A két CD nem pont ugyanazt a feladatot tölti be

Strategic Technology Protection Strategic Technology Protection Program (STPP)Program (STPP) Get secure

vírusfertőzésekkel kapcsolatos támogatás• 1-866-PC SAFETY (1-866-727-2338)

ingyenesen rendelhető biztonsági CD• Security Toolkit CD

a W2K SP3 elsődleges célja a biztonság fokozása Stay secure

a Security Toolkit CD rendszeresen megjelenik Windows 2000 kumulatív javítások kéthavonta IT rendszerek biztonságával foglalkozó események menedzselhető biztonság

• nagyvállalati eszközök, automatikus frissítés, stb. http

://www.microsoft.com/presspass/features/2001/oct01/10-03securityqa.asp

Security Toolkit CDSecurity Toolkit CD Angol és magyar változat Milyen operációs rendszerhez jó?

Windows NT 4.0 Windows 2000 munkaállomásokhoz és kiszolgálókhoz egyaránt

Felteszi az összes ismert javítást később leszedhetők

Speciális eszközök IIS lockdown tool URLScan hfnetchk.exe qchain.exe

IIS lockdown tool v2.1IIS lockdown tool v2.1

Telepítéskor sablonok alapján állíthatjuk be az IIS biztonságátmost már OWA sablon is van és működik is ;-)

A telepítés során napló és a metabaseről másolat készül

Újbóli futtatáskor visszaállítja az eredeti állapotot

URLScan.dllURLScan.dll Az IIS lockdown tool is felteszi, de függetlenül is

használható ISAPI szűrő A %windir%\system32\inetsrv\UrlScan\urlscan.ini

alapján szűr a HTTP request módjára a HTTP kérésben lévő fejlécekre (request header) a fájl kiterjesztésre gyanús URL kódolásra nem ASCII karakterekre adott karaktersorozatra

Az URLScan.log-ba naplózza a letiltott kéréseket

hfnetchk.exehfnetchk.exeShavlik TechnologiesShavlik Technologies Leellenőrzi, hogy egy adott gépen fent vannak-e

a legfrissebb javítások Windows NT4, Windows 2000, Windows XP, IE, IIS, SQL

Nem minden termék javításait ellenőrzi pl.: Exchange, Office nem

Több távoli gépen is futtatható egy fájlban kell felsorolni az IP címeket

Egy XML fájlban van a javítások leíró információja minden javítás megjelenésekor frissül az XML fájl

hfnetchk.exe kérdésekhfnetchk.exe kérdések Mit csináljunk, ha nincs Internet kapcsolatunk?

http://download.microsoft.com/download/xml/security/1.0/nt5/en-us/mssecure.cab

Honnét tölthetők le a javítások? http://www.microsoft.com/technet/security/current.asp

Miért nem mutatja ki, hogy kell egy javítás, ha tudom, hogy kell? függőségek lehetnek az egyes javítások és a

szervizcsomagok között Minden javasolt javítást tegyek fel?

célszerű egyesével végigolvasni a problémák leírását és csak tesztelés után feltenni a javítást

qchain.exeqchain.exe Több javítás újraindítás nélküli, egyszerre

történő telepítését teszi lehetővé A javításokat „-z –m” opciókkal kell telepíteni

„silent” és „no reboot” nem minden javításnak van ilyen opciója, pl.: ISA ;-)

A javítások telepítése után jöhet a qchain.exe meggátolja, hogy egy régebbi javítás felülírjon egy újabbat

Csak szigorú tesztelést követően szabad éles gépen alkalmazni!

qcheck.exeqcheck.exe

Kilistázza a telepített javításokatNem minden javítás jelenik meg

pl.: SP1 előtt ISA javítások ;-)az ISA javítások a jövőben rendesen regisztrálják

magukat• le lehet őket szedni• a Control Panelben látszanak, stb.

Nem mentesít a telepítési napló vezetése alól!

Biztonsági eszközkészlet CDBiztonsági eszközkészlet CD Alapvetően munkaállomások védelmére készült Funkciói

a legfrissebb biztonsági javítások telepítése különböző biztonsági szintekhez tartozó beállítások biztonsági eszközök telepítése, futtatása egyéb információk, szolgáltatások

1. változat – 2001. ősz Windows 2000-hez ha magyar változathoz használjuk, hozzunk létre egy

Administrators csoportot és tegyük bele a Rendszergazdát

2. változat – 2002. eleje Windows 2000-hez és Windows XP-hez angol vagy magyar változathoz is

Biztonsági eszközkészlet CDBiztonsági eszközkészlet CDTelepítésTelepítés

Biztonsági eszközkészlet CDBiztonsági eszközkészlet CDBiztonsági beállításokBiztonsági beállítások

Munkaállomás kiemelt funkciókkal erős jelszavak, fiók kizárás, CRTL+Alt-Del kötelező,

leállításhoz be kell jelentkezni, sikertelen bejelentkezést naplózza, helyileg csak az Administrators és a Power Users tagjai jelentkezhetnek be, erős hitelesítés, floppy és CD használat csak helyileg, aláírt meghajtók, registry és NTFS ACL vizsgálat

Munkaállomás tűzfal nélkül Munkaállomás tűzfal mögött Otthoni számítógép Internet hozzáféréssel Otthoni számítógép Internet hozzáférés nélkül

További információTovábbi információWeboldalakWeboldalakMicrosoft

MSA IDC•http://www.microsoft.com/solutions/idc/

biztonság•www.microsoft.com/security•www.microsoft.com/technet/itsolutions/security

hfnetchk FAQ•http://www.microsoft.com/business/solutions/default.asp

Egyéb www.securityfocus.com http://www.rsasecurity.com/

További információTovábbi információKönyvekKönyvek

Michael Howard: Designing Secure Web-Based Applications for Microsoft Windows 2000 (ISBN: 0-7356-0753-2)

Joel Scambray: Hacking Exposed Second Edition (ISBN: 0-07-212748-1)

Joel Scambray: Hacking Exposed Windows 2000 (ISBN: 0-07-219262-3)

wheredoyouwanttogotoday?

Az MSA IDC felépítéseAz MSA IDC felépítése

technet szeminárium előadások 2002 tavasz

Documents