TechEd2009: 12 Tips to secure your Windows Systems
Mark Minasi
diesen Vortrag hält Mark schon seit vielen Jahren und es sind immer die gleichen 12 Basics, die Security ausmachen.
Die meisten Security Probleme sind kein “Silicon Problem”, sondern ein “Carbon Problem”
Risk Analysis
Es ist nicht wirklich möglich, das Netzwerk komplett zu sichern
“Die Sicherheit des Netzwerkes wird 100 %, wenn das Geld, das ich zur Verfügung habe, unendlich wird”..
Wir müssen gewisse Risken akzeptieren
IT,s Job is to get access to data easy
Securitys Job is to protect access to data
100% Sicherheit heißt: “Zieh den Stecker und schalt den Rechner aus”
Security Policy
schreib eine Security Policy, die jeder Mitarbeiter unterschrieben muss
funtkioniert nur, wenn Management dahinter steht
muss Richtlinien haben, die bei Nichtbefolgung die Kündigung ermöglihcen – damit der User es ernst nimmt
Die meisten Angriffe kommen voninnen
Password
“Bad passwords always beat good security”
Die bösen Jungs brauchen nur einen Account – und der muss kein Adminaccount sein – es gibt genug Vulnerabilities, die mir dann Adminrechte geben
Hashes zu erraten ist sehr schwierig (2hoch 128 Möglichkeiten – zu viele)
aber:
1.) Lan Manager (aus 1980) speichert die Hashes sehr limitiert, d.h. es kostet auf modernen Systemen ein paar Tage, den Hash zu erraten – weg damit !
2.) die meisten User verwenden aber Wörter
d.h.:
Benutzer sollten komplexe Passwörter verwenden Mind. 8 Zeichen, besser 12 (weniger als 7 sind ganz schlecht !)
aber nicht zu komplexe Regeln, weil man sich diese Passwörter nur schlecht merkt
am besten Passphrases verwenden: z.b.: “ Ich hab 1 ganz sicheres Passwort !”
LM deaktivieren ! JETZT ! Sofort – geht über Group Policies
die meisten Systeme sollten damit kein Problem haben – bitte NAS und Network Printer prüfen !
Windows Vista/WIndows 7 unterstützen KEIN LM mehr !
Die langfristige Lösung sind aber Smartcards/PKI
Authentication Protocols
-LM
-NTLM
-NTLMv2
-Kerberos
die obersten 3 sind auch in AD Umgebungen am meisten benutzt.
LM sollte man SOFORT entfernen
NTLM sollte man in den nächsten Jahren entfernen – ist ein altes Protokoll mit einigen Schwachstellen (kein Timestamp z.b.)
Das AD nur Kerberos verwendet, ist FALSCH !
gute Admin Passwords
unbedingt unterschiedliche PasswortPolicies für Adminpasswords aktivieren
hast du die Checkbox beim Adminkennwort gesetzt “Dieses Passwort never expires ?” Weg damit !
Audit And Log
Security Logs ansehen !
9 Kategorien mehr in Vista, 54 meh rin Windows 7/R2
mit Win7 kann ich ein Global SACL setzen – sag mir alles, was Christian tut
Securing Services
3 Dinge, um Services zu sichern:
-disable the unnecessary ones
- Minimize th eremaining ones privileges
- Minimize the remaining oones permissions
sc qprivs servicename – zeigt mir die Liste der Privileges, die das Service benötigt
in Vista/Win 7 haben Services weniger Rechte !
Physical Security
Bitlocker, Bitlocker to Go hilft
Group Policies bez. Device Installation hilft
RODC – hat keine Passwörter – sollte ich verwenden !
Disaster Plan
En Plan für “Was mach eich, wenn ich gehackt bin”
ein Plan für “Wie sichere ich mein Datacenter zurück”
Wichtig: Plan reicht nicht – ich muss ihn auch regelmässig testen !
Das war die erste Session . weiter werden folgen !
Christian – live aus Berlin von der techEd !
